Комплексная система защиты информации

По мнению специалистов, проблема безопасности представляет собой как управленческую, так и техническую задачу и может оказы­вать значительное влияние на прогресс или регресс в использовании компьютерной техники и компьютерных технологий.

Защита осуществляется различными способами. Это может быть и физическая охрана, осуществляемая охранными предприятиями, и тех­ническая защита с использованием специализированных средств и ком­плексов (например, защита от побочных электромагнитных излучений или от высокочастотных излучений). Защита конфиденциальной ин­формации от несанкционированного доступа выполняется с использо­ванием средств шифрования (лицензируется Федеральным агентством правительственной связи и информации - ФАПСИ) и без их примене­ния (лицензируется Государственной технической комиссией - ГТК).

Важно правильно выбрать средства защиты информации, исходя из принципа "необходимой достаточности". Для этого надо реально оценить возможности конкурентов, разработать модель действий на­рушителя, создать концепцию обеспечения безопасности предприятия.

Комплекс требований (рис. 4.1) к системе обеспечения информаци­онной безопасности (СОИБ) разрабатывается в соответствии с нацио­нальными и международными стандартами, например с учетом реко­мендаций международного стандарта ISO 15408 "Общие критерии оценки безопасности информационных технологий".

Рис. 4.1.Структура комплекса требований по информационной безопасности

В зависимости от начальных целей система информационной безо­пасности может развиваться как по направлению обеспечения базового уровня защищенности, так и по принципу обеспечения повышенных требований защиты информации. При построении системы информаци­онной безопасности обязателен всесторонний подход, обеспечивающий предупреждение реализаций возможных угроз информационной безо­пасности. Это предполагает решение следующих задач.

1. В структуре подразделения, обеспечивающего безопасность предприятия в целом, должно быть специализированное инженер­но-техническое подразделение по информационной безопасности. Штатное расписание этого подразделения должно предусматривать привлечение специалистов высокой квалификации в области инфор­мационных технологий и современных систем связи.

2. Подразделение по информационной безопасности, изучив структуры, характеристики и точки уязвимости информационных систем и сетей связи, должно определить предварительную политику информационной безопасности, которая в дальнейшем должна быть закреплена официальными внутренними нормативными документа­ми предприятия, предпроектными и проектными разработками по созданию системы информационной безопасности.

Международный стандарт ISO 17799 "Практические правила управления информационной безопасностью" задает определенную последовательность действий по созданию СОИБ (рис. 4.2).

Рис. 4.2.Этапы создания СОИБ

Все этапы разработок, апробации и практического внедрения за­щитных технологий должны сопровождаться мероприятиями по обу­чению персонала, разъяснению политики информационной безопас­ности, изданию соответствующих нормативных документов для ад­министраторов сетей и систем, программистов, пользователей.

Защита конфиденциальной информации в организации осуществ­ляется путем проведения организационных, организационно-технических, инженерно-технических, программно-аппаратных и правовых мероприятий.

Организационные мероприятия предусматривают:

§ формирование и обеспечение функционирования системы информационной безопасности;

§ организацию делопроизводства в соответствии с требованиями руководящих документов;

§ использование для обработки информации защищенных систем и средств информатизации, а также применение технических и про­граммных средств защиты, сертифицированных в установленном порядке;

§ возможность использования информационных систем для под­готовки документов конфиденциального характера только на учтен­ных установленным порядком съемных магнитных носителях и толь­ко при отключенных внешних линиях связи;

§ организацию контроля за действиями персонала при проведе­нии работ на объектах защиты организации;

§ обучение персонала работе со служебной (конфиденциальной) информацией и др.

Основными организационно-техническими мероприятиями по защите информации являются:

§ экспертиза деятельности организации в области защиты ин­формации;

§ аттестация объектов по выполнению требований обеспечения защиты информации при проведении работ со сведениями, состав­ляющими служебную тайну;

§ сертификация средств защиты информации и контроля за ее эффективностью, систем и средств информатизации и связи в части защищенности информации от утечки по техническим каналам связи;

§ обеспечение условий защиты информации при подготовке и реализации международных договоров и соглашений;

§ создание и применение информационных и автоматизирован­ных систем управления в защищенном исполнении;

§ разработка и внедрение технических решений и элементов за­щиты информации при проектировании, строительстве (реконструк­ции) и эксплуатации объектов, систем и средств информатизации и связи;

§ разработка средств защиты информации и контроля за эффек­тивностью их использования;

§ применение специальных методов, технических мер и средств защиты информации, исключающих перехват информации, переда­ваемой по каналам связи.

Для предотвращения угрозы утечки информации по техническим каналам проводятся следующие инженерно-технические мероприятия:

§ предотвращение перехвата техническими средствами инфор­мации, передаваемой по каналам связи;

§ выявление возможно внедренных на объекты и в технические средства электронных устройств перехвата информации (закладных устройств);

§ предотвращение утечки информации за счет побочных электро­магнитных излучений и наводок, создаваемых функционирующими техническими средствами, электроакустических преобразований и др.

Программные (программно-аппаратные) мероприятия по предотвращению утечки информации предусматривают:

§ исключение несанкционированного доступа к информации;

§ предотвращение специальных воздействий, вызывающих раз­рушение, уничтожение, искажение информации или сбои в работе средств информатизации;

§ выявление внедренных программных или аппаратных "закладок";

§ исключение перехвата информации техническими средствами;

§ применение средств и способов защиты информации и контроля эффективности при обработке, хранении и передаче по каналам связи.

Правовые мероприятия - создание в организации нормативной правовой базы по информационной безопасности - предусматривают разработку на основе законодательных актов Российской Федерации необходимых руководящих и нормативно-методических документов, перечней охраняемых сведений, мер ответственности лиц, нарушив­ших установленный порядок работы с конфиденциальной информа­цией, и т.д.

Перечень необходимых мер защиты конфиденциальной инфор­мации должен определяться дифференцированно в зависимости от конкретного объекта защиты информации и условий его расположе­ния. Компания Ernst&Young рекомендует комплекс мероприятий по обеспечению информационной безопасности организации:

§ подписание договора о неразглашении служащими, поставщи­ками и нанятыми по контракту работниками;

§ регулярное создание резервных копий информации, хранящей­ся на мобильных компьютерах;

§ регламентацию правил загрузки информации в мобильные компьютеры и правил использования информации;

§ запрещение пользователям оставлять на рабочих местах па­мятки, содержащие идентификаторы и пароли доступа в корпоратив­ную сеть;

§ запрещение оставлять на корпусах мобильных компьютеров памятки, содержащие идентификаторы и пароли, применяемые для удаленного доступа;

§ запрещение использовать доступ к Интернету в личных целях;

§ обязательное для всех применение пароля на загрузку компью­теров;

§ создание классификации всех данных по категориям важности и усиление контроля над ограничением доступа в соответствии с ней;

§ предотвращение доступа ко всем компьютерным системам по окончании рабочего дня;

§ введение правила использования паролей доступа к файлам, содержащим секретную, конфиденциальную или ответственную ин­формацию.

В результате созданная система обеспечения информационной безопасности должна обеспечить:

§ пресечение и выявление попыток несанкционированного полу­чения информации и доступа к управлению автоматизированной сис­темой;

§ пресечение и выявление попыток несанкционированной моди­фикации информации;

§ пресечение и выявление попыток уничтожения или подмены (фальсификации) информации;

§ пресечение и выявление попыток несанкционированного рас­пространения или нарушения информационной безопасности;

§ ликвидацию последствий успешной реализации угроз инфор­мационной безопасности;

§ выявление и нейтрализацию проявившихся и потенциально возможных дестабилизирующих факторов и каналов утечки инфор­мации;

§ определение лиц, виновных в проявлении дестабилизирующих факторов и возникновении каналов утечки информации, и привлече­ние их к ответственности определенного вида (уголовной или адми­нистративной).