Требования по защите информации при подключении к интернету

К вопросу о защите информационных ресурсов общего пользования в сети «Интернет» Текст научной статьи по специальности « Государство и право. Юридические науки»

Аннотация научной статьи по государству и праву, юридическим наукам, автор научной работы — Лабутин Николай Григорьевич, Смирнов Сергей Александрович

Похожие темы научных работ по государству и праву, юридическим наукам , автор научной работы — Лабутин Николай Григорьевич, Смирнов Сергей Александрович,

To a question on protection of information general purpose resources in a network the «Internet»

In clause presents some legal and technical aspects of a problem of a safety of the information in information general purpose resources are considered. In particular, threats of information safety of information general purpose resources in a network the «Internet» are analysed actual now. On the basis of it recommendations for the organization of protection of the information of these resources, and also ways and means of protection of information resources in the networks the «Internet» recommended authors of clause (article) for increase of efficiency and reliability of their protection are given.

Текст научной работы на тему «К вопросу о защите информационных ресурсов общего пользования в сети «Интернет»»

Лабутин Николай Григорьевич Labutin Nikolay Grigor’evich

кандидат технических наук, доцент, доцент кафедры математики, информатики и информационных технологий

Нижегородская академия МВД России (603950, Нижний Новгород, Анкудиновское шоссе, 3)

candidate of sciences (technical), associate professor, associate professor of faculty of mathematics, computer science and information technologies

Смирнов Сергей Александрович Smirnov Sergey Aleksandrovich

преподаватель кафедры математики, информатики и информационных технологий Нижегородская академия МВД России (603950, Нижний Новгород, Анкудиновское шоссе, 3)

lecturer of faculty of mathematics, computer science and information technologies

Nizhny Novgorod academy of the Ministry of internal affairs of Russia (3 Ankudinovskoye shosse, Nizhny Novgorod, 603950)

К вопросу о защите информационных ресурсов общего пользования

в сети «Интернет»

To a question on protection of information general purpose resources

in a network the «Internet»

В статье рассмотрены некоторые юридические и технические аспекты проблемы обеспечения безопасности информации в информационных ресурсах общего пользования. В частности, проанализированы актуальные в настоящее время угрозы информационной безопасности информационных ресурсов общего пользования в сети «Интернет». На основании этого приведены рекомендации по организации защиты информации этих ресурсов, а также способы и средства защиты информационных ресурсов в сети «Интернет», рекомендуемые авторами статьи для повышения эффективности и надежности их защиты.

Ключевые слова: безопасность информации, информационные ресурсы Российской Федерации общего пользования, защита информации, защита Web-ресурсов, уязвимости Web-ресурсов, мониторинг защищенности Web-систем.

Keywords: safety of the information, information resources of the general purpose Russian Federation, protection of the information, protection of Web-resources, vulnerability of Web-resources, monitoring of security of Web-systems.

Одно из направлений применения современных информационных технологий — информационные ресурсы общего пользования в сети «Интернет». Это направление в настоящее время динамично развивается и имеет популярность у широких масс людей в связи с возможностью удаленного использования таких сервисов и услуг как государственные услуги (уплата налогов, коммунальные платежи и т. д.), интернет-торговля, интернет-платежи, си-

стемы «Клиент-Банк», реклама услуг или деятельности компании в сети «Интернет» и др. Так как названные услуги и сервисы используют открытые телекоммуникации и общедоступные компьютерные сети, то существует проблема защиты информации и информационных систем, составляющих эти ресурсы.

Вопросам защиты информации и информационных ресурсов общего пользования, соответствен-

но, их правовому регулированию в нашей стране уделяется повышенное внимание, что подтверждается достаточно большим количеством нормативных правовых актов разного уровня, принятых за последнее время.

Представим только основные нормативные правовые акты, затрагивающие правовое регулирование именно вопросов обеспечения безопасности информационных ресурсов общего пользования в сети «Интернет»:

— Федеральный закон от 27 июля 2006 года № 149-ФЗ (ред. от 21.07.2014) «Об информации, информационных технологиях и о защите информации»;

— Федеральный закон от 7 июля 2003 года № 126-ФЗ (ред. от 21.07.2014) «О связи» (с изм. и доп., вступ. в силу с 21.10.2014);

— Федеральный закон от 21 июля 2014 года № 209-ФЗ «О государственной информационной системе жилищно-коммунального хозяйства»;

— Федеральный закон от 3 декабря 2011 года № 382-Ф3 «О государственной информационной системе топливно-энергетического комплекса»;

— постановление Правительства РФ от 31 июля 2014 года № 744 «Об утверждении Правил информирования граждан (физических лиц) об ограничении доступа к информационным системам и (или) программам для электронных вычислительных машин, которые предназначены и (или) используются для приема, передачи, доставки и (или) обработки электронных сообщений пользователей информационно-телекоммуникационной сети «Интернет» и функционирование которых обеспечивается организатором распространения информации в информационно-телекоммуникационной сети «Интернет»»;

— постановление Правительства РФ от 31 июля 2014 года № 742 «Об отдельных полномочиях Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций»;

— постановление Правительства РФ от 14 сентября 2012 года № 928 (ред. от 21.07.2014) «О базовых государственных информационных ресурсах» (вместе с «Требованиями к порядку формирования, актуализации и использования базовых государственных информационных ресурсов», «Правилами формирования, актуализации и использования реестра базовых государственных информационных ресурсов»);

— приказ ФСТЭК России от 11 февраля 2013 года № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» (зарегистрировано в Минюсте России 31.05.2013 № 28608);

— приказ ФСБ РФ № 416, ФСТЭК РФ № 489 от 31 августа 2010 года «Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования» (зарегистрировано в Минюсте РФ 13.10.2010 № 18704).

Согласно указанным документам определены общие положения и требования по защите государ-

ственных и иных информационных ресурсов общего пользования. Так как сфера применения нормативных правовых актов по данному направлению достаточно сложна, наукоемка и технологична, то существуют определенные технические особенности исполнения требований нормативных документов.

Далее рассмотрим подробнее эти технические особенности.

Уязвимостям подвержены и аппаратные и программные составляющие интернет-ресурсов. Наиболее опасны уязвимости в способах и средствах защиты Web- ресурсов, так как их выявление происходит, как правило, случайным образом или с помощью независимых специалистов, тестирующих безопасность тех или иных Web-ресурсов, инструментальных средств Web-разработки, вообще программного обеспечения за вознаграждение от их владельцев по программе Bug Bounty [1]. То есть наличие в Web-ресурсе уязвимости может обнаружиться в любое время и практически непредсказуемо.

Уязвимости в способах и средствах защиты Web-ресурсов, уязвимости самого программного обеспечения Web-ресурсов (Web-сервера, библиотек и т. д.) неизбежны, так как не бывает идеального в плане безопасности программного обеспечения.

Так, последние нашумевшие уязвимости этого класса [2; 3; 4; 5]:

1. Heartbleed (CVE-2014-0160) — ошибка в криптографическом программном обеспечении OpenSSL, позволяющая несанкционированно считывать некоторые данные из памяти на сервере или на клиенте, в том числе идентификационные данные для извлечения секретного (закрытого) ключа сервера.

OpenSSL — это самое популярное криптографическое решение для шифрования передаваемых данных в Web-серверах. Большинство Web-серверов в Интернете используют это приложение. Распространенность OpenSSL связана с тем, что оно поставляется с открытыми исходными кодами. В апреле 2014 года обнаружилась очередная уязвимость (CVE-2014-0160) в расширении протокола TLS, которое включено в OpenSSL и называется Heartbeat («сердцебиение»).

Указанная уязвимость позволяет перехватывать запросы между клиентами и сервером во время «сердцебиений», таким образом, удаленно считывать некоторые данные из памяти сервера. Соответственно, Web-ресурсы, использующие протокол HTTPS для защиты информации и базирующиеся на веб- серверах на основе OpenSSL, могут быть уязвимы.

2. Уязвимости к SQL- инъекциям.

Например, уязвимости в стандартных скриптах Drupal (программное обеспечение, является системой управления контентом (CMS), то есть системой управления сайтами, распространяется на бесплатной основе по лицензии GPL и лежит в основе большинства Web-сайтов). Такая уязвимость позволяет выполнить произвольный SQL-запрос

на сайте [6] (сменить пароль для админа, включить PHP-фильтр и добавить произвольный PHP код в одну из нод (нода — базовый элемент в структуре содержимого Drupal)).

3. Уязвимости в командной оболочке Bash, позволяющей писать скрипты для Web-приложений. В дополнение к выявленной уязвимости в Bash (CVE-2014-6271) и уязвимости, основанной на обходе исправления, устраняющего первую уязвимость (CVE-2014-7169), исследователи безопасности выявили еще три уязвимости, вызванные ошибками в реализации кода разбора функций. Так как разбор функций производится в Bash для всех переменных окружения, данные уязвимости также могут быть легко эксплуатированы через формирование специального содержимого, попадающего в переменные окружения [7]. Уязвимости в Bash в последнее время обнаруживаются весьма интенсивно и многие эксперты прогнозируют [8], что не все проблемы устранены. Для комплексной проверки систем на подверженность атакам Shellshock (в том числе и уязвимостям в Bash) уже разработан универсальный скрипт [9].

Классические способы и средства, применяемые для защиты Интернет-ресурсов, передаваемой по сети информации и межсетевых взаимодействий, в таких случаях не спасают от реализации угроз безопасности информации.

Поэтому для надежной защиты информационных ресурсов общего пользования необходимо руководствоваться Требованиями о защите информации, содержащейся в информационных системах общего пользования, утвержденными совместным приказом ФСБ РФ № 416 и ФСТЭК РФ № 489 от 31 августа 2010 года.

Согласно этим требованиям необходимо применять только сертифицированные ФСБ России классические средства защиты Web-ресурсов, такие как средства криптографической защиты информации, антивирусные средства и другие программы обнаружения вредоносного программного обеспечения, средства обнаружения вторжений и другие средства контроля доступа к информации, межсетевые экраны [10].

В приказе ФСБ РФ № 416 и ФСТЭК РФ № 489 также определено обязательное проведение организационных и технических мероприятий по защите информационных ресурсов общего пользования, направленных на недопущение реализации всех видов угроз информационной безопасности этих ресурсов.

К указанным мероприятиям относятся [10]:

— оперативная локализация и ликвидация неблагоприятных последствий нарушения порядка доступа к информации;

— обязательная запись всего сетевого трафика при обращении к государственным информационным ресурсам и его хранение не менее десяти дней для того, чтобы можно было осуществить оперативно-разыскные мероприятия по факту злонамеренного действия;

— применение классических способов технической и программно-технической защиты информационных систем общего пользования и защиты от несанкционированного доступа к помещениям, в которых они находятся;

— регистрация действий обслуживающего персонала и пользователей;

— частичное или полное (в зависимости от класса системы) резервирование технических и программных средств, дублирование носителей и массивов информации;

— использование сертифицированных систем обеспечения гарантированного электропитания (источников бесперебойного питания);

— осуществление мониторинга их защищенности уполномоченным подразделением ФСБ России;

— введение в эксплуатацию только после направления оператором информационной системы общего пользования в ФСБ России уведомления о готовности ввода информационной системы общего пользования в эксплуатацию и ее соответствии вышеупомянутым Требованиям.

Отмеченные в требованиях приказа ФСБ РФ № 416 и ФСТЭК РФ № 489 мероприятия по мониторингу защищенности и введению в эксплуатацию информационной системы общего пользования после проверки ФСБ России предназначены для выявления и оперативного устранения уязвимостей всех уровней: программного обеспечения Web-ресурсов и средств их защиты, при межсетевых взаимодействиях и при передаче данных по каналам связи.

Анализируя требования приказа ФСБ РФ № 416 и ФСТЭК РФ № 489, отметим следующие ключевые моменты.

При разработке Web-ресурса используется программное обеспечение, подверженное угрозам безопасности, в нем периодически выявляют уязвимости. Защитные средства, например программные и программно-аппаратные продукты, использующие криптозащищенные протоколы передачи данных HTTPS, FTPS с использованием SSL/TLS, межсетевые экраны, системы обнаружения вторжений, антивирусные программы, системы анализа защищенности, тоже подвержены уязвимостям.

Поэтому, во-первых, средства защиты должны быть сертифицированы ФСБ России по определенному уровню обеспечения безопасности.

Во-вторых, для защиты от уязвимостей Web-ресурсов необходимо отслеживать информацию об обнаруженных уязвимостях и оперативно принимать меры к их устранению. Как правило, эти меры заключаются в применении к уязвимому программному обеспечению разработанных исправлений (патчей). Для государственных информационных ресурсов общего пользования эти функции должно выполнять уполномоченное подразделение ФСБ России.

В-третьих, при эксплуатации информационных ресурсов необходимо осуществлять мониторинг их защищенности от других видов угроз.

Тем более, кроме требований приказа ФСБ РФ № 416 и ФСТЭК РФ № 489, мониторинг (контроль) предписывают общие Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК № 17 от 11 февраля 2013 года, в котором сказано, что «. контроль (мониторинг) за обеспечением уровня защищенности информации, содержащейся в информационной системе, осуществляется на этапе разработки системы защиты информации информационной системы, в процессе внедрения системы защиты информации информационной системы, в ходе эксплуатации аттестованной информационной системы» [11].

В некоторых организациях, в том числе государственных, уделяется недостаточно внимания к указанным выше ключевым моментам в обеспечении информационной безопасности информационных ресурсов общего пользования, требования приказов ФСБ РФ № 416 и ФСТЭК РФ № 489, а также приказа ФСТЭК № 17 от 11 февраля 2013 года исполняются формально.

Необходимо четко представлять, что основная масса атак на защищенные информационные ресурсы сети «Интернет» возможна из-за уязвимо-стей в их программном обеспечении и средствах защиты [12]. Поэтому выполнение ключевых правил по защите информации, таких как:

— применение проверенных на отсутствие не-декларированных возможностей Web-серверов и другого программного обеспечения функционирования информационных ресурсов общего пользования, а также программных инструментальных средств разработки Web-приложений:

— применение только сертифицированных средств защиты;

— постоянный мониторинг (контроль) защищенности информационных ресурсов на этапе разработки, создания, ввода в эксплуатацию и их использования;

— применение средств адекватного и быстрого реагирования на обнаруженные угрозы безопасности;

— использование механизмов восстановления работоспособности системы и приведения информационных ресурсов в исходное состояние является залогом безопасного использования информационных ресурсов общего пользования в сети «Интернет».

Способы мониторинга защищенности автоматизированных систем известны и представлены в национальных стандартах Российской Федерации, утвержденных для добровольного применения:

— ГОСТ Р ИСО/МЭК 15408-2009 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий»;

— ГОСТ Р ИСО/МЭК 27033-1-2011 «Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и концепции»;

— ГОСТ Р ИСО/МЭК 27005-2010 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности», идентичный международному стандарту ИСО/МЭК 27005:2008 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности»;

— ГОСТ Р ИСО/МЭК ТО 13335-5-2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 5. Руководство по менеджменту безопасности сети».

Применительно к контролю защищенности информационных ресурсов сети «Интернет» авторами предлагаются следующие как традиционные, так и специфичные способы и средства мониторинга защищенности:

— средства анализа защищенности информационной системы, имитирующие во время ее работы различные виды атак;

— средства обнаружения вторжений (атак) для анализа системных событий и сетевого трафика на предмет обнаружения атак и реализующих различные ответные действия на попытки атак (программные и программно-аппаратные системные и сетевые сканеры);

— программные и программно-аппаратные средства и компоненты для предотвращения атак на защищаемые ресурсы;

Читайте так же:  Нотариус бутово парк

— организационные мероприятия, составляющие политику и процедуры реагирования на атаки — отражение атак и последующее восстановление системы;

— мероприятия по определению критичных ресурсов в системе, надежности схемы размещения средств защиты и другие инфраструктурные решения;

— использование единого защищенного центра управления системой мониторинга.

По твердому убеждению авторов статьи, безусловное применение указанных способов и средств защиты информации позволяет значительно повысить общий уровень информационной безопасности государственных и иных информационных ресурсов в сети «Интернет».

1. Big Bounty — это программа финансового вознаграждения, получаемого независимыми исследователями, находящими уязвимости в программном обеспечении того или иного производителя.

4. URL: www.drupal.ru > Форумы > Техподдержка Drupal > Безопасность

7. URL: http://www.opennet.ru/opennews/art.shtml7num =40702

8. URL: http://arstechnica.com/security/2014/09/still-more-vulnerabilities-in-bash-shellshock-becomes-whack-a-mole/

10. Об утверждении требований о защите информации, содержащейся в информационных системах общего пользования: приказ ФСБ РФ № 416 и ФСТЭК РФ № 489.

11. Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах: приказ ФСТЭК № 17 от 11 февраля 2013 года.

12. Лабутин Н.Г. Некоторые способы поиска и определения местонахождения злоумышленников в сети Интернет. Математические методы и информационно-технические средства: материалы X Всероссийской научно-практической конференции. Краснодар, 2014.

1. Big Bounty is a program of the financial compensation received by independent researchers, finding vulnerability in the software of this or that manufacturer.

2. URL: https://www.emaro-ssl.ru/blog/heartbleed/

3. URL: habrahabr.ru/post/21 8609/

4. URL: www.drupal.ru

5. URL: xakep.ru/drupal-sql-injection/

6. URL: http://www.drupal.ru/node/113136

8. URL: http://arstechnica.com/security/2014/09/still-mo re — vulnerabilities-in-bash-shellshock-becomes-whack-a -mole/

9. URL: https://github.com/hannob/bashcheck

10. About the statement of requirements about protection of the information contained in information general purpose systems: the order of FSB of the Russian Federation № 416 and FSTEC of the Russian Federation № 489.

11. About the statement of requirements about protection of the information which are doing not make the state secret, contained in the state information systems: order FSTEC № 17 from February, 11, 2013.

О защите информации в информационных системах общего пользования

Безопасность – это процесс, а не результат.
BruceSchneiner

Федеральный закон от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации» произвел разделение информации на общедоступную информацию, и на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа). К общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен законодательством. Ограничение доступа к информации устанавливается федеральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. При этом в статье 161 установлено следующее: государственное регулирование отношений в сфере защиты информации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации.

Концептуально защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

В основополагающем ГОСТ Р 50922З понятие «защита информации» трактуется как деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, и в качестве системы защиты информации предлагается применять всю совокупность технических, программных и программно-технических средств защиты информации и средств контроля эффективности защиты информации.

Постановление Правительства от 18 мая 2009 г. №424 «Об особенностях подключения федеральных государственных информационных систем к информационно-телекоммуникационным сетям» определило, что операторы федеральных государственных информационных систем, созданных или используемых в целях реализации полномочий федеральных органов исполнительной власти и содержащих сведения, указанные в перечне сведений о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти, обязательных для размещения в информационно-телекоммуникационной сети Интернет (Постановлением Правительства Российской Федерации от 12 февраля 2003 г. №98 «Об обеспечении доступа к информации о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти), при подключении информационных систем общего пользования к информационно-телекоммуникационным сетям, доступ к которым не ограничен определенным кругом лиц, обязаны обеспечить: 2

1. Защиту информации, содержащейся в информационных системах общего пользования, от уничтожения, изменения и блокирования доступа к ней;

2. Постоянный контроль возможности доступа неограниченного круга лиц к информационным системам общего пользования;

3. Восстановление информации, измененной или уничтоженной вследствие несанкционированного доступа к ней, в течение не более 8 часов;

4. Использование при подключении информационных систем общего пользования к информационно-телекоммуникационным сетям средств защиты информации, прошедших оценку соответствия (в том числе в установленных случаях сертификацию), в порядке, установленном законодательством Российской Федерации;

Таким образом, операторы государственных, муниципальных информационных порталов, Web-сайтов, размещенных в сети Интернет обязаны выполнить требования и мероприятия направленные на обеспечение безопасности своих информационных ресурсов.

Совместный приказ ФСБ России и ФСТЭК России №416/№484 от 31 августа 2010 года «Об утверждении требований о защите информации, содержащихся в информационных системах общего пользования» установил классификацию информационных систем общего пользования (ИСОП) и требования к ним:

Рис. 1 Классификация информационных систем общего пользования

В Требованиях 3 указан перечень мероприятий по обеспечению безопасности информационных систем общего пользования, который предполагает:

В требованиях к обеспечению защиты информации в информационных систем общего пользования просматривается особенность – применение сертифицированных средств защиты информации. Так, средства защиты информации, применяемые в информационных системах общего пользования I класса в обязательном порядке должны быть сертифицированы в Системе Сертификации РОСС.RU.0001.030001 Федеральной службы безопасности Российской Федерации.

Применяемые средства защиты информации в информационных системах общего пользования 2 класса должны быть сертифицированы по требованиям Системы Сертификации РОСС.RU.0001.030001 Федеральной службы безопасности Российской Федерации, либо в Системе сертификации РОСС RU.0001.01БИ00 Федеральной службы по техническому и экспортному контролю, в пределах их компетенции.

Приказ Федеральной службы безопасности Российской Федерации, Федеральной службы по техническому и экспортному контролю от 31 августа 2010 г. N 416/489 г. Москва «Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования»

Комментарии Российской Газеты

Зарегистрирован в Минюсте РФ 13 октября 2010 г. Регистрационный N 18704

В соответствии с пунктом 3 постановления Правительства Российской Федерации от 18 мая 2009 г. N 424 1 приказываем:

1. Утвердить прилагаемые Требования о защите информации, содержащейся в информационных системах общего пользования.

2. Контроль за исполнением настоящего приказа возложить на руководителя Научно-технической службы Федеральной службы безопасности Российской Федерации и первого заместителя директора Федеральной службы по техническому и экспортному контролю.

Директор Федеральной службы безопасности Российской Федерации А. Бортников

Директор Федеральной службы по техническому и экспортному контролю С. Григоров

1 Собрание законодательства Российской Федерации, 2009, N 21, ст. 2573.

Требования о защите информации, содержащейся в информационных системах общего пользования

1. Настоящие Требования распространяются на федеральные государственные информационные системы, созданные или используемые в целях реализации полномочий федеральных органов исполнительной власти и содержащие сведения о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти, обязательные для размещения в информационно-телекоммуникационной сети Интернет, определяемые Правительством Российской Федерации 1 (далее — информационные системы общего пользования), и являются обязательными для операторов информационных систем общего пользования при разработке и эксплуатации информационных систем общего пользования.

2. Информационные системы общего пользования должны обеспечивать:

сохранность и неизменность обрабатываемой информации при попытках несанкционированных или случайных воздействий на нее в процессе обработки или хранения (далее — целостность информации);

беспрепятственный доступ пользователей к содержащейся в информационной системе общего пользования информации (далее — доступность информации);

защиту от действий пользователей в отношении информации, не предусмотренных правилами пользования информационной системой общего пользования, приводящих, в том числе к уничтожению, модификации и блокированию информации (далее — неправомерные действия).

3. Информационные системы общего пользования включают в себя средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки информации, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации, программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.

4. Информация, содержащаяся в информационной системе общего пользования, является общедоступной.

5. Информационные системы общего пользования в зависимости от значимости содержащейся в них информации и требований к ее защите разделяются на два класса.

5.1. К I классу относятся информационные системы общего пользования Правительства Российской Федерации и иные информационные системы общего пользования в случае, если нарушение целостности и доступности информации, содержащейся в них, может привести к возникновению угроз безопасности Российской Федерации. Отнесение информационных систем общего пользования к I классу проводится по решению руководителя соответствующего федерального органа исполнительной власти.

5.2. Ко II классу относятся информационные системы общего пользования, не указанные в подпункте 5.1 настоящего пункта.

6. Защита информации, содержащейся в информационных системах общего пользования, достигается путем исключения неправомерных действий в отношении указанной информации.

7. Методы и способы защиты информации в информационных системах общего пользования определяются оператором информационной системы общего пользования и должны соответствовать настоящим Требованиям.

Достаточность принятых мер по защите информации в информационных системах общего пользования оценивается при проведении мероприятий по созданию данных систем, а также в ходе мероприятий по контролю за их функционированием.

8. Работы по защите информации в информационных системах общего пользования являются неотъемлемой частью работ по созданию данных систем.

9. Размещение информационных систем общего пользования, специальное оборудование и охрана помещений, в которых находятся технические средства, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей информации и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.

10. Защиту информации в информационных системах общего пользования обеспечивает оператор информационной системы общего пользования.

11. В информационных системах общего пользования должны быть обеспечены:

поддержание целостности и доступности информации;

предупреждение возможных неблагоприятных последствий нарушения порядка доступа к информации;

проведение мероприятий, направленных на предотвращение неправомерных действий в отношении информации;

своевременное обнаружение фактов неправомерных действий в отношении информации;

недопущение воздействия на технические средства информационной системы общего пользования, в результате которого может быть нарушено их функционирование;

возможность оперативного восстановления информации, модифицированной или уничтоженной вследствие неправомерных действий;

проведение мероприятий по постоянному контролю за обеспечением их защищенности;

возможность записи и хранения сетевого трафика.

12. Мероприятия по обеспечению защиты информации в информационных системах общего пользования включают в себя:

определение угроз безопасности информации, формирование на их основе модели угроз;

разработку на основе модели угроз системы защиты информации, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты информации, предусмотренных для соответствующего класса информационных систем общего пользования;

проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;

установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;

обучение лиц, использующих средства защиты информации, применяемые в информационной системе общего пользования, правилам работы с ними;

учет применяемых средств защиты информации, эксплуатационной и технической документации к ним;

контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

проведение разбирательств и составление заключений по фактам несоблюдения условий использования средств защиты информации, которые могут привести к нарушению безопасности информации или другим нарушениям, снижающим уровень защищенности информационной системы общего пользования, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;

описание системы их защиты.

13. Для разработки и осуществления мероприятий по защите информации в информационных системах общего пользования оператором информационной системы общего пользования назначается структурное подразделение или должностное лицо (работник), ответственные за обеспечение защиты информации.

14. Запросы пользователей на получение информации, содержащейся в информационных системах общего пользования, а также факты предоставления информации по этим запросам регистрируются автоматизированными средствами информационных систем общего пользования в электронном журнале обращений. Содержание электронного журнала обращений периодически проверяется соответствующими должностными лицами (работниками) оператора информационной системы общего пользования.

15. При обнаружении нарушений порядка доступа к информации оператор информационной системы общего пользования организует работы по выявлению причин нарушений и устранению этих причин в установленном порядке. Подсистема информационной безопасности должна обеспечивать восстановление информации в информационной системе общего пользования, модифицированной или уничтоженной вследствие неправомерных действий в отношении такой информации. Время восстановления процесса предоставления информации пользователям не должно превышать 8 часов.

16. Реализация требований по обеспечению защиты информации в средствах защиты информации возлагается на их разработчиков.

17. При создании и эксплуатации информационных систем общего пользования должны выполняться следующие требования по защите информации:

17.1. В информационных системах общего пользования I класса:

использование средств защиты информации от неправомерных действий, в том числе средств криптографической защиты информации (электронной цифровой подписи, при этом средства электронной цифровой подписи обязательно должны применяться к публикуемому информационному наполнению), сертифицированных ФСБ России;

использование средств обнаружения вредоносного программного обеспечения, в том числе антивирусных средств, сертифицированных ФСБ России;

использование средств контроля доступа к информации, в том числе средств обнаружения компьютерных атак, сертифицированных ФСБ России;

использование средств фильтрации и блокирования сетевого трафика, в том числе средств межсетевого экранирования, сертифицированных ФСБ России;

осуществление записи и хранения сетевого трафика при обращении к государственным информационным ресурсам за десять и более последних дней и предоставление доступа к записям по запросам уполномоченных государственных органов, осуществляющих оперативно-розыскную деятельность;

обеспечение защиты от воздействий на технические и программные средства информационных систем общего пользования, в результате которых нарушается их функционирование, и несанкционированного доступа к помещениям, в которых находятся данные средства, с использованием технических средств охраны, в том числе систем видеонаблюдения, предотвращающих проникновение в помещения посторонних лиц;

осуществление регистрации действий обслуживающего персонала и пользователей;

обеспечение резервирования технических и программных средств, дублирования носителей и массивов информации;

использование сертифицированных в установленном порядке систем обеспечения гарантированного электропитания (источников бесперебойного питания);

введение в эксплуатацию только после направления оператором информационной системы общего пользования в ФСБ России уведомления о готовности ввода информационной системы общего пользования в эксплуатацию и ее соответствии настоящим Требованиям.

17.2. В информационных системах общего пользования II класса:

использование средств защиты информации от неправомерных действий, сертифицированных ФСБ России и (или) ФСТЭК России с учетом их компетенции, в том числе средств криптографической защиты информации (электронной цифровой подписи, при этом средства электронной цифровой подписи должны применяться к публикуемому информационному наполнению);

использование средств обнаружения вредоносного программного обеспечения, в том числе антивирусных средств, сертифицированных ФСБ России и (или) ФСТЭК России с учетом их компетенции;

использование средств контроля доступа к информации, в том числе средств обнаружения компьютерных атак, сертифицированных ФСБ России и (или) ФСТЭК России с учетом их компетенции;

использование средств фильтрации и блокирования сетевого трафика, в том числе средств межсетевого экранирования, сертифицированных ФСБ России и (или) ФСТЭК России с учетом их компетенции;

осуществление локализации и ликвидации неблагоприятных последствий нарушения порядка доступа к информации;

осуществление записи и хранения сетевого трафика при обращении к государственным информационным ресурсам за последние сутки и более и предоставление доступа к записям по запросам уполномоченных государственных органов, осуществляющих оперативно-разыскную деятельность;

обеспечение защиты от воздействий на технические и программные средства информационных систем общего пользования, в результате которых нарушается их функционирование, и несанкционированного доступа к помещениям, в которых находятся данные средства;

осуществление регистрации действий обслуживающего персонала;

обеспечение частичного резервирования технических средств и дублирования массивов информации;

Читайте так же:  Договор сдачи в аренду жилого помещения квартиры

использование систем обеспечения гарантированного электропитания (источников бесперебойного питания);

осуществление мониторинга их защищенности уполномоченным подразделением ФСБ России;

введение в эксплуатацию только после направления оператором информационной системы общего пользования в ФСТЭК России уведомления о готовности ввода информационной системы общего пользования в эксплуатацию и ее соответствии настоящим Требованиям.

1 Постановление Правительства Российской Федерации от 24 ноября 2009 г. N 953 «Об обеспечении доступа к информации о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти» (Собрание законодательства Российской Федерации, 2009, N 48, ст. 5832).

О важности комплексного подхода к защите информации

К свойствам безопасности информации относятся конфиденциальность, целостность, доступность, неотказуемость, достоверность, подотчётность и аутентичность:

  • конфиденциальность — информация недоступна третьим лицам;
  • целостность — информация не подвергалась искажению;
  • доступность — к информации есть непрерывный доступ;
  • неотказуемость — авторство информации можно доказать;
  • достоверность — информация соответствует эталонному поведению или состоянию;
  • подотчётность — состояния и жизненный цикл информации или информационной системы можно достоверно отследить;
  • аутентичность — в информацию гарантированно не вносились изменения.
  • Все меры по защите информации сводятся к тому, чтобы предотвратить нарушение вышеуказанных свойств.

    Опасности для информации

    Владельцы информационных систем, не придающие должного значения обеспечению защиты, рискуют утечкой, уничтожением или искажением важной информации, а также потенциальными судебными разбирательствами, денежными штрафами и ограничениями для бизнеса.

    Несмотря на кажущуюся нематериальность вопросов обработки и защиты информации в электронном виде, последствия легкомысленного отношения к безопасности данных вполне осязаемы: если сотрудник «сольёт» важную информацию конкуренту, компания может потерять деньги, а если в интернет «утечёт» база персональных данных клиентов, компания рискует стать фигурантом судебного разбирательства.

    Тема защиты информации, в том числе персональных данных клиентов, сейчас крайне актуальна. Сотрудники компаний, включая руководителей высшего и среднего звена, стремятся повысить свою квалификацию в области информационных технологий и способов защиты информации. Для этого по вопросу снижения рисков информационной безопасности проводятся конференции, воркшопы и лекции.

    Снижение рисков

    Единственный способ, который мог бы исключить вероятность утечки данных в электронной форме, — это отказ от обработки информации в электронном виде. Но такие радикальные меры в XXI веке уже неприменимы, потребители привыкли к электронным сервисам, взаимодействию через интернет и гаджетам. Работа с электронными данными неизбежна, значит, нужно эти риски снижать, усиливая защиту информации.

    Можно выделить несколько основных этапов защиты информации:

    1. Формирование требований по информационной безопасности.
    2. Создание системы защиты информации и её ввод в эксплуатацию.
    3. Эксплуатация и поддержание системы защиты информации в актуальном состоянии.

    Формирование требований к защите информации

    Чтобы сформировать требования к защите информации, первым делом нужно определить, существуют ли для вашей информационной системы критерии информационной безопасности, прописанные в законодательстве.

    На государственном уровне требования к обеспечению информационной безопасности отражены в нормативно-правовых актах ФСБ России и ФСТЭК России. Защита персональных данных регулируется Федеральным законом №152-ФЗ и должна осуществляться в соответствии с требованиями приказа ФСТЭК России от 18 февраля 2013 г. №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и Постановления Правительства РФ от 01.11.2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

    Если ваша система подпадает под действие перечисленных или иных законодательных актов, диктующих требования по защите информации, то все этапы защиты информации в вашей системе должны проводиться согласно требованиям соответствующих законов и подзаконных актов.

    Если ваша система не обрабатывает информацию, подлежащую защите по закону, то вы можете самостоятельно определить, какие сведения и от чего нужно защищать. Именно владелец информации (в данном случае — заказчик) принимает решение о том, какие свойства безопасности информации необходимо обеспечивать.

    Оценка угроз безопасности информации — важная задача, от качества выполнения которой зависит создание эффективной системы защиты.

    Неадекватная оценка рисков может привести к перерасходу средств на создание системы защиты или наоборот — к недостаточной эффективности построенной системы. Вряд ли нужно строить бункер с защитой от бомбёжки, чтобы обеспечить безопасность данных о постоянных клиентах продуктового магазина. Аналогично не стоит держать флешку со всеми финансовыми отчётами, подготовленными для вас аудиторской компанией, на столе в приёмной.

    Сформировать модель актуальных угроз можно как по методикам, предлагаемым ФСТЭК России, так и не следуя им в точности. В любом случае для получения качественного результата понадобится аналитик, который будет выполнять поставленную задачу в плотном контакте с компанией.

    На основе модели актуальных угроз формируются требования к системе защиты. Логика простая: есть актуальная угроза — её нужно нейтрализовать. Для нейтрализации угроз, связанных с компьютерными вирусами, понадобятся антивирусные средства. Для защиты от сетевых атак — средства защиты сети. Как правило, требования к системе защиты содержат не конкретные наименования средств защиты информации, а их описания с точки зрения функций.

    В итоге должен получиться перечень средств защиты с функциями, покрывающий перечень актуальных угроз.

    Реализация системы защиты

    После формирования требований к создаваемой системе защиты начинается этап её реализации. Подбираются средства защиты, создаются необходимые внутренние документы, всё это внедряется и настраивается, затем тестируется и запускается в эксплуатацию.

    Можно самостоятельно разобраться в мире средств защиты, но потребуется много времени и усилий, чтобы понять хитросплетения функций, совместимостей и форматов данных. Многие вендоры предлагают услуги по внедрению систем защиты под ключ, что экономит время и усилия, но может оказаться дороже, чем бюджетный «кастом», создаваемый из россыпи средств от разных производителей. Что выбрать — решать заказчику. Всё зависит от его возможностей и приоритетов, а также от сложности создаваемой системы.

    Внедрение, настройка, тестирование и ввод в эксплуатацию, как правило, не занимают много времени, если предварительное проектирование проведено качественно.

    Если специалистов по защите информации нет среди сотрудников организации, для создания системы защиты привлекаются компании, специализирующиеся на построении соответствующих систем в соответствии с Федеральным законом №152-ФЗ. Одна из таких компаний — МРП-Интеллектуальные машины, предоставляющая полный комплекс услуг по защите персональных данных. Такой путь решения задачи отличается сравнительно большими единовременными вложениями при небольших регулярных затратах (регулярно придется платить только за некоторые лицензии, например за антивирус).

    В качестве альтернативного варианта компании прибегают к так называемой безопасности в виде сервиса (Security as a Service — SecaaS). Сервисная модель позволяет решать задачу защиты информации на постоянной основе, не вкладываясь в наём дорогостоящих специалистов по информационной безопасности и минимизируя единовременные вложения во внедрение средств защиты. Сервисная модель, как правило, не требует крупных вложений на старте, но регулярные затраты будут более высокими, чем при создании собственной системы защиты информации.

    Всё? Моя информация защищена?

    Не совсем. Обеспечение информационной безопасности — непрерывный процесс. После начала промышленной эксплуатации необходимо выполнить ряд действий для эффективной защиты информации:

    • изучить и довести до сотрудников содержание инструкций по защите информации;
    • назначить лиц, ответственных за соблюдение условий и правил эксплуатации средств защиты;
    • регулярно обновлять программное обеспечение средств защиты, а также базы вирусных и сетевых угроз;
    • анализировать события безопасности, дорабатывать и настраивать системы защиты с учётом результатов анализа.

    Выполнение указанных мероприятий не менее важно, чем правильность изначального решения по защите информации. Эффективность защиты информации напрямую зависит от правильной настройки средств защиты и актуальности версий их программного обеспечения, а также от соблюдения пользователями правил работы со средствами защиты.

    Подводим итоги

    Почти любая современная компания так или иначе связана с информационными технологиями, определенные её процессы работают с использованием программных продуктов и телекоммуникационных сетей.

    Новые уязвимости, вирусы, атаки появляются каждый день. Для защиты от них регулярно выпускаются обновления программного обеспечения и баз данных, своевременная установка которых необходима и обязательна. Масштаб и схема работы системы должны постоянно изменяться в соответствии с изменениями объёмов информации и требований к её защите.

    На мой взгляд, время, когда компании, не связанные с IT-сферой, могли игнорировать вопросы защиты информации, подходит к концу. Необходимо оценивать важность информационных ресурсов для функционирования процессов и адекватно защищать их.

    Концепция обеспечения информационной безопасности предприятия

    Настоящий документ представляет собой концепцию обеспечения информационной безопасности предприятия и определяет:

    Общие положения

    СОИБ предприятия представляет собой совокупность мер организационного и программно-технического уровня, направленных на защиту информационных ресурсов предприятия от угроз информационной безопасности. Меры защиты организационного уровня реализуются путем проведения соответствующих мероприятий, предусмотренных документированной политикой информационной безопасности. Меры защиты программно-технического уровня реализуются при помощи соответствующих программно-технических средств и методов защиты информации.

    Экономический эффект от внедрения СОИБ должен проявляться в виде снижения величины возможного материального, репутационного и иных видов ущерба, наносимого предприятию, за счет использования мер, направленных на формирование и поддержание режима ИБ. Эти меры призваны обеспечить:

    Концепция ИБ предприятия определяет состав критичных информационных ресурсов и основные принципы их защиты. Принципы обеспечения ИБ обуславливают необходимость применения определенных методов и технологий защиты. Определение способов реализации этих принципов путем применения конкретных программно-технических средств защиты информации (СЗИ) и системы организационных мероприятий является предметом конкретных проектов и политик информационной безопасности, разрабатываемых на основе данной Концепции.

    Настоящая концепция должна пересматриваться по мере выявления новых методов и технологий осуществления атак на информационные ресурсы. Подобный пересмотр также должен производиться по мере развития информационных систем (ИС) предприятия. Рекомендуемый срок пересмотра концепции составляет три года (при условии отсутствия коренных изменений в структуре системы, в технологиях управления и передачи информации).

    Подготовка настоящего документа, внесение в него изменений и общий контроль выполнения требований по обеспечению ИБ предприятия осуществляется сотрудниками отдела ИБ предприятия.

    Ответственность за выполнение требований ИБ, определяемых настоящей Концепцией и другими организационно-распорядительными документами предприятия, возлагается на пользователей и администраторов корпоративной сети передачи данных предприятия, а также их руководителей.

    Перечень необходимых мер защиты информации определяется по результатам аудита информационной безопасности ИС предприятия и анализа рисков с учетом соотношения затрат на защиту информации с возможным ущербом от ее разглашения, утраты, уничтожения, искажения, нарушения доступности информации и работоспособности программно-технических средств, обрабатывающих эту информацию.

    Стратегия обеспечения ИБ должна строиться в соответствии с Российским законодательством в области защиты информации, требованиями международных, отраслевых и технологических стандартов.

    Настоящая концепция разработана на основе нормативных и распорядительных документов в области информационной безопасности Российской Федерации.

    Описание объекта защиты

    Объектом защиты являются автоматизированные системы (как собственной, так и сторонней разработки), входящие в состав информационной системы предприятия.

    Информационная система предприятия представляет собой совокупность территориально разнесенных объектов, информационный обмен между которыми осуществляется посредством использования открытых каналов связи, предоставленных сторонними операторами электросвязи. Передача информации осуществляется в кодированном виде на основе протокола кодирования, проверки целостности и конфиденциальности информационных потоков HASH64. Кодирование входящих и исходящих информационных потоков осуществляется на магистральных маршрутизаторах.

    Назначение и основные функции информационной системы

    ИС предназначена для обеспечения работоспособности информационной инфраструктуры предприятия, предоставления сотрудникам структурных подразделений различных видов информационных сервисов, автоматизации финансовой и производственной деятельности, а также бизнес-процессов предприятия.

    Группы задач, решаемых в информационной системе

    Корпоративная сеть предприятия предназначена для обеспечения автоматизации бизнес процессов организационной структуры предприятия. Решение функциональных задач реализуется на базе информационной инфраструктуры корпоративной сети с использованием специализированных программных приложений и общедоступных информационных сервисов.

    К специализированным приложениям относится система бухгалтерского учета, геоинформационная система, а также система электронного документооборота на базе сервисного программного обеспечения Lotus Notes Server.

    К общедоступным сетевым сервисам относятся средства обработки информационных потоков на сетевом и операционном уровне, такие как:

    Классификация пользователей системы

    Пользователем ИС является любой сотрудник предприятия, зарегистрированный в сети, в соответствии с установленным порядком, и прошедший идентификацию в службе каталогов, которому предоставляется доступ к информационным ресурсам корпоративной сети и приложениям, в соответствии с его должностными обязанностями.

    Доступ к специализированным автоматизированным системам утверждается руководством департамента ИТ в соответствии должностными инструкциями, утвержденными руководством предприятия.

    Особую категорию пользователей корпоративной сети составляет руководство предприятия. АРМ данной категории пользователей подключены к ИС и нуждаются в использовании дополнительных (усиленных) мер защиты информации, с целью предотвращения кражи информации, составляющей коммерческую тайну предприятия.

    Организационная структура обслуживающего персонала

    Административно-техническая поддержка ИС предприятия осуществляется департаментом информационных технологий, в состав которого входят:

    Структура и состав комплекса программно-технических средств

    ИС объекта защиты включает в себя корпоративную сеть предприятия в составе:

    Корпоративная сеть предприятия

    В качестве базового сетевого протокола в корпоративной сети используется протокол TCP/IP.

    Используемая схема распределения адресного пространства маркируется следующим образом 10.x.y.z, где: x – номер филиала; y – номер виртуальной сети (VLAN) внутри филиала; z – номер устройства внутри виртуальной сети.

    Серверы

    Серверная группа корпоративной сети работает под управлением ОС Microsoft Windows. Функционально она подразделяется на серверы поддержки специализированных приложений, серверы поддержки общедоступных сервисов и серверы, поддерживающие технологические службы корпоративной сети.

    Рабочие станции

    К информационной системе предприятия подключены автоматизированные рабочие места пользователей, функционирующих на базе ОС Microsoft Windows XP.

    Линии связи и активное сетевое оборудование

    Основу ИС составляет стек коммутаторов Cisco Catalyst, производства компании Cisco Systems Inc.

    Выделенные магистральные каналы обмена данными используются для обеспечения внешнего информационного взаимодействия ИС с филиалами предприятия, районными эксплуатационными службами, а также для доступа к глобальной информационной сети Интернет.

    Виды информационных ресурсов, хранимых и обрабатываемых в системе

    В ИС предприятия хранятся и обрабатываются различные виды открытой и служебной конфиденциальной информации.

    К конфиденциальной и служебной информации, циркулирующей в КСПД, относятся:

    К строго конфиденциальной информации, которая потенциально может циркулировать в ИС, относятся сведения стратегического характера, разглашение которых может привести к срыву выполнения функций предприятия, прямо влияющих на его жизнедеятельность и развитие, нанести невосполнимый ущерб деятельности и престижу предприятия, сорвать решение стратегических задач, проводимой ей политики и, в конечном счете, привести к ее краху.

    К категории открытой относится вся прочая информация, не относящаяся к конфиденциальной.

    Структура информационных потоков

    Внутренние информационные потоки

    Внутри ИС выделяются следующие информационные потоки:

    Внешние информационные потоки

    В качестве внешних информационных потоков используются:

    Характеристика каналов взаимодействия с другими системами и точек входа

    В ИС предприятия используются следующие каналы взаимодействия с внешними сетями:

    Защита подключений к внешним сетям осуществляется при помощи МЭ и встроенных средств защиты магистрального роутера.

    Доступ к информационным ресурсам сети Интернет открыт для всех пользователей ИС, посредством использования кеширующего прокси сервера на основе программного обеспечения Squid.

    Основные факторы, влияющие на информационную безопасность предприятия

    Основными факторами, влияющими на информационную безопасность предприятия, являются:

    Основные принципы обеспечения информационной безопасности

    Построение архитектуры СОИБ предприятия должно базироваться на соблюдении следующих основных принципов обеспечения ИБ:

    Непрерывность защиты в пространстве и времени, невозможность обхода защитных средств – системы должны находиться в защищенном состоянии на протяжении всего времени их функционирования. В соответствии с этим принципом принимаются меры по недопущению перехода систем в незащищенное состояние.

    Разделение обязанностей между администраторами корпоративной сети, определяется должностными инструкциями и регламентами администрирования.

    Организация работ по защите информации

    Организация и проведение работ по обеспечению ИБ предприятия определяются настоящей концепцией, действующими государственными и международными стандартами и другими нормативными и методическими документами.

    Организация работ по обеспечению ИБ возлагается на руководителя департамента информационных технологий, осуществляющего эксплуатацию и сопровождение ИС, а методическое руководство и контроль над эффективностью предусмотренных мер защиты информации — на руководителя отдела ИБ предприятия.

    Читайте так же:  Дарственная на гараж между родственниками

    Эксплуатация ИС предприятия осуществляется в полном соответствии с утвержденной организационно-распорядительной и эксплуатационной документацией, с учетом требований и положений, изложенных в соответствующих разделах настоящего документа.

    Комплекс мер по защите информации на предприятии включает в себя следующие мероприятия:

    Техническая инфраструктура СОИБ предназначена для решения следующих задач:

    Меры обеспечения информационной безопасности

    Меры обеспечения информационной безопасности организационного уровня

    СОИБ реализуется путем сочетания мер организационного и программно-технического уровней. Организационные меры состоят из мер административного уровня и процедурных мер защиты информации. Основой мер административного уровня, то есть мер, предпринимаемых руководством предприятия, является политика информационной безопасности. Под политикой информационной безопасности понимается совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов.

    Политика безопасности определяет стратегию предприятия в области ИБ, а также ту меру внимания и количество ресурсов, которую руководство считает целесообразным выделить.

    Политика безопасности предприятия определяется настоящим документом, а также другими нормативными и организационно-распорядительными документами предприятия, разрабатываемыми на основе настоящей концепции. К числу таких документов относятся следующие:

    Меры обеспечения информационной безопасности процедурного уровня

    К процедурному уровню относятся меры безопасности, реализуемые сотрудниками предприятия. Выделяются следующие группы процедурных мер, направленных на обеспечение информационной безопасности:

    В рамках управления персоналом для каждой должности должны существовать квалификационные требования по информационной безопасности. В должностные инструкции должны входить разделы, касающиеся защиты информации. Каждого сотрудника предприятия необходимо обучить мерам обеспечения информационной безопасности теоретически и отработать выполнение этих мер практически.

    Информационная безопасность ИС предприятия зависит от окружения, в котором она работает. Необходимо принять меры для обеспечения физической защиты зданий и прилегающей территории, поддерживающей инфраструктуры и самих компьютеров.

    При разработке проекта СОИБ предполагается адекватная реализация мер физической защиты офисных зданий и других помещений, принадлежащих предприятию, по следующим направлениям:

    Предполагается также адекватная реализация следующих направлений поддержания работоспособности:

    Программа информационной безопасности должна предусматривать набор оперативных мероприятий, направленных на обнаружение и нейтрализацию нарушений режима безопасности. Важно, чтобы в подобных случаях последовательность действий была спланирована заранее, поскольку меры нужно принимать срочные и скоординированные.

    Реакция на нарушения режима информационной безопасности преследует две главные цели:

    На предприятии должен быть выделен сотрудник, доступный 24 часа в сутки, отвечающий за реакцию на нарушения. Все пользователи ИС должны знать координаты этого человека и обращаться к нему при первых признаках опасности. В случае невозможности связи с данным сотрудником, должны быть разработаны и внедрены процедуры первичной реакции на информационный инцидент.

    Планирование восстановительных работ позволяет подготовиться к авариям ИС, уменьшить ущерб от них и сохранить способность к функционированию, хотя бы в минимальном объеме.

    Механизмы контроля, существенные для предприятия с юридической точки зрения, включают в себя:

    В соответствии с международным стандартом ISO 17799, а также руководящими документами ФСТЭК, ключевыми также являются следующие механизмы контроля:

    Меры обеспечения информационной безопасности программно-технического уровня Программно-технические средства защиты располагаются на следующих рубежах:

    На программно-техническом уровне выполнение защитных функций ИС осуществляется следующими служебными сервисами обеспечения информационной безопасности:

    На внешнем рубеже информационного обмена располагаются средства выявления злоумышленной активности и контроля защищенности. Далее идут межсетевые экраны, защищающие внешние подключения. Они, вместе со средствами поддержки виртуальных частных сетей, объединяемых с межсетевыми экранами, образуют внешний периметр информационной безопасности, отделяющий информационную систему предприятия от внешнего мира.

    Сервис активного аудита СОИБ (как и управление) должен присутствовать во всех критически важных компонентах и, в частности, в защитных. Это позволит быстро обнаружить атаку, даже, если по каким-либо причинам, она окажется успешной. Управление доступом также должно присутствовать на всех сервисах, функционально полезных и инфраструктурных. Доступу пользователя к ИС предприятия должна предшествовать идентификация и аутентификация субъектов информационного обмена (пользователей и процессов).

    Средства шифрования и контроля целостности информации, передаваемой по каналам связи, целесообразно выносить на специальные шлюзы, где им может быть обеспечено квалифицированное администрирование.

    Последний рубеж образуют средства пассивного аудита, помогающие оценить последствия реализации угроз информационной безопасности, найти виновного, выяснить, почему успех атаки стал возможным.

    Расположение средств обеспечения высокой доступности определяется критичностью соответствующих сервисов или их компонентов.

    Распределение ответственности и порядок взаимодействия

    Ответственным за разработку мер и контроль над обеспечением защиты информации является руководитель УИТ. Специалистами УИТ осуществляются следующие виды работ по защите информации:

    Наряду с УИТ, в разработке и согласовании организационно-распорядительных и нормативных документов по защите информации, включая составление перечней информационных ресурсов подлежащих защите, также участвуют следующие подразделения предприятия:

    Квалификационные требования, предъявляемые к сотрудникам подразделений, отвечающих за обеспечение ИБ, содержатся в должностных инструкциях. Специалисты по защите информации должны проходить регулярную переподготовку и обучение.

    Предоставление, изменение, отмена и контроль доступа к ресурсам корпоративной сети передачи данных производится сотрудниками УИТ исключительно по утвержденным заявкам, в соответствии с «Политикой предоставления доступа пользователей в КСПД».

    Сотрудники УИТ отвечают за осуществление настройки параметров информационной безопасности серверов и рабочих станций корпоративной сети передачи данных, в соответствии с утвержденными корпоративными стандартами, определяющими требуемые уровни обеспечения защиты информации для различных структурных и функциональных компонентов корпоративной сети. ОТиИБ УИТ отвечает за разработку соответствующих спецификаций и рекомендаций по настройке параметров безопасности, а также за осуществление контроля их исполнения.

    Обеспечение внешних подключений корпоративной сети передачи данных предприятия к сети Интернет и другим внешним сетям, предоставление сотрудникам удаленного доступа к корпоративной сети и организация VPN-каналов связи осуществляется сотрудниками УИТ с соблюдением требований информационной безопасности, определяемых «Политикой предоставления доступа к ресурсам сети Интернет» и «Политикой управления доступом к информационным ресурсам КСПД».

    Договоры на обслуживание клиентов заключаются по утвержденной типовой форме функциональными подразделениями. Если договоры предполагают электронное обслуживание с использованием технологических ресурсов предприятия, то организация и контроль процедур безопасности осуществляется сотрудниками ОТиИБ УИТ.

    При взаимодействии со сторонними организациями в случаях, когда сотрудникам этих организаций предоставляется доступ к конфиденциальной информации, либо к ИС предприятия, с этими организациями должно быть заключено «Соглашение о конфиденциальности», либо «Соглашение о соблюдении режима ИБ при выполнении работ в ИС». Подготовка типовых вариантов этих соглашений осуществляется УИТ предприятия, совместно с юридическим управлением.

    Порядок категорирования защищаемой информации

    Различаются следующие категории информационных ресурсов, подлежащих защите в предприятия:

    Первые четыре категории информации представляют собой сведения ограниченного распространения, для которых в качестве основной угрозы безопасности рассматривается нарушение конфиденциальности информации путем раскрытия ее содержимого третьим лицам, не допущенным в установленном порядке к работе с этой информацией.

    К последней категории «критичных» данных, относятся информационные ресурсы предприятия, нарушение целостности или доступности которых может привести к сбоям функционирования ИС либо бизнес подразделений.

    В первую очередь к коммерческой информации относятся:

    Правила отнесения информации к коммерческой тайне и порядок работы с документами, составляющими коммерческую тайну, определяются «Инструкцией по обеспечению режима конфиденциальности», «Положением о конфиденциальности», а также «Перечнем конфиденциальных сведений».

    Подходы к решению проблемы защиты информации на предприятии, в общем виде, сводятся к исключению неправомерных или неосторожных действий со сведениями, относящимися к информации ограниченного распространения, а также с информационными ресурсами, являющимися критичными для обеспечения функционирования бизнес процессов предприятия. Для этого выполняются следующие мероприятия:

    Форма подписки о неразглашении конфиденциальной информации содержится в трудовом договоре, который подписывается всеми сотрудниками при приеме на работу.

    Защита конфиденциальной информации, принадлежащей третьей стороне, осуществляется на основании договоров, заключаемых Компанией с другими организациями.

    Персональные данные работника – информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.

    На предприятии должен быть документально оформлен «Перечень конфиденциальных сведений». Все работники должны быть ознакомлены с этим перечнем в части их касающейся.

    Ответственность за составление «Перечня конфиденциальных сведений» несет руководитель УИТ.

    Модель нарушителя информационной безопасности

    Под нарушителем ИБ понимается лицо, которое в результате умышленных или неумышленных действий может нанести ущерб информационным ресурсам предприятия.

    Под атакой на ресурсы корпоративной сети понимается попытка нанесения ущерба информационным ресурсам систем, подключенных к сети. Атака может осуществляться как непосредственно нарушителем, так и опосредованно, при помощи процессов, выполняющихся от лица нарушителя, либо путем внедрения в систему программных или аппаратных закладок, компьютерных вирусов, троянских программ и т. п.

    В соответствии с моделью, все нарушители по признаку принадлежности к подразделениям, обеспечивающим функционирование ИС, делятся на внешних и внутренних.

    Внутренние нарушители

    Внутренним нарушителем может быть лицо из следующих категорий сотрудников обслуживающих подразделений:

    Предполагается, что несанкционированный доступ на объекты системы посторонних лиц исключается мерами физической защиты (охрана территории, организация пропускного режима и т. п.).

    Предположения о квалификации внутреннего нарушителя формулируются следующим образом:

    В зависимости от способа осуществления доступа к ресурсам системы и предоставляемых им полномочий внутренние нарушители подразделяются на пять категорий.

    Категория А: не зарегистрированные в системе лица, имеющие санкционированный доступ в помещения с оборудованием. Лица, относящиеся к категории А могут: иметь доступ к любым фрагментам информации, распространяющейся по внутренним каналам связи корпоративной сети; располагать любыми фрагментами информации о топологии сети, об используемых коммуникационных протоколах и сетевых сервисах; располагать именами зарегистрированных пользователей системы и вести разведку паролей зарегистрированных пользователей.

    Категория B: зарегистрированный пользователь системы, осуществляющий доступ к системе с удаленного рабочего места. Лица, относящиеся к категории B: располагают всеми возможностями лиц, относящихся к категории А; знают, по крайней мере, одно легальное имя доступа; обладают всеми необходимыми атрибутами, обеспечивающими доступ к системе (например, паролем); имеют санкционированный доступ к информации, хранящейся в БД и на файловых серверах корпоративной сети, а также на рабочих местах пользователей. Полномочия пользователей категории B по доступу к информационным ресурсам корпоративной сети предприятия должны регламентироваться политикой безопасности, принятой на предприятии.

    Категория C: зарегистрированный пользователь, осуществляющий локальный либо удаленный доступ к системам входящим в состав корпоративной сети. Лица, относящиеся к категории С: обладают всеми возможностями лиц категории В; располагают информацией о топологии сети, структуре БД и файловых систем серверов; имеют возможность осуществления прямого физического доступа к техническим средствам ИС.

    Категория D: зарегистрированный пользователь системы с полномочиями системного (сетевого) администратора. Лица, относящиеся к категории D: обладают всеми возможностями лиц категории С; обладают полной информацией о системном и прикладном программном обеспечении ИС; обладают полной информацией о технических средствах и конфигурации сети; имеют доступ ко всем техническим и программным средствам ИС и обладают правами настройки технических средств и ПО. Концепция безопасности требует подотчетности лиц, относящихся к категории D и осуществления независимого контроля над их деятельностью.

    Категория E: программисты, отвечающие за разработку и сопровождение общесистемного и прикладного ПО, используемого в ИС. Лица, относящиеся к категории E: обладают возможностями внесения ошибок, программных закладок, установки троянских программ и вирусов на серверах корпоративной сети; могут располагать любыми фрагментами информации о топологии сети и технических средствах ИС.

    Внешние нарушители

    К внешним нарушителям относятся лица, пребывание которых в помещениях с оборудованием без контроля со стороны сотрудников предприятия невозможно.

    Внешний нарушитель: осуществляет перехват, анализ и модификацию информации, передаваемой по линиям связи, проходящим вне контролируемой территории; осуществляет перехват и анализ электромагнитных излучений от оборудования ИС.

    Предположения о квалификации внешнего нарушителя формулируются следующим образом:

    При использовании модели нарушителя для анализа возможных угроз ИБ необходимо учитывать возможность сговора между внутренними и внешними нарушителями.

    Модель угроз информационной безопасности

    Защита информационных компонентов и группы угроз

    В качестве объектов защиты, рассматриваемых в рамках настоящей концепции, выступают следующие виды информационных ресурсов предприятия:

    Исходя из перечисленных свойств, все угрозы информационным ресурсам системы можно отнести к одной из следующих категорий:

    Угрозы безопасности информационных ресурсов, сточки зрения реализации, можно разделить на следующие группы:

    Угрозы, реализуемые с использованием технических средств

    Общее описание

    Технические средства системы включают в себя приемо-передающее и коммутирующее оборудование, оборудование серверов и рабочих станций, а также линии связи. К данному классу относятся угрозы доступности, целостности и, в некоторых случаях конфиденциальности информации, хранимой, обрабатываемой и передаваемой по каналам связи системы, связанные с повреждениями и отказами технических средств ИС, приемо-передающего и коммутирующего оборудования и повреждением линий связи.

    Для технических средств характерны угрозы, связанные с их умышленным или неумышленным повреждением, ошибками конфигурации и выходом из строя:

    В качестве источников угроз безопасности для технических средств системы выступают как внешние и внутренние нарушители, так и природные явления. Среди источников угроз для технических средств можно отметить:

    Угрозы, реализуемые с использованием программных средств

    Это наиболее многочисленный класс угроз конфиденциальности, целостности и доступности информационных ресурсов, связанный с получением НСД к информации, хранимой и обрабатываемой в системе, а также передаваемой по каналам связи, при помощи использования возможностей, предоставляемых ПО ИС. Большинство рассматриваемых в этом классе угроз реализуется путем осуществления локальных или удаленных атак на информационные ресурсы системы внутренними и внешними злоумышленниками. Результатом успешного осуществления этих угроз становится получение НСД к информации БД и файловых систем корпоративной сети, данным, хранящимся на АРМ операторов, конфигурации маршрутизаторов и другого активного сетевого оборудования.

    Виды угроз

    В этом классе рассматриваются следующие основные виды угроз:

    Отдельно следует рассмотреть угрозы, связанные с использованием сетей передачи данных. Данный класс угроз характеризуется получением внутренним или внешним нарушителем сетевого доступа к серверам БД и файловым серверам, маршрутизаторам и активному сетевому оборудованию. Здесь выделяются следующие виды угроз, характерные для КСПД предприятия:

    Источники угроз

    В качестве источников угроз безопасности для технических средств системы выступают как внешние и внутренние нарушители.

    Угрозы утечки информации по техническим каналам связи

    Виды технических каналов утечки информации

    При проведении работ с использованием конфиденциальной информации и эксплуатации технических средств ИС возможны следующие каналы утечки или нарушения целостности информации или работоспособности технических средств:

    Наибольшую опасность в настоящее время представляют технические средства разведки:

    Кроме перехвата информации техническими средствами разведки возможно непреднамеренное попадание конфиденциальной информации к лицам, не допущенным к ней, но находящимся в пределах контролируемой зоны. Утечка информации возможна по следующим каналам:

    В качестве проводных линий при передаче информации к внешним средствам регистрации могут быть использованы:

    При применении лазерной аппаратуры дистанционного прослушивания, фиксирующей информативные колебания стекол в окнах помещений, возможен съем акустической информации из выделенных помещений, в которых установлены элементы системы.

    Источники угроз

    В качестве источников угроз безопасности для технических средств системы выступают как внешние и внутренние нарушители, оснащенные специализированными средствами технической разведки.

    Требования по обеспечению информационной безопасности

    Требования к составу основных подсистем СОИБ

    В состав СОИБ должны входить следующие подсистемы:

    Требования к подсистеме управления политикой безопасности

    Подсистема управления политикой ИБ предназначена для поддержания в актуальном состоянии политик и других организационно-распорядительных документов по обеспечению ИБ, ознакомление всех пользователей и технического персонала ИС с содержанием этих документов, контроля осведомленности и контроля выполнения требований политики безопасности и других регламентирующих документов. Всем сотрудникам предприятия предоставляется персонифицированный доступ к внутреннему информационному Web-серверу, на котором публикуются действующие нормативные документы, списки контрольных (проверочных) вопросов, предназначенных для контроля осведомленности, а также Web-формы для составления сообщений и отчетов об инцидентах, связанных с нарушением правил политики безопасности.

    Подсистема управления политикой безопасности должна: