Журнал "Директор по безопасности" Февраль 2020 | Page 17

ЕСТЬ РЕШЕНИЕ Практика реализации организационных и технических мер по защите информации при подготовке автоматизированной (информационной) системы к аттестации ЕВГЕНИЙ ВОРОБЬЕВ, cтарший консультант по информационной безопасности, АО «Кросс технолоджис» Тел.: +7 (495) 741-88-64 E-mail: [email protected] В настоящее время развитие ин- формационных технологий стре- мительно растет. Архитектура информационных систем, построен- ных на современных информацион- ных технологиях, обрабатывающих информацию, становится все слож- нее. Вместе с этим растет и количество угроз, оказывающих влияние на основ- ные свойства безопасности информа- ции как конфиденциальность, целост- ность и доступность. Для того, чтобы противостоять угрозам информационной безопас- ности система защиты информации должна обладать высокой эффектив- ностью. Дать оценку эффективности можно путем проведения аттестаци- онных испытаний на соответствие тре- бования безопасности информации. Под аттестацией объектов ин- форматизации понимается ком- плекс организационно-технических мероприятий, в результате кото- рых посредством специального до- кумента – «Аттестата соответствия» подтверждается, что объект соответ- ствует требованиям стандартов или иных нормативно-технических доку- ментов по безопасности информа- ции, утвержденных регулирующими органами в области информацион- ной безопасности в Российской Феде- рации. Таким образом подтверждает- ся эффективность системы защиты и соответствие требуемому уровню без- опасности информации объекта ин- форматизации в реальных условиях эксплуатации. Наличие аттестата со- ответствия дает право обработки ин- формации на период времени, уста- новленного в аттестате соответствия. Под объектом информатизации подразумевается совокупность инфор- мационных ресурсов, средств и систем обработки информации, использу- емых в соответствии с заданной ин- формационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначен- ных для ведения конфиденциальных переговоров 1 . В роли объекта информатизации могут выступать: автоматизированная система на базе автономного рабочего места (АРМ) или локально вычислительной сети (ЛВС); средство изготовления или раз- множения документов; информационные системы; помещения для ведения конфи- денциальных переговоров. Аттестация бывает обязательной и добровольной. Обязательной аттеста- ции подлежат: государственные информацион- ные системы; информационные системы обра- батывающие сведения содержащие го- сударственную тайну; информационные системы управления экологически опасными объектами; объекты информатизации, пред- назначенные для ведения конфиден- циальных и секретных переговоров. Добровольная аттестация, как и было сказано раньше, это подтверж- дение эффективности системы за- щиты информации, но при наличии юридически закрепленного согласия с владельцем объекта, выполнять тре- бования положения по аттестации, федеральных законов и норматив- но-правовых актов. Эффективность системы защиты зависит от того, какие меры защиты информации и какими способами бу- дут реализованы на объекте инфор- матизации. Прежде чем реализовать организа- ционные и технические меры защиты информации в ИС, нужно понять три основных аспекта, это – «Что защища- ем?», «Зачем защищаем?» и «Как за- щищаем?», ведь компьютер среднеста- тистического сотрудника компании с установленным на нем World of Tanks или Warcraft защищать незачем. Ответы на эти вопросы мы получа- ем на этапе создания системы защиты информации автоматизированной или информационной системы (АС/ИС). Создание системы защиты инфор- мации происходит в три стадии: пред- проектная стадия, стадия проектиро- вания и стадия ввода в эксплуатацию. Предпроектная стадия На предпроектной стадии создания си- стемы защиты информации проходит обследование ИС, разработка обосно- вания необходимости создания систе- мы защиты, разрабатывается техниче- ское задание. На этапе обследования устанавли- вается необходимость обработки ин- формации, определяется перечень сведений, подлежащих защите, опреде- ляются границы контролируемой зоны 2 . Определяются требования к АС/ИС и, следовательно, базовый набор органи- зационно-технических мер по защите информации. Происходит анализ струк- турно-функциональных характеристик АС/ИС, анализ и описание потенциаль- ного нарушителя, анализ угроз безопас- ности, определяется класс АС/ИС. Важным аспектом здесь является модель угроз безопасности, ведь имея необходимый базовый набор мер для защищаемого объекта информатиза- ции, нужно понять каких из этих мер будет достаточно для реализации за- щиты, какие меры следует исключить, а какие меры следует усилить. Модель угроз безопасности – это документ, описывающий возможные угрозы безопасности конфиденциаль- ной информации, другими словами – итогом модели угроз будет опреде- ление актуальных угроз безопасности для объекта информатизации. В рамках разработки модели угроз решаются такие задачи как: анализ угроз безопасности; описание потенциальных наруши- телей; анализ возможных уязвимостей; описание способов реализации угроз; описание последствий от наруше- ний свойств безопасности информации. Говоря о модели угроз, нельзя не упомянуть о модели нарушителя. Мо- дель нарушителя позволяет опреде- лить нарушителя и его потенциал. Нарушители делятся на два вида – внутреннего и внешнего, т. е. действу- ющего внутри контролируемой зоны или за ее пределами. Возможности каждого вида наруши- теля по реализации угроз безопасно- сти информации характеризуются его потенциалом. Потенциал нарушителя определяется компетентностью, ре- сурсами и мотивацией, требуемыми для реализации угроз безопасности информации в информационной си- стеме с заданными структурно-функ- циональными характеристиками и особенностями функционирования. В зависимости от потенциала, тре- буемого для реализации угроз безо- пасности информации, нарушители подразделяются на: нарушителей, об- ладающих базовым (низким) потен- циалом нападения при реализации угроз безопасности информации в ин- формационной системе; нарушителей, обладающих базовым повышенным (средним) потенциалом нападения при реализации угроз безопасности инфор- мации в информационной системе; нарушителей, обладающих высоким по- тенциалом нападения при реализации угроз безопасности информации в ин- формационной системе. Тип и потенциал нарушителя позво- ляет идентифицировать угрозы безо- пасности. Заключительным этапом пред- проектной стадии будет являться тех- ническое задание, в котором будут определены требования для системы защиты информации объекта инфор- матизации. Стадия проектирования На стадии проектирования системы выполняется разработка техническо- го проекта, разработка организацион- но-технических мероприятий по защите информации на основе предъявленных требований, осуществляется закупка средств защиты информации, разра- батываются необходимая документа- ция на объект информатизации. В ходе данных работ будут определены каким способом будут реализованы организа- ционно-технические меры. Меры по защите информации делят- ся на организационные и технические. Организационные меры – это меры, регламентирующие процессы функционирования ИС, использование ее ресурсов, деятельность персонала, а также порядок взаимодействия поль- зователей с системой таким образом, чтобы в наибольшей степени затруд- нить или исключить возможность реа- лизации угроз безопасности, циркули- рующей в ней информации. Технические меры – это меры, ос- нованные на использовании техниче- ских средств и специальных программ, входящих в состав ИС и выполняющих функции защиты. Для примера разберем реализацию некоторых организационно-техниче- ских мер для государственной инфор- мационной системы (ГИС) 3-го класса защищенности. Регулирующими нормативно-пра- вовыми актами (НПА) для нас бу- дет Приказ № 17 от 11.02.13 г. «Об утверждении требований о защите информации, не составляющей госу- дарственную тайну, содержащейся в государственных информационных системах» и методический документ «Меры защиты информации в госу- дарственных информационных систе- мах» от 11.02.13 г. Одной из обязательных мер для ГИС 3-го класса защищенности являет- ся реализация методов, типов и пра- вил разграничения доступа (УПД.2) 3 . В усиление этой меры должны быть реализованы правила разграничения доступа к техническим средствам, вну- тренним и внешним устройствам и т. д. Так как данную меру полностью не реализовать штатными средствами операционной системы, способом ре- ализации является применение сред- ства защиты информации от несанк- ционированного доступа (СЗИ от НСД), которое своей функциональностью за- крывает необходимое требование. Другой обязательной мерой явля- ется реализация антивирусной защиты (АВЗ.1). Способом реализации данной меры является внедрение средства ан- тивирусной защиты (САЗ). ЗСВ.1 – защита среды виртуализа- ции, также является обязательной ме- рой для нашего примера. В данном требовании должна выполняться иден- тификация и аутентификация субъек- тов доступа и объектов доступа в вир- туальной инфраструктуре, в том числе администраторов управления сред- ствами виртуализации. Предположим, что в результате обследовании струк- турно-функциональной схемы ГИС, технологии виртуализации выявлены не были, вследствие чего эта мера не применима. Отличным примером можно при- вести меру ЗТС.1, а точнее – обеспе- чение защиты информации, обраба- тываемой техническими средствами, от ее утечки по техническим каналам. Требование не является обязатель- ным, но его применение зависит от актуальных угроз. Допустим, в нашем случае, по результатам модели угроз было установлено, что угрозы, свя- занные с утечкой информации по тех- ническим каналам являются неакту- альными. В связи с этим применение данного требования нецелесообразно. Для примера реализации органи- зационной меры рассмотрим ЗТС.2 (защита технических средств). Методи- ческие документы говорят нам от том, что должна быть организована кон- тролируемая зона, в пределах которой постоянно размещаются стационарные технические средства, обрабатываю- щие информацию, и средства защиты информации, а также средства обе- спечения функционирования. Решени- ем для выполнения требования будет «Приказ о контролируемой зоне». Приведенные выше примеры, это всего лишь малый процент от коли- чества необходимых для реализации мер для обеспечения защиты ГИС 3-го класса. Хотелось бы добавить еще пару важных моментов в отношении выбо- ра средств защиты информации (СЗИ) для приведенного выше примера. При выборе программных и (или) программно-аппаратных средств за- щиты информации главным акцентом является наличие сертификата соот- ветствия, потому что в ГИС применя- ются средства защиты информации, сертифицированные на соответствие обязательным требованиям по без- опасности информации, установ- ленным ФСТЭК России, или на соот- ветствие требованиям, указанным в технических условиях. При этом функ- ции безопасности таких средств долж- ны обеспечивать выполнение требова- ний применяемым к ГИС. В сертификате соответствия СЗИ должны быть указаны требования, на соответствие которым проводилась сертификация, а также где может при- меняться данное средство защиты ин- формации. Заключительной стадией создания системы защиты является стадия ввода в эксплуатацию. Стадия ввода в эксплуатацию На стадии ввода в эксплуатацию объек- та информатизации и системы защиты информации осуществляются выпол- нение мероприятий, предусмотрен- ных техническим проектом, такие как: монтаж технических средств, установ- ка и настройка СЗИ, а также проводит- ся опытная эксплуатация в комплексе с другими техническими и программ- ными средствами в целях проверки их работоспособности в составе объекта информатизации. По завершении ввода в эксплу- атацию СЗИ проводится аттестация объекта информатизации (ОИ) по требованиям безопасности, что явля- ется процедурой официального под- тверждения эффективности комплек- са реализованных на объекте мер и средств защиты информации. Подводя итоги, можно сказать, что реализация организационно-техни- ческих мер защиты информации при подготовке объекта к аттестации явля- ется сложной задачей, требующей тща- тельного анализа информационной системы. Используемые информаци- онные технологии, распределенность и сложность информационных систем, наличие уязвимостей в системном и прикладном программном обеспече- нии оказывает влияние на подход и анализ не только существующих тре- бований регуляторов, но и заставляет применять дополнительные организа- ционные, технические и комплексные меры, направленные на то, чтобы обе- спечивалась конфиденциальность, це- лостность и доступность информации для ее владельца. ГОСТ Р 51275-2006. Защита информации. Объ- ект информатизации. Факторы, воздействую- щие на информацию. Общие положения. 1 2 Контролируемая зона – пространство (тер- ритория, здание, часть здания), в котором ис- ключено неконтролируемое пребывание со- трудников и посетителей организации, а также транспортных средств, технических и иных материальных средств (РД 21-02-2006 Типовая инструкция о защите информации в автомати- зированных средствах центрального аппарата, территориальных органов и организаций феде- ральной службы по экологическому, технологи- ческому и атомному надзору). Условное обозначение меры в 17 Приказе ФСТЭК России. 3 Организационные меры – это меры, регламентирующие процессы функционирования ИС, использование ее ресурсов деятельность персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности