|
Меры по защите информации на объекте информатизации. Использование средств защиты информации. Реестр ФСТЭК России
Формирование перечня достаточных мер защиты информации должно осуществляться по результатам обследования объекта информатизации и на основании сформулированных требований по защите информации. Перечень мер необходимо подбирать с учетом соотношения затрат на их реализацию и размера возможного ущерба от нарушения целостности, доступности и конфиденциальности информации, а также нарушения работоспособности технических средств, обрабатывающих эту информацию.
Меры по защите информации используются в двух основных направлениях:
- обеспечение защиты информации от хищения, утраты, утечки, уничтожения, искажения и блокирования за счет несанкционированного доступа и специальных воздействий;
- обеспечение защиты информации от утечки по техническим каналам при ее воспроизведении, обработке, хранении или передаче по каналам связи.
Для защиты информации ограниченного доступа, обрабатываемой на объекте информатизации, могут применяться организационные и технические меры по защите информации. Напомним, что организационные меры по защите информации - меры по защите информации, предусматривающие установление временных, территориальных, пространственных, правовых, методических и иных ограничений на условия использования и режимы работы объекта информатизации. Технические меры по защите информации – меры по защите информации, предусматривающие обеспечение некриптографическими методами безопасности информации (данных), подлежащей защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств.
В общем, для защиты информации ограниченного доступа могут применяться организационные меры, например, такие как:
- Расширение границ контролируемой зоны на период проведения конфиденциальных переговоров, а также обработки информации техническими средствами. Однако при этом необходимо принять дополнительные организационно-режимные и технические меры, исключающие или существенно затрудняющие утечку информации.
- Формирование перечня объектов информатизации, в том числе защищаемых помещений, а также перечня должностных лиц, ответственных за поддержание требуемого уровня защищенности объекта информатизации и за эксплуатацию объекта информатизации в соответствии с установленными требованиями по защите информации.
- Издание приказа о запрете использования сотовых телефонов, диктофонов, магнитофонов, прочих средств аудио и видеозаписи, а также оконечных устройств связи во время проведения конфиденциальных совещаний в защищаемом помещении
- В случае наличия в защищаемом помещении телефонных или факсимильных аппаратов с функцией автоответчика, спикерфона, автоматического определителя номера - издание приказа о выключении данных устройств из сети на время проведения конфиденциальных совещаний
- Ограничение доступа посторонних лиц на период проведения конфиденциальных совещаний в места возможного прослушивания разговоров, ведущихся в защищаемом помещении
- Издание приказа или разработка инструкции ответственному за эксплуатацию объекта информатизации с указанием перечня обязательных для выполнения организационных мероприятий, таких как, например, запирание, а также возможно и опечатывание дверей объекта информатизации в нерабочее время; вскрытие и закрытие помещения объекта информатизации лицами, работающими в нем или ответственными за это помещение; проведение уборки помещения, ремонтных работ, замены технических средств и предметов интерьера должно осуществляться только в присутствии ответственного за это помещение. Замена основных технических средств и систем или вспомогательных технических средств и систем должна быть согласована со специалистом, ответственным за защиту информации в организации.
- Оформление перечня сведений конфиденциального характера и ознакомление сотрудников, осуществляющих работы с защищаемой информацией, в части их касающейся
- Разработка разрешительной системы доступа пользователей.
- Ограничение доступа сотрудников, не допущенных к защищаемой информации, а также посторонних лиц в помещения, где размещены объекты информатизации, а также хранятся носители информации.
- Размещение дисплеев и других средств отображения информации таким образом, чтобы исключить несанкционированный или непреднамеренный просмотр защищаемой информации.
- Организация физической охраны здания или помещений объектов информатизации для предотвращения несанкционированного проникновения в здание или исключения проноса (провоза) средств, используемых для незаконного получения защищаемой информации.
- Классификация автоматизированной системы.
- Доведение под роспись до сотрудников, ответственных за защиту информации в организации и на объекте информатизации, в части их касающейся, нормативно-правовых актов, методических и руководящих документов по защите информации, действующих в организации.
- Определение в организации порядка учета, хранения, а также уничтожения носителей защищаемой информации.
- В соответствии с Указом Президента РФ "О мерах по обеспечению информационной безопасности РФ при использовании информационно-телекоммуникационных сетей международного информационного обмена" от 17.03.2008 № 351 издание приказа о запрете подключения информационных систем, информационно-телекоммуникационных сетей и средств вычислительной техники, применяемых для хранения, обработки или передачи информации, обладателями которой являются государственные органы и которая содержит сведения, составляющие служебную тайну, к информационно-телекоммуникационным сетям, позволяющим осуществлять передачу информации через государственную границу РФ, в том числе к международной компьютерной сети "Интернет". Либо использование технической меры, указанной ниже в п. 17
- Прочие меры, которые могут быть реализованы в организации без ущерба для нормального функционирования объекта информатизации и работ сотрудников.
- В общем, для защиты информации ограниченного доступа могут применяться технические меры, например, такие как:
- Использование сертифицированных по требованиям безопасности информации технических средств обработки и передачи информации, либо технических средств, прошедших специальные исследования и имеющих предписание на эксплуатацию.
- Использование сертифицированных по требованиям безопасности информации технических, программных и программно-аппаратных средств активной защиты информации.
- Проведение работ по выявлению электронных устройств негласного получения информации ("закладок") в технических средствах обработки информации, а также в основных технических средствах и системах или вспомогательных технических средствах и системах, установленных в защищаемом помещении, и в ограждающих конструкциях защищаемого помещения. Такие работы имеют право проводить организации-лицензиаты, имеющие соответствующую лицензию ФСБ России.
- Выбор или строительство помещений, в которых размещается объект информатизации и (или) являющихся защищаемым помещением, на максимальном удалении от границ контролируемой зоны. По возможности такие помещения не должны иметь окон, а также не должны быть смежными с помещениями других организаций.
- Использование на окнах помещений, в которых расположены объекты информатизации и (или) являющихся защищаемым помещением, плотных штор либо жалюзи.
- При необходимости установки в защищаемом помещении средств телефонной связи – использовать аналоговые телефонные аппараты.
- Построение систем пожарной и охранной сигнализации объекта информатизации по проводной схеме сбора информации (связи с пультом). Размещение данных систем, по возможности, в пределах одной контролируемой зоны с объектом информатизации.
- Использование специальных материалов для облицовки стен, для пола и потолка, повышающих звукоизоляцию защищаемого помещения.
- Оборудование входных групп защищаемого помещения тамбуром, двойными дверями, использование уплотнительных прокладок в дверных проемах.
- Установка в защищаемом помещении окон с двойным, тройным остеклением, использование уплотнительных прокладок в оконных рамах.
- Использование специальных звукоизолирующих экранов на элементах систем отопления и вентиляции.
- Внедрение разрешительной системы доступа пользователей.
- Регистрация действий пользователей автоматизированной системы и обслуживающего персонала, контроль за несанкционированным доступом и действиями пользователей, обслуживающего персонала и посторонних лиц.
- Использование защищённых каналов передачи информации.
- Внедрение системы контроля и управления доступом для предотвращения несанкционированного проникновения в здание или исключения проноса (провоза) средств, используемых для незаконного получения защищаемой информации
- В случае межсетевого взаимодействия локальной вычислительной сети, как объекта информатизации, с другой автоматизированной системой - применение сертифицированного межсетевого экрана
- При необходимости подключения информационных систем, информационно-телекоммуникационных сетей и средств вычислительной техники, применяемых для хранения, обработки или передачи информации, обладателями которой являются государственные органы и которая содержит сведения, составляющие служебную тайну, использовать средства защиты информации, в том числе шифровальные (криптографические) средства, прошедшие в установленном законодательством Российской Федерации порядке сертификацию в ФСБ России и (или) получивших подтверждение соответствия во ФСТЭК России.
- Прочие меры, которые могут быть реализованы в организации без ущерба для нормального функционирования объекта информатизации и работ сотрудников.
При необходимости указанный минимальный набор организационно-технических мер защиты информации может быть дополнен по решению руководителя организации, принимаемому совместно со специалистами органа по аттестации.
Далее, остановимся более подробно на защите информации от несанкционированного доступа. Мероприятия по защите информации от несанкционированного доступа должны осуществляться взаимосвязано с мероприятиями по специальной защите основных и вспомогательных средств вычислительной техники, средств и систем связи от утечки по техническим каналам. Несанкционированный доступ определяется как доступ к информации, нарушающий установленные правила разграничения доступа, с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированной системой. Под штатными средствами понимается совокупность программного, микропрограммного и технического обеспечения средств вычислительной техники или автоматизированной системы, в соответствии с руководящим документом "Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации", утвержденным решением Государственной технической комиссии при Президенте Российской Федерации от 30.03.1992 г.
В общем случае, основываясь на руководящем документе "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации", утвержденном решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30.03.1992 г., считаем, что комплекс программно-технических средств и организационных (процедурных) решений по защите информации от несанкционированного доступа реализуется в рамках системы защиты информации от несанкционированного доступа, условно состоящей из следующих четырех подсистем:
Подсистема управления доступом. Предназначена для защиты объекта информатизации от сторонних пользователей, не имеющих прав доступа к ОИ и пытающихся осуществить несанкционированный доступ к информации, а также для управления доступом уполномоченных пользователей к объекту информатизации в соответствии с правилами разграничения доступа. Обеспечивается процедурами идентификации и аутентификации пользователей при попытке получения доступа к информации на объекте информатизации. На основе правил разграничения доступа реализуются, как правило, дискреционный принцип управления доступом либо мандатный, но могут применяться и иные принципы.
При дискреционном принципе управления доступом каждый уполномоченный пользователь получает доступ только к разрешенному перечню объектов (массивов, баз данных, файлов, программ и т.д.) исходя из заданных разрешений в правилах разграничения доступа.
При мандатном принципе управления доступом уполномоченный пользователь получает доступ к документам (файлам, каталогам и т.д.) заданного уровня конфиденциальности. Т.е. каждый пользователь имеет свой уровень допуска, а каждый объект доступа имеет свою метку конфиденциальности. Если в случае их сравнения они имеют одинаковый уровень – пользователь получает доступ к документу.
- Подсистема регистрации и учета. Предназначена для регистрации событий (вход/выход из системы, сбои в работе, попытки несанкционированного доступа и т.д.) в специальном системной журнале, доступ к которому имеет только администратор безопасности.
- Подсистема криптографической защиты. Дополнительная подсистема, позволяющая усилить защиту информации от несанкционированного доступа посредством использования механизмов шифрования пользовательских данных.
- Подсистема обеспечения целостности. Предназначена для защиты от несанкционированных изменений программной и аппаратной среды ПЭВМ. Обеспечивает защиту ПЭВМ от внедрения программных закладок, вирусов и прочих специальных математических воздействий на систему. Осуществляется посредством вычисления контрольной суммы файлов и сравнением с эталонным значением.
Указанные подсистемы реализуются при стандартной схеме построения системы защиты на объекте информатизации.
Следует для примера отметить, что в государственных информационных системах подлежат реализации следующие меры защиты информации:
- идентификация и аутентификация субъектов доступа и объектов доступа;
- управление доступом субъектов доступа к объектам доступа;
- ограничение программной среды;
- защита машинных носителей информации;
- регистрация событий безопасности;
- антивирусная защита;
- обнаружение (предотвращение) вторжений;
- контроль (анализ) защищенности информации;
- обеспечение целостности информационной системы и информации;
- обеспечение доступности информации;
- защита среды виртуализации;
- защита технических средств;
- защита информационной системы, ее средств и систем связи и передачи данных.
При недостаточности применения организационных и пассивных технических мер по защите информации на объекте информатизации используются средства и системы защиты информации, сертифицированные по требованиям безопасности информации. Применяемые программно-технические средства защиты не должны существенно ухудшать основные функциональные характеристики автоматизированной системы (надежность, быстродействие, возможность изменения конфигурации автоматизированной системы) исходя из требований руководящего документа "Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации", утвержденного решением Государственной технической комиссии при Президенте Российской Федерации от 30.03.1992 г. Внедрение системы защиты информации осуществляется в соответствии с проектной и эксплуатационной документацией на систему защиты информации и в том числе включает:
- установку и настройку средств защиты информации на объекте информатизации в соответствии с разработанной разрешительной системой доступа;
- предварительные испытания системы защиты информации информационной системы;
- опытную эксплуатацию и отладку настроек системы защиты информации;
- анализ уязвимостей и принятие мер защиты информации по их устранению;
- приемочные испытания системы защиты информации.
Для реализации требований по защите информации должны использоваться сертифицированные по требованиям безопасности информации средства защиты информации.
Подбор необходимых средств защиты осуществляется, исходя из утвержденных заявителем требований по защите информации. Далее из реестра сертифицированных средств выбираются средства, разрешенные к использованию на объекте информатизации заданного уровня конфиденциальности.
В сертификатах на средства защиты от утечки по каналу побочных электромагнитных излучений и наводок указывается информация на объектах информатизации какой категории они могут быть установлены. То же относится и к средствам защиты речевой информации.
При выборе средств защиты информации от несанкционированного доступа следует также обращать внимание на уровень контроля отсутствия недекларированных возможностей, а также класс защищенности для средств вычислительной техники. Уровень контроля отсутствия недекларированных возможностей определяется в соответствии с Руководящим документом "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей", утвержденным решением председателя Гостехкомиссии России от 4 июня 1999 г. № 114.
При выборе межсетевого экрана, применяемого для защиты межсетевого взаимодействия, необходимо учитывать на соответствие какому классу он сертифицирован. Классификация межсетевых экранов осуществляется в соответствии с руководящим документом "Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации", утвержденным решением председателя Гостехкомиссии России от 25 июля 1997 г. Также необходимо руководствоваться Информационным сообщением ФСТЭК России "Об утверждении Требований к межсетевым экранам" от 28 апреля 2016 г. № 240/24/1986.
Также реестр содержит данные о сертифицированных операционных системах и средствах антивирусной защиты.
Выбор необходимых для защиты информации на объекте информатизации средств защиты информации проводится, как правило, лицензиатом, который в дальнейшем будет осуществлять его установку и настройку, либо специалистами органа по аттестации.
Итоги: Защита информации, обрабатываемой на объекте информатизации, является составной частью работ по созданию и эксплуатации объекта информатизации и должна обеспечиваться на всех стадиях жизненного цикла: от создания до вывода из эксплуатации с учетом требований нормативно-правовых актов и методических документов по защите информации. Защита информации осуществляется путем принятия организационных и технических мер по защите информации, направленных на блокирование (нейтрализацию) угроз безопасности информации с целью обеспечения конфиденциальности, целостности и доступности информации.
Для защиты информации ограниченного доступа, обрабатываемой на объекте информатизации, могут применяться организационные и технические меры по защите информации. Выбор мер защиты информации осуществляется исходя из класса защищенности автоматизированной системы и угроз безопасности информации, включенных в модель угроз, а также с учетом структурно-функциональных характеристик объекта информатизации. Меры по защите информации используются в двух основных направлениях:
- обеспечение защиты информации от хищения, утраты, утечки, уничтожения, искажения и блокирования за счет несанкционированного доступа и специальных воздействий;
- обеспечение защиты информации от утечки по техническим каналам при ее воспроизведении, обработке, хранении или передаче по каналам связи.
При недостаточности применения организационных и пассивных технических мер по защите информации на объекте информатизации используются средства и системы защиты информации, сертифицированные по требованиям безопасности информации.
Мероприятия по защите информации от несанкционированного доступа должны осуществляться взаимосвязано с мероприятиями по специальной защите основных и вспомогательных средств вычислительной техники, средств и систем связи от утечки по техническим каналам. Комплекс программно-технических средств и организационных (процедурных) решений по защите информации от несанкционированного доступа реализуется в рамках системы защиты информации от несанкционированного доступа, условно состоящей из следующих четырех подсистем: управления доступом, регистрации и учета, криптографической защиты и обеспечения целостности.
Ключевые слова: организационные меры по защите информации, подсистема криптографической защиты, подсистема обеспечения целостности, подсистема регистрации и учета, подсистема управления доступом, технические меры по защите информации,