Создание комплексной системы защиты конфиденциальной информации


1. Введение
При создании комплексной системы защиты конфиденциальной информации необходимо защищать информацию во всех фазах ее существования - документальной (бумажные документы, микрофильмы и т.п.), электронной, содержащейся и обрабатываемой в автоматизированных системах (АС) и отдельных средствах вычислительной техники (СВТ), включая персонал, который ее обрабатывает - всю информационную инфраструктуру. При этом защищать информацию необходимо не только от несанкционированного доступа (НСД) к ней, но и от неправомерного вмешательства в процесс ее обработки, хранения и передачи на всех фазах, нарушения работоспособности АС и СВТ, воздействия на персонал и т.п. Обобщая, можно сказать, что информационная структура должна быть защищена от любых несанкционированных действий. Защищать необходимо все компоненты информационной структуры предприятия - документы, сети связи, персонал и т.д.

Целью работы должно являться построение комплексной системы защиты конфиденциальной информации (далее по тексту КСЗИ). Это предполагает необходимость использования, создания и разработки совокупности методологических, организационных и технических элементов КСЗИ, взаимообусловленных и взаимоувязанных, и базируется на использовании методологии построения комплексной системы защиты конфиденциальной информации. Методологические, организационные и технические компоненты КСЗИ разрабатываются и создаются в рамках трех параллельных направлений работ - методическом, организационном и техническом.

Методология есть совокупность способов и приемов рассмотрения вопросов информационной безопасности и методов их решения в целях построения комплексной системы информационной безопасности. Она дает возможность в рамках единого подхода использовать согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существенные каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов.

Методология построения комплексной системы защиты конфиденциальной информации описывает основные методы и принципы решения следующих вопросов:
Обеспечение комплексной безопасности;
Компоненты комплексной системы защиты информации;
Направления работ по созданию комплексной системы информационной безопасности;
Основные принципы построения системы комплексной информационной безопасности:
принцип равномощности (комплексности);
принцип непрерывности защиты;
разумная достаточность;
гибкость системы защиты;
принцип независимости стойкости СЗИ от раскрытия информации о механизмах ее использования;
принцип простоты применения.
Основные организационно-методические мероприятия по созданию и поддержанию функционирования комплексной системы защиты:
создание службы обеспечения конфиденциальности (СОК);
перечень основных нормативных и организационно-распорядительных документов, необходимых для организации комплексной системы защиты информации.
Рекомендации по методологии построения матрицы конфиденциальности:
определение объектов и субъектов информационных потоков;
определение характеристик и признаков объектов и субъектов информационных потоков (матрицы конфиденциальности);
построение правил разграничения доступа субъектов к объектам информационных потоков на основании матрицы конфиденциальности.
Методика оценки рисков:
методика анализа угроз конфиденциальной информации и построения неформальной модели нарушителя;
методика определения общих требований к защищенности автоматизированной системы:
классификационные требования Гостехкомиссии России к защищенности от НСД средств вычислительной техники и автоматизированных систем;
классификационные требования ФАПСИ к системам защиты информации;
основные механизмы защиты компьютерных систем от проникновения с целью дезорганизации их работы и несанкционированного доступа к информации.
Методика определения уровня ЗИ в соответствии с РД ФАПСИ и ГТК.
2. Методическое направление работ по созданию КСЗИ
В рамках методического направления должна быть разработана концепция (политика) безопасности.

Мероприятия по созданию систем защиты конфиденциальной информации, реализуемые вне единого комплекса мер, прописанных в рамках концепции политики безопасности, бесперспективны с точки зрения ожидаемой отдачи по решению проблем безопасности. Под концепцией понимается взаимоувязанный комплекс организационно-технических мер, методологических указаний, регламентов, комплектов форм типовых документов и т.д., решающих задачи защиты конфиденциальной информации.

Концепция (Политика) безопасности
- документ, в котором:
применяется методика определения и описания информационных потоков, описанная в методологии, представляющая собой формальное и точное описание работы с информацией в подразделениях Заказчика, с учетом их изменении со временем, определены критерии, по которым принимается решение о появлении или прекращении конкретного информационного потока;
анализируются, описываются и фиксируются информационные потоки, существующие при работе с информацией Заказчика на текущий момент;
определяются для каждого информационного потока фазы существования информации (например, бумажный документ, электронный документ, запись в базе данных);
определяются категории конфиденциальной информации Заказчика, разрабатывается классификация информации по категориям конфиденциальности;
проводится категорирование информации по категориям и фазам, создана матрица конфиденциальности;
определяются возможные пути разглашения конфиденциальной информации (модель угроз);
для каждой угрозы и атаки определяется модель нарушителя, в которой определяется:
профессиональный круг лиц, к которому принадлежит нарушитель;
мотивация нарушителя (цели нарушителя);
впредполагаемая квалификация нарушителя;
предполагаемые ограничения на действия и характер возможных действий нарушителя.
определяются уровни риска для всей матрицы конфиденциальности, вероятности реализации каждой атаки, стоимость ущерба при каждой атаке и усредненные вероятные величины убытков (риски);
определяются порядок изменения Концепции безопасности и Регламента обеспечения безопасности.
3. Организационное направление работ по созданию КСЗИ
В рамках организационного направления работ создается организационная компонента КСЗИ - совокупность правил (руководящих документов) и технических средств, регламентирующих деятельность сотрудников при обращении с информацией независимо от форм ее представления.

Включает в себя разработку регламента обеспечения безопасности, применение методологии при работе с персоналом Заказчика, при создании СОК, обучение и консультации сотрудников СОК, работы по уточнению требований к характеристикам защищенности системы, анализ информационной структуры Заказчика, разнесение субъектов и объектов информационных отношений по категориям конфиденциальности, определение допустимых формы их взаимодействий и т.д.

Регламент обеспечения безопасности
- комплект документов, регламентирующий правила обращения с конфиденциальной информацией в зависимости от фазы ее обработки и категории конфиденциальности. В регламенте должен быть определен комплекс методических, административных и технических мер, включающих в себя:
создание подразделения, ответственного за обеспечение конфиденциальности информации (СОК);
определение порядка допуска сотрудников к конфиденциальной информации;
определение обязанностей, ограничений и условий, накладываемых на сотрудников, допущенных к конфиденциальной информации;
установление категории конфиденциальности информации; определение категории конфиденциальности работ, проводимых Заказчиком и информации, содержащейся в документах, связанных с работами; порядок изменения категории конфиденциальности работ и информации;
требования к помещениям, в которых проводятся конфиденциальные работы и обрабатывается конфиденциальная информация, по категориям;
требования к конфиденциальному делопроизводству;
требования к учету, хранению и обращению с конфиденциальными документами;
меры по контролю за обеспечением конфиденциальности работ и информации;
план мероприятий по противодействию атаке на конфиденциальную информацию (действия, которые надо предпринимать в случае обнаружения разглашения информации с целью пресечения процесса разглашения/утечки информации);
план мероприятий по восстановлению конфиденциальности информации (действия, которые надо предпринимать после пресечения процесса разглашения/утечки информации);
определение ответственности за разглашение конфиденциальной информации.
Для Регламента обеспечения безопасности должны быть разработаны следующие документы:

Общие документы
Инструкция по обеспечению режима конфиденциальности на предприятии.
Требования к пропускному и внутриобъектовому режиму.
Общие требования к системе разграничения доступа в помещения (СРД).
Регламент взаимодействия Службы обеспечения конфиденциальности и Службы безопасности.
Документы по работе с кадрами
Инструкция по работе с кадрами, подлежащими допуску к конфиденциальной информации.
Требования к лицам, оформляемым на должность, требующую допуска к конфиденциальной информации.
Документы по защите АС и СВТ
Режим конфиденциальности при обработке конфиденциальной информации с применением средств вычислительной техники.
Определение требований к защищенности Автоматизированной системы.
Концепция безопасности Автоматизированной системы (АС).
Анализ существующей АС.
Документы определяют работу комплексной системы защиты информации:
в штатном режиме;
изменения в штатном режиме работы;
нештатный режим (аварийные ситуации).
4. Техническое направление работ по созданию КСЗИ
Техническая компонента КСЗИ - комплекс технических средств и технологий защиты информации (ЗИ) при ее обработке, хранении и передаче, включая криптографические средства. Техническая компонента создается в рамках технического направления работ. При реализации технического направления проводится сбор исходных данных для разработки технических предложений по оснащенности автоматизированной системы (АС) обработки, хранения и передачи информации средствами ЗИ, позволяющими реализовать требуемый уровень защищенности.

АС является составляющей информационной системы предприятия, поэтому подготовка технических предложений хронологически следует за разработкой общей концепции КСЗИ.

Подготовка технических решений проблемы соответствия параметров Автоматизированной Системы установленным требованиям защищенности (определяются в Концепции безопасности) возможна в двух направлениях:
Разработка АС "с нуля" с учетом требований защищенности;
Встраивание механизмов защиты в существующую АС посредством наложения некоторого набора аппаратно-программных средств ЗИ, имеющих сертификаты ГТК и ФАПСИ.
Выбор направления предполагает взвешенный анализ сопоставимости результата объемам инвестиций в построение системы, проводимый в соответствии с методикой оценки рисков, описанной в Методологии построения комплексной системы защиты конфиденциальной информации.

http://securitywiki.ru/HomePage

Обновлено: 11.03.2015