Рекомендації щодо структури та змісту Плану захисту інформації в автоматизованій системі

Blue check.png Дана стаття являється неперевіреним навчальним завданням.
Студент: Чура Н. Я.
Викладач: Назаревич О. Б.
Термін до: 18 березня 2011

До вказаного терміну стаття не повинна редагуватися іншими учасниками проекту. Після завершення терміну виконання будь-який учасник може вільно редагувати дану статтю і витерти дане попередження, що вводиться за допомогою шаблону.


Прізвище Чура
Ім'я Наталя
По-батькові Ярославівна
Факультет ФІС
Група СН-41
Залікова книжка ПК-07-031
Репозиторія
Презентація доповіді на тему http://elartu.tntu.edu.ua/handle/123456789/1582 Рекомендації щодо структури та змісту Плану захисту інформації в автоматизованій системі
є розміщеною в Репозиторії.

Діяльність СЗІ спирається на План захисту інформації. Рекомендації щодо структури та змісту Плану захисту інформації надано в документі «Методичні вказівки щодо структури та змісту Плану захисту інформації в системі», у додатку до НД ТЗІ 1.4-001-2000 .

План захисту інформації в автоматизованій системі (далі План захисту) — це набір документів, згідно з якими організують захист інформації протягом життєвого циклу АС. В окремих випадках план захисту може бути подано в одному документі.

Завдання захисту інформації в АС

До завдань захисту інформації в АС належать такі:[1]

  • ефективне знешкодження (попереджання) загроз ресурсам АС шляхом комплексного впровадження правових, морально-етичних, фізичних, організаційних, технічних та інших заходів забезпечення безпеки;
  • забезпечення визначених політикою безпеки властивостей інформації (конфіденційності, цілісності, доступності) під час створення та експлуатації АС;
  • своєчасне виявлення та знешкодження загроз ресурсам АС, причин та умов виникнення порушень функціонування АС та її розвитку;
  • створення механізму та умов оперативного реагування на загрози безпеці інформації, інші прояви негативних тенденцій у функціонуванні АС;
  • управління засобами захисту інформації, доступом користувачів до ресурсів АС, контроль за їхньою роботою з боку персоналу СЗІ, оперативне сповіщення про спроби НСД до ресурсів АС;
  • реєстрація, збирання, зберігання, оброблення даних про всі події в системі, пов'язані з безпекою інформації;
  • створення умов для максимально можливого відшкодування та локалізації збитків, що завдають неправомірні (несанкціоновані) дії фізичних та юридичних осіб, вплив зовнішнього середовища та інші чинники, а також зменшення негативного впливу наслідків порушення безпеки на функціонування АС.

Класифікація інформації, що обробляється в АС

Всі дані в АС класифікують за режимом доступу, правовим режимом, а також за типом їх подання.

За режимом доступу інформацію в АС поділяють на відкриту та з обмеженим доступом.

Відкриту інформацію, у свою чергу, поділяють на таку, що не потребує захисту або захист якої забезпечувати недоцільно, і таку, що потрібно захищати (наприклад, її цілісність і доступність).

Інформація з обмеженим доступом — це важлива для особи, організації, суспільства чи держави інформація (відповідно до Концепції технічного захисту інформації в Україні), порушення конфіденційності якої може призвести до моральних чи матеріальних збитків.

За правовим режимом інформацію з обмеженим доступом поділяють на таємну та конфіденційну.

До таємної інформації належить така, що містить відомості, які становлять державну чи іншу, передбачену законом, таємницю. Інформацію, що становить державну таємницю, у свою чергу, поділяють на категорії згідно із Законом України «Про державну таємницю».

Правила доступу до конфіденційної інформації, володіти, користуватися чи розпоряджатися якою можуть окремі фізичні, юридичні особи або держава, встановлює її власник. Якщо інформація становить велику цінність для її власника, то втрата або передавання такої інформації іншим особам може завдати організації (власнику) великої шкоди. З метою встановлення ПРД до конфіденційної інформації її слід класифікувати, поділивши на категорії з урахуванням цінності даних.

Для встановлення правил взаємодії активних і пасивних об'єктів автоматизованої системи інформацію класифікують за типом її подання в АС (для кожної з визначених категорій встановлюють типи пасивних об'єктів комп'ютерної системи, якими вона може бути представлена).

Опис компонентів АС і технології оброблення інформації

Перш ніж складати опис компонентів АС, необхідно провести їх інвентаризацію і визначити всі активні та пасивні об'єкти, що беруть участь у технологічному процесі оброблення та впливають на безпеку інформації. Для кожного активного об'єкта АС потрібно визначити перелік пасивних об'єктів, які з ним взаємодіють.
Інвентаризації підлягають такі об'єкти:

  • обладнання — комп'ютерні системи та їх компоненти (процесори, монітори, термінали, робочі станції тощо), периферійні пристрої;
  • програмне забезпечення (вихідні, завантажувальні модулі, утиліти, СКБД, операційні системи, діагностичні, тестові програми тощо);
  • дані тимчасового і постійного зберігання (інформація на магнітних носіях, друковані, архівні та резервні копії, системні журнали, технічна, експлуатаційна і розпорядча документація тощо);
  • персонал і користувачі АС.

Окрім компонентів АС до опису долучають технології оброблення інформації, що потребує захисту, тобто способи і методи застосування засобів обчислювальної техніки під час здійснення функцій збирання, зберігання, оброблення,передавання і використання даних або алгоритмів окремих процедур. Опис (системи і окремих компонентів) може бути неформальним або формальним.
Для відображення інформаційної взаємодії між основними компонентами АС(завданнями, об'єктами) доцільно розробити схему інформаційних потоків, указавши для кожного елемента схеми категорію інформації та визначені політикою безпеки рівні доступу до неї.

Загрози для інформації в АС

Основою для проведення аналізу ризиків і формування вимог до КСЗІ є розробка моделі загроз для інформації та моделі порушника.

Для створення моделі загроз необхідно скласти перелік суттєвих загроз, описати методи і способи їхнього здійснення.

Необхідно визначити, якими з можливих способів можуть здійснюватися загрози в АС:

  • технічними каналами, що включають канали побічних електромагнітних випромінювань і наводок, акустичні, оптичні, радіо- та радіотехнічні, хімічні та інші канали;
  • каналами спеціального впливу шляхом формування полів і сигналів з метою руйнування системи захисту або порушення цілісності інформації;
  • несанкціонованим доступом шляхом підключення до апаратури та ліній зв’язку, маскування під зареєстрованого користувача, подолання заходів захисту з метою використання інформації або нав’язування хибної інформації, застосування закладних пристроїв чи програм та вкорінення комп’ютерних вірусів.

Загрози для інформації, що обробляється в АС, залежать від характеристик ОС, фізичного середовища, персоналу, технологій обробки та інших чинників і можуть мати об'єктивну або суб'єктивну природу. Загрози, що мають суб'єктивну природу, поділяються на випадкові (ненавмисні) та навмисні. Мають бути визначені основні види загроз для безпеки інформації, які можуть бути реалізовані стосовно АС і повинні враховуватись у моделі загроз.

Необхідно визначити перелік можливих загроз і класифікувати їх за результатом впливу на інформацію, тобто на порушення яких властивостей вони спрямовані (конфіденційності, цілісності та доступності інформації), а також порушення спостережності та керованості АС.

Випадковими загрозами суб’єктивної природи (дії, які здійснюються персоналом або користувачами по неуважності, недбалості, незнанню тощо, але без навмисного наміру).

Навмисними загрозами суб’єктивної природи, спрямованими на дезорганізацію роботи АС (окремих компонентів) або виведення її з ладу, проникнення в систему і одержання можливості несанкціонованого доступу до її ресурсів.

Перелік суттєвих загроз має бути максимально повним і деталізованим.

У кожному конкретному випадку, виходячи з технології обробки інформації, необхідно розробити модель порушника, яка повинна бути адекватна реальному порушнику для даної АС.

Політика безпеки інформації в АС

Під політикою безпеки інформації слід розуміти набір вимог, правил, обмежень, рекомендацій і т. ін., які регламентують порядок обробки інформації і спрямовані на захист інформації від певних загроз. Термін "політика безпеки" може бути застосовано щодо АС, окремого її компонента, послуги захисту, що реалізується системою і т. ін. Політика безпеки інформації в АС є частиною загальної політики безпеки організації і повинна успадковувати основні її принципи.

Під час розробки політики безпеки повинні бути враховані технологія обробки інформації, моделі порушників і загроз, особливості ОС, фізичного середовища та інші чинники. В АС може бути реалізовано декілька різних політик безпеки, які істотно відрізняються.
Як складові частини загальної політики безпеки в АС мають існувати політики забезпечення конфіденційності, цілісності, доступності оброблюваної інформації. Політика безпеки повинна стосуватись: інформації (рівня критичності ресурсів АС), взаємодії об’єктів (правил, відповідальності за захист інформації, гарантій захисту), області застосування (яких складових компонентів АС політика безпеки стосується, а яких – ні).

Політика безпеки має бути розроблена таким чином, що б вона не потребувала частої модифікації (потреба частої зміни вказує на надмірну конкретизацію, наприклад, не завжди доцільно вказувати конкретну назву чи версію програмного продукту).
Політика безпеки повинна передбачати використання всіх можливих заходів захисту інформації, як-то: правові та морально-етичні норми, організаційні (адміністративні), фізичні, технічні (апаратні і програмні) заходи і визначати правила та порядок застосування в АС кожного з цих видів.

Політика безпеки повинна базуватися на наступних основних принципах:

  • системності;
  • комплексності;
  • неперервності захисту;
  • достатності механізмів і заходів захисту та їхньої адекватності загрозам;
  • гнучкості керування системою захисту, простоти і зручності її використання;
  • відкритості алгоритмів і механізмів захисту, якщо інше не передбачено окремо.

Політика безпеки повинна доказово давати гарантії того, що:

  • в АС (в кожній окремій складовій частині, в кожному функціональному завданні і т. ін.) забезпечується адекватність рівня захисту інформації рівню її критичності;
  • реалізація заходів захисту інформації є рентабельною;
  • в будь-якому середовищі функціонування АС забезпечується оцінюваність і перевіряємість захищеності інформації;
  • забезпечується персоніфікація положень політики безпеки (стосовно суб’єктів АС), звітність (реєстрація, аудит) для всіх критичних з точки зору безпеки ресурсів, до яких здійснюється доступ в процесі функціонування АС;
  • персонал і користувачі забезпечені достатньо повним комплектом документації стосовно порядку забезпечення захисту інформації;
  • всі критичні з точки зору безпеки інформації технології (функції) АС мають відповідні плани забезпечення неперервної роботи та її поновлення у разі виникнення непередбачених ситуацій;
  • враховані вимоги всіх документів, які регламентують порядок захисту інформації в АС, та забезпечується їхнє суворе дотримання.

Політика безпеки розробляється на підготовчому етапі (НД ТЗІ 3.7-001-99) створення КСЗІ. Методологія розроблення політики безпеки включає в себе наступні роботи:

  • розробка концепції безпеки інформації в АС;
  • аналіз ризиків;
  • визначення вимог до заходів, методів та засобів захисту;
  • вибір основних рішень з забезпечення безпеки інформації;
  • організація виконання відновлювальних робіт і забезпечення неперервного функціонування АС;
  • документальне оформлення політики безпеки.

Політика безпеки, яку реалізує КСЗІ для захисту інформації від потенційних внутрішніх та зовнішніх загроз, має охоплювати такі об'єкти захисту:

  • відомості (незалежно від виду їхнього подання), що належать до інформації з обмеженим доступом (ІзОД) або інші види інформації, що підлягає захисту, яку обробляють в АС (на паперових, магнітних, оптичних та інших носіях);
  • інформаційні масиви і бази даних, програмне забезпечення та інші інформаційні ресурси;
  • обладнання АС та інші матеріальні ресурси, зокрема технічні засоби та системи, що не задіяні в обробленні (ІзОД), але розташовані в контрольованій зоні, носії інформації, процеси і технології її оброблення. До технічних областей, в яких необхідно захищати інформаційне та програмне забезпечення, належать робоча станція, комунікаційні канали (фізична мережа) та комутаційне обладнання, сервери, засоби для створення твердих копій даних, накопичувачі інформації;
  • засоби і системи фізичної охорони матеріальних та інформаційних ресурсів, організаційні заходи захисту користувачів (персонал) АС, власників інформації та АС, а також їхні права.

Безпеку інформації в АС забезпечують шляхом:
організації та впровадження системи допуску співробітників (користувачів) до інформації, яка потребує захисту;

  • організації обліку, зберігання, обігу інформації, яка потребує захисту, та її носіїв;
  • організації та координації робіт із захисту інформації, яка обробляється та передається засобами АС;
  • здійснення контролю за забезпеченням захисту інформації, яку обробляють засоби АС, і за збереженням конфіденційних документів (носіїв).

Система документів із забезпечення захисту інформації в АС

На основі Плану захисту інформації в АС складають календарний план робіт із реалізації заходів захисту інформації в АС, який містить такі пункти:

  1. Організаційні заходи;
  2. контрольно-правові заходи;
  3. профілактичні заходи;
  4. інженерно-технічні заходи;
  5. робота з кадрами.

Організаційні заходи із захисту інформації — це комплекс адміністративних і обмежувальних заходів, спрямованих на оперативне виконання завдань захисту інформації шляхом регламентації діяльності персоналу і функціонування засобів (систем) забезпечення інформаційної діяльності та засобів (систем) забезпечення захисту інформації. До плану можуть бути долучені такі заходи:

  • розроблення документів (інструкцій, методик, правил, розпоряджень тощо) з різних напрямів захисту інформації в АС;
  • внесення змін і доповнень до чинних в АС документів з урахуванням змінення умов (обставин);
  • розроблення й впровадження нових організаційних заходів із захисту інформації;
  • обґрунтування необхідності застосування та впровадження нових засобів захисту інформації;
  • координація робіт з іншими підрозділами організації або зовнішніми організаціями на всіх етапах життєвого циклу АС;
  • перегляд результатів виконання затверджених заходів і робіт із захисту інформації.

До контрольно-правових заходів, зокрема, належать такі:

  • контроль за виконанням персоналом (користувачами) вимог відповідних інструкцій, розпоряджень і наказів;
  • контроль за виконанням заходів, розроблених за результатами попередніх перевірок;
  • контроль за станом зберігання й використання носіїв інформації на робочих місцях.

Профілактичні заходи спрямовані на формування у персоналу (користувачів) мотивів поведінки, які спонукають їх до безумовного виконання у повному обсязі вимог режиму, правил проведення робіт тощо, а також на формування відповідного морально-етичного стану в колективі.

До інженерно-технічних належать заходи, спрямовані на налагодження, випробування і введення в експлуатацію, супроводження і технічне обслуговування апаратних і програмних засобів захисту інформації від НСД, засобів захисту інформації від загроз її витоку технічними каналами, інженерне обладнання споруд і приміщень, в яких розміщено засоби оброблення інформації, зокрема й під час капітального будівництва тощо.

До плану робіт із кадрами потрібно долучати заходи з добирання й навчання персоналу (користувачів) встановленим правилам безпеки інформації, новим методам захисту інформації, а також із підвищення їхньої кваліфікації. Навчання можна здійснювати власними силами, із залученням спеціалістів із зовнішніх організацій або в інших організаціях. Навчання здійснюють згідно з програмою, затвердженою керівництвом організації (АС). Навчальні програми мають містити теоретичний і практичний курси. Доцільність цих програм і долучення до них окремих розділів визначається особливостями АС і використаними в ній технологіями захисту інформації, функціональними завданнями спеціалістів із навчальних груп та іншими чинники.

Список літературних джерел

  • Грайворонський М. В., Новіков О. М. Г14 Безпека інформаційно-комунікаційних систем. — К.: Видавнича група ВНУ, 2009. — 608 с.

Посилання