Системный подход к инженерно-технической защите информации.
Системный подход — это исследование объекта или процесса с помощью модели, называемой системой.
Этот подход предусматривает самый высокий уровень описания объекта исследования — системный. Самым низким уровнем является уровень описания параметров объекта — параметрический. Между ними располагаются структурный и функциональный уровни. Сущность системного подхода состоит в следующем: 1)совокупность сил и средств, обеспечивающих решение задачи, представляется в виде модели, называемой системой; 2)система описывается совокупностью параметров; 3)любая система рассматривается как подсистема более сложной системы, влияющей на структуру и функционирование рассматриваемой; 4)любая система имеет иерархическую структуру, элементами и связями которой нельзя пренебрегать без достаточных оснований; 5)при анализе системы необходим учет внешних и внутренних влияющих факторов, принятие решений на основе части из них без рассмотрения остальных может привести к неверным результатам; 6)свойства системы превышают сумму свойств ее элементов за счет качественно новых свойств, отсутствующих у ее элементов — системных свойств. Совокупность элементов образует систему, когда у них появляются общие цели. Если представить цели элементов в виде векторов, то векторы целей элементов простой совокупности (набора элементов) ориентированы произвольно. При сложении векторов результирующий вектор набора элементов не будет существенно отличаться от векторов элементов. Однако если векторы целей элементов ориентированы в одном направлении, то результирующий вектор будет существенно отличаться от векторов элементов. В этом случае набор элементов трансформируется в систему с дополнительными возможностями. Например, толпа людей на улице ведет себя спокойно до тех пор, пока не найдется оратор и не сблизит цели собравшихся людей. Толпа может преобразоваться временно в систему с ориентацией суммарного вектора целей как на добрые дела, так и на разрушение. Способность пламенных ораторов изменить ориентацию целей слушающих их людей и повести за собой писатели красиво назвали умением «зажечь сердца» людей. По этой же причине руководитель, назначенный или выбранный на высокий пост, собирает свою команду единомышленников, т. е. людей с одинаковой ориентацией векторов целей. Если это ему не удается, то результирующий вектор целей его аппарата возрастает несущественно, так как складываются лишь проекции целей, величина которых определяется лишь формальным выполнением сотрудниками аппарата своих функциональных обязанностей.
2. Определение причин и условий дестабилизирующего воздействия на информацию.
Реализация угроз приводит, в зависимости от их характера, к одной или нескольким формам проявления уязвимости информации. При этом каждой из форм проявления уязвимости присущи определенные, имеющие отношение только к ним угрозы с набором соответствующих компонентов, т. е. структура конкретной угрозы предопределяет конкретную форму. Типовая структура угроз, составляющая основу конкретных угроз должна базироваться на определенных признаках, характерных для угрозы защищаемой информации. Она включает в себя: 1)Сущностные проявления угрозы 2)Факторы (причины обстоятельства) угрозы 3)Условия для дестабилизирующего воздействия. Факторами, воздействующими на защищаемую информацию (дестабилизирующими факторами) будем называть такие явления, действия или процессы, результатом которых могут быть утечка, искажение, уничтожение защищаемой информации, блокирование доступа к ней [гост р 51275-99]. Вместе с тем факторы могут стать побудительной силой для явлений, а последние могут «сработать» лишь при наличии определенных условий (обстановки) для этого. Угроза защищаемой информации - это совокупность явлений, факторов и условий, создающим опасность нарушения статуса информации. Под причиной нарушения защищенности информации следует понимать совокупность условий и источников возникновения дестабилизирующих факторов. Поскольку виды и способы дестабилизирующего воздействия зависят от источников воздействия, то и причини обстоятельства (предпосылки) и условия должны быть привязаны к источникам воздействия. Применительно к людям причины, обстоятельства и условия в большинстве случаев увязаны еще и с характера воздействия — преднамеренным или непреднамеренным. К причинам, вызывающим преднамеренное дестабилизирующее воздействие, следует отнести: 1)стремление получить материальную выгоду; 2)стремление нанести вред; 3)стремление оказать бескорыстную услугу приятелю или конкурирующей фирмы; 4)стремление продвинуться по службе; 5)стремление показать свою значимость. К условиям, создающим возможность для дестабилизирующего воздействия, можно отнести: 1)недостаточность мер, принимаемых для ЗИ; 2)недостаточное внимание и контроль со стороны администрации вопросам ЗИ; 3)принятие решений по производственным вопросам без учета требований по ЗИ; 4)плохие отношения между сотрудниками и. Причинами непреднамеренного дестабилизирующего воздействия на информацию со стороны людей могут быть: 1)неквалифицированное выполнение операций; 2)халатность, безответственность, недисциплинированность, недобросовестное отношение работе; 3)небрежность, неаккуратность; 4)физическое недомогание. Условиями для реализации непреднамеренного воздействия могут быть: 1)отсутствие или низкое качество правил работы с защищаемой информацией; 2)недостаточный контроль со стороны администрации за соблюдением режима конфиденциальности; 3)недостаточное внимание со стороны администрации условиям работы. Причинами дестабилизирующего воздействия со стороны технических средств отображения, хранения, обработки, воспроизведения, передачи информации и средств связи могут быть: 1)недостаток или плохое качество средств; 2)низкое качество режима функционирования средств; 3)перегруженность средств; 4)низкое качество технологии выполнения работ; 5) воздействие на средства со стороны других источников воздействия. Условиями, являться: 1)недостаточное внимание к составу и качеству средств со стороны администрации; |2)нерегулярный профилактический осмотр средств; 3)низкое качество обслуживания средств
3. Порядок выделения и оборудование помещений службы защиты информации
В соответствии с ФЗ от 30.12.09 №384-ФЗ «Регламент о безопасности зданий и сооружений» и СТР-К (специальные требования и рекомендации по технической защите конфиденциальной информации – Гостех комиссия от2.3.01 №7.2)
В учреждении (предприятии) должен быть документально определен перечень защищаемых помещений (ЗП) и лиц, ответственных за их эксплуатацию в соответствии с установленными требованиями по защите информации, а также составлен технический паспорт на ЗП. Защищаемые помещения должны размещаться в пределах КЗ (контролируемой зоны). При этом рекомендуется размещать их на удалении от границ КЗ, обеспечивающем эффективную защиту, ограждающие конструкции (стены, полы, потолки) не должны являться смежными с помещениями других учреждений (предприятий). Не рекомендуется располагать ЗП на первых этажах зданий. Для исключения просмотра текстовой и графической конфиденциальной информации через окна помещения рекомендуется оборудовать их шторами (жалюзи).
Защищаемые помещения рекомендуется оснащать сертифицированными по требованиям безопасности информации ОТСС (основные технические средства и системы) и ВТСС (вспомогательные тех. средства и системы) либо средствами, прошедшими специальные исследования и имеющими предписание на эксплуатацию. Во время проведения конфиденциальных мероприятий запрещается использование в ЗП радиотелефонов, устройств сотовой, пейджинговой и т.д. связи, переносных магнитофонов и других средств аудио и видеозаписи. При установке в ЗП телефонных и факсимильных аппаратов с автоответчиком, а также аппаратов с автоматическим определителем номера, следует отключать их из сети на время проведения этих мероприятий. Для исключения возможности утечки информации за счет электроакустического преобразования рекомендуется использовать в ЗП в качестве устройств телефонной связи, имеющих прямой выход в городскую АТС, телефонные аппараты, прошедшие специальные исследования, либо оборудовать их сертифицированными средствами защиты информации от утечки за счет электроакустического преобразования. Системы пожарной и охранной сигнализации ЗП должны строиться только по проводной схеме сбора информации (связи с пультом) и, как правило, размещаться в пределах одной с ЗП контролируемой зоне. В качестве оконечных устройств пожарной и охранной сигнализации в ЗП рекомендуется использовать изделия, сертифицированные по требованиям безопасности информации, или образцы средств, прошедшие специальные исследования и имеющие предписание на эксплуатацию. Звукоизоляция ограждающих конструкций ЗП, их систем вентиляции и кондиционирования должна обеспечивать отсутствие возможности прослушивания ведущихся в нем разговоров из-за пределов ЗП. Проверка достаточности звукоизоляции осуществляется аттестационной комиссией путем подтверждения отсутствия возможности разборчивого прослушивания вне ЗП разговоров, ведущихся в нем. Для обеспечения необходимого уровня звукоизоляции помещений рекомендуется оборудование дверных проемов тамбурами с двойными дверями, установка дополнительных рам в оконных проемах, уплотнительных прокладок в дверных и оконных притворах и применение шумопоглотителей на выходах вентиляционных каналов. Для снижения вероятности перехвата информации по виброакустическому каналу следует организационно-режимными мерами исключить возможность установки посторонних (нештатных) предметов на внешней стороне ограждающих конструкций ЗП и выходящих из них инженерных коммуникаций (систем отопления, вентиляции, кондиционирования). Для снижения уровня виброакустического сигнала рекомендуется расположенные в ЗП элементы инженерно-технических систем отопления, вентиляции оборудовать звукоизолирующими экранами.
Билет 17
1. Процессный подход к построению систем менеджмента информационной безопасности организации.
(ISO/IEC 27001:2005(E)) Этот международный стандарт принимает процессный подход для создания, внедрения, эксплуатации, постоянного контроля, анализа, поддержания в рабочем состоянии и улучшения СМЗИ организации. Любой вид деятельности, использующий ресурсы и управляемый для того, чтобы дать возможность преобразования входов в выходы, можно считать процессом. Применение системы процессов в рамках организации, вместе с идентификацией и взаимодействием этих процессов, а также их управлением, может называться «процессный подход». Процессный подход к менеджменту защиты информации, представленный в данном международном стандарте, помогает пользователям подчеркнуть важность следующего: a) понимание требований защиты информации и потребности установить политику и цели для защиты информации организации; b) средства реализации и управления для менеджмента рисками организации, связанными с защитой информации, в контексте общих деловых рисков организации; c) постоянный контроль и анализ качества исполнения и результативности СМЗИ; d) непрерывное улучшение, основанное на объективном измерении. Этот международный стандарт принимает модель «Plan-Do-Check-Act» (PDCA1), которая применяется для структуризации всех процессов СМЗИ. На рисунке 1 показано, как СМЗИ берет в качестве входных данных требования защиты информации и ожидания заинтересованных сторон и посредством необходимых действий и процессов выдает результаты по защите информации, которые удовлетворяют этим требованиям и ожиданиям. На рисунке 1 также показаны связи и процессы, представленные в Разделах 4, 5, 6, 7 и 8. Рисунок 1 — Модель PDCA, примененная к процессам СМЗИ 1 цикл Шухарта-Деминга (планирование – осуществление – проверка – действие) Планирование (создайте СМЗИ) Установите политику, цели, процессы и процедуры, относящиеся к менеджменту рисков и улучшению защиты информации для выдачи результатов в соответствии с общей политикой и целями организации. Осуществление (внедрите и эксплуатируйте СМЗИ) Реализуйте и эксплуатируйте политику, средства управления, процессы и процедуры в области СМЗИ; Действие (постоянно контролируйте и анализируйте СМЗИ): Оценивайте и, где применимо, измеряйте показатели процессов по отношению к политике, целям и практическому опыту в области СМЗИ, доложите результаты руководству для анализа. Проверка (поддерживайте в рабочем состоянии и улучшайте СМЗИ) Осуществляйте корректирующие и предупреждающие действия, основанные на результатах внутреннего аудита СМЗИ и анализа со стороны руководства, или на другой значимой информации для того, чтобы достичь постоянного улучшения СМЗИ.