Смекни!
smekni.com

Разработка эффективных систем защиты информации в автоматизированных системах (стр. 4 из 21)

Создание КСЗИ в ИТС осуществляется в соответствии с нормативным документом системы технической защиты информации [10] на основании технического задания (далее - ТЗ), разработанного согласно требованиям нормативного документа системы технической защиты информации [5]. Кроме того, при проектировании КСЗИ можно руководствоваться стандартом [11].

В состав КСЗИ входят мероприятия и средства, которые реализуют способы, методы, механизмы защиты информации от:

- утечки техническими каналами, к которым относятся каналы побочных электромагнитных излучений и наводок, акустоэлектрических и других каналов;

- несанкционированных действий и несанкционированного доступа к информации, которые могут осуществляться путем подключения к аппаратуре и линиям связи, маскировки под зарегистрированного пользователя, преодоление мероприятий защиты с целью использования информации или навязывания ошибочной информации, применение закладных устройств или программ, использование компьютерных вирусов и т.п.;

- специального влияния на информацию, которое может осуществляться путем формирования полей и сигналов с целью нарушения целостности информации или разрушения системы защиты.

Для каждой конкретной ИТС состав, структура и требования к КСЗИ определяются свойствами обрабатываемой информации, классом АС и условиями ее эксплуатации.

В общем случае, последовательность и содержание научно-исследовательской разработки КСЗИ можно предварительно разделить на 4 этапа (рис 1.1).

Несмотря на простоту структуры разработки КСЗИ, большинство организаций придерживается именно этого алгоритма. Однако данный алгоритм – это лишь основа проектирования. Каждый представленный этап отражает множество уровней в ходе проектирования, в зависимости от структуры АС требования, предъявляемых к ее системе защиты. Рассмотрим эти этапы подробнее.

1.3.1 Анализ структуры автоматизированной информационной системы

Данная стадия разработки включает в себя следующие работы:

- проведение предпроектного обследования;

- разработка аналитического обоснования по созданию КСЗИ;

- разработка технического задания на создание КСЗИ.

В ходе данного этапа проводится анализ рисков. Для проверки способности информационной системы противостоять попыткам несанкционированного доступа и воздействия на информацию иногда целесообразно выполнять тесты на проникновение.

Существует несколько видов обследования [15]:

- предпроектное диагностическое обследование, которое выполняется при модернизации или построении СЗИ;

- аудит СЗИ на соответствие требованиям внутрикорпоративным стандартам или международным/национальным стандартам. Примером может служить сертификационный аудит системы управления ИБ по ISO 27001;

- специальные виды обследования, например, при расследовании компьютерных инцидентов.

Мировой опыт создания систем защиты для различного рода объектов позволяет выделить три основных элемента, присутствующих практически на любом объекте и требующих обеспечения их безопасности [16]:

- люди - персонал и посетители объекта;

- материальные ценности, имущество и оборудование;

- критичная информация - информация с различными грифами секретности.

Каждый из выделенных элементов имеет свои особенности, которые необходимо учесть при определении возможных угроз. По результатам анализа возможных угроз безопасности АС формируются требования к защите. Полная защита АС формируется из частных требований защиты элементов путем объединения функционально однородных требований по обеспечению защиты.

По результатам данного этапа определяются и формируются требования к защите. Полная защита АС формируется из частных требований защиты элементов путем объединения функционально однородных данных по обеспечению защиты. К таким данным относится защищаемая информация на основе документально оформленных перечней защищаемых сведений, угрозы безопасности информации и модель вероятного нарушителя, состав используемых технических средств и связи между ними, состав разработанной организационно-распорядительной документации, класс защищенности АС в защищенном исполнении. Принимаются решения, касающиеся состава технических средств и систем, предполагаемых к использованию в разрабатываемой системе, и мероприятий по обеспечению конфиденциальности информации на этапе проектирования системы.

1.3.2 Определение технического решения

В целом процесс проектирования можно разделить на следующие этапы [15,25]:

- подготовка ТЗ на создание системы защиты информации;

- создание модели СЗИ;

- разработка техническо-рабочего проекта (ТРП) создания СЗИ и архитектуры СЗИ. ТРП по созданию СЗИ включает следующие документы:

1) пояснительную записку, содержащую описание основных технических решений по созданию СЗИ и организационных мероприятий по подготовке СЗИ к эксплуатации;

2) обоснование выбранных компонентов СЗИ и определение мест их размещения. Описание разработанных профилей защиты;

3) спецификацию на комплекс технических средств СЗИ;

4) спецификацию на комплекс программных средств СЗИ;

5) определение настроек и режима функционирования компонентов СЗИ:

- разработка организационно-распорядительных документов системы управления ИБ (политик по обеспечению информационной безопасности, процедур, регламентов и др.);

- разработка рабочего проекта (включая документацию на используемые средства защиты и порядок администрирования, план ввода СЗИ в эксплуатацию и др.), планирование обучения пользователей и обслуживающего персонала информационной системы;

- реализация разрешительной системы допуска и организационно-технических мероприятий по защите информации в КСЗИ.

Проект должен включать в себя разделы, посвященные обеспечению автоматизации деятельности сотрудников организации, информационного обмена по высокоскоростным линиям связи, защиты информации. При необходимости разрабатываются задания и проекты на другие работы, например строительно-монтажные. На основе этого документа будет создаваться КСЗИ, поэтому он должен включать в себя описание всех внедряемых технических средств, их настройки, а также все необходимые организационные решения.

В состав разрабатываемой организационно-технической и эксплуатационной документации входят технический паспорт на КСЗИ, инструкции и руководства для пользователей, администраторов системы, по эксплуатации технических средств, приказы, акты и распоряжения, связанные с проектированием, внедрением, испытаниями и вводом в эксплуатацию системы.

Техническое задание на создание КСЗИ может разрабатываться для ИТС создаваемых впервые, а также во время модернизации уже существующих ИТС в виде отдельного раздела ТЗ на создание ИТС, отдельного (частичного) ТЗ или дополнения к ТЗ на создание ИТС.

В ТЗ излагаются требования к функциональному составу и порядку разработки и внедрение технических средств, которые обеспечивают безопасность информации в процессе ее обработки в вычислительной системе ИТС, а также требования к организационным, физическим и другим мероприятиям защиты, которые реализуются вне вычислительной системы ИТС в дополнение к комплексу программно-технических средств защиты информации.

Проект КСЗИ разрабатывается на основании и в соответствии с ТЗ. Во время разработки проекта КСЗИ обосновываются и принимаются проектные решения, которые дают возможность реализовать требования ТЗ, обеспечить совместимость и взаимодействие разных компонентов КСЗИ, а также разных мероприятий и способов защиты информации. В результате создается комплект рабочей и эксплуатационной документации, необходимой для обеспечения тестирования, проведение пусконаладочных работ, испытаний и управления КСЗИ.

Под реализацией разрешительной системы допуска и организационно-технических мероприятий по защите информации понимаются проведение следующих действий:

- определение состава субъектов доступа к защищаемой информации (сотрудников организации);

- ознакомление сотрудников с правилами обработки защищаемой информации и обеспечения информационной безопасности, наложение на всех пользователей персональной ответственности за разглашение вверенной им защищаемой информации путем подписи ими соответствующих документов;

- разработка и утверждение перечня защищаемых информационных ресурсов, матрицы доступа сотрудников к защищаемым ресурсам;

- определение состава носителей защищаемой информации и их маркировка;

- формирование журналов учета паролей, журналов учета персональных идентификаторов, журналов учета носителей защищаемой информации.

1.3.3 Реализация и эксплуатация КСЗИ

Работы по внедрению системы включают выполнение следующих задач:

- закупка, установка и настройка средств защиты информации в КСЗИ;

- проведение приёмо-сдаточных испытаний;

- аттестация КСЗИ на соответствие требованиям руководящих документов по безопасности информации (добровольная);

- обучение пользователей;

- ввод СЗИ в эксплуатацию.

Закупка, установка и настройка (тестирование) технических средств проводится согласно требованиям, приведенным в проекте на создание КСЗИ.