Журнал "Директор по безопасности" Февраль 2020 | Page 17
ЕСТЬ РЕШЕНИЕ
Практика реализации
организационных
и технических мер
по защите информации
при подготовке
автоматизированной
(информационной)
системы к аттестации
ЕВГЕНИЙ ВОРОБЬЕВ,
cтарший консультант по информационной
безопасности, АО «Кросс технолоджис»
Тел.: +7 (495) 741-88-64
E-mail: [email protected]
В
настоящее время развитие ин-
формационных технологий стре-
мительно растет. Архитектура
информационных систем, построен-
ных на современных информацион-
ных технологиях, обрабатывающих
информацию, становится все слож-
нее. Вместе с этим растет и количество
угроз, оказывающих влияние на основ-
ные свойства безопасности информа-
ции как конфиденциальность, целост-
ность и доступность.
Для того, чтобы противостоять
угрозам информационной безопас-
ности система защиты информации
должна обладать высокой эффектив-
ностью. Дать оценку эффективности
можно путем проведения аттестаци-
онных испытаний на соответствие тре-
бования безопасности информации.
Под аттестацией объектов ин-
форматизации понимается ком-
плекс организационно-технических
мероприятий, в результате кото-
рых посредством специального до-
кумента – «Аттестата соответствия»
подтверждается, что объект соответ-
ствует требованиям стандартов или
иных нормативно-технических доку-
ментов по безопасности информа-
ции, утвержденных регулирующими
органами в области информацион-
ной безопасности в Российской Феде-
рации. Таким образом подтверждает-
ся эффективность системы защиты и
соответствие требуемому уровню без-
опасности информации объекта ин-
форматизации в реальных условиях
эксплуатации. Наличие аттестата со-
ответствия дает право обработки ин-
формации на период времени, уста-
новленного в аттестате соответствия.
Под объектом информатизации
подразумевается совокупность инфор-
мационных ресурсов, средств и систем
обработки информации, использу-
емых в соответствии с заданной ин-
формационной технологией, а также
средств их обеспечения, помещений
или объектов (зданий, сооружений,
технических средств), в которых эти
средства и системы установлены, или
помещений и объектов, предназначен-
ных для ведения конфиденциальных
переговоров 1 .
В роли объекта информатизации
могут выступать:
автоматизированная система на
базе автономного рабочего места
(АРМ) или локально вычислительной
сети (ЛВС);
средство изготовления или раз-
множения документов;
информационные системы;
помещения для ведения конфи-
денциальных переговоров.
Аттестация бывает обязательной и
добровольной. Обязательной аттеста-
ции подлежат:
государственные информацион-
ные системы;
информационные системы обра-
батывающие сведения содержащие го-
сударственную тайну;
информационные системы
управления экологически опасными
объектами;
объекты информатизации, пред-
назначенные для ведения конфиден-
циальных и секретных переговоров.
Добровольная аттестация, как и
было сказано раньше, это подтверж-
дение эффективности системы за-
щиты информации, но при наличии
юридически закрепленного согласия с
владельцем объекта, выполнять тре-
бования положения по аттестации,
федеральных законов и норматив-
но-правовых актов.
Эффективность системы защиты
зависит от того, какие меры защиты
информации и какими способами бу-
дут реализованы на объекте инфор-
матизации.
Прежде чем реализовать организа-
ционные и технические меры защиты
информации в ИС, нужно понять три
основных аспекта, это – «Что защища-
ем?», «Зачем защищаем?» и «Как за-
щищаем?», ведь компьютер среднеста-
тистического сотрудника компании с
установленным на нем World of Tanks
или Warcraft защищать незачем.
Ответы на эти вопросы мы получа-
ем на этапе создания системы защиты
информации автоматизированной или
информационной системы (АС/ИС).
Создание системы защиты инфор-
мации происходит в три стадии: пред-
проектная стадия, стадия проектиро-
вания и стадия ввода в эксплуатацию.
Предпроектная стадия
На предпроектной стадии создания си-
стемы защиты информации проходит
обследование ИС, разработка обосно-
вания необходимости создания систе-
мы защиты, разрабатывается техниче-
ское задание.
На этапе обследования устанавли-
вается необходимость обработки ин-
формации, определяется перечень
сведений, подлежащих защите, опреде-
ляются границы контролируемой зоны 2 .
Определяются требования к АС/ИС и,
следовательно, базовый набор органи-
зационно-технических мер по защите
информации. Происходит анализ струк-
турно-функциональных характеристик
АС/ИС, анализ и описание потенциаль-
ного нарушителя, анализ угроз безопас-
ности, определяется класс АС/ИС.
Важным аспектом здесь является
модель угроз безопасности, ведь имея
необходимый базовый набор мер для
защищаемого объекта информатиза-
ции, нужно понять каких из этих мер
будет достаточно для реализации за-
щиты, какие меры следует исключить,
а какие меры следует усилить.
Модель угроз безопасности – это
документ, описывающий возможные
угрозы безопасности конфиденциаль-
ной информации, другими словами –
итогом модели угроз будет опреде-
ление актуальных угроз безопасности
для объекта информатизации.
В рамках разработки модели угроз
решаются такие задачи как:
анализ угроз безопасности;
описание потенциальных наруши-
телей;
анализ возможных уязвимостей;
описание способов реализации
угроз;
описание последствий от наруше-
ний свойств безопасности информации.
Говоря о модели угроз, нельзя не
упомянуть о модели нарушителя. Мо-
дель нарушителя позволяет опреде-
лить нарушителя и его потенциал.
Нарушители делятся на два вида –
внутреннего и внешнего, т. е. действу-
ющего внутри контролируемой зоны
или за ее пределами.
Возможности каждого вида наруши-
теля по реализации угроз безопасно-
сти информации характеризуются его
потенциалом. Потенциал нарушителя
определяется компетентностью, ре-
сурсами и мотивацией, требуемыми
для реализации угроз безопасности
информации в информационной си-
стеме с заданными структурно-функ-
циональными характеристиками и
особенностями функционирования.
В зависимости от потенциала, тре-
буемого для реализации угроз безо-
пасности информации, нарушители
подразделяются на: нарушителей, об-
ладающих базовым (низким) потен-
циалом нападения при реализации
угроз безопасности информации в ин-
формационной системе; нарушителей,
обладающих базовым повышенным
(средним) потенциалом нападения при
реализации угроз безопасности инфор-
мации в информационной системе;
нарушителей, обладающих высоким по-
тенциалом нападения при реализации
угроз безопасности информации в ин-
формационной системе.
Тип и потенциал нарушителя позво-
ляет идентифицировать угрозы безо-
пасности.
Заключительным этапом пред-
проектной стадии будет являться тех-
ническое задание, в котором будут
определены требования для системы
защиты информации объекта инфор-
матизации.
Стадия проектирования
На стадии проектирования системы
выполняется разработка техническо-
го проекта, разработка организацион-
но-технических мероприятий по защите
информации на основе предъявленных
требований, осуществляется закупка
средств защиты информации, разра-
батываются необходимая документа-
ция на объект информатизации. В ходе
данных работ будут определены каким
способом будут реализованы организа-
ционно-технические меры.
Меры по защите информации делят-
ся на организационные и технические.
Организационные меры – это
меры, регламентирующие процессы
функционирования ИС, использование
ее ресурсов, деятельность персонала,
а также порядок взаимодействия поль-
зователей с системой таким образом,
чтобы в наибольшей степени затруд-
нить или исключить возможность реа-
лизации угроз безопасности, циркули-
рующей в ней информации.
Технические меры – это меры, ос-
нованные на использовании техниче-
ских средств и специальных программ,
входящих в состав ИС и выполняющих
функции защиты.
Для примера разберем реализацию
некоторых организационно-техниче-
ских мер для государственной инфор-
мационной системы (ГИС) 3-го класса
защищенности.
Регулирующими нормативно-пра-
вовыми актами (НПА) для нас бу-
дет Приказ № 17 от 11.02.13 г. «Об
утверждении требований о защите
информации, не составляющей госу-
дарственную тайну, содержащейся в
государственных информационных
системах» и методический документ
«Меры защиты информации в госу-
дарственных информационных систе-
мах» от 11.02.13 г.
Одной из обязательных мер для
ГИС 3-го класса защищенности являет-
ся реализация методов, типов и пра-
вил разграничения доступа (УПД.2) 3 .
В усиление этой меры должны быть
реализованы правила разграничения
доступа к техническим средствам, вну-
тренним и внешним устройствам и т.
д. Так как данную меру полностью не
реализовать штатными средствами
операционной системы, способом ре-
ализации является применение сред-
ства защиты информации от несанк-
ционированного доступа (СЗИ от НСД),
которое своей функциональностью за-
крывает необходимое требование.
Другой обязательной мерой явля-
ется реализация антивирусной защиты
(АВЗ.1). Способом реализации данной
меры является внедрение средства ан-
тивирусной защиты (САЗ).
ЗСВ.1 – защита среды виртуализа-
ции, также является обязательной ме-
рой для нашего примера. В данном
требовании должна выполняться иден-
тификация и аутентификация субъек-
тов доступа и объектов доступа в вир-
туальной инфраструктуре, в том числе
администраторов управления сред-
ствами виртуализации. Предположим,
что в результате обследовании струк-
турно-функциональной схемы ГИС,
технологии виртуализации выявлены
не были, вследствие чего эта мера не
применима.
Отличным примером можно при-
вести меру ЗТС.1, а точнее – обеспе-
чение защиты информации, обраба-
тываемой техническими средствами,
от ее утечки по техническим каналам.
Требование не является обязатель-
ным, но его применение зависит от
актуальных угроз. Допустим, в нашем
случае, по результатам модели угроз
было установлено, что угрозы, свя-
занные с утечкой информации по тех-
ническим каналам являются неакту-
альными. В связи с этим применение
данного требования нецелесообразно.
Для примера реализации органи-
зационной меры рассмотрим ЗТС.2
(защита технических средств). Методи-
ческие документы говорят нам от том,
что должна быть организована кон-
тролируемая зона, в пределах которой
постоянно размещаются стационарные
технические средства, обрабатываю-
щие информацию, и средства защиты
информации, а также средства обе-
спечения функционирования. Решени-
ем для выполнения требования будет
«Приказ о контролируемой зоне».
Приведенные выше примеры, это
всего лишь малый процент от коли-
чества необходимых для реализации
мер для обеспечения защиты ГИС
3-го класса.
Хотелось бы добавить еще пару
важных моментов в отношении выбо-
ра средств защиты информации (СЗИ)
для приведенного выше примера.
При выборе программных и (или)
программно-аппаратных средств за-
щиты информации главным акцентом
является наличие сертификата соот-
ветствия, потому что в ГИС применя-
ются средства защиты информации,
сертифицированные на соответствие
обязательным требованиям по без-
опасности информации, установ-
ленным ФСТЭК России, или на соот-
ветствие требованиям, указанным в
технических условиях. При этом функ-
ции безопасности таких средств долж-
ны обеспечивать выполнение требова-
ний применяемым к ГИС.
В сертификате соответствия СЗИ
должны быть указаны требования, на
соответствие которым проводилась
сертификация, а также где может при-
меняться данное средство защиты ин-
формации.
Заключительной стадией создания
системы защиты является стадия ввода
в эксплуатацию.
Стадия ввода в эксплуатацию
На стадии ввода в эксплуатацию объек-
та информатизации и системы защиты
информации осуществляются выпол-
нение мероприятий, предусмотрен-
ных техническим проектом, такие как:
монтаж технических средств, установ-
ка и настройка СЗИ, а также проводит-
ся опытная эксплуатация в комплексе
с другими техническими и программ-
ными средствами в целях проверки их
работоспособности в составе объекта
информатизации.
По завершении ввода в эксплу-
атацию СЗИ проводится аттестация
объекта информатизации (ОИ) по
требованиям безопасности, что явля-
ется процедурой официального под-
тверждения эффективности комплек-
са реализованных на объекте мер и
средств защиты информации.
Подводя итоги, можно сказать, что
реализация организационно-техни-
ческих мер защиты информации при
подготовке объекта к аттестации явля-
ется сложной задачей, требующей тща-
тельного анализа информационной
системы. Используемые информаци-
онные технологии, распределенность
и сложность информационных систем,
наличие уязвимостей в системном и
прикладном программном обеспече-
нии оказывает влияние на подход и
анализ не только существующих тре-
бований регуляторов, но и заставляет
применять дополнительные организа-
ционные, технические и комплексные
меры, направленные на то, чтобы обе-
спечивалась конфиденциальность, це-
лостность и доступность информации
для ее владельца.
ГОСТ Р 51275-2006. Защита информации. Объ-
ект информатизации. Факторы, воздействую-
щие на информацию. Общие положения.
1
2 Контролируемая зона – пространство (тер-
ритория, здание, часть здания), в котором ис-
ключено неконтролируемое пребывание со-
трудников и посетителей организации, а также
транспортных средств, технических и иных
материальных средств (РД 21-02-2006 Типовая
инструкция о защите информации в автомати-
зированных средствах центрального аппарата,
территориальных органов и организаций феде-
ральной службы по экологическому, технологи-
ческому и атомному надзору).
Условное обозначение меры в 17 Приказе
ФСТЭК России.
3
Организационные меры –
это меры, регламентирующие
процессы функционирования
ИС, использование ее ресурсов
деятельность персонала,
а также порядок
взаимодействия
пользователей с системой
таким образом, чтобы
в наибольшей степени
затруднить или исключить
возможность реализации
угроз безопасности