Смекни!
smekni.com

Данное пособие предназначено для специалистов системы Росстата, занимающихся внедрением и эксплуатацией информационных технологий сбора, обработки, хранения и (стр. 31 из 37)

Модель угроз (см. таблицу 1) содержит единые исходные данные по актуальным угрозам безопасности конфиденциальной информации для системы Росстата, связанным с несанкционированным, в том числе случайным, доступом с целью ознакомления, изменения, копирования, неправомерного распространения конфиденциальной информации или деструктивных воздействий на элементы ИВС Росстата и обрабатываемых в ней данных с целью уничтожения или блокирования основных уровней информационной инфраструктуры, на которых возможна реализация угроз безопасности:

- физический уровень;

- сетевой уровень;

- уровень сетевых приложений и сервисов;

- уровень операционных систем;

- уровень систем управления базами данных;

- уровень технологических процессов и приложений Росстата.

Таблица 1: Модель угроз ИВС Росстата

Модель действий нарушителя

Нарушитель - это лицо, которое предприняло попытку выполнения запрещенных действий по ошибке, незнанию или осознанно со злым умыслом или без такового и использующее для этого различные возможности, методы и средства.

По отношению к Росстату потенциальных нарушителей информационной безопасности можно условно разделить на внутренних и внешних.

К внутренним нарушителям относятся:

· сотрудники системы Росстата, действующие в рамках предоставленных полномочий;

· сотрудники системы Росстата, действующие вне рамок предоставленных полномочий.

К внешним нарушителям относятся:

· компьютерные злоумышленники, осуществляющие целенаправленное деструктивное воздействие;

· поставщики программно-технических средств, расходных материалов, услуг и т.п. и подрядчики, осуществляющие монтаж, пуско-наладочные работы оборудования и его ремонт.

Компетентность и техническая подготовка возможных нарушителей может быть самой различной от низкой квалификации до специалистов уровня программистов и системных администраторов.

Возможные варианты действий внутренних нарушителей режима информационной безопасности:

· непроизводственная активность сотрудников Росстата (пользователей), которая может выражаться в нецелевом использовании ресурсов Интернета и электронной почты, в самостоятельной установке и использовании неразрешенного программного обеспечения. Эти действия могут стать причиной и способствовать распространению компьютерных вирусов и вредоносных программ, что, в свою очередь, может привести к потере данных на рабочих станциях и серверах организации, несанкционированному доступу посторонних лиц к конфиденциальной информации;

· вход легального пользователя в компьютерную сеть с реквизитами другого пользователя может использоваться для выполнения запрещенных действий в ИВС Росстата или способствовать хищению информации;

· установка на компьютер, подключенный к ИВС Росстата, специального программного обеспечения позволяющего проводить исследование трафика сети и/или осуществлять атаки на ресурсы сети;

· нерегламентированное использование компьютеров сотрудниками Росстат, по роду своей деятельности, не имеющими доступа к ресурсам сети;

· несанкционированное копирование конфиденциальной информации;

· уничтожение информации на серверах и рабочих станциях;

· внесение нерегламентированных изменений в данные и программное обеспечение;

· кража носителей конфиденциальной информации;

· кража или вывод из строя оборудования, отвечающего за обработку и хранение конфиденциальной информации.

· Возможные варианты действия внешних нарушителей режима информационной безопасности:

· атака на сервисы удаленного доступа и публичные Интернет - сервисы Росстата с целью захвата управления сервисом, получения полномочий администратора, доступа в ИВС Росстата;

· заражение клиентской рабочей станции компьютерным вирусом или другой вредоносной программой через сообщения электронной почты;

· несанкционированное копирование конфиденциальной информации;

· уничтожение информации на серверах и рабочих станциях;

· внесение нерегламентированных изменений в данные и программное обеспечение;

· кража носителей конфиденциальной информации;

· кража или вывод из строя оборудования, отвечающего за обработку и хранение конфиденциальной информации.

Возможности утечки информации по техническим каналам

В ИВС Росстата существует возможность утечки информации по следующим техническим каналам:

· побочные электромагнитные излучения информативного сигнала от технических средств;

· наводки информативного сигнала;

· радиоизлучение;

· электрические сигналы или радиоизлучения, обусловленные воздействием на АС высокочастотных сигналов, по эфиру и проводам, либо сигналов промышленных радиотехнических устройств (радиовещательные, радиолокационные станции, средства радиосвязи и т.п.), и модуляцией их информативным сигналом (облучение, «навязывание»);

· радиоизлучения или электрические сигналы от внедренных специальных электронных устройств перехвата информации;

· акустическое излучение информативного речевого сигнала;

· просмотр информации с экранов дисплеев и других средств ее отображения с помощью оптических средств;

· воздействие на технические или программные средства в целях нарушения целостности (уничтожения, искажения) информации.

Защита от утечки по перечисленным техническим каналам осуществляется организационными и техническими мерами. Решение о необходимости принятия мер принимается после проведения специальных исследований, а также на основе анализа соотношения критичности информации и стоимости средств.

Основные положения обеспечения информационной безопасности

Организация обеспечения информационной безопасности

Для реализации единой политики защиты информации в Росстате создана базовая структура управления информационной безопасностью – отдел защиты информации, которому делегированы функции разработки, внедрения, координации и контроля организационных и технических мероприятий комплексной защиты информации в системе Росстата. Для реализации требований информационной безопасности Росстата в территориальных органах назначаются специалисты по защите информации.

В Росстате поддерживается безопасность информации посредством управленческих процессов и утверждения обязанностей по обеспечению информационной безопасности. При этом должно быть обеспечено:

· подтверждение того, что цели информационной безопасности установлены, соответствуют организационным требованиям и включены в соответствующие процессы деятельности Росстата;

· контроль эффективности мер безопасности информации;

· четкое руководство и управленческая поддержка инициатив по безопасности;

· наличие ресурсов, необходимых для успешной организации информационной безопасности;

· назначение конкретных ролей и обязанностей по информационной безопасности в системе Росстата;

· инициирование планов и программ поддержания осведомленности сотрудников по информационной безопасности;

· координация внедрения средств управления информационной безопасностью в системе Росстата.

Представителям подразделений Росстата с соответствующими ролями и рабочими функциями следует координировать деятельность по обеспечению защиты информации в пределах своей ответственности.

Координация обеспечения информационной безопасности должна включать взаимодействие и сотрудничество руководства, пользователей, администраторов, разработчиков приложений. В процессе данной деятельности необходимо:

· убедиться, что меры безопасности выполняются в соответствии с требованиями руководящих документов;

· утверждать методологии и процессы организации информационной безопасности;

· определять значимые изменения угроз и моменты, когда информация и средства ее обработки подвергаются угрозам;

· эффективно поддерживать в масштабах Росстата обучение и осведомленность в области информационной безопасности;

· оценивать информацию, полученную в результате отслеживания и обработки инцидентов безопасности, а также рекомендовать приемлемые меры в ответ на установленные инциденты информационной безопасности.

Все обязанности по обеспечению информационной безопасности следует определить исходя из функциональных обязанностей сотрудников.

При внедрении новых программных средств обработки информации в Росстате необходимо определить процедуру их санкционирования.

В процедуре санкционирования должно быть обеспечено:

· согласование с руководителем пользователя и с руководителем, ответственным за информационную безопасность ЛВС;

· проверка совместимости с аппаратным и программным обеспечением компонентов системы.

Необходимо провести пересмотр обязательств о соблюдении требований конфиденциальности сотрудниками Росстата, отражающим требования защиты информации.

Обязательство о соблюдении конфиденциальности должно включать следующие элементы:

· определение защищаемой информации;

· срок действия соглашения;

· ответственность лиц, подписывающих соглашение;

· права на использование конфиденциальной информации для лица, подписывающего обязательство;

· порядок оповещения и отчета о несанкционированных разглашениях или нарушениях конфиденциальности;

· меры в случае нарушения соглашения.

Требования к обязательствам о соблюдении конфиденциальности и неразглашении следует периодически пересматривать и в случае необходимости вносить изменения.