Відмінності між версіями «Рекомендації щодо структури та змісту Плану захисту інформації в автоматизованій системі»
| Рядок 97: | Рядок 97: | ||
*персонал і користувачі забезпечені достатньо повним комплектом документації стосовно порядку забезпечення захисту інформації;<br> | *персонал і користувачі забезпечені достатньо повним комплектом документації стосовно порядку забезпечення захисту інформації;<br> | ||
*всі критичні з точки зору безпеки інформації технології (функції) АС мають відповідні плани забезпечення неперервної роботи та її поновлення у разі виникнення непередбачених ситуацій;<br> | *всі критичні з точки зору безпеки інформації технології (функції) АС мають відповідні плани забезпечення неперервної роботи та її поновлення у разі виникнення непередбачених ситуацій;<br> | ||
| − | *враховані вимоги всіх документів, які регламентують порядок захисту інформації в АС | + | *враховані вимоги всіх документів, які регламентують порядок захисту інформації в АС, та забезпечується їхнє суворе дотримання.<br> |
| + | |||
| + | Політика безпеки розробляється на підготовчому етапі (НД ТЗІ 3.7-001-99) створення КСЗІ. Методологія розроблення політики безпеки включає в себе наступні роботи:<br> | ||
| + | *розробка концепції безпеки інформації в АС;<br> | ||
| + | *аналіз ризиків;<br> | ||
| + | *визначення вимог до заходів, методів та засобів захисту;<br> | ||
| + | *вибір основних рішень з забезпечення безпеки інформації;<br> | ||
| + | *організація виконання відновлювальних робіт і забезпечення неперервного функціонування АС;<br> | ||
| + | *документальне оформлення політики безпеки.<br> | ||
| + | |||
| + | Політика безпеки, яку реалізує КСЗІ для захисту інформації від потенційних внутрішніх та зовнішніх загроз, має охоплювати такі об'єкти захисту:<br> | ||
| + | *відомості (незалежно від виду їхнього подання), що належать до інформації з обмеженим доступом (ІзОД) або інші види інформації, що підлягає захисту, яку обробляють в АС (на паперових, магнітних, оптичних та інших носіях);<br> | ||
| + | *інформаційні масиви і бази даних, програмне забезпечення та інші інформаційні ресурси;<br> | ||
| + | *обладнання АС та інші матеріальні ресурси, зокрема технічні засоби та системи, що не задіяні в обробленні (ІзОД), але розташовані в контрольованій зоні, носії інформації, процеси і технології її оброблення. До технічних областей, в яких необхідно захищати інформаційне та програмне забезпечення, належать робоча станція, комунікаційні канали (фізична мережа) та комутаційне обладнання, сервери, засоби для створення твердих копій даних, накопичувачі інформації;<br> | ||
| + | *засоби і системи фізичної охорони матеріальних та інформаційних ресурсів, організаційні заходи захисту користувачів (персонал) АС, власників інформації та АС, а також їхні права.<br> | ||
| + | |||
| + | Безпеку інформації в АС забезпечують шляхом: | ||
| + | організації та впровадження системи допуску співробітників (користувачів) до інформації, яка потребує захисту; | ||
| + | *організації обліку, зберігання, обігу інформації, яка потребує захисту, та її носіїв; | ||
| + | *організації та координації робіт із захисту інформації, яка обробляється та передається засобами АС; | ||
| + | *здійснення контролю за забезпеченням захисту інформації, яку обробляють засоби АС, і за збереженням конфіденційних документів (носіїв). | ||
Версія за 18:54, 16 квітня 2011
 |
Презентація доповіді на тему Рекомендації щодо структури та змісту Плану захисту інформації в автоматизованій системі є розміщеною в Репозиторії. |
Діяльність СЗІ спирається на План захисту інформації. Рекомендації щодо структури та змісту Плану захисту інформації надано в документі «Методичні вказівки щодо структури та змісту Плану захисту інформації в системі», у додатку до НД ТЗІ 1.4-001-2000.
План захисту інформації в АС (далі План захисту) — це набір документів, згідно з якими організують захист інформації протягом життєвого циклу АС. В окремих випадках план захисту може бути подано в одному документі.
Зміст
Завдання захисту інформації в АС
До завдань захисту інформації в АС належать такі:
- ефективне знешкодження (попереджання) загроз ресурсам АС шляхом комплексного впровадження правових, морально-етичних, фізичних, організаційних, технічних та інших заходів забезпечення безпеки;
- забезпечення визначених політикою безпеки властивостей інформації (конфіденційності, цілісності, доступності) під час створення та експлуатації АС;
- своєчасне виявлення та знешкодження загроз ресурсам АС, причин та умов виникнення порушень функціонування АС та її розвитку;
- створення механізму та умов оперативного реагування на загрози безпеці інформації, інші прояви негативних тенденцій у функціонуванні АС;
- управління засобами захисту інформації, доступом користувачів до ресурсів АС, контроль за їхньою роботою з боку персоналу СЗІ, оперативне сповіщення про спроби НСД до ресурсів АС;
- реєстрація, збирання, зберігання, оброблення даних про всі події в системі, пов'язані з безпекою інформації;
- створення умов для максимально можливого відшкодування та локалізації збитків, що завдають неправомірні (несанкціоновані) дії фізичних та юридичних осіб, вплив зовнішнього середовища та інші чинники, а також зменшення негативного впливу наслідків порушення безпеки на функціонування АС.
Класифікація інформації, що обробляється в АС
Всі дані в АС класифікують за режимом доступу, правовим режимом, а також за типом їх подання.
За режимом доступу інформацію в АС поділяють на відкриту та з обмеженим доступом.
Відкриту інформацію, у свою чергу, поділяють на таку, що не потребує захисту або захист якої забезпечувати недоцільно, і таку, що потрібно захищати (наприклад, її цілісність і доступність).
Інформація з обмеженим доступом — це важлива для особи, організації, суспільства чи держави інформація (відповідно до Концепції технічного захисту інформації в Україні), порушення конфіденційності якої може призвести до моральних чи матеріальних збитків.
За правовим режимом інформацію з обмеженим доступом поділяють на таємну та конфіденційну.
До таємної інформації належить така, що містить відомості, які становлять державну чи іншу, передбачену законом, таємницю. Інформацію, що становить державну таємницю, у свою чергу, поділяють на категорії згідно із Законом України «Про державну таємницю».
Правила доступу до конфіденційної інформації, володіти, користуватися чи розпоряджатися якою можуть окремі фізичні, юридичні особи або держава, встановлює її власник. Якщо інформація становить велику цінність для її власника, то втрата або передавання такої інформації іншим особам може завдати організації (власнику) великої шкоди. З метою встановлення ПРД до конфіденційної інформації її слід класифікувати, поділивши на категорії з урахуванням цінності даних.
Для встановлення правил взаємодії активних і пасивних об'єктів автоматизованої системи інформацію класифікують за типом її подання в АС (для кожної з визначених категорій встановлюють типи пасивних об'єктів комп'ютерної системи, якими вона може бути представлена).
Опис компонентів АС і технології оброблення інформації
Перш ніж складати опис компонентів АС, необхідно провести їх інвентаризацію і визначити всі активні та пасивні об'єкти, що беруть участь у технологічному процесі оброблення та впливають на безпеку інформації. Для кожного активного об'єкта АС потрібно визначити перелік пасивних об'єктів, які з ним взаємодіють.
Інвентаризації підлягають такі об'єкти:
- обладнання — комп'ютерні системи та їх компоненти (процесори, монітори, термінали, робочі станції тощо), периферійні пристрої;
- програмне забезпечення (вихідні, завантажувальні модулі, утиліти, СКБД, операційні системи, діагностичні, тестові програми тощо);
- дані тимчасового і постійного зберігання (інформація на магнітних носіях, друковані, архівні та резервні копії, системні журнали, технічна, експлуатаційна і розпорядча документація тощо);
- персонал і користувачі АС.
Окрім компонентів АС до опису долучають технології оброблення інформації, що потребує захисту, тобто способи і методи застосування засобів обчислювальної техніки під час здійснення функцій збирання, зберігання, оброблення,передавання і використання даних або алгоритмів окремих процедур. Опис (системи і окремих компонентів) може бути неформальним або формальним.
Для відображення інформаційної взаємодії між основними компонентами АС(завданнями, об'єктами) доцільно розробити схему інформаційних потоків, указавши для кожного елемента схеми категорію інформації та визначені політикою
безпеки рівні доступу до неї.
Загрози для інформації в АС
Основою для проведення аналізу ризиків і формування вимог до КСЗІ є розробка моделі загроз для інформації та моделі порушника.
Для створення моделі загроз необхідно скласти перелік суттєвих загроз, описати методи і способи їхнього здійснення.
Необхідно визначити, якими з можливих способів можуть здійснюватися загрози в АС:
- технічними каналами, що включають канали побічних електромагнітних випромінювань і наводок, акустичні, оптичні, радіо- та радіотехнічні, хімічні та інші канали;
- каналами спеціального впливу шляхом формування полів і сигналів з метою руйнування системи захисту або порушення цілісності інформації;
- несанкціонованим доступом шляхом підключення до апаратури та ліній зв’язку, маскування під зареєстрованого користувача, подолання заходів захисту з метою використання інформації або нав’язування хибної інформації, застосування закладних пристроїв чи програм та вкорінення комп’ютерних вірусів.
Загрози для інформації, що обробляється в АС, залежать від характеристик ОС, фізичного середовища, персоналу, технологій обробки та інших чинників і можуть мати об'єктивну або суб'єктивну природу. Загрози, що мають суб'єктивну природу, поділяються на випадкові (ненавмисні) та навмисні. Мають бути визначені основні види загроз для безпеки інформації, які можуть бути реалізовані стосовно АС і повинні враховуватись у моделі загроз.
Необхідно визначити перелік можливих загроз і класифікувати їх за результатом впливу на інформацію, тобто на порушення яких властивостей вони спрямовані (конфіденційності, цілісності та доступності інформації), а також порушення спостережності та керованості АС.
Випадковими загрозами суб’єктивної природи (дії, які здійснюються персоналом або користувачами по неуважності, недбалості, незнанню тощо, але без навмисного наміру).
Навмисними загрозами суб’єктивної природи, спрямованими на дезорганізацію роботи АС (окремих компонентів) або виведення її з ладу, проникнення в систему і одержання можливості несанкціонованого доступу до її ресурсів.
Перелік суттєвих загроз має бути максимально повним і деталізованим.
У кожному конкретному випадку, виходячи з технології обробки інформації, необхідно розробити модель порушника, яка повинна бути адекватна реальному порушнику для даної АС.
Політика безпеки інформації в АС
Під політикою безпеки інформації слід розуміти набір вимог, правил, обмежень, рекомендацій і т. ін., які регламентують порядок обробки інформації і спрямовані на захист інформації від певних загроз. Термін "політика безпеки" може бути застосовано щодо АС, окремого її компонента, послуги захисту, що реалізується системою і т. ін. Політика безпеки інформації в АС є частиною загальної політики безпеки організації і повинна успадковувати основні її принципи.
Під час розробки політики безпеки повинні бути враховані технологія обробки інформації, моделі порушників і загроз, особливості ОС, фізичного середовища та інші чинники. В АС може бути реалізовано декілька різних політик безпеки, які істотно відрізняються.
Як складові частини загальної політики безпеки в АС мають існувати політики забезпечення конфіденційності, цілісності, доступності оброблюваної інформації.
Політика безпеки повинна стосуватись: інформації (рівня критичності ресурсів АС), взаємодії об’єктів (правил, відповідальності за захист інформації, гарантій захисту), області застосування (яких складових компонентів АС політика безпеки стосується, а яких – ні).
Політика безпеки має бути розроблена таким чином, що б вона не потребувала частої модифікації (потреба частої зміни вказує на надмірну конкретизацію, наприклад, не завжди доцільно вказувати конкретну назву чи версію програмного продукту).
Політика безпеки повинна передбачати використання всіх можливих заходів захисту інформації, як-то: правові та морально-етичні норми, організаційні (адміністративні), фізичні, технічні (апаратні і програмні) заходи і визначати правила та порядок застосування в АС кожного з цих видів.
Політика безпеки повинна базуватися на наступних основних принципах:
- системності;
- комплексності;
- неперервності захисту;
- достатності механізмів і заходів захисту та їхньої адекватності загрозам;
- гнучкості керування системою захисту, простоти і зручності її використання;
- відкритості алгоритмів і механізмів захисту, якщо інше не передбачено окремо.
Політика безпеки повинна доказово давати гарантії того, що:
- в АС (в кожній окремій складовій частині, в кожному функціональному завданні і т. ін.) забезпечується адекватність рівня захисту інформації рівню її критичності;
- реалізація заходів захисту інформації є рентабельною;
- в будь-якому середовищі функціонування АС забезпечується оцінюваність і перевіряємість захищеності інформації;
- забезпечується персоніфікація положень політики безпеки (стосовно суб’єктів АС), звітність (реєстрація, аудит) для всіх критичних з точки зору безпеки ресурсів, до яких здійснюється доступ в процесі функціонування АС;
- персонал і користувачі забезпечені достатньо повним комплектом документації стосовно порядку забезпечення захисту інформації;
- всі критичні з точки зору безпеки інформації технології (функції) АС мають відповідні плани забезпечення неперервної роботи та її поновлення у разі виникнення непередбачених ситуацій;
- враховані вимоги всіх документів, які регламентують порядок захисту інформації в АС, та забезпечується їхнє суворе дотримання.
Політика безпеки розробляється на підготовчому етапі (НД ТЗІ 3.7-001-99) створення КСЗІ. Методологія розроблення політики безпеки включає в себе наступні роботи:
- розробка концепції безпеки інформації в АС;
- аналіз ризиків;
- визначення вимог до заходів, методів та засобів захисту;
- вибір основних рішень з забезпечення безпеки інформації;
- організація виконання відновлювальних робіт і забезпечення неперервного функціонування АС;
- документальне оформлення політики безпеки.
Політика безпеки, яку реалізує КСЗІ для захисту інформації від потенційних внутрішніх та зовнішніх загроз, має охоплювати такі об'єкти захисту:
- відомості (незалежно від виду їхнього подання), що належать до інформації з обмеженим доступом (ІзОД) або інші види інформації, що підлягає захисту, яку обробляють в АС (на паперових, магнітних, оптичних та інших носіях);
- інформаційні масиви і бази даних, програмне забезпечення та інші інформаційні ресурси;
- обладнання АС та інші матеріальні ресурси, зокрема технічні засоби та системи, що не задіяні в обробленні (ІзОД), але розташовані в контрольованій зоні, носії інформації, процеси і технології її оброблення. До технічних областей, в яких необхідно захищати інформаційне та програмне забезпечення, належать робоча станція, комунікаційні канали (фізична мережа) та комутаційне обладнання, сервери, засоби для створення твердих копій даних, накопичувачі інформації;
- засоби і системи фізичної охорони матеріальних та інформаційних ресурсів, організаційні заходи захисту користувачів (персонал) АС, власників інформації та АС, а також їхні права.
Безпеку інформації в АС забезпечують шляхом: організації та впровадження системи допуску співробітників (користувачів) до інформації, яка потребує захисту;
- організації обліку, зберігання, обігу інформації, яка потребує захисту, та її носіїв;
- організації та координації робіт із захисту інформації, яка обробляється та передається засобами АС;
- здійснення контролю за забезпеченням захисту інформації, яку обробляють засоби АС, і за збереженням конфіденційних документів (носіїв).
