ЗАКОНОДАТЕЛЬНЫЕ ТРЕБОВАНИЯ В ОБЛАСТИ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ АВТОМАТИЗИРОВАННЫХ СИСТЕМ А.Л. Липатов, Д.В. Осломенко Научный руководитель - д.т.н., профессор Ю.А. Гатчин М.В. Масленников Научный руководитель - д.т.н., профессор А.Г.Коробейников
В статье проводится анализ действующих законодательных требований Российской Федерации в области обеспечения информационной безопасности. Даются практические рекомендации по обеспечению конфиденциальности, целостности и доступности конфиденциальной информации, обрабатываемой в автоматизированных системах
Введение
Сегодня стопроцентная зависимость бизнес-процессов организации от информационных технологий (ИТ) - не редкость. Однако повсеместное использование ИТ не только предоставило организациям значительные выгоды, но и сделало бизнес более уязвимым. В рамках общего процесса управления рисками (кредитными, финансовыми, операционными) организации вынуждены оценивать, в том числе, и риски информационной безопасности (ИБ) и предпринимать соответствующие действия, направленные на их обработку. С чего же необходимо начинать и как обеспечить организации требуемый уровень ИБ?
Обеспечение информационной безопасности автоматизированных систем с учетом требований законодательства Российской Федерации
Существует классический поход к созданию систем обеспечения информационной безопасности (СОИБ) автоматизированных систем (АС), включающих в себя комплекс организационных мер и программно-аппаратных средств ИБ, описанный в действующих нормативно-методических документах. Выделяют четыре стадии создания и эксплуатации СОИБ АС.
Первая стадия - предпроектная. Начинать необходимо с уточнения состава, конфигурации и топологии АС, условий ее расположения, перечня используемых технических средств и программного обеспечения (ПО), субъектов и объектов доступа, анализа реализованных мер по обеспечению ИБ АС.
Важным этапом создания СОИБ АС (с точки зрения руководящих документов ФСТЭК (Гостехкомиссии) России) является классификация защищенности АС от несанкционированного доступа (НСД) к информации. Классификация проводится для всех АС, предназначенных для обработки конфиденциальной информации, в соответствии с руководящим документом «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» (Гостехкомиссия России, 1992 г.) [1]. В результате классификации защищенности АС определяются базовые меры по обеспечению ИБ, окончательный состав которых формируется на этапе обработки рисков ИБ. Возможные классы защищенности АС приведены в таблице.
После уточнения ИТ-инфраструктуры и анализа реализованных мер по обеспечению ИБ АС должна быть произведена идентификация защищаемых активов и оценка их важности. К защищаемым активам относятся информационные активы (информация, обрабатываемая в АС), функциональные активы (сервисы АС), а также физические активы (критичные компоненты инфраструктуры АС - сетевое оборудование, серверы,
ПО и т.п.). При этом, если конфиденциальная информация, обрабатываемая в АС, содержится в государственных информационных ресурсах или относится к категории персональных данных, то установленные требования по ИБ будут носить обязательный характер. Если же информационные ресурсы являются негосударственными, то требования руководящих документов ФСТЭК (Гостехкомиссии) России и ФСБ России по защите конфиденциальной информации будут являться не более чем рекомендациями.
Класс защи- Класс защищенности Класс защищенности
щенности од- многопользовательской многопользовательской
нопользова- АС с равными правами АС с различными пра-
тельской АС пользователей по доступу к активам вами пользователей по доступу к активам
Служебная тайна не ниже 3Б не ниже 2Б не ниже 1Г
Коммерческая тайна, банковская тайна не ниже 3Б не ниже 2Б не ниже 1Д
и т. п.
Персональные данные не ниже 3Б не ниже 2Б не ниже 1Д
Таблица. Классы защищенности АС от НСД к информации
Далее производится идентификация рисков ИБ, а также их оценка (количественная или качественная). Идентификация рисков ИБ производится на основе анализа актуальных угроз ИБ и выявленных уязвимостей как технического, так и организационного характера. Оценка рисков осуществляется на основе анализа уровней угроз, уяз-вимостей с учетом ценностей активов.
В завершение первой стадии проводится обработка идентифицированных рисков ИБ в части формирования предложений по обеспечению требуемого уровня ИБ АС. Обработка рисков заключается в выборе действий по модификации рисков. Существуют следующие возможные действия: снижение рисков путем применения подходящих защитных мер, принятие рисков, избежание рисков и перенос рисков на другие стороны, например, на страховщиков или поставщиков.
Предпроектное обследование АС может выполняться как непосредственно специалистами отдела ИБ организации, так и специализированной организацией, имеющей Лицензию ФСТЭК (Гостехкомиссии) России на деятельность по технической защите конфиденциальной информации. Во втором случае затраты на оплату услуг специализированной организации должны окупиться за счет независимости, полноты и качества проведенных работ. Конечное же решение по выбору исполнителя остается за руководством организации.
После проведения предпроектного обследования формируется техническое задание на СОИБ АС.
Работы по разработке документации и проектированию СОИБ АС, установке и настройке в соответствии с политиками безопасности соответствующих программно-технических средств ИБ выполняются на второй стадии создания и эксплуатации СОИБ АС. Технические, программные и организационные решения по обеспечению ИБ разрабатываются в Техническом проекте и рабочей, организационно-распорядительной и эксплуатационной документации на СОИБ АС.
К основным мерам по обеспечению ИБ АС относятся:
• кадровая работа, исключающая прием на работу «ненадежных» людей;
• реализация допуска исполнителей к конфиденциальной информации;
• организация строгого контрольно-пропускного режима в здание организации и помещения АС. Применение технических средств охраны, контроля и управления доступом;
• обучение пользователей, администраторов и обслуживающего персонала;
• разделение ролей и обязанностей в области ИТ и ИБ;
• постоянный анализ внутренних и внешних угроз ИБ, мониторинг событий ИБ, расследование инцидентов ИБ;
• надлежащий учет, маркировка, обращение и хранение носителей конфиденциальных информации в соответствии с установленными требованиями;
• расположение экранов мониторов, исключающее несанкционированный просмотр информации с них;
• организация защиты информации от утечки по каналам побочных электромагнитных излучений и наводок, в т. ч. с использованием сертифицированных на соответствие требованиям по безопасности информации технических средств защиты (например, ЛГШ-501, Гном-3, ФСП-1Ф-7А, ЛФС-10-1Ф, ЛГШ-220 и т.п.);
• резервное копирование критичной информации и ПО;
• использование средств защиты от вредоносного ПО. Регулярное обновление баз средств защиты от вредоносного ПО в автоматическом режиме;
• оперативная установка на компьютеры всех последних программных обновлений (Service Pack, Patch);
• предоставление пользователям только необходимых полномочий и привилегий в системе;
• использование для аутентификации подходящих методов идентификации и аутентификации;
• организация разграничения доступа пользователей к конфиденциальной информации;
• использование для ограничения доступа со стороны сети Интернет к внутренним ресурсам сети, а также для разграничения доступа пользователей АС к внешним ресурсам средств защиты периметра сети - межсетевых экранов, систем ID&PS (систем обнаружения и предотвращения вторжений);
• использование для обеспечения целостности и безопасности, передаваемых по сети Интернет между удаленными филиалами (мобильными компьютерами) данных, технологии виртуальных локальных сетей (VPN). Применение в VPN-сетях стойких криптографических алгоритмов (например, ГОСТ 28147-89, AES и т.п.);
• использование сканеров уязвимостей для оперативного обнаружения и анализа сетевых уязвимостей сети в изменяющемся сетевом окружении (например, Internet Scanner, Nessus и т.п.).
После разработки проекта создания СОИБ АС, установки и настройки соответствующих средств ИБ, реализации предписанных организационных мер и разработки всех необходимых документов начинается стадия ввода в действие СОИБ АС. На этой стадии производится опытная эксплуатация установленных средств ИБ в комплексе с общесистемным и прикладным ПО и техническими средствами АС, а также аттестация АС на соответствие требованиям по безопасности конфиденциальной. Для АС, обрабатывающих конфиденциальную информацию, содержащуюся в государственных информационных ресурсах, аттестация носит обязательный характер и должна предшествовать началу обработки защищаемой информации. Для негосударственных организаций аттестация носит добровольный характер.
И, наконец, четвертая стадия - стадия эксплуатации СОИБ АС. На этой стадии требуется проводить регулярный анализ эффективности СОИБ АС, анализировать уровень остаточных рисков ИБ, проводить внутренний аудит, регистрировать действия и события, влияющие на СОИБ АС, реализовать улучшения, предпринимать корректи-
рующие/предупреждающие действия, а также информировать о результатах все заинтересованные стороны.
Заключение
Работы по обеспечению ИБ АС должны носить комплексный и системный характер, выполняться профессионально и качественно. Только в этом случае удастся обеспечить информационную безопасность не только де-юре, но и де-факто. При этом реализуемые в рамках СОИБ АС защитные меры должны быть экономически обоснованы и выбираться на основе результатов оценки рисков ИБ.
Литература
1. Руководящий документ «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» (Гостехкомиссия России, 1992 г.). С. 2-3.