Материалы сайта
Это интересно
Автоматизация системы бюджетирования финансовой службы
ЗАО «ТЕЛМОС» «Утверждаю» Генеральный директор ЗАО “Телмос” _______________________ Розинова Р.Г. “ ” 2002 года КОНЦЕПЦИЯ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В КОРПОРАТИВНОЙ ИНФОРМАЦИОННОЙ СИСТЕМЕ ЗАО «ТЕЛМОС» 2002 год СОГЛАСОВАНО: |Директор по безопасности | |С.В. Калинин | |Административный директор | |С.Я. Иванов | |Начальник отдела кадров | |В.М. Муллахметов | |Коммерческий директор | |В.Л. Зефиров | |Финансовый директор | |О.Г. Гурская | |Технический директор | |М.Д. Мочалин | |Директор по эксплуатации | |С.В. Нестеров | |Директор по развитию бизнеса | |В.Е. Гузеев | |Руководитель департамента | |А.О. Серапионов | |внутреннего аудита | | | |Главный бухгалтер | |В.А. Кудратова | |Руководитель Департамента | |В.А. Шибин | |информационных технологий и систем | | | | | | | |Руководитель Департамента работы с | |Е.Н. Ерохина | |клиентами | | | СОДЕРЖАНИЕ ВВЕДЕНИЕ 2 1. ОБЩИЕ ПОЛОЖЕНИЯ 2 1.1. Назначение и правовая основа документа 2 2. ОБЪЕКТЫ ЗАЩИТЫ 2 2.1. Назначение, цели создания и эксплуатации КИС как объекта информатизации 2 2.2. Структура, состав и размещение основных элементов КИС, информационные связи с другими объектами 2 2.3. Категории информационных ресурсов, подлежащих защите 2 2.4. Категории пользователей КИС, режимы использования и уровни доступа к информации 2 2.5. Уязвимость основных компонентов КИС 2 3. ЦЕЛИ И ЗАДАЧИ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ 2 3.1. Интересы затрагиваемых при эксплуатации КИС субъектов информационных отношений 2 3.2. Цели защиты 2 3.3. Основные задачи системы обеспечения безопасности информации КИС 2 3.4. Основные пути достижения целей защиты 2 4. ОСНОВНЫЕ УГРОЗЫ БЕЗОПАСНОСТИ ИНФОРМАЦИИ КИС 2 4.1. Угрозы безопасности информации и их источники 2 4.2. Пути реализации непреднамеренных искусственных угроз безопасности информации в КИС 2 4.3. Умышленные действия сторонних лиц, зарегистрированных пользователей и обслуживающего персонала 2 4.4. Неформальная модель возможных нарушителей 2 4.5. Непреднамеренные естественные угрозы. 2 5. ОСНОВНЫЕ ПОЛОЖЕНИЯ ТЕХНИЧЕСКОЙ ПОЛИТИКИ В ОБЛАСТИ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ КИС ЗАО «Телмос» 2 5.1. Техническая политика в области обеспечения безопасности информации 2 5.2. Формирование режима безопасности информации 2 5.3. Оснащение техническими средствами хранения и обработки информации 2 6. ОСНОВНЫЕ ПРИНЦИПЫ ПОСТРОЕНИЯ СИСТЕМЫ КОМПЛЕКСНОЙ ЗАЩИТЫ ИНФОРМАЦИИ 2 7. МЕРЫ, МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ ТРЕБУЕМОГО УРОВНЯ ЗАЩИЩЕННОСТИ ИНФОРМАЦИОННЫХ РЕСУРСОВ 2 7.1. Меры обеспечения безопасности 2 7.1.1. Правовые меры защиты 2 7.1.2. Морально-этические меры защиты 2 7.1.3. Административные меры защиты 2 7.2. Физические средства защиты 2 7.2.1. Разграничение доступа на территорию и в помещения 2 7.3. Программно-аппаратные средства защиты 2 7.3.1. Средства идентификации и аутентификации пользователей 2 7.3.2. Средства разграничения доступа зарегистрированных пользователей системы к ресурсам КИС 2 7.3.3. Средства обеспечения и контроля целостности программных и информационных ресурсов 2 7.3.4. Средства оперативного контроля и регистрации событий безопасности 2 7.3.5. Криптографические средства защиты информации 2 7.4. Управление системой обеспечения безопасности информации 2 7.5. Контроль эффективности системы защиты 2 8. ПЕРВООЧЕРЕДНЫЕ МЕРОПРИЯТИЯ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ИНФОРМАЦИИ КИС ОРГАНИЗАЦИИ 2 ПЕРЕЧЕНЬ НОРМАТИВНЫХ ДОКУМЕНТОВ, РЕГЛАМЕНТИРУЮЩИХ ДЕЯТЕЛЬНОСТЬ В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ 2 СПИСОК ИСПОЛЬЗОВАННЫХ СОКРАЩЕНИЙ 2 ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ 2 ВВЕДЕНИЕ Беспрецедентные темпы развития и распространения информационных технологий, обострение конкурентной борьбы и криминогенной обстановки требуют создания целостной системы безопасности информации, взаимоувязывающей правовые, оперативные, технологические, организационные, технические и физические меры защиты информации. Настоящая Концепция определяет систему взглядов на проблему обеспечения безопасности информации в единой информационной телекоммуникационной системе (далее корпоративной информационной системе - КИС) ЗАО «Телмос» и представляет собой систематизированное изложение целей и задач защиты, а также основных принципов и способов достижения требуемого уровня безопасности информации в КИС ЗАО «Телмос» (далее КИС). Правовой базой для разработки настоящей Концепции служат требования действующих в России законодательных и нормативных документов, перечень которых приведен в Приложении 1. Концепция является методологической основой для формирования и проведения в ЗАО «Телмос» единой политики в области обеспечения безопасности информации, для принятия управленческих решений и разработки практических мер по ее воплощению. Список основных использованных в настоящей Концепции сокращений приведен в Приложении 2. Перечень специальных терминов и определений - в Приложении 3. ОБЩИЕ ПОЛОЖЕНИЯ 1 Назначение и правовая основа документа Настоящая «Концепция обеспечения безопасности информации в КИС ЗАО «Телмос»» (далее – Концепция) определяет систему взглядов на проблему обеспечения безопасности информации в КИС, и представляет собой систематизированное изложение целей и задач защиты, основных принципов построения, организационных, технологических и процедурных аспектов обеспечения безопасности информации в КИС. Законодательной основой настоящей Концепции являются Конституция Российской Федерации, Гражданский и Уголовный кодексы, законы, указы, постановления, другие нормативные документы действующего законодательства Российской Федерации, документы Государственной технической комиссии при Президенте Российской Федерации (Гостехкомиссии России), а также нормативно - методические материалы и организационно - распорядительными документы ЗАО «Телмос» отражающие вопросы обеспечения информационной безопасности в КИС. Концепция учитывает современное состояние и ближайшие перспективы развития КИС, цели, задачи и правовые основы ее создания и эксплуатации, режимы функционирования данной системы, а также анализа угроз безопасности для ресурсов КИС. Основные положения и требования Концепции распространяются на все структурные подразделения ЗАО «Телмос», в которых осуществляется автоматизированная обработка информации, содержащей сведения, составляющие банковскую, коммерческую тайну, конфиденциальную информацию или персональные данные, а также на подразделения, осуществляющие сопровождение, обслуживание и обеспечение нормального функционирования КИС. Основные положения Концепции могут быть распространены также на подразделения других организаций и учреждений, взаимодействующие с КИС в качестве поставщиков и пользователей информации КИС. Концепция является методологической основой для: . формирования и проведения единой политики в области обеспечения безопасности информации в КИС; . принятия управленческих решений и разработки практических мер по воплощению политики безопасности информации и выработки комплекса согласованных мер нормативно-правового, технологического и организационно- технического характера, направленных на выявление, отражение и ликвидацию последствий реализации различных видов угроз безопасности информации; . координации деятельности структурных подразделений ЗАО «Телмос» при проведении работ по созданию, развитию и эксплуатации КИС с соблюдением требований обеспечения безопасности информации; . разработки предложений по совершенствованию правового, нормативного, методического, технического и организационного обеспечения безопасности информации КИС. Научно-методической основой Концепции является системный подход, предполагающий проведение исследований, разработку системы защиты информации и процессов ее обработки в КИС с единых методологических позиций с учетом всех факторов, оказывающих влияние на защиту информации, и с позиции комплексного применения различных мер и средств защиты. При разработке Концепции учитывались основные принципы создания комплексных систем обеспечения безопасности информации, характеристики и возможности организационно-технических методов и современных аппаратно- программных средств защиты и противодействия угрозам безопасности информации, а также текущее состояние и перспективы развития информационных технологий. Основные положения Концепции базируются на качественном осмыслении вопросов безопасности информации. ОБЪЕКТЫ ЗАЩИТЫ Основными объектами информационной безопасности в ЗАО «Телмос» являются: информационные ресурсы с ограниченным доступом, составляющие коммерческую, банковскую тайну, конфиденциальную информацию, иные чувствительные по отношению к случайным и несанкционированным воздействиям и нарушению их безопасности информационные ресурсы, в том числе открытая информация, представленные в виде документов и массивов информации, независимо от формы и вида их представления; процессы обработки информации в КИС - информационные технологии, регламенты и процедуры сбора, обработки, хранения и передачи информации, научно- технический персонал разработчиков и пользователей системы и ее обслуживающий персонал; информационная инфраструктура, включающая системы обработки и анализа информации, технические и программные средства ее обработки, передачи и отображения, в том числе каналы информационного обмена и телекоммуникации, системы и средства защиты информации, объекты и помещения, в которых размещены чувствительные компоненты КИС. 1 Назначение, цели создания и эксплуатации КИС как объекта информатизации КИС предназначена для автоматизации деятельности сотрудников ЗАО «Телмос». Создание и применение КИС преследует следующие цели: . повышение качества управления производственными процессами; . повышение качества контроля за движением материальных и финансовых ресурсов; . повышение оперативности и достоверности процедур сбора данных о состоянии материальных и финансовых ресурсах; . сокращение финансовых и временных затрат на поддержку внутреннего и внешнего документооборота; . повышение оперативности и обоснованности прогнозирования коммерческой деятельности; . повышение оперативности и обоснованности планирования расходов финансовых ресурсов и т.д. для следующих основных процессов: . интегрированной обработки информации, формирования и ведения специализированных баз данных; . взаимодействия с клиентами и другими внешними организациями; . информационно-справочного обслуживания структурных подразделений; . анализа и прогнозирования деятельности, обоснования принятия управленческих решений. 2 Структура, состав и размещение основных элементов КИС, информационные связи с другими объектами КИС является распределенной системой, объединяющей автоматизированные подсистемы структурных подразделений ЗАО «Телмос», расположенных на различных территориях, в единую корпоративную информационно - телекоммуникационную сеть. В КИС циркулирует информация разных категорий. Защищаемая информация может быть совместно использована различными пользователями из различных подсетей единой вычислительной сети. В ряде подсистем КИС предусмотрено взаимодействие с внешними (государственными и коммерческими, российскими и зарубежными) организациями по коммутируемым и выделенным каналам с использованием специальных средств передачи информации. Комплекс технических средств КИС включает средства обработки данных (ПЭВМ, сервера БД, почтовые сервера и т.п.), средства маршрутизации, коммутации и обмена данными с возможностью выхода в глобальные сети (кабельная система, кроссы, коммутаторы, шлюзы, маршрутизаторы, модемы и т.д.), а также средства хранения (в т.ч. архивирования) данных. К основным особенностям функционирования КИС, относятся: . территориальная распределенность системы; . объединение в единую систему большого количества разнообразных технических средств обработки и передачи информации; . большое разнообразие решаемых задач и типов обрабатываемых данных, сложные режимы автоматизированной обработки информации с широким совмещением выполнения информационных запросов различных пользователей; . объединение в единых базах данных информации различного назначения, принадлежности и уровней конфиденциальности; . непосредственный доступ к вычислительным и информационным ресурсам большого числа различных категорий пользователей и обслуживающего персонала; . наличие каналов взаимодействия с “внешним миром"; . непрерывность функционирования отдельных подсистем КИС; . высокая интенсивность информационных потоков в КИС; . наличие в КИС ярко выраженных функциональных подсистем с различными требованиями по уровням защищенности (физически объединенных в единую сеть); . разнообразие категорий пользователей и обслуживающего персонала системы. Общая структурная и функциональная организация КИС определяется организационно-штатной структурой ЗАО «Телмос» и задачами, решаемыми его структурными подразделениями с применением средств автоматизации. Объекты информатизации КИС включают: . технологическое оборудование (средства вычислительной техники, сетевое и кабельное оборудование); . информационные ресурсы, содержащие сведения ограниченного доступа и представленные в виде документов или записей в носителях на магнитной, оптической и другой основе, информационных физических полях, массивах и базах данных; . программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение); . автоматизированные системы связи и передачи данных (средства телекоммуникации); . каналы связи по которым передается информация (в том числе ограниченного распространения); 3 Категории информационных ресурсов, подлежащих защите В подсистемах КИС ЗАО «Телмос» циркулирует информация различных уровней конфиденциальности содержащая сведения ограниченного распространения (коммерческая, банковская информация, персональные данные) и открытые сведения. В документообороте КИС ЗАО «Телмос» присутствуют: . платежные поручения и другие расчетно-денежные документы; . отчеты (финансовые, аналитические и др.); . информация CDR; . информация о загрузке соединительных линий; . информация о пакетном трафике; . информация о клиентах, выставленные счета, начисления, реквизиты . информационно-справочная информация, необходимая для функционирования структурных подразделений ЗАО «Телмос» . обобщенная информация и другие конфиденциальные документы. Защите подлежит вся информация, циркулирующая в КИС ЗАО «Телмос» и содержащая: . сведения, составляющие коммерческую тайну, доступ к которым ограничен собственником информации (ЗАО «Телмос») в соответствии с предоставленными Федеральным законом «Об информации, информатизации и защите информации» правами; . сведения, составляющие банковскую тайну, доступ к которым ограничен в соответствии с Федеральным законом «О банках и банковской деятельности»; . персональные данные, доступ к которым ограничен в соответствии с Федеральным законом «Об информации информатизации и защите информации». 4 Категории пользователей КИС, режимы использования и уровни доступа к информации В ЗАО «Телмос» имеется большое число категорий пользователей и обслуживающего персонала, которые должны иметь различные полномочия по доступу к информационным, программным и другим ресурсам КИС: . пользователи баз данных (конечные пользователи, сотрудники подразделений ЗАО «Телмос»); . ответственные за ведение баз данных (ввод, корректировка, удаление данных в БД); . администраторы серверов (файловых серверов, серверов приложений, серверов баз данных); . системные администраторы (ответственные за сопровождение общего программного обеспечения) на серверах и рабочих станциях пользователей; . администраторы сетевого оборудования; . разработчики прикладного программного обеспечения; . специалисты по обслуживанию технических средств вычислительной техники; . администраторы специальных средств защиты и др. 5 Уязвимость основных компонентов КИС Наиболее доступными и уязвимыми компонентами КИС являются сетевые рабочие станции (АРМ сотрудников подразделений ЗАО «Телмос»). Именно с них могут быть предприняты наиболее многочисленные попытки несанкционированного доступа к информации (НСД) в сети и попытки совершения несанкционированных действий (непреднамеренных и умышленных). С рабочих станций осуществляется управление процессами обработки информации (в том числе на серверах), запуск программ, ввод и корректировка данных, на дисках рабочих станций могут размещаться важные данные и программы обработки. На мониторы и печатающие устройства рабочих станций выводится информация при работе пользователей, выполняющих различные функции и имеющих разные полномочия по доступу к данным и другим ресурсам системы. Нарушения конфигурации аппаратно-программных средств рабочих станций и неправомерное вмешательство в процессы их функционирования могут приводить к блокированию информации, невозможности своевременного решения важных задач и выходу из строя отдельных АРМ и подсистем. В особой защите нуждаются такие привлекательные для злоумышленников элементы сетей как выделенные файловые серверы, серверы баз данных и серверы приложений. Здесь злоумышленники, прежде всего, могут искать возможности получения доступа к защищаемой информации и оказания влияния на работу различных подсистем серверов, используя недостатки протоколов обмена и средств разграничения удаленного доступа к ресурсам серверов. При этом могут предприниматься попытки как удаленного (со станций сети) так и непосредственного (с консоли сервера) воздействия на работу серверов и их средств защиты. Маршрутизаторы, коммутаторы и другие сетевые устройства, каналы и средства связи также нуждаются в защите. Они могут быть использованы нарушителями для реструктуризации и дезорганизации работы сети, перехвата передаваемой информации, анализа трафика и реализации других способов вмешательства в процессы обмена данными. ЦЕЛИ И ЗАДАЧИ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ 1 Интересы затрагиваемых при эксплуатации КИС субъектов информационных отношений Субъектами правоотношений при использовании КИС и обеспечении безопасности информации являются: . ЗАО «Телмос» как собственник информационных ресурсов; . подразделения ЗАО «Телмос», обеспечивающие эксплуатацию системы автоматизированной обработки информации; . должностные лица и сотрудники структурных подразделений ЗАО «Телмос», как пользователи и поставщики информации в КИС в соответствии с возложенными на них функциями; . юридические и физические лица, сведения о которых накапливаются, хранятся и обрабатываются в КИС; . другие юридические и физические лица, задействованные в процессе создания и функционирования КИС (разработчики компонент КИС, обслуживающий персонал, организации, привлекаемые для оказания услуг в области безопасности информационных технологий и др.). Перечисленные субъекты информационных отношений заинтересованы в обеспечении: . конфиденциальности (сохранения в тайне) определенной части информации; . достоверности (полноты, точности, адекватности, целостности) информации; . защиты от навязывания им ложной (недостоверной, искаженной) информации (то есть от дезинформации); . своевременного доступа (за приемлемое для них время) к необходимой им информации; . разграничения ответственности за нарушения законных прав других субъектов информационных отношений и установленных правил обращения с информацией; . возможности осуществления непрерывного контроля и управления процессами обработки и передачи информации; . защиты части информации от незаконного ее тиражирования (защиты авторских прав, прав собственника информации и т.п.). 2 Цели защиты Основной целью, на достижение которой направлены все положения настоящей Концепции, является защита субъектов информационных отношений (интересы которых затрагиваются при создании и функционировании КИС) от возможного нанесения им ощутимого материального, физического, морального или иного ущерба посредством случайного или преднамеренного несанкционированного вмешательства в процесс функционирования КИС или несанкционированного доступа к циркулирующей в ней информации и ее незаконного использования. Указанная цель достигается посредством обеспечения и постоянного поддержания следующих свойств информации и автоматизированной системы ее обработки: . доступности обрабатываемой информации для зарегистрированных пользователей (устойчивого функционирования КИС, при котором пользователи имеют возможность получения необходимой информации и результатов решения задач за приемлемое для них время); . конфиденциальности (сохранения в тайне) определенной части информации, хранимой, обрабатываемой АРМ и передаваемой по каналам связи; . целостности и аутентичности (подтверждение авторства) информации, хранимой и обрабатываемой в КИС и передаваемой по каналам связи. 3 Основные задачи системы обеспечения безопасности информации КИС Для достижения основной цели защиты и обеспечения указанных свойств информации и системы ее обработки система безопасности КИС должна обеспечивать эффективное решение следующих задач: . защиту от вмешательства в процесс функционирования КИС посторонних лиц (возможность использования автоматизированной системы и доступ к ее ресурсам должны иметь только зарегистрированные установленным порядком пользователи - сотрудники структурных подразделений ЗАО «Телмос»); . разграничение доступа зарегистрированных пользователей к аппаратным, программным и информационным ресурсам КИС (возможность доступа только к тем ресурсам и выполнения только тех операций с ними, которые необходимы конкретным пользователям для выполнения своих служебных обязанностей), то есть защиту от несанкционированного доступа к: . информации, циркулирующей в КИС; . средствам вычислительной техники КИС; . аппаратным, программным и криптографическим средствам защиты, используемым в КИС; . регистрацию действий пользователей при использовании защищаемых ресурсов КИС в системных журналах и периодический контроль корректности действий пользователей системы путем анализа содержимого этих журналов специалистами подразделений безопасности; . контроль целостности (обеспечение неизменности) среды исполнения программ и ее восстановление в случае нарушения; . защиту от несанкционированной модификации и контроль целостности используемых в КИС программных средств, а также защиту системы от внедрения несанкционированных программ, включая компьютерные вирусы; . защиту конфиденциальной информации, хранимой, обрабатываемой и передаваемой по каналам связи, от несанкционированного разглашения или искажения; . обеспечение аутентификации пользователей, участвующих в информационном обмене (подтверждение подлинности отправителя и получателя информации); . обеспечение живучести криптографических средств защиты информации при компрометации части ключевой системы; . своевременное выявление источников угроз безопасности информации, причин и условий, способствующих нанесению ущерба заинтересованным субъектам информационных отношений, создание механизма оперативного реагирования на угрозы безопасности информации и негативные тенденции; . создание условий для минимизации и локализации наносимого ущерба неправомерными действиями физических и юридических лиц, ослабление негативного влияния и ликвидация последствий нарушения безопасности информации. 4 Основные пути достижения целей защиты Поставленные основные цели защиты и решение перечисленных выше задач достигаются: . строгим учетом всех подлежащих защите ресурсов системы (информации, подсистем, каналов связи, серверов, АРМ); . регламентацией процессов обработки подлежащей защите информации, с применением средств автоматизации и действий сотрудников структурных подразделений ЗАО «Телмос», использующих КИС, а также действий персонала, осуществляющего обслуживание и модификацию программных и технических средств КИС, на основе утвержденных руководителем ЗАО «Телмос» организационно-распорядительных документов по вопросам обеспечения безопасности информации; . полнотой, реальной выполнимостью и непротиворечивостью требований организационно-распорядительных документов ЗАО «Телмос» по вопросам обеспечения безопасности информации; . назначением и подготовкой сотрудников, ответственных за организацию и осуществление практических мероприятий по обеспечению безопасности информации и процессов ее обработки; . наделением каждого пользователя минимально необходимыми для выполнения им своих функциональных обязанностей полномочиями по доступу к ресурсам КИС; . четким знанием и строгим соблюдением всеми сотрудниками, использующими и обслуживающими аппаратные и программные средства КИС, требований организационно-распорядительных документов по вопросам обеспечения безопасности информации; . персональной ответственностью за свои действия каждого сотрудника, участвующего в рамках своих функциональных обязанностей, в процессах автоматизированной обработки информации и имеющего доступ к ресурсам КИС; . реализацией технологических процессов обработки информации с использованием комплексов организационно-технических мер защиты программного обеспечения, технических средств и данных; . принятием эффективных мер обеспечения физической целостности технических средств и непрерывным поддержанием необходимого уровня защищенности компонентов КИС; . применением физических и программно-аппаратных средств защиты ресурсов системы и непрерывной административной поддержкой их использования; . разграничением потоков информации, предусматривающим предупреждение попадания информации более высокого уровня конфиденциальности на носители и в файлы с более низким уровнем конфиденциальности, а также запрещением передачи информации ограниченного распространения по незащищенным каналам связи; . эффективным контролем за соблюдением сотрудниками подразделений ЗАО «Телмос» - пользователями КИС требований по обеспечению безопасности информации; . юридической защитой интересов ЗАО «Телмос» при взаимодействии его подразделений с внешними организациями (связанном с обменом информацией) от противоправных действий, как со стороны этих организаций, так и от несанкционированных действий обслуживающего персонала и третьих лиц; . проведением постоянного анализа эффективности и достаточности принятых мер и применяемых средств защиты информации, разработкой и реализацией предложений по совершенствованию системы защиты информации в КИС. ОСНОВНЫЕ УГРОЗЫ БЕЗОПАСНОСТИ ИНФОРМАЦИИ КИС 1 Угрозы безопасности информации и их источники Наиболее опасными угрозами безопасности информации КИС по способам нанесения ущерба субъектам информационных отношений являются: . нарушение конфиденциальности сведений, составляющих банковскую или коммерческую тайну, а также персональных данных; . нарушение работоспособности КИС, блокирование информации, нарушение технологических процессов, срыв своевременного решения задач; . нарушение целостности информационных, программных и других ресурсов КИС, а также фальсификация документов. Основными источниками угроз безопасности информации КИС являются: . непреднамеренные (ошибочные, случайные, необдуманные, без злого умысла и корыстных целей) нарушения установленных регламентов сбора, обработки и передачи информации, а также требований безопасности информации и другие действия сотрудников (в том числе администраторов средств защиты) структурных подразделений ЗАО «Телмос» при эксплуатации КИС, приводящие к непроизводительным затратам времени и ресурсов, разглашению сведений ограниченного распространения, потере ценной информации или нарушению работоспособности отдельных рабочих станций, подсистем или КИС в целом; . преднамеренные (в корыстных целях, по принуждению третьими лицами, со злым умыслом и т.п.) действия сотрудников подразделений ЗАО «Телмос», допущенных к работе с КИС, а также сотрудников подразделений, отвечающих за обслуживание, администрирование программного и аппаратного обеспечения, средств защиты и обеспечения безопасности информации; . воздействия из других логических и физических сегментов КИС со стороны сотрудников других подразделений ЗАО «Телмос», в том числе программистов - разработчиков прикладных задач, а также удаленное несанкционированное вмешательство посторонних лиц из телекоммуникационной сети ЗАО «Телмос» и внешних сетей общего назначения (прежде всего Internet) через легальные и несанкционированные каналы подключения сети ЗАО «Телмос» к таким сетям, используя недостатки протоколов обмена, средств защиты и разграничения удаленного доступа к ресурсам КИС; . деятельность международных и отечественных преступных групп и формирований, политических и экономических структур, а также отдельных лиц по добыванию информации, навязыванию ложной информации, нарушению работоспособности системы в целом и ее отдельных компонент; . ошибки, допущенные при проектировании КИС и ее системы защиты, ошибки в программном обеспечении, отказы и сбои технических средств (в том числе средств защиты информации и контроля эффективности защиты) КИС; . аварии, стихийные бедствия и т.п. 2 Пути реализации непреднамеренных искусственных угроз безопасности информации в КИС Пользователи, операторы, системные администраторы и сотрудники ЗАО «Телмос», обслуживающие систему, являются внутренними источниками случайных воздействий, т.к. имеют непосредственный доступ к процессам обработки информации и могут совершать непреднамеренные ошибки и нарушения действующих правил, инструкций и процедур. Основные пути реализации непреднамеренных искусственных угроз КИС (действия, совершаемые людьми случайно, по незнанию, невнимательности или халатности, из любопытства, но без злого умысла) и меры по нейтрализации соответствующих угроз и снижению возможного наносимого ими ущерба приведены в Таблице 1. Таблица 1. |Основные пути реализации |Меры по нейтрализации угроз и | |непреднамеренных искусственных угроз КИС|снижению возможного наносимого | | |ущерба | |Действия сотрудников ЗАО «Телмос», |1. Организационные меры | |приводящие к частичному или полному |(регламентация действий, введение | |отказу системы или нарушению |запретов). | |работоспособности аппаратных или |2. Применение физических средств, | |программных средств; отключению |препятствующих неумышленному | |оборудования или изменение режимов |совершению нарушения. | |работы устройств и программ; разрушению |3. Применение технических | |информационных ресурсов системы |(аппаратно-программных) средств | |(неумышленная порча оборудования, |разграничения доступа к ресурсам. | |удаление, искажение программ или файлов |4. Резервирование критичных | |с важной информацией, в том числе |ресурсов. | |системных, повреждение каналов связи, | | |неумышленная порча носителей информации | | |и т.п.) | | |Несанкционированный запуск |1. Организационные меры (удаление | |технологических программ, способных при |всех потенциально опасных программ с| |некомпетентном использовании вызывать |дисков ПЭВМ АРМ, обучение). | |потерю работоспособности системы |2. Применение технических | |(зависания или зацикливания) или |(аппаратно-программных) средств | |осуществляющих необратимые изменения в |разграничения доступа к | |системе (форматирование или |технологическим и инструментальным | |реструктуризацию носителей информации, |программам на дисках ПЭВМ АРМ. | |удаление данных и т.п.) | | |Несанкционированное внедрение и |1. Организационные меры (введение | |использование неучтенных программ |запретов). | |(игровых, обучающих, технологических и |2. Применение технических | |других, не являющихся необходимыми для |(аппаратно-программных) средств, | |выполнения сотрудниками своих служебных |препятствующих несанкционированному | |обязанностей) с последующим |внедрению и использованию неучтенных| |необоснованным расходованием ресурсов |программ. | |(процессорного времени, оперативной | | |памяти, памяти на внешних носителях и | | |т.п.) | | |Непреднамеренное заражение компьютера |1. Организационные меры | |вирусами |(регламентация действий, введение | | |запретов). | | |2. Технологические меры (применение | | |специальных программ обнаружения и | | |уничтожения вирусов). | | |3. Применение аппаратно-программных | | |средств, препятствующих заражению | | |компьютеров компьютерными вирусами. | |Разглашение, передача или утрата |1. Организационные меры | |атрибутов разграничения доступа |(регламентация действий, введение | |(паролей, пропусков и т.п.) |запретов, усиление ответственности).| | | | | |2. Применение физических средств | | |обеспечения сохранности указанных | | |реквизитов. | |Игнорирование установленных правил при |1. Организационные меры (усиление | |работе в системе |ответственности и контроля). | | |2. Использование дополнительных | | |физических и технических средств | | |защиты. | |Некомпетентное использование, настройка |Организационные меры (обучение | |или неправомерное отключение средств |персонала, усиление ответственности | |защиты персоналом подразделения |и контроля). | |безопасности | | |Ввод ошибочных данных |1. Организационные меры (усиление | | |ответственности и контроля). | | |2. Технологические меры контроля за | | |ошибками операторов ввода данных. | 3 Умышленные действия сторонних лиц, зарегистрированных пользователей и обслуживающего персонала Основные возможные пути умышленной дезорганизации работы, вывода КИС из строя, проникновения в систему и несанкционированного доступа к информации (с корыстными целями, по принуждению, из желания отомстить и т.п.) и меры по нейтрализации соответствующих угроз и снижению возможного наносимого ими ущерба приведены в Таблице 2. Таблица 2 |Основные возможные пути умышленной | | |дезорганизации работы, вывода КИС из |Меры по нейтрализации угроз и | |строя, проникновения в систему и НСД к |снижению возможного наносимого | |информации (с корыстными целями, по |ущерба | |принуждению, из желания отомстить и | | |т.п.) | | |Физическое разрушение или вывод из строя|1. Организационные меры | |всех или отдельных наиболее важных |(регламентация действий, введение | |компонентов автоматизированной системы |запретов). | |(устройств, носителей важной системной |2. Применение физических средств, | |информации, лиц из числа персонала и |препятствующих неумышленному | |т.п.), отключение или вывод из строя |совершению нарушения. | |подсистем обеспечения функционирования |3. Резервирование критичных | |вычислительных систем (электропитания, |ресурсов. | |линий связи и т.п.) |4. Обеспечение личной безопасности | | |сотрудников. | |Внедрение агентов в число персонала |1. Организационные меры (подбор, | |системы (в том числе, возможно, и в |расстановка и работа с кадрами, | |административную группу, отвечающую за |усиление контроля и | |безопасность), вербовка (путем подкупа, |ответственности). | |шантажа, угроз и т.п.) пользователей, |2. Автоматическая регистрация | |имеющих определенные полномочия по |действий персонала. | |доступу к защищаемым ресурсам | | |Хищение носителей информации |Организационные меры (организация | |(распечаток, магнитных дисков, лент, |хранения и использования носителей с| |микросхем памяти, запоминающих устройств|защищаемой информацией). | |и целых ПЭВМ), хищение производственных | | |отходов (распечаток, записей, списанных | | |носителей информации и т.п.) | | |Несанкционированное копирование |1. Организационные меры (организация| |носителей информации, чтение остаточной |хранения и использования носителей с| |информации из оперативной памяти и с |защищаемой информацией). | |внешних запоминающих устройств |2. Применение технических средств | | |разграничения доступа к защищаемым | | |ресурсам и автоматической | | |регистрации получения твердых копий | | |документов. | |Незаконное получение паролей и других |1. Организационные меры | |реквизитов разграничения доступа |(регламентация действий, введение | |(агентурным путем, используя халатность |запретов, работа с кадрами). | |пользователей, путем подбора, путем |2. Применение технических средств, | |имитации интерфейса системы программными|препятствующих внедрению программ | |закладками и т.д.) с последующей |перехвата паролей, ключей и других | |маскировкой под зарегистрированного |реквизитов. | |пользователя ("маскарад") | | |Несанкционированное использование АРМ |1. Организационные меры (строгая | |пользователей, имеющих уникальные |регламентация доступа в помещения и | |физические характеристики, такие как |допуска к работам на данных АРМ). | |номер рабочей станции в сети, физический|2. Применение физических и | |адрес, адрес в системе связи, аппаратный|технических средств разграничения | |блок кодирования и т.п. |доступа. | |Несанкционированная модификация |1. Организационные меры (строгая | |программного обеспечения – внедрение |регламентация допуска к работам). | |программных "закладок" и "вирусов" |Применение физических и технических | |("троянских коней" и "жучков"), то есть |средств разграничения доступа и | |таких участков программ, которые не |препятствующих несанкционированной | |нужны для осуществления заявленных |модификации аппаратно-программной | |функций, но позволяющих преодолевать |конфигурации АРМ. | |систему защиты, скрытно и незаконно |Применение средств контроля | |осуществлять доступ к системным ресурсам|целостности программ. | |с целью регистрации и передачи |Применение аппаратно-программных | |защищаемой информации или дезорганизации|средств, препятствующих заражению | |функционирования системы |компьютеров компьютерными вирусами. | |Перехват данных, передаваемых по каналам|1. Физическая защита каналов связи. | |связи, и их анализ с целью получения |2. Применение средств | |конфиденциальной информации и выяснения |криптографической защиты | |протоколов обмена, правил вхождения в |передаваемой информации. | |связь и авторизации пользователей и | | |последующих попыток их имитации для | | |проникновения в систему | | |Вмешательство в процесс функционирования|1. Организационные меры | |КИС сетей общего пользования с целью |(регламентация подключения и работы | |несанкционированной модификации данных, |в сетях общего пользования). | |доступа к конфиденциальной информации, |2. Применение специальных | |дезорганизации работы подсистем и т.п. |технических средств защиты | | |(межсетевых экранов, средств | | |контроля защищенности и обнаружения | | |атак на ресурсы системы и т.п.). | 4 Неформальная модель возможных нарушителей НАРУШИТЕЛЬ - это лицо, которое предприняло попытку выполнения запрещенных действий по ошибке, незнанию или осознанно со злым умыслом (из корыстных интересов) или без такового (ради игры или удовольствия, с целью самоутверждения и т.п.) и использующее для этого различные возможности, методы и средства. Система защиты КИС должна строиться исходя из предположений о следующих возможных типах нарушителей в системе (с учетом категории лиц, мотивации, квалификации, наличия специальных средств и др.): 1) "Неопытный пользователь" – сотрудник ЗАО «Телмос» (или подразделения другой организации, зарегистрированный как пользователь системы), который может предпринимать попытки выполнения запрещенных операций, доступа к защищаемым ресурсам КИС с превышением своих полномочий, ввода некорректных данных и т.п. действия по ошибке, некомпетентности или халатности без злого умысла и использующий при этом только штатные (доступные ему) аппаратные и программные средства. 2) "Любитель" - сотрудник ЗАО «Телмос» (или подразделения другой организации, зарегистрированный как пользователь системы), пытающийся преодолеть систему защиты без корыстных целей и злого умысла, для самоутверждения или из «спортивного интереса». Для преодоления системы защиты и совершения запрещенных действий он может использовать различные методы получения дополнительных полномочий доступа к ресурсам (имен, паролей и т.п. других пользователей), недостатки в построении системы защиты и доступные ему штатные (установленные на рабочей станции) программы (несанкционированные действия посредством превышения своих полномочий на использование разрешенных средств). Помимо этого он может пытаться использовать дополнительно нештатные инструментальные и технологические программные средства (отладчики, служебные утилиты), самостоятельно разработанные программы или стандартные дополнительные технические средства. 3) "Мошенник" – сотрудник ЗАО «Телмос» (или подразделения другой организации, зарегистрированный как пользователь системы), который может предпринимать попытки выполнения незаконных технологических операций, ввода подложных данных и тому подобные действия в корыстных целях, по принуждению или из злого умысла, но использующий при этом только штатные (установленные на рабочей станции и доступные ему) аппаратные и программные средства от своего имени или от имени другого сотрудника (зная его имя и пароль, используя его кратковременное отсутствие на рабочем месте и т.п.). 4) "Внешний нарушитель (злоумышленник)" - постороннее лицо, бывший сотрудник ЗАО «Телмос», действующий целенаправленно из корыстных интересов, из мести или из любопытства, возможно в сговоре с другими лицами. Он может использовать весь набор методов и средств взлома систем защиты, характерных для сетей общего пользования (в особенности сетей на основе IP-протокола), включая удаленное внедрение программных закладок и использование специальных инструментальных и технологических программ, используя имеющиеся слабости протоколов обмена и системы защиты узлов сети КИС ЗАО «Телмос». 5) "Внутренний злоумышленник" - сотрудник подразделения ЗАО «Телмос» (или подразделения другой организации), зарегистрированный как пользователь системы, действующий целенаправленно из корыстных интересов или мести за нанесенную обиду, возможно в сговоре с лицами, не являющимися сотрудниками ЗАО «Телмос». Он может использовать весь набор методов и средств взлома системы защиты, включая агентурные методы получения реквизитов доступа, пассивные средства (технические средства перехвата без модификации компонентов системы), методы и средства активного воздействия (модификация технических средств, подключение к каналам передачи данных, внедрение программных закладок и использование специальных инструментальных и технологических программ), а также комбинации воздействий как изнутри, так и извне - из сетей общего пользования. Внутренним нарушителем может быть лицо из следующих категорий персонала ЗАО «Телмос»: . зарегистрированные конечные пользователи КИС (сотрудники подразделений ЗАО «Телмос»); . сотрудники других организаций, допущенные к работе с КИС; . сотрудники подразделений ЗАО «Телмос», не допущенные к работе с КИС; . персонал, обслуживающий технические средства КИС (инженеры, техники); . сотрудники отделов разработки и сопровождения ПО (программисты и администраторы); . технический персонал, обслуживающий здания (уборщицы, электрики, сантехники и другие сотрудники, имеющие доступ в здания и помещения, где расположены компоненты КИС; . сотрудники службы безопасности КИС; . руководители различных уровней. Категории лиц, которые могут быть внешними нарушителями: . уволенные сотрудники ЗАО «Телмос»; . представители организаций, взаимодействующих по вопросам обеспечения жизнедеятельности организации (энерго-, водо-, теплоснабжения и т.п.); . посетители (приглашенные представители организаций, граждане) представители фирм, поставляющих технику, программное обеспечение, услуги и т.п.; . члены преступных организаций или лица, действующие по их заданию; . лица, случайно или умышленно проникшие в сети КИС из внешних (по отношению к ЗАО «Телмос») сетей телекоммуникации (хакеры). Пользователи и обслуживающий персонал из числа сотрудников ЗАО «Телмос» имеют наиболее широкие возможности по осуществлению несанкционированных действий, вследствие наличия у них определенных полномочий по доступу к ресурсам и хорошего знания технологии обработки информации и защитных мер. Действия этой группы лиц напрямую связано с нарушением действующих правил и инструкций. Особую опасность эта группа нарушителей представляет при взаимодействии с криминальными структурами. Уволенные сотрудники могут использовать для достижения целей свои знания о технологии работы, защитных мерах и правах доступа. Полученные в ЗАО «Телмос» знания и опыт выделяют их среди других источников внешних угроз. Криминальные структуры представляют наиболее агрессивный источник внешних угроз. Для осуществления своих замыслов эти структуры могут идти на открытое нарушение закона и вовлекать в свою деятельность сотрудников ЗАО «Телмос» всеми доступными им силами и средствами. Профессиональные хакеры имеют наиболее высокую техническую квалификацию и знания о слабостях программных средств, используемых в КИС. Наибольшую угрозу представляют при взаимодействии с работающими и уволенными сотрудниками ЗАО «Телмос» и криминальными структурами. Организации, занимающиеся разработкой, поставкой и ремонтом оборудования, информационных систем, представляют внешнюю угрозу в силу того, что эпизодически имеют непосредственный доступ к информационным ресурсам. Криминальные структуры могут использовать эти организации для временного устройства на работу своих членов с целью доступа к защищаемой информации в КИС. 5 Непреднамеренные естественные угрозы. Источниками случайных воздействий являются так же окружающая среда и надежность оборудования. Основные возможные угрозы естественной дезорганизации функционирования КИС и меры по нейтрализации угроз и снижению возможного наносимого ими ущерба приведены в Таблице 3. Таблица 3 |Случайные естественные воздействия на | | |КИС |Меры по нейтрализации угроз и | | |снижению возможного наносимого | | |ущерба | |Поломки оборудования |1. Организационные меры (организация| | |хранения и использования носителей с| | |защищаемой информацией). | | |2. Резервирование критичных | | |ресурсов. | |Нарушение инфраструктуры (аварии |1. Организационные меры (организация| |электропитания, временное отсутствие |хранения и использования носителей с| |связи и т.п.) |защищаемой информацией). | | |2. Резервирование критичных | | |ресурсов. | |Стихийные бедствия |1 Организационные меры (организация | | |хранения и использования носителей с| | |защищаемой информацией). | | |2. Резервирование и дублирование | | |критичных ресурсов. | ОСНОВНЫЕ ПОЛОЖЕНИЯ ТЕХНИЧЕСКОЙ ПОЛИТИКИ В ОБЛАСТИ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ КИС ЗАО «Телмос» 1 Техническая политика в области обеспечения безопасности информации Реализация технической политики в области обеспечения безопасности информации должна исходить из предпосылки, что невозможно обеспечить требуемый уровень защищенности информации не только с помощью одного отдельного средства или мероприятия, но и с помощью их простой совокупности. Необходимо их системное согласованное между собой комплексное применение, а отдельные разрабатываемые элементы информационной системы должны рассматриваться как часть единой информационной системы в защищенном исполнении при оптимальном соотношении аппаратных и программных средств и организационных мероприятий. Основными направлениями реализации технической политики обеспечения безопасности информации КИС являются: . обеспечение защиты информационных ресурсов от хищения, утраты, утечки, уничтожения, искажения или подделки за счет несанкционированного доступа и специальных воздействий; . обеспечение защиты информации от утечки при ее обработке, хранении и при передаче по каналам связи. Система обеспечения безопасности информации КИС ЗАО «Телмос» должна предусматривать комплекс организационных, программных и технических средств и мер по защите информации в процессе ее обработки и хранения, при передаче информации по каналам связи. В рамках указанных направлений технической политики обеспечения безопасности информации осуществляются: . реализация разрешительной системы допуска пользователей и обслуживающего персонала к работам, документам и информации конфиденциального характера; . реализация системы инженерно-технических и организационных мер охраны, предусматривающей многорубежность и равнопрочность построения охраны с комплексным применением современных технических средств охраны, обнаружения, наблюдения, сбора и обработки информации, обеспечивающих достоверное отображение и объективное документирование событий; . ограничение доступа исполнителей и посторонних лиц в здания и помещения, где проводятся работы конфиденциального характера и размещены средства информатизации и коммуникации, на которых обрабатывается и хранится информация конфиденциального характера, непосредственно к самим средствам информатизации и коммуникациям; . разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки и защита информации в подсистемах различного уровня и назначения, входящих в КИС; . учет документов, информационных массивов, регистрация действий пользователей и обслуживающего персонала, контроль за несанкционированным доступом и действиями пользователей, обслуживающего персонала и посторонних лиц; . предотвращение внедрения в автоматизированные подсистемы программ- вирусов, программных закладок. . криптографическое преобразование информации, обрабатываемой и передаваемой средствами вычислительной техники и связи; . надежное хранение традиционных и машинных носителей информации, исключающее хищение, подмену и уничтожение; . необходимое резервирование технических средств и дублирование массивов и носителей информации; 2 Формирование режима безопасности информации С учетом выявленных угроз безопасности информации КИС режим защиты должен формироваться как совокупность способов и мер защиты циркулирующей в автоматизированной системе информации и поддерживающей ее инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, влекущих за собой нанесение ущерба владельцам или пользователям информации и поддерживающей инфраструктуры. Комплекс мер по формированию режима безопасности информации включает: . установление в ЗАО «Телмос» организационно-правового режима безопасности информации (нормативные документы, работа с персоналом, делопроизводство); . организационные и программно-технические мероприятия по предупреждению несанкционированных действий и доступа к информационным ресурсам КИС ЗАО «Телмос»; . комплекс мероприятий по контролю функционирования средств и систем защиты информационных ресурсов ограниченного распространения после случайных или преднамеренных воздействий; Организационно-правовой режим предусматривает создание и поддержание правовой базы безопасности информации и введение в действие следующих организационно-распорядительных документов: . Порядок обращения с информацией в ЗАО «Телмос. Регламентирует организацию, порядок работы с защищаемой информацией, сведениями ограниченного распространения, обязанности и ответственность сотрудников, допущенных к этим сведениям, порядок передачи материалов, содержащих сведения ограниченного распространения, государственным и коммерческим учреждениям и организациям; . Перечень сведений, составляющих служебную и коммерческую тайну. Перечень определяет сведения, отнесенные к категориям конфиденциальных («ДСП», коммерческая тайна, банковская тайна, персональные данные), уровень и сроки обеспечения ограничений по доступу к защищаемой информации; . Положение об определении требований по категорированию ресурсов. Указанное положение регламентирует организацию работ по проведению категорирования, то есть определение требуемых степеней защищенности ресурсов КИС (информации, подсистем, каналов взаимодействия, АРМ). В этом документе отражаются вопросы взаимодействия подразделений организации при определении требуемой степени защищенности ресурсов КИС в зависимости от степени ценности обрабатываемой информации, характера обработки. . Перечень информационных ресурсов, подлежащих защите. Необходимо провести классификацию защищаемой информации по уровню конфиденциальности, по уровню ценности (определяемой величиной возможных прямых и косвенных экономических потерь в случае нарушения ее целостности и несвоевременности представления). В данном перечне указываются подразделения ЗАО «Телмос», являющиеся владельцами конкретной защищаемой информации и отвечающие за установление требований к режиму ее защиты. . Приказы и распоряжения по установлению режима безопасности информации: . о назначении постоянно действующей комиссии по категорированию объектов информатизации; . порядок разработки, проведения испытаний и передачи задач в эксплуатацию; . о назначении выделенных помещений; . о допуске сотрудников к работе с информацией ограниченного распространения; . о назначении лиц ответственных за обеспечение сохранности информации в КИС ЗАО «Телмос»; . другие приказы и распоряжения. . Инструкции и функциональные обязанности сотрудникам: . Инструкция по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств КИС. Определяет меры безопасности при вводе в эксплуатацию новых рабочих станций и серверов, а также при изменениях конфигурации технических и программных средств существующих компьютеров в КИС. . Инструкция по внесению изменений в списки пользователей КИС и наделению их полномочиями доступа к ресурсам системы. Документ регламентирует изменения состава и полномочий пользователей подсистем КИС. . Инструкция по организации антивирусной защиты. Должна регламентировать организацию защиты КИС от разрушающего воздействия компьютерных вирусов и устанавливать ответственность руководителей и сотрудников подразделений, эксплуатирующих и сопровождающих КИС, за их ненадлежащее выполнение. . Инструкция по организации парольной защиты. Должна регламентировать процессы генерации, смены и прекращения действий паролей пользователей в КИС и контроль действия пользователей и обслуживающего персонала при работе с паролями. . Планы защиты подсистем КИС. Для организации действий по защите подсистем КИС, описания обязанностей должностных лиц, описания конкретных средств защиты. . Планы ОНРВ подсистем КИС. Конкретные действия по обеспечению непрерывной работы и восстановление подсистем КИС в кризисных ситуациях, обязанности должностных лиц. . Обязанности ответственного за ОИБ. Описываются обязанности ответственного за ОИБ в подразделении. . Памятка пользователям. Общие обязанности пользователей КИС, запрещенные действия, ответственность. . Формуляры ВТ. Для четкого представления о структуре, составе, конфигурации, возможностях АРМ. . Формуляры подсистем КИС. В этих формулярах описывается какие задачи выполняют подсистемы, на каком ПО реализованы, какие ресурсы используются (файлы, каталоги, таблицы), на каких средствах ВТ физически расположены. . Другие нормативные документы. Физическая охрана объектов информатизации (компонентов компьютерных систем) включает: . организацию системы охранно-пропускного режима и системы контроля допуска на объект; . введение дополнительных ограничений по доступу в помещения, предназначенные для хранения закрытой информации (кодовые и электронные замки, карточки допуска и т.д.); . визуальный и технический контроль контролируемой зоны объекта защиты; . применение систем охранной и пожарной сигнализации и т.д. Выполнение режимных требований при работе с информацией ограниченного распространения предполагает: . разграничение допуска к информационным ресурсам ограниченного распространения; . разграничение допуска к программно-аппаратным ресурсам КИС; . ведение учета ознакомления сотрудников с информацией ограниченного распространения; . включение в функциональные обязанности сотрудников обязательства о неразглашении и сохранности сведений ограниченного распространения; . организация уничтожения информационных отходов (бумажных, магнитных и т.д.); . оборудование служебных помещений сейфами, шкафами для хранения бумажных и магнитных носителей информации и т.д. Мероприятия технического контроля предусматривают: . контроль за проведением технического обслуживания, ремонта носителей информации и средств ЭВТ; . оборудование систем информатизации устройствами защиты от сбоев электропитания и помех в линиях связи; . постоянное обновление технических и программных средств защиты от несанкционированного доступа к информации в соответствие с меняющейся оперативной обстановкой. 3 Оснащение техническими средствами хранения и обработки информации Организация хранения конфиденциальных документов и машинных носителей информации, а также оборудование режимных помещений осуществляется в соответствии с установленными в ЗАО «Телмос» требованиями. Работы по обеспечению безопасности информации, обрабатываемой с помощью КИС ЗАО «Телмос», можно условно разделить на следующие группы: . обеспечение физической безопасности компонентов КИС (побочные электромагнитные излучения и наводки, повреждения, сбои питания, кражи и т.п.); . обеспечение логической безопасности КИС (защита от несанкционированного доступа, от ошибок в действиях пользователей и программ и т.д.); . обеспечение социальной безопасности КИС (разработка организационных документов, соответствующих законодательным нормам, регулирующих применение компьютерных технологий, порядок расследования и наказания за компьютерные преступления, контроль и предотвращение неправильного использования информации в случае, когда она хранится или обрабатывается с помощью компьютерных систем). ОСНОВНЫЕ ПРИНЦИПЫ ПОСТРОЕНИЯ СИСТЕМЫ КОМПЛЕКСНОЙ ЗАЩИТЫ ИНФОРМАЦИИ Построение системы обеспечения безопасности информации КИС и ее функционирование должны осуществляться в соответствии со следующими основными принципами: . законность; . системность; . комплексность; . непрерывность; . своевременность; . преемственность и непрерывность совершенствования; . разумная достаточность; . персональная ответственность; . минимизация полномочий; . взаимодействие и сотрудничество; . гибкость системы защиты; . открытость алгоритмов и механизмов защиты; . простота применения средств защиты; . научная обоснованность и техническая реализуемость; . специализация и профессионализм; . обязательность контроля. Законность Предполагает осуществление защитных мероприятий и разработку системы безопасности информации КИС в соответствии с действующим законодательством в области информации, информатизации и защиты информации, других нормативных актов по безопасности информации, утвержденных органами государственной власти и управления в пределах их компетенции, с применением всех дозволенных методов обнаружения и пресечения правонарушений при работе с информацией. Принятые меры безопасности информации не должны препятствовать доступу правоохранительных органов в предусмотренных законодательством случаях к информации конкретных систем. Пользователи и обслуживающий персонал КИС должны иметь представление об ответственности за правонарушения в области систем автоматизированной обработки информации (статьи 272, 273, 274 Уголовного Кодекса РФ и т.п.). Системность Системный подход к построению системы защиты информации в КИС предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения проблемы обеспечения безопасности информации КИС. При создании системы защиты должны учитываться все слабые и наиболее уязвимые места системы обработки информации, а также характер, возможные объекты и направления атак на систему со стороны нарушителей (особенно высококвалифицированных злоумышленников), пути проникновения в распределенные системы и НСД к информации. Система защиты должна строиться с учетом не только всех известных каналов проникновения и НСД к информации, но и с учетом возможности появления принципиально новых путей реализации угроз безопасности. Комплексность Комплексное использование методов и средств защиты компьютерных систем предполагает согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существенные каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов. Защита должна строиться эшелонировано. Внешняя защита должна обеспечиваться физическими средствами, организационными и правовыми мерами. Одним из наиболее укрепленных рубежей призваны быть средства защиты, реализованные на уровне операционных систем (ОС) АРМ в силу того, что ОС - это та часть компьютерной системы, которая управляет использованием всех ее ресурсов. Прикладной уровень защиты, учитывающий особенности предметной области, представляет внутренний рубеж защиты. Непрерывность защиты Защита информации – не разовое мероприятие и не простая совокупность проведенных мероприятий и установленных средств защиты, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла КИС, начиная с самых ранних стадий проектирования, а не только на этапе ее эксплуатации. Большинству физических и технических средств защиты для эффективного выполнения своих функций необходима постоянная административная поддержка (своевременная смена и обеспечение правильного хранения и применения имен, паролей, ключей шифрования, переопределение полномочий и т.п.). Перерывы в работе средств защиты могут быть использованы злоумышленниками для анализа применяемых методов и средств защиты, для внедрения специальных программных и аппаратных "закладок" и других средств преодоления системы защиты после восстановления ее функционирования. Своевременность Предполагает упреждающий характер мер обеспечения безопасности информации, то есть постановку задач по комплексной защите КИС и реализацию мер обеспечения безопасности информации на ранних стадиях разработки КИС в целом и ее системы защиты информации, в частности. Разработка системы защиты должна вестись параллельно с разработкой и развитием самой защищаемой системы. Это позволит учесть требования безопасности при проектировании архитектуры и, в конечном счете, создать более эффективные (как по затратам ресурсов, так и по стойкости) защищенные системы. Преемственность и совершенствование Предполагают постоянное совершенствование мер и средств защиты информации на основе преемственности организационных и технических решений, кадрового состава, анализа функционирования КИС и ее системы защиты с учетом изменений в методах и средствах перехвата информации, нормативных требований по защите, достигнутого отечественного и зарубежного опыта в этой области. Разумная достаточность (экономическая целесообразность, сопоставимость возможного ущерба и затрат) Предполагает соответствие уровня затрат на обеспечение безопасности информации ценности информационных ресурсов и величине возможного ущерба от их разглашения, утраты, утечки, уничтожения и искажения. Используемые меры и средства обеспечения безопасности информационных ресурсов не должны заметно ухудшать эргономические показатели работы КИС, в которой эта информация циркулирует. Излишние меры безопасности, помимо экономической неэффективности, приводят к утомлению и раздражению персонала. Создать абсолютно непреодолимую систему защиты принципиально невозможно. Пока информация находится в обращении, принимаемые меры могут только снизить вероятность негативных воздействий или ущерб от них, но не исключить их полностью. При достаточном количестве времени и средств возможно преодолеть любую защиту. Поэтому имеет смысл рассматривать некоторый приемлемый уровень обеспечения безопасности. Высокоэффективная система защиты стоит дорого, использует при работе существенную часть ресурсов компьютерной системы и может создавать ощутимые дополнительные неудобства пользователям. Важно правильно выбрать тот достаточный уровень защиты, при котором затраты, риск и размер возможного ущерба были бы приемлемыми. Персональная ответственность Предполагает возложение ответственности за обеспечение безопасности информации и системы ее обработки на каждого сотрудника в пределах его полномочий. В соответствии с этим принципом распределение прав и обязанностей сотрудников строится таким образом, чтобы в случае любого нарушения круг виновников был четко известен или сведен к минимуму. Принцип минимизации полномочий Означает предоставление пользователям минимальных прав доступа в соответствии с производственной необходимостью. Доступ к информации должен предоставляться только в том случае и объеме, если это необходимо сотруднику для выполнения его должностных обязанностей. Взаимодействие и сотрудничество Предполагает создание благоприятной атмосферы в коллективах подразделений ЗАО «Телмос». В такой обстановке сотрудники должны осознанно соблюдать установленные правила и оказывать содействие в деятельности подразделений технической защиты информации. Гибкость системы защиты Принятые меры и установленные средства защиты, особенно в начальный период их эксплуатации, могут обеспечивать как чрезмерный, так и недостаточный уровень защиты. Для обеспечения возможности варьирования уровнем защищенности, средства защиты должны обладать определенной гибкостью. Особенно важным это свойство является в тех случаях, когда установку средств защиты необходимо осуществлять на работающую систему, не нарушая процесса ее нормального функционирования. Кроме того, внешние условия и требования с течением времени меняются. В таких ситуациях свойство гибкости системы защиты избавляет владельцев КИС от необходимости принятия кардинальных мер по полной замене средств защиты на новые. Открытость алгоритмов и механизмов защиты Суть принципа открытости алгоритмов и механизмов защиты состоит в том, что защита не должна обеспечиваться только за счет секретности структурной организации и алгоритмов функционирования ее подсистем. Знание алгоритмов работы системы защиты не должно давать возможности ее преодоления даже авторам. Это однако не означает, что информация о конкретной системе защиты должна быть общедоступна. Простота применения средств защиты Механизмы защиты должны быть интуитивно понятны и просты в использовании. Применение средств защиты не должно быть связано со знанием специальных языков или с выполнением действий, требующих значительных дополнительных трудозатрат при обычной работе зарегистрированных установленным порядком пользователей, а также не должно требовать от пользователя выполнения рутинных малопонятных ему операций (ввод нескольких паролей и имен и т.д.). Научная обоснованность и техническая реализуемость Информационные технологии, технические и программные средства, средства и меры защиты информации должны быть реализованы на современном уровне развития науки и техники, научно обоснованы с точки зрения достижения заданного уровня безопасности информации и должны соответствовать установленным нормам и требованиям по безопасности информации. Специализация и профессионализм Предполагает привлечение к разработке средств и реализации мер защиты информации специализированных организаций, наиболее подготовленных к конкретному виду деятельности по обеспечению безопасности информационных ресурсов, имеющих опыт практической работы и государственную лицензию на право оказания услуг в этой области. Реализация административных мер и эксплуатация средств защиты должна осуществляться профессионально подготовленными специалистами ЗАО «Телмос». Обязательность контроля Предполагает обязательность и своевременность выявления и пресечения попыток нарушения установленных правил обеспечения безопасности информации на основе используемых систем и средств защиты информации при совершенствовании критериев и методов оценки эффективности этих систем и средств. Контроль за деятельностью любого пользователя, каждого средства защиты и в отношении любого объекта защиты должен осуществляться на основе применения средств оперативного контроля и регистрации и должен охватывать как несанкционированные, так и санкционированные действия пользователей. МЕРЫ, МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ ТРЕБУЕМОГО УРОВНЯ ЗАЩИЩЕННОСТИ ИНФОРМАЦИОННЫХ РЕСУРСОВ 1 Меры обеспечения безопасности Все меры обеспечения безопасности компьютерных систем подразделяются на: . правовые; . морально-этические; . административные; . физические; . технические (аппаратные и программные). 1 Правовые меры защиты К правовым мерам защиты относятся действующие в стране законы, указы и нормативные акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений в процессе ее обработки и использования, а также устанавливающие ответственность за нарушения этих правил, препятствуя тем самым неправомерному использованию информации и являющиеся сдерживающим фактором для потенциальных нарушителей. Правовые меры защиты носят в основном упреждающий, профилактический характер и требуют постоянной разъяснительной работы с пользователями и обслуживающим персоналом системы. 2 Морально-этические меры защиты К морально-этическим мерам относятся нормы поведения, которые традиционно сложились или складываются по мере распространения ЭВМ в стране или обществе. Эти нормы большей частью не являются обязательными, как законодательно утвержденные нормативные акты, однако, их несоблюдение ведет обычно к падению авторитета, престижа человека, группы лиц или организации. Морально-этические нормы бывают как неписаные (например, общепризнанные нормы честности, патриотизма и т.п.), так и писаные, то есть оформленные в некоторый свод правил или предписаний. Морально-этические меры защиты являются профилактическими и требуют постоянной работы по созданию здорового морального климата в коллективах подразделений. 3 Административные меры защиты Административные меры защиты - это меры организационного характера, регламентирующие процессы функционирования системы обработки данных, использование ее ресурсов, деятельность обслуживающего персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности или снизить размер потерь в случае их реализации. Формирование политики безопасности Главная цель административных мер, предпринимаемых на высшем управленческом уровне - сформировать политику в области обеспечения безопасности информации, отражающую подходы к защите информации, и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел. С практической точки зрения политику в области обеспечения безопасности информации в КИС целесообразно разбить на два уровня. К верхнему уровню относятся решения руководства, затрагивающие деятельность ЗАО «Телмос» в целом. Политика верхнего уровня должна четко очертить сферу влияния и ограничения при определении целей безопасности информации, определить какими ресурсами (материальные, персонал) они будут достигнуты и найти разумный компромисс между приемлемым уровнем безопасности и функциональностью КИС. Политика нижнего уровня определяет процедуры и правила достижения целей и решения задач безопасности информации и детализирует эти правила: . какова область применения политики безопасности информации; . каковы роли и обязанности должностных лиц, отвечающие за проведение политики безопасности информации; . кто имеет права доступа к информации ограниченного распространения; . кто и при каких условиях может читать и модифицировать информацию и т.д. Политика нижнего уровня должна: . предусматривать регламент информационных отношений, исключающих возможность произвольных, монопольных или несанкционированных действий в отношении конфиденциальных информационных ресурсов; . определять коалиционные и иерархические принципы и методы разделения секретов и разграничения доступа к информации ограниченного распространения; . выбирать программно-математические и аппаратные средства криптозащиты, противодействия НСД, аутентификации, авторизации, идентификации и других защитных механизмов, обеспечивающих гарантии реализации прав и ответственности субъектов информационных отношений. Регламентация доступа в помещения КИС ЗАО «Телмос» Эксплуатация защищенных АРМ и серверов КИС должна осуществляться в помещениях, оборудованных надежными автоматическими замками, средствами сигнализации и контроля доступа, постоянно находящимися под охраной или наблюдением, исключающим возможность бесконтрольного проникновения в помещения посторонних лиц и обеспечивающим физическую сохранность находящихся в помещении защищаемых ресурсов (АРМ, документов, реквизитов доступа и т.п.). Уборка помещений с установленными в них ПЭВМ должна производиться с разрешения ответственного, за которым закреплены данные технические средства, или дежурного по подразделению с соблюдением мер, исключающих доступ посторонних лиц к защищаемым ресурсам. В помещениях во время обработки и отображения на ПЭВМ информации ограниченного распространения должен присутствовать только персонал, допущенный к работе с данной информацией. Запрещается прием посетителей в помещениях, когда осуществляется обработка защищаемой информации. По окончании рабочего дня помещения с установленными защищенными АРМ, серверами, сетевым и коммутационным оборудованием должны сдаваться под охрану на основании специально разрабатываемой инструкции, утверждаемой руководством органов ЗАО «Телмос». Для хранения служебных документов и машинных носителей с защищаемой информацией помещения снабжаются сейфами и металлическими шкафами. Помещения должны быть обеспечены средствами уничтожения документов. Регламентация допуска сотрудников к использованию ресурсов КИС ЗАО «Телмос» В рамках разрешительной системы допуска устанавливается: кто, кому, какую информацию и для какого вида доступа может предоставить и при каких условиях; система разграничения доступа, которая предполагает определение для всех пользователей автоматизированной информационной системы информационных и программных ресурсов, доступных им для конкретных операций (чтение, запись, модификация, удаление, выполнение) с помощью заданных программно-технических средств доступа. Допуск сотрудников подразделений ЗАО «Телмос» к работе с автоматизированной системой и доступ к ее ресурсам должен быть строго регламентирован. Любые изменения состава и полномочий пользователей подсистем КИС должны производиться установленным порядком согласно “Инструкции по внесению изменений в списки пользователей КИС ЗАО «Телмос» и наделению их полномочиями доступа к ресурсам системы”. Основными пользователями информации в КИС являются сотрудники структурных подразделений ЗАО «Телмос». Уровень полномочий каждого пользователя определяется индивидуально, соблюдая следующие требования: . открытая и конфиденциальная информация размещаются по возможности на различных серверах (это упрощает обеспечение защиты); . каждый сотрудник пользуется только предписанными ему правами по отношению к информации, с которой ему необходима работа в соответствии с должностными обязанностями; . начальник имеет права на просмотр информации своих подчиненных только в установленных пределах в соответствии со своими должностными обязанностями; . наиболее ответственные технологические операции должны производиться по правилу "в две руки" - правильность введенной информации подтверждается другим должностным лицом, не имеющим права ввода информации. Все сотрудники ЗАО «Телмос», допущенные к работе (пользователи) и обслуживающий персонал КИС, должны нести персональную ответственность за нарушения установленного порядка автоматизированной обработки информации, правил хранения, использования и передачи находящихся в их распоряжении защищаемых ресурсов системы. Каждый сотрудник (при приеме на работу) должен подписывать Соглашение-обязательство о соблюдении и ответственности за нарушение установленных требований по сохранению служебной и коммерческой тайны, а также правил работы с защищаемой информацией в КИС ЗАО «Телмос». Обработка защищаемой информации в подсистемах КИС должна производиться в соответствии с утвержденными технологическими инструкциями для данных подсистем. Для пользователей защищенных АРМ (то есть АРМ, на которых обрабатывается защищаемая информация или располагаются подлежащие защите подсистемы и на которых установлены соответствующие средства защиты) должны быть разработаны необходимые технологические инструкции, включающие требования по обеспечению безопасности информации. Регламентация процессов ведения баз данных и осуществления модификации информационных ресурсов Все операции по ведению баз данных ЗАО «Телмос» и допуск сотрудников подразделений к работе с этими базами данных должны производиться в соответствии с утвержденными технологическими инструкциями. Любые изменения состава и полномочий пользователей баз данных КИС должны производиться установленным порядком. Распределение имен, генерация паролей, сопровождение правил разграничения доступа к базам данных возлагается на специальных пользователей - администраторов конкретных баз данных. При этом могут использоваться как только штатные, так и дополнительные средства защиты СУБД и операционных систем. Регламентация процессов обслуживания и осуществления модификации аппаратных и программных ресурсов КИС Все аппаратные и программные ресурсы КИС должны быть установленным порядком категорированы т.е. для каждого ресурса должен быть определен требуемый уровень защищенности. Подлежащие защите ресурсы системы (подсистемы, АРМ) подлежат строгому учету на основе использования соответствующих формуляров. Аппаратно-программная конфигурация автоматизированных рабочих мест, на которых обрабатывается защищаемая информация и с которых возможен доступ к защищаемым ресурсам, должна соответствовать кругу возложенных на пользователей данного АРМ функциональных обязанностей. Все неиспользуемые в работе устройства ввода-вывода информации (COM, LPT порты, дисководы НГМД, CD с других носителей информации) на таких АРМ должны быть отключены, не нужные для работы программные средства и данные с дисков АРМ также должны быть удалены. Для упрощения сопровождения, обслуживания и организации защиты АРМ должны оснащаться программными средствами и конфигурироваться унифицировано в соответствии с установленными правилами. Ввод в эксплуатацию новых АРМ и все изменения в конфигурации технических и программных средств существующих АРМ в КИС ЗАО «Телмос» должны осуществляться только установленным порядком. Все программное обеспечение, разработанное специалистами отделов программирования ЗАО «Телмос» или приобретенной у фирм-производителей, должно установленным порядком проходить испытания и передаваться в соответствующие подразделения, ответственные за администрирование этого ПО, и там учитываться. Программные средства в подсистемах КИС должны устанавливаться и использоваться только полученные установленным порядком из соответствующих подразделений, ответственных за администрирование. Использование в КИС ПО, не учтенного в административных подразделениях, запрещено. Разработка ПО, проведение испытаний разработанного и приобретенного ПО, передача ПО в эксплуатацию должна осуществляться в соответствии с установленным порядком разработки, проведения испытаний и передачи задач в эксплуатацию. Обеспечение и контроль физической целостности аппаратных ресурсов КИС На всех АРМ, подлежащих защите, должны быть установлены необходимые технические средства защиты, соответствующие категории данных АРМ. Узлы и блоки оборудования СВТ, к которым доступ обслуживающего персонала в процессе эксплуатации не требуется, после наладочных, ремонтных и иных работ, связанных с доступом к их монтажным схемам должны закрываться и опечатываться сотрудниками службы технической защиты информации ЗАО «Телмос». О вскрытии (опечатывании) СВТ делается запись в «Журнале учета нештатных ситуаций, выполнения профилактических работ, установки и модификации аппаратных и программных средств АРМ подразделения» администрирующего данную технику. Повседневный контроль за целостностью и соответствием печатей на системных блоках ПЭВМ должен осуществляться пользователями АРМ и ответственными за безопасность информации подразделений. Периодический контроль - сотрудниками службы технической защиты информации. Кадровая работа (подбор и подготовка персонала, обучение пользователей) До начала этапа эксплуатации автоматизированной системы ее пользователи, а также необходимый руководящий и обслуживающий персонал должны быть ознакомлены с перечнем сведений, подлежащих засекречиванию и защите, в части их касающейся, и своим уровнем полномочий, а также организационно-распорядительной, нормативной, технической и эксплуатационной документацией, определяющей требования и порядок обработки информации ограниченного распространения. Защита информации по всем перечисленным направлениям возможна только после выработки у пользователей определенной дисциплины, т.е. норм, обязательных для исполнения всеми, кто работает с КИС. К таким нормам можно отнести запрещение любых умышленных или неумышленных действий, которые нарушают нормальную работу КИС, вызывают дополнительные затраты ресурсов, нарушают целостность хранимой и обрабатываемой информации, нарушают интересы законных пользователей. Все сотрудники ЗАО «Телмос», использующие при работе конкретные подсистемы, должны быть ознакомлены с организационно-распорядительными документами по защите КИС в части, их касающейся, должны знать и неукоснительно выполнять технологические инструкции и общие обязанности по обеспечению безопасности информации при использовании КИС. Доведение требований указанных документов до лиц, допущенных к обработке защищаемой информации, должно осуществляться начальниками подразделений под роспись. Подразделения защиты информации Для непосредственной организации и эффективного функционирования системы защиты информации в ЗАО «Телмос» должно быть создано специальное подразделение защиты информации. Подразделение защиты информации предназначено для организации квалифицированной разработки и совершенствования системы защиты информации и административного обеспечения ее функционирования во всех подразделениях ЗАО «Телмос». На это подразделение целесообразно возложить решение следующих основных задач: . проведение в жизнь политики обеспечения безопасности информации, определение требований к системе защиты информации; . организация мероприятий и координация работ всех подразделений по комплексной защите информации; . контроль и оценка эффективности принятых мер и применяемых средств защиты информации. Основные функции подразделения безопасности заключаются в следующем: . формирование требований к системе защиты в процессе создания и развития КИС; . участие в проектировании системы защиты, ее испытаниях и приемке в эксплуатацию; . планирование, организация и обеспечение функционирования системы защиты информации в процессе функционирования КИС; . распределение между пользователями необходимых реквизитов защиты; . наблюдение за функционированием системы защиты и ее элементов; . организация проверок надежности функционирования системы защиты; . обучение пользователей и персонала КИС правилам безопасной обработки информации; . регламентация действий и контроль за администраторами баз данных, серверов и сетевых устройств в части касающейся обеспечения правильности применения имеющихся в составе ОС, СУБД и т.п. средств разграничения доступа и других средств защиты информации; . взаимодействие с ответственными за безопасность информации в подразделениях; . контроль за соблюдением пользователями и персоналом КИС установленных правил обращения с защищаемой информацией в процессе ее автоматизированной обработки; . принятие мер при попытках НСД к информации и при нарушениях правил функционирования системы защиты. Организационно-правовой статус подразделения защиты информации определяется следующим образом: . численность должна быть достаточной для выполнения всех перечисленных выше функций; . персонал не должен иметь других обязанностей, связанных с функционированием КИС; . сотрудники должны иметь право доступа во все помещения, где установлена аппаратура КИС и право прекращать автоматизированную обработку информации при наличии непосредственной угрозы для защищаемой информации; . руководителю должно быть предоставлено право запрещать включать в число действующих новые элементы КИС, если они не отвечают требованиям защиты информации и это может привести к серьезным последствиям в случае реализации значимых угроз безопасности информации; . подразделению защиты информации должны обеспечиваться все условия, необходимые для выполнения своих функций. Для решения задач, возложенных на подразделение защиты информации, его сотрудники должны иметь следующие права: . определять необходимость и разрабатывать нормативные документы, касающиеся вопросов обеспечения безопасности информации, включая документы, регламентирующие деятельность сотрудников подразделений; . получать информацию от сотрудников подразделений по вопросам применения информационных технологий и эксплуатации КИС; . участвовать в проработке технических решений по вопросам обеспечения безопасности информации при проектировании и разработке подсистем; . участвовать в испытаниях разработанных подсистем по вопросам оценки качества реализации требований по обеспечению безопасности информации; . контролировать деятельность сотрудников подразделений по вопросам ОИБ. Ответственность за нарушения установленного порядка использования КИС. Расследование нарушений. Любое грубое нарушение порядка и правил работы в КИС сотрудниками структурных подразделений ЗАО «Телмос» и других организаций должно расследоваться. К виновным должны применяться адекватные меры воздействия. Мера ответственности персонала за действия, совершенные в нарушение установленных правил обеспечения безопасной автоматизированной обработки информации, должна определяться нанесенным ущербом, наличием злого умысла и другими факторами, выявленными в результате расследования. Для реализации принципа персональной ответственности пользователей за свои действия необходимы: . индивидуальная идентификация пользователей и инициированных ими процессов, т.е. установление за ними идентификатора, на базе которого будет осуществляться разграничение доступа в соответствии с принципом обоснованности доступа; . проверка подлинности пользователей (аутентификация) на основе паролей и т.п.; . протоколирование работы механизмов контроля доступа к ресурсам информационных систем с указанием даты и времени, идентификаторов запрашивающего и запрашиваемых ресурсов, вида взаимодействия и его результата; . реакция на попытки несанкционированного доступа (сигнализация, блокировка и т.д.). 2 Физические средства защиты Физические меры защиты основаны на применении разного рода механических, электро- или электронно-механических устройств и сооружений, специально предназначенных для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам системы и защищаемой информации, а также технических средств визуального наблюдения, связи и охранной сигнализации. 1 Разграничение доступа на территорию и в помещения Физическая защита зданий, помещений, объектов и средств информатизации должна осуществляться путем установления соответствующих постов охраны, с помощью технических средств охраны или любыми другими способами, предотвращающими или существенно затрудняющими проникновение в здание, помещения посторонних лиц, хищение документов и информационных носителей, самих средств информатизации. Современными, надежными системами физической защиты, дающими широкие возможности регистрации и контроля за доступом исполнителей и посторонних лиц в помещения, в которых проводятся работы конфиденциального характера, обрабатывается и хранится такая информация, являются технические системы, основанные на таких методах идентификации и аутентификации персонала как магнитные и электронные карты с личными данными, реализуемые в виде автоматизированных систем контроля за доступом в указанные помещения. Подобные автоматизированные системы могут быть реализованы на центральной ПЭВМ службы охраны, собирающей информацию с терминалов, контролирующих доступ в помещения, к объектам и отдельным средствам информатизации. Для обеспечения физической безопасности компонентов КИС службе безопасности необходимо осуществить ряд организационных и технических мероприятий, включающих: . проверку поступающего оборудования КИС, предназначенного для обработки конфиденциальной информации, на наличие специально внедренных закладных устройств; . введение дополнительных ограничений по доступу в помещения, предназначенные для хранения и обработки информации; . оборудование систем информатизации устройствами защиты от сбоев электропитания и помех в линиях связи. 3 Программно-аппаратные средства защиты Программно-аппаратные меры защиты основаны на использовании различных электронных устройств и специальных программ, входящих в состав КИС и выполняющих (самостоятельно или в комплексе с другими средствами) функции защиты (идентификацию и аутентификацию пользователей, разграничение доступа к ресурсам, регистрацию событий, криптографическое закрытие информации и т.д.). С учетом всех требований и принципов обеспечения безопасности информации в КИС по всем направлениям защиты в состав системы защиты должны быть включены следующие средства: . средства аутентификации пользователей и элементов КИС (терминалов, подсистем, элементов КВС и т.п.), соответствующих степени конфиденциальности информации и обрабатываемых данных; . средства разграничения доступа к данным; . средства криптографического закрытия информации в линиях передачи данных и в базах данных; . средства регистрации обращения и контроля за использованием защищаемой информации; . средства реагирования на обнаруженный НСД. На технические средства защиты от НСД возлагается решение следующих основных задач: . идентификация и аутентификации пользователей при помощи имен и/или специальных аппаратных средств; . регламентация доступа пользователей к физическим устройствам компьютера (дискам, портам ввода-вывода); . избирательное управление доступом к логическим дискам, каталогам и файлам; . полномочное разграничение доступа к защищаемым данным на рабочей станции и на файловом сервере; . создание замкнутой программной среды разрешенных для запуска программ, расположенных как на локальных, так и на сетевых дисках; . защита от проникновения компьютерных вирусов и разрушительного воздействия вредоносных программ; . контроль целостности модулей системы защиты, системных областей диска и произвольных списков файлов в автоматическом режиме и по командам администратора; . регистрация всех действий пользователя в защищенном журнале, наличие нескольких уровней регистрации; . централизованный сбор, хранение и обработка на файловом сервере журналов регистрации рабочих станций сети; . защита данных системы защиты на файловом сервере от доступа всех пользователей, включая администратора сети; . централизованное управление настройками средств разграничения доступа на рабочих станциях сети; . оповещение администратора безопасности обо всех событиях НСД, происходящих на рабочих станциях; . оперативный контроль за работой пользователей сети, изменение режимов функционирования рабочих станций и возможность блокирования (при необходимости) любой станции сети. Успешное применение технических средств защиты предполагает, что выполнение перечисленных ниже требований обеспечено организационными мерами и используемыми физическими средствами защиты: . физическая целостность всех компонент КИС обеспечена; . каждый пользователь системы имеет уникальное системное имя и минимально необходимые для выполнения им своих функциональных обязанностей полномочия по доступу к ресурсам системы; . использование на рабочих станциях КИС инструментальных и технологических программ, позволяющих предпринять попытки взлома или обхода средств защиты, ограничено и строго регламентировано; . в защищенной системе нет программирующих пользователей. Разработка и отладка программ осуществляется за пределами защищенной системы; . все изменения конфигурации технических и программных средств ПЭВМ КИС производятся строго установленным порядком только на основании распоряжений руководства структурных подразделений ЗАО «Телмос»; . сетевое оборудование (концентраторы, коммутаторы, маршрутизаторы и т.п.) располагается в местах и помещениях, недоступных для посторонних. . подразделениями ответственными за техническую защиту информации осуществляется непрерывное управление и административная поддержка функционирования средств защиты в соответствии с Планами защиты подсистем КИС. 1 Средства идентификации и аутентификации пользователей В целях предотвращения работы с КИС посторонних лиц необходимо обеспечить возможность распознавания системой каждого законного пользователя. Для этого в системе в защищенном месте должен храниться ряд признаков каждого пользователя, по которым этого пользователя можно опознать. В дальнейшем при входе в систему, а при необходимости - и при выполнении определенных действий в системе, пользователь обязан себя идентифицировать, т.е. указать идентификатор, присвоенный ему в системе. Кроме того, для идентификации могут применяться различного рода устройства: магнитные карточки, дискеты и т.п. Аутентификация пользователей должна осуществляться на основе использования паролей или проверки уникальных характеристик пользователей. 2 Средства разграничения доступа зарегистрированных пользователей системы к ресурсам КИС После распознавания пользователя система должна осуществлять авторизацию пользователя, то есть определять, какие права предоставлены пользователю: какие данные и как он может использовать, какие программы может выполнять, когда, как долго и с каких терминалов может работать, какие ресурсы системы может использовать и т.п. Авторизация пользователя должна осуществляется с использованием следующих механизмов реализации разграничения доступа: . механизмов избирательного управления доступом, основанных на использовании атрибутных схем, списков разрешений и т.п.; . механизмов полномочного управления доступом, основанных на использовании меток конфиденциальности ресурсов и уровней допуска пользователей; . механизмов обеспечения замкнутой среды доверенного программного обеспечения (индивидуальных для каждого пользователя списков разрешенных для запуска программ), поддерживаемых механизмами идентификации и аутентификации пользователей при их входе в систему. Зоны ответственности и задачи конкретных технических средств защиты устанавливаются исходя из их возможностей и эксплуатационных характеристик, описанных в документации на данные средства. Технические средства разграничения доступа должны быть составной частью единой системы контроля доступа: . на контролируемую территорию; . в отдельные помещения; . к элементам КИС и элементам системы защиты информации (физический доступ); . к ресурсам КИС (программно-математический доступ); . к информационным хранилищам (носителям информации, томам, файлам, наборам данных, архивам, справкам, записям и т.д.); . к активным ресурсам (прикладным программам, формам запросов и т.п.); . к операционной системе, системным программам и программам защиты и т.п. 3 Средства обеспечения и контроля целостности программных и информационных ресурсов Контроль целостности программ, обрабатываемой информации и средств защиты, с целью обеспечения неизменности программной среды, определяемой предусмотренной технологией обработки, и защиты от несанкционированной корректировки информации должен обеспечиваться: . средствами подсчета контрольных сумм; . средствами электронной цифровой подписи; . средствами сравнения критичных ресурсов с их эталонными копиями (и восстановления в случае нарушения целостности); . средствами разграничения доступа (запрет доступа с правами модификации или удаления). В целях защиты информации и программ от несанкционированного уничтожения или искажения необходимо обеспечить: . дублирование системных таблиц и данных; . дуплексирование и зеркальное отображение данных на дисках; . отслеживание транзакций; . периодический контроль целостности операционной системы и пользовательских программ, а также файлов пользователей; . антивирусный контроль; . резервное копирование данных по заранее установленной схеме; . хранение резервных копий вне помещения файл-сервера; . обеспечение непрерывности электропитания для файл-серверов и критичных рабочих станций и кондиционирование электропитания для остальных станций сети. 4 Средства оперативного контроля и регистрации событий безопасности Средства объективного контроля должны обеспечивать обнаружение и регистрацию всех событий (действий пользователей, попыток НСД и т.п.), которые могут повлечь за собой нарушение политики безопасности и привести к возникновению кризисных ситуаций. Средства контроля и регистрации должны предоставлять возможности: . ведения и анализа журналов регистрации событий безопасности, системных журналов. Журналы регистрации должны вестись для каждой рабочей станции сети; . оперативного ознакомления администратора безопасности с содержимым системного журнала любой станции и с журналом оперативных сообщений об НСД; . получения твердой копии системного журнала; . упорядочения системных журналов по дням и месяцам, а также установления ограничений на срок их хранения; . оперативного оповещения администратора безопасности о нарушениях. При регистрации событий безопасности в системном журнале должна фиксироваться следующая информация: . дата и время события; . идентификатор субъекта (пользователя, программы), осуществляющего регистрируемое действие; . действие (если регистрируется запрос на доступ, то отмечается объект и тип доступа). Средства контроля должны обеспечивать обнаружение и регистрацию следующих событий: . вход пользователя в систему; . вход пользователя в сеть; . неудачная попытка входа в систему или сеть (неправильный ввод пароля); . подключение к файловому серверу; . запуск программы; . завершение программы; . оставление программы резидентно в памяти; . попытка открытия файла недоступного для чтения; . попытка открытия на запись файла недоступного для записи; . попытка удаления файла недоступного для модификации; . попытка изменения атрибутов файла недоступного для модификации; . попытка запуска программы, недоступной для запуска; . попытка получения доступа к недоступному каталогу; . попытка чтения/записи информации с диска, недоступного пользователю; . попытка запуска программы с диска, недоступного пользователю; . нарушение целостности программ и данных системы защиты . и др. Должны поддерживаться следующие основные способы реагирования на обнаруженные факты НСД (возможно с участием администратора безопасности): . извещение владельца информации о НСД к его данным; . снятие программы с дальнейшего выполнения; . извещение администратора баз данных и администратора безопасности; . отключение рабочей станции, с которого были осуществлены попытки НСД к информации; . исключение нарушителя из списка зарегистрированных пользователей; . подача сигнала тревоги и др. 5 Криптографические средства защиты информации Одним из важнейших элементов системы обеспечения безопасности информации КИС должно быть использование криптографических методов и средств защиты информации от несанкционированного доступа при ее передаче по каналам связи. Конфиденциальность и имитозащита информации при ее передаче по каналам связи должна обеспечиваться за счет применения в системе шифросредств абонентского и на отдельных направлениях канального шифрования. Сочетание абонентского и канального шифрования информации должно обеспечивать ее сквозную защиту по всему тракту прохождения, защищать информацию в случае ее ошибочной переадресации за счет сбоев и неисправностей аппаратно- программных средств центров коммутации. В КИС ЗАО «Телмос», являющейся системой с распределенными информационными ресурсами, также возможно использование средств формирования и проверки электронной цифровой подписи, обеспечивающих целостность и юридически доказательное подтверждение подлинности сообщений, а также аутентификацию пользователей, абонентских пунктов и подтверждение времени отправления сообщений. При этом должны использоваться только стандартизованные алгоритмы цифровой подписи, а соответствующие средства, реализующие эти алгоритмы, должны быть сертифицированы в соответствии с законодательством РФ. 4 Управление системой обеспечения безопасности информации Управление системой обеспечения безопасности информации в КИС представляет собой целенаправленное воздействие на компоненты системы обеспечения безопасности (организационные, технические, программные и криптографические) с целью достижения требуемых показателей и норм защищенности циркулирующей в КИС информации в условиях реализации основных угроз безопасности. Главной целью организации управления системой обеспечения безопасности информации является повышение надежности защиты информации в процессе ее обработки, хранения и передачи. Целями управления системой обеспечения безопасности информации являются: . на этапе создания и ввода в действие КИС - разработка и реализация научно- технических программ и координационных планов создания нормативно- правовых основ и технической базы; организация и координация взаимодействия в этой области разработчиков КИС, концентрация кадровых, финансовых и иных ресурсов заинтересованных сторон при разработке и поэтапном вводе в действие системы; создание действенной организационной структуры, обеспечивающей комплексное решение задач безопасности информации при функционировании КИС, в том числе службы безопасности КИС, оснащенной необходимыми программно-аппаратными средствами управления и контроля; . на этапе эксплуатации КИС - обязательное и неукоснительное выполнение предусмотренных на этапе создания КИС правил и процедур, направленных на обеспечение безопасности информации, всеми задействованными в системе участниками, эффективное пресечение посягательств на информационные ресурсы, технические средства и информационные технологии, своевременное выявление негативных тенденций и совершенствование управления в области защиты информации. Управление системой обеспечения безопасности информации реализуется специализированной подсистемой, представляющей собой совокупность органов управления, технических, программных и криптографических средств и организационных мероприятий и взаимодействующих друг с другом пунктов управления различных уровней. Органами управления являются подразделения безопасности информации, а пунктами управления - автоматизированные рабочие места администраторов безопасности, расположенные на объектах КИС. Функциями подсистемы управления являются: информационная, управляющая и вспомогательная. Информационная функция заключается в непрерывном контроле состояния системы защиты, немедленном информировании операторов безопасности о возникающих в КИС ситуациях, способных привести к нарушению безопасности информации. К контролю состояния системы защиты предъявляются два требования: полнота и достоверность. Полнота характеризует степень охвата всех средств защиты и параметров их функционирования. Достоверность контроля характеризует степень адекватности значений контролируемых параметров их истинному значению. В результате обработки данных контроля формируется информация состояния системы защиты, которая обобщается и передается на вышестоящие пункты управления. Управляющая функция заключается в формировании планов реализации технологических операций КИС с учетом требований безопасности информации в условиях, сложившихся для данного момента времени, а также в определении места возникновения ситуации уязвимости информации и предотвращении ее утечки за счет оперативного блокирования участков КИС, на которых возникают угрозы безопасности информации. К управляющим функциям службы безопасности относятся учет, хранение, и выдача документов и информационных носителей, паролей и ключей. При этом генерация паролей, ключей, сопровождение средств разграничения доступа, приемка включаемых в программную среду КИС новых программных средств, контроль соответствия программной среды эталону, а также контроль за ходом технологического процесса обработки конфиденциальной информации возлагается на администратора базы данных и администратора службы безопасности. К вспомогательным функциям подсистемы управления относятся учет всех операций, выполняемых в КИС с защищаемой информацией, формирование отчетных документов и сбор статистических данных с целью анализа и выявления потенциальных каналов утечки информации. 5 Контроль эффективности системы защиты Контроль эффективности защиты информации осуществляется с целью своевременного выявления и предотвращения утечки информации за счет несанкционированного доступа к ней, а также предупреждения возможных специальных воздействий, направленных на уничтожение информации, разрушение средств информатизации. Контроль может проводиться как службой безопасности (оперативный контроль в процессе информационного взаимодействия в КИС), так и привлекаемыми для этой цели компетентными организациями, имеющими лицензию на этот вид деятельности. Оценка эффективности мер защиты информации проводится с использованием технических и программных средств контроля на предмет соответствия установленным требованиям. Контроль может осуществляться администратором безопасности как с помощью штатных средств системы защиты информации от НСД, так и с помощью специальных программных средств контроля. ПЕРВООЧЕРЕДНЫЕ МЕРОПРИЯТИЯ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ИНФОРМАЦИИ КИС ОРГАНИЗАЦИИ Для реализации основных положений настоящей Концепции целесообразно провести следующие мероприятия: . создать в ЗАО «Телмос» структуру защиты информации в КИС и ввести ответственных (возможно внештатных, из числа сотрудников подразделения) за безопасность информации в структурных подразделениях ЗАО «Телмос», определить их задачи и функции на различных стадиях создания, развития и эксплуатации КИС и системы защиты информации; . определить порядок приобретения и использования серийно выпускаемых технических средств обработки, передачи и хранения информации; а также сертифицированных средств защиты информации; . определить возможность использования в КИС имеющихся средств защиты информации; . при необходимости произвести закупку сертифицированных образцов и серийно выпускаемых технических и программных средств защиты информации и их внедрение на рабочих станциях и файловых серверах сети с целью контроля за изменением конфигурации аппаратных и программных средств и действиями пользователей; . для обеспечения режима удаленного доступа пользователей по сети ЗАО «Телмос» к информации конфиденциальных баз данных рассмотреть возможность использования специальных криптографических средств. . произвести разработку и реализацию разрешительной системы доступа пользователей и эксплуатационного персонала КИС или иного объекта информатизации к обрабатываемой информации; . произвести разработку организационно-распорядительной и рабочей документации, а также средств и мер защиты информации в КИС (План защиты, Инструкции, обязанности и т.п.), регламентирующих процессы допуска пользователей к работе с КИС, разработки, приобретения и использования программного обеспечения на рабочих станциях и серверах, порядок внесения изменений в конфигурацию аппаратных и программных средств при ремонте, развитии и обслуживании СВТ, порядок применения и администрирования средств защиты информации и т.п.; . для снижения риска перехвата в сети с других рабочих станций имен и паролей привилегированных пользователей (в особенности администраторов средств защиты и баз данных) организовать их работу в отдельных сегментах сети, шире применять сетевые устройства типа коммутатор, не использовать удаленных режимов конфигурирования сетевых устройств (маршрутизаторов, концентраторов и т.п.); . исключить доступ программистов в эксплуатируемые подсистемы КИС (к реальной информации и базам данных), организовать опытный участок КИС для разработки и отладки программ. Передачу разработанных программ в эксплуатацию производить через архив программ подразделения, ответственного за эксплуатацию ПО; . для защиты компонентов КИС от неправомерных воздействий из других сетей по IP - протоколу целесообразно использовать на периметре корпоративной сети ЗАО «Телмос» сертифицированные установленным порядком межсетевые экраны; . произвести опытную эксплуатацию специализированных средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объектов информатизации и отработки технологических процессов обработки информации; . произвести классификацию защищенности подсистем КИС от несанкционированного доступа (НСД) к информации; . произвести аттестацию подсистем КИС по требованиям защиты информации; . организовать охрану и физическую защиту объекта информатизации и отдельных технических средств, исключающих НСД к техническим средствам, их хищение и нарушение работоспособности; . организовать контроль состояния и эффективности защиты информации с оценкой выполнения требований нормативных документов организационно- технического характера, обоснованности принятых мер; . для контроля за состоянием защиты, выявлением уязвимостей в системе защиты серверов и рабочих станций и принятия своевременных мер по их устранению (перекрытию возможности их использования злоумышленниками) необходимо использовать специальные программы оценки защищенности. Приложение 1 ПЕРЕЧЕНЬ НОРМАТИВНЫХ ДОКУМЕНТОВ, РЕГЛАМЕНТИРУЮЩИХ ДЕЯТЕЛЬНОСТЬ В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ Конституция Российской Федерации Гражданский Кодекс Российской Федерации Уголовный Кодекс Российской Федерации Декларация прав и свобод человека и гражданина Российской Федерации Законы Российской Федерации: 1. «Об информации, информатизации и защите информации» от 20 февраля 1995 г. № 24-ФЗ; 2. «О банках и банковской деятельности в РСФСР» от 3 февраля 1996 г. N 17- ФЗ 3. «О связи» от 16 февраля 1995 г. №15-ФЗ; 4. «О защите прав потребителей» от 7 февраля 1992 г. № 2300-1 в редакции Федерального закона от 9 января 1996 г. № 2-ФЗ; Указы Президента Российской Федерации: 5. «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации» от 3 апреля 1995 г. № 334; 6. «Об утверждении перечня сведений конфиденциального характера» от 6 марта 1997 г. № 188; Постановления Правительства Российской Федерации: 7. «О сертификации средств защиты информации» от 26 июня 1995г. № 608; 8. «О перечне сведений, которые не могут составлять коммерческую тайну» от 05 декабря 1991г. № 35. Руководящие документы Гостехкомиссии России: 9. «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации» (решение Председателя Гостехкомиссии России от 30 марта 1992г.); Стандарты по защите от НСД к информации: ГОСТ Р 50922-96. «Защита информации. Основные термины и определения»№ ГОСТ Р 50739-95. «Средства вычислительной техники. Защита от НСД к информации. ОТТ»; Нормативные документы, регламентирующие сохранность информации на объекте информатизации: «Об использовании в качестве доказательств по арбитражным делам документов, подготовленных с помощью электронно-вычислительной техники» (Инструктивные указания Государственного Арбитража СССР от 29 июня 1979 г. № И-1-4); «Об отдельных рекомендациях, принятых на совещаниях по судебно-арбитражной практике» Раздел IV. Могут ли подтверждаться обстоятельства дела доказательствами, изготовленными и подписанными с помощью средств электронно-вычислительной техники, в которых использована система цифровой (электронной) подписи? (Письмо Высшего Арбитражного суда Российской Федерации от 19 августа 1994 г. № C1-7/ОП-587 в редакции от 12сентября 1996 г.); Приложение 2 СПИСОК ИСПОЛЬЗОВАННЫХ СОКРАЩЕНИЙ |СУБД |Система управления базами данных | |АРМ |Автоматизированное рабочее место | |ГОСТ |Государственный стандарт | |КВС |Корпоративная вычислительная сеть | |КИС |Корпоративная информационная система | |НГМД |Накопитель на гибком магнитном диске | |НСД |Несанкционированный доступ | |ОИБ |Обеспечение информационной безопасности | |ОНРВ |Организация непрерывной работы и восстановления | |ОС |Операционная система | |ПО |Программное обеспечение | |ПЭВМ |Персональная ЭВМ | |СВТ |Средства вычислительной техники | |ЭВМ |Электронно-вычислительная машина | Приложение 3 ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ Безопасность - состояние защищенности жизненно важных интересов личности, предприятия, общества и государства от внутренних и внешних угроз. Безопасность достигается проведением единой политики в области охраны и защиты важных ресурсов, системой мер экономического, политического, организационного и иного характера, адекватных угрозам жизненно важным интересам личности, общества и государства; Безопасность компьютерной информации - достижение требуемого уровня защиты (класса и категории защищенности) объекта информатизации при обработке информации и ее передаче через сети передачи данных (СПД), обеспечивающего сохранение таких ее качественных характеристик, как: конфиденциальность, целостность и доступность; Вредоносные программы - программы или измененные программы объекта информатизации (ОИ), приводящие к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ОИ; Выделенное помещение (ВП) - помещение для размещения технических средств защищенного объекта информатизации, а также помещение, предназначенное для проведения семинаров, совещаний, бесед и других мероприятий, в котором циркулирует конфиденциальная речевая информация; Доступ к информации - ознакомление с информацией или получение возможности ее обработки. Доступ к информации регламентируется ее правовым режимом и должен сопровождаться строгим соблюдением его требований. Доступ к информации. осуществленный с нарушениями требований ее правового режима, рассматривается как несанкционированный доступ; Защита информации - деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на информацию; Защита информации от несанкционированного доступа (НСД) - деятельность по предотвращению получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации; Защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации; Физический канал утечки информации - неконтролируемый физический путь от источника информации за пределы организации или круга лиц, обладающих охраняемыми сведениями, посредством которого возможно несанкционированное овладение нарушителем защищаемой информацией; Компьютерная информация - информация в виде: . записей в памяти ЭВМ, электронных устройствах, на машинных носителях (элементы, файлы, блоки, базы данных, микропрограммы, прикладные и системные программы, пакеты и библиотеки программ, микросхемы, программно- информационные комплексы и др.), обеспечивающих функционирование объекта информатизации; . сообщений, передаваемых по сетям передачи данных; . программно-информационного продукта, являющегося результатом генерации новой или обработки исходной документированной информации, представляемого непосредственно на экранах дисплеев ОИ, на внешних носителях данных (магнитные диски, магнитные ленты, оптические диски, дискеты, бумага для распечатки и т.п.) или через сети передачи данных; . электронных записей о субъектах прав; Лицензия в области защиты информации - разрешение на право проведения тех или иных работ в области защиты информации; Пароль - служебное слово, которое считается известным узкому кругу лиц (одному лицу) и используется для ограничения доступа к информации, в помещение, на территорию; Угроза - реально или потенциально возможные действия по реализации опасных воздействующих факторов на КИС с целью преднамеренного или случайного (неумышленного) нарушения режима функционирования объекта и нарушения свойств защищаемой информации или других ресурсов объекта; Естественные угрозы - это угрозы, вызванные воздействиями на КИС и ее элементы объективных физических процессов или стихийных природных явлений, независящих от человека; Искусственные угрозы - это угрозы КИС, вызванные деятельностью человека. Среди них, исходя из мотивации действий, можно выделить: 1. непреднамеренные (неумышленные, случайные) угрозы, вызванные ошибками в проектировании КИС и ее элементов, ошибками в программном обеспечении, ошибками в действиях персонала и т.п.; 2. преднамеренные (умышленные) угрозы, связанные с корыстными устремлениями людей (злоумышленников); Уровень защиты - характеристика, описываемая в нормативных документах определенной группой требований к данному классу и категории защищенности; Информационные способы нарушения безопасности информации - включают: . противозаконный сбор, распространение и использование информации; . манипулирование информацией (дезинформация, сокрытие или искажение информации); . незаконное копирование информации (данных и программ); . незаконное уничтожение информации; . хищение информации из баз и банков данных; . нарушение адресности и оперативности информационного обмена; . нарушение технологии обработки данных и информационного обмена. Программно-математические способы нарушения безопасности информации - включают: . внедрение программ-вирусов; . внедрение программных закладок как на стадии проектирования системы (в том числе путем заимствования "зараженного" закладками программного продукта), так и на стадии ее эксплуатации, позволяющих осуществить несанкционированный доступ или действия по отношению к информации и системам ее защиты (блокирование, обход и модификация систем защиты, извлечение, подмена идентификаторов и т.д.) и приводящих к компрометации системы защиты информации. Физические способы нарушения безопасности информации - включают: . уничтожение, хищение и разрушение средств обработки и защиты информации, средств связи, целенаправленное внесение в них неисправностей; . уничтожение, хищение и разрушение машинных или других оригиналов носителей информации; . хищение ключей (ключевых документов) средств криптографической защиты информации, программных или аппаратных ключей средств защиты информации от несанкционированного доступа; . воздействие на обслуживающий персонал и пользователей системы с целью создания благоприятных условий для реализации угроз безопасности информации; . диверсионные действия по отношению к объектам безопасности информации (взрывы, поджоги, технические аварии и т.д.). Радиоэлектронные способы нарушения безопасности информации - включают: . перехват информации в технических каналах ее утечки (побочных электромагнитных излучений, создаваемых техническими средствами обработки и передачи информации, наводок в коммуникациях (сети электропитания, заземления, радиотрансляции, пожарной и охранной сигнализации и т.д.) и линиях связи, путем прослушивания конфиденциальных разговоров с помощью акустических, виброакустических и лазерных технических средств разведки, прослушивания конфиденциальных телефонных разговоров, визуального наблюдения за работой средств отображения информации); . перехват и дешифрование информации в сетях передачи данных и линиях связи; . внедрение электронных устройств перехвата информации в технические средства и помещения; . навязывание ложной информации по сетям передачи данных и линиям связи; . радиоэлектронное подавление линий связи и систем управления. Организационно-правовые способы нарушения безопасности информации - включают: . закупку несовершенных, устаревших или неперспективных средств информатизации и информационных технологий; . невыполнение требований законодательства и задержки в разработке и принятии необходимых нормативных правовых и технических документов в области безопасности информации. КОРПОРАТИВНАЯ ИНФОРМАЦИОННАЯ СИСТЕМА (КИС) - организационно- техническая система, представляющая собой совокупность следующих взаимосвязанных компонентов: технических средств обработки и передачи данных (средств вычислительной техники и связи), методов и алгоритмов обработки в виде соответствующего программного обеспечения, массивов (наборов, баз) данных на различных носителях, персонала и пользователей, объединенных по организационно-структурному, тематическому, технологическому или другим признакам для выполнения автоматизированной обработки данных с целью удовлетворения информационных потребностей государственных органов, общественных или коммерческих организаций (юридических лиц), отдельных граждан (физических лиц) и иных потребителей информации; ИНФОРМАЦИЯ В КИС - сведения о фактах, событиях, процессах и явлениях в некоторой предметной области, включенные в систему обработки информации, или являющиеся ее результатом в различных формах представления на различных носителях и используемые (необходимые) для оптимизации принимаемых решений в процессе управления объектами данной предметной области; ОБРАБОТКА ИНФОРМАЦИИ В КИС - совокупность операций (сбор, накопление, хранение, преобразование, отображение, выдача и т.п.), осуществляемых над информацией (сведениями, данными) с использованием средств АС; СУБЪЕКТЫ ИНФОРМАЦИОННЫХ ОТНОШЕНИЙ - государство, государственные органы, государственные, общественные или коммерческие организации (объединения) и предприятия (юридические лица), отдельные граждане (физические лица) и иные субъекты, взаимодействующие с целью совместной обработки информации; ЖИЗНЕННО ВАЖНЫЕ ИНТЕРЕСЫ - совокупность потребностей, удовлетворение которых необходимо для надежного обеспечения существования и возможности прогрессивного развития субъекта (личности, организации, общества или государства). ДОСТУПНОСТЬ ИНФОРМАЦИИ - свойство системы, в которой циркулирует информация (средств и технологии ее обработки), характеризующееся способностью обеспечивать своевременный беспрепятственный доступ к информации субъектов, имеющих на это надлежащие полномочия; ЦЕЛОСТНОСТЬ ИНФОРМАЦИИ - свойство информации, заключающееся в ее существовании в неискаженном виде (неизменном по отношению к некоторому фиксированному ее состоянию); КОНФИДЕНЦИАЛЬНОСТЬ ИНФОРМАЦИИ - субъективно определяемая (приписываемая) информации характеристика (свойство), указывающая на необходимость введения ограничений на круг субъектов, имеющих доступ к данной информации, и обеспечиваемая способностью системы (среды) сохранять указанную информацию в тайне от субъектов, не имеющих полномочий на право доступа к ней; УЯЗВИМОСТЬ СУБЪЕКТА ИНФОРМАЦИОННЫХ ОТНОШЕНИЙ - потенциальная подверженность субъекта нанесению ущерба его жизненно важным интересам посредством воздействия на критичную для него информацию, ее носители и процессы обработки; УЯЗВИМОСТЬ ИНФОРМАЦИИ - подверженность информации воздействию различных дестабилизирующих факторов, которые могут привести к нарушению ее конфиденциальности, целостности, доступности, или неправомерному ее тиражированию; УГРОЗА ИНТЕРЕСАМ СУБЪЕКТОВ ИНФОРМАЦИОННЫХ ОТНОШЕНИЙ - потенциально возможное событие, действие, процесс или явление, которое посредством воздействия на информацию и другие компоненты КИС может привести к нанесению ущерба интересам данных субъектов; УГРОЗА БЕЗОПАСНОСТИ ИНФОРМАЦИИ - потенциально возможное событие, действие, процесс или явление, которое может привести к нарушению конфиденциальности, целостности, доступности информации, а также неправомерному ее тиражированию; БЕЗОПАСНОСТЬ СУБЪЕКТОВ ИНФОРМАЦИОННЫХ ОТНОШЕНИЙ -защищенность субъектов информационных отношений от нанесения им материального, морального или иного ущерба путем воздействия на информацию и/или средства ее обработки и передачи; БЕЗОПАСНОСТЬ КИС - защищенность КИС от несанкционированного вмешательства в нормальный процесс ее функционирования, а также от попыток хищения, незаконной модификации или разрушения ее компонентов; БЕЗОПАСНОСТЬ ЛЮБОГО КОМПОНЕНТА КИС - складывается из обеспечения трех его характеристик: конфиденциальности, целостности и доступности; Конфиденциальность компонента системы заключается в том, что он доступен только тем субъектам доступа (пользователям, программам, процессам), которым предоставлены на то соответствующие полномочия. Целостность компонента предполагает, что он может быть модифицирован только субъектом, имеющим для этого соответствующие права. Целостность является гарантией корректности (неизменности, работоспособности) компонента в любой момент времени. Доступность компонента означает, что имеющий соответствующие полномочия субъект может в любое время без особых проблем получить доступ к необходимому компоненту системы (ресурсу); БЕЗОПАСНОСТЬ ИНФОРМАЦИОННОЙ ТЕХНОЛОГИИ - защищенность технологического процесса переработки информации; БЕЗОПАСНОСТЬ ИНФОРМАЦИИ - защищенность информации от нежелательного (для соответствующих субъектов информационных отношений) ее разглашения (нарушения конфиденциальности), искажения (нарушения целостности), утраты или снижения степени доступности информации, а также незаконного ее тиражирования; ДОСТУП К ИНФОРМАЦИИ - ознакомление с информацией (копирование, тиражирование), ее модификация (корректировка) или уничтожение (удаление); ПРАВИЛА РАЗГРАНИЧЕНИЯ ДОСТУПА - совокупность правил, регламентирующих права доступа субъектов к объектам в некоторой системе; РАЗГРАНИЧЕНИЕ ДОСТУПА К РЕСУРСАМ КИС - это такой порядок использования ресурсов системы, при котором субъекты получают доступ к объектам в строгом соответствии с установленными правилами; ОБЪЕКТ - пассивный компонент системы, единица ресурса автоматизированной системы (устройство, диск, каталог, файл и т.п.), доступ к которому регламентируется правилами разграничения доступа; СУБЪЕКТ - активный компонент системы (пользователь, процесс, программа), действия которого регламентируются правилами разграничения доступа; АВТОРИЗОВАННЫЙ СУБЪЕКТ ДОСТУПА - субъект, которому предоставлены соответствующие права доступа к объектам системы (полномочия); ДОСТУП К РЕСУРСУ - получение субъектом доступа возможности манипулировать (использовать, управлять, изменять характеристики и т.п.) данным ресурсом; НЕСАНКЦИОНИРОВАННЫЙ ДОСТУП (НСД) - доступ субъекта к объекту в нарушение установленных в системе правил разграничения доступа; НЕСАНКЦИОНИРОВАННОЕ ДЕЙСТВИЕ - действие субъекта в нарушение установленных в системе правил обработки информации; НАРУШИТЕЛЬ - это лицо (субъект), которое предприняло (пыталось предпринять) попытку несанкционированного доступа к ресурсам системы (попытку выполнения запрещенных ему действий с данным ресурсом) по ошибке, незнанию или осознанно со злым умыслом (из корыстных интересов) или без такового (ради игры или с целью самоутверждения и т.п.) и использовавшее для этого различные возможности, методы и средства (чисто агентурные методы получения сведений, технические средства перехвата без модификации компонентов системы, штатные средства и недостатки систем защиты, подключение к каналам передачи данных, внедрение программных закладок и использование специальных инструментальных и технологических программ и т.п.); ЗЛОУМЫШЛЕННИК - нарушитель, действующий умышленно из корыстных побуждений; СИСТЕМА ЗАЩИТЫ КИС - совокупность (комплекс) специальных мер правового (законодательного) и административного характера, организационных мероприятий, физических и технических (программных и аппаратных) средств защиты, а также специального персонала, предназначенных для обеспечения безопасности КИС (циркулирующей в КИС информации); ЦЕЛЬ ЗАЩИТЫ КИС - предотвращение или минимизация наносимого ущерба (прямого или косвенного, материального, морального или иного) субъектам информационных отношений посредством нежелательного воздействия на компоненты КИС, а также разглашения (утечки), искажения (модификации), утраты (снижения степени доступности) или незаконного тиражирования информации; ПРАВОВЫЕ МЕРЫ ЗАЩИТЫ ИНФОРМАЦИИ - действующие в стране законы, указы и другие нормативные акты, регламентирующие правила обращения с информацией и ответственность за их нарушения, препятствующие тем самым неправомерному ее использованию и являющиеся сдерживающим фактором для потенциальных нарушителей; МОРАЛЬНО-ЭТИЧЕСКИЕ МЕРЫ ЗАЩИТЫ ИНФОРМАЦИИ - традиционно сложившиеся в стране или обществе нормы поведения и правила обращения с информацией. Эти нормы большей частью не являются обязательными, как законодательно утвержденные нормы, однако, их несоблюдение ведет обычно к падению авторитета, престижа человека, группы лиц или организации. Морально- этические нормы бывают как неписаные (например, общепризнанные нормы честности, патриотизма и т.п.), так и писаные, то есть оформленные в некоторый свод (устав) правил или предписаний; ОРГАНИЗАЦИОННЫЕ (АДМИНИСТРАТИВНЫЕ) МЕРЫ ЗАЩИТЫ - это меры, регламентирующие процессы функционирования системы обработки данных, использование ее ресурсов, деятельность персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности циркулирующей в ней информации; ФИЗИЧЕСКИЕ МЕРЫ ЗАЩИТЫ - это разного рода механические, электро- или электронно-механические устройства и сооружения, специально предназначенные для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам КИС и защищаемой информации, а также технические средства визуального наблюдения, связи и охранной сигнализации; ТЕХНИЧЕСКИЕ (АППАРАТНО-ПРОГРАММНЫЕ) СРЕДСТВА ЗАЩИТЫ - различные электронные устройства и специальные программы, входящие в состав КИС, которые выполняют (самостоятельно или в комплексе с другими средствами) функции защиты информации (идентификацию и аутентификацию пользователей, разграничение доступа к ресурсам, регистрацию событий, криптографическое закрытие информации и т.д.); АДМИНИСТРАТОР БЕЗОПАСНОСТИ - лицо или группа лиц, ответственных за обеспечение безопасности системы, за реализацию и непрерывность соблюдения установленных административных мер защиты и осуществляющих постоянную организационную поддержку функционирования применяемых физических и технических средств защиты; Секретная информация - речевая информация, информация, циркулирующая в средствах вычислительной техники и связи, телекоммуникациях, а также другие информационные ресурсы, содержащие сведения, отнесенные к государственной тайне, представленные в виде информативных акустических и электрических сигналов, физических полей, материальных носителей (в том числе на магнитной и оптической основе), информационных массивов и баз данных. Защищаемые объекты информатизации: . средства и системы информатизации (средства вычислительной техники, автоматизированные системы различного уровня и назначения на базе средств вычислительной техники, в том числе информационно-вычислительные комплексы, сети и системы связи и передачи данных), технические средства приема, передачи и обработки информации (телефонии, звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео-, смысловой и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), используемые для обработки секретной информации; . технические средства и системы, не обрабатывающие непосредственно секретную информацию, но размещенные в помещениях, где обрабатывается (циркулирует) секретная информация; . выделенные помещения, предназначенные для ведения секретных переговоров или в которых размещены средства закрытой телефонной связи; Выделенные помещения - помещения (служебные кабинеты, актовые залы, конференцзалы и т.д.), специально предназначенные для проведения закрытых мероприятий (совещаний, обсуждений, конференций, переговоров и т.п.) по секретным вопросам, а также помещения, оборудованные средствами правительственной связи, иных видов специальной связи; Контролируемая зона - это пространство, в котором исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового допуска, и посторонних транспортных средств. Границей КЗ могут являться: . периметр охраняемой территории предприятия (учреждения); . ограждающие конструкции охраняемого здания, охраняемой части здания, выделенного помещения.