Значение нормативно-методического обеспечения

Методология построения КСЗИ – это совокупность способов и приемов рассмотрения вопросов информационной безопасности и методов их решения в целях построения комплексной системы.

Методология позволяет в рамках единого подхода использовать согласованное применение разнородных средств для построения целостной системы защиты, перекрывающей все существенные каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов. Методология построения комплексной системы защиты информации (КСЗИ) описывает основные методы и принципы решения следующих вопросов:

1. Обеспечение комплексной безопасности.

2. Компоненты комплексной системы защиты информации:

o методологические, организационные, технические.

3. Направления работ по созданию комплексной системы защиты информации.

4. Основные принципы построения комплексной системы защиты информации:

o принцип законности;

o принцип превентивности;

o принцип полноты состава защищаемой информации;

o принцип обоснованности защиты информации;

o принцип экономической целесообразности;

o принцип персональной ответственности;

o принцип сочетания гласности с конспирацией;

o принцип гибкости системы защиты;

o принцип равномощности (комплексности);

o принцип непрерывности защиты;

o принцип независимости стойкости средств защиты информации (СЗИ) от раскрытия информации о механизмах ее использования;

o принцип простоты применения.

5. Основные организационно-методические мероприятия по созданию и поддержанию функционирования комплексной системы защиты информации:

o создание подразделения, отвечающего за обеспечения конфиденциальности данных;

o создание перечня основных нормативных и организационно-распорядительных документов, необходимых для организации КСЗИ.

6. Рекомендации по методологии построения матрицы конфиденциальности:

o определение субъектов и объектов информационных потоков;

o определение характеристик и признаков субъектов и объектов информационных потоков (матрица конфиденциальности);

o построение правил разграничения доступа субъектов к объектам информационных потоков на основании матрицы конфиденциальности.

7. Методика оценки рисков:

o методика анализа угроз конфиденциальной информации и построения неформальной модели нарушителя;

o методика определения общих требований к защищенности АС:

§ классификационные требования Федеральной службы по техническому и экспортному контролю (ФСТЭК России) к защищенности от НСД средств вычислительной техники и автоматизированных систем;

§ основные механизмы защиты компьютерных систем от проникновения с целью дезорганизации их работы и несанкционированного доступа к информации.

8. Методика определения уровня защиты информации в соответствии с руководящими документами (РД) ФСТЭК России.

Нормативно-методическое обеспечение КСЗИ представляет собой комплекс положений, законодательных актов, нормативов, методик, правил, регламентирующих создание и функционирование КСЗИ, взаимодействие подразделений и лиц, входящих в структуру системы, а также статус органов, обеспечивающих функционирование КСЗИ.

К содержанию нормативно-методических документов по ЗИ предъявляется ряд требований:

- ИС должна быть защищена путем внедрения продуманных правил безопасности;

- система ЗИ (СЗИ) должна использовать набор правил, определяющий возможность данного субъекта получить доступ к данному объекту;

- внедрение правил обеспечения безопасности и получение полномочий должно помочь организации эффективно реализовать доступ к конфиденциальной информации;

- пользователи, не обладающие соответствующими полномочиями, не должны получать доступ к конфиденциальной информации.

Кроме того, необходимо применение дискриминационных методов управления, обеспечивающих доступ к данным только для определенных пользователей или пользовательских групп, например, исходя из служебных обязанностей. ИС должна быть защищена с помощью правил безопасности, которые ограничивают доступ к объектам (файлы, приложения) со стороны субъектов (пользователи).

Нормативные документы, определяющие порядок защиты информации, должны удовлетворять следующим требованиям:

1. соответствовать структуре, целям и задачам организации;

2. описывать общую программу обеспечения ИБ организации, включая вопросы эксплуатации и усовершенствования;

3. перечислять возможные угрозы информации и каналы ее утечки, результаты оценки опасностей и рекомендуемые защитные меры;

4. определять ответственных за внедрение и эксплуатацию всех средств защиты;

5. определять права и обязанности пользователей, причем таким способом, чтобы этот документ можно было использовать в суде при нарушении правил ИБ.

Прежде чем приступить к разработке документов, определяющих порядок ЗИ, нужно провести оценку угроз (построить модель угроз), определить информационные ресурсы, которые целесообразно защищать в первую очередь, и подумать, что необходимо для обеспечения их безопасности. Правила должны основываться на здравом смысле.

Целесообразно обратить внимание на следующие вопросы:

1. принадлежность информации (о ЗИ обязан заботиться ее владелец);

2. определение важности информации (пока не определена ценность информации, не следует ожидать проявлений должного отношения к ней);

3. значение секретности (нужна ли она вообще?);

Нормативно-технические документы по защите информации.

Защита информации осуществляется путем выполнения комплекса организационных и технических мероприятий:

• по предотвращению утечки информации по техническим каналам;
• по предотвращению несанкционированного доступа к защищаемой информации;
• по предупреждению программно-технических воздействий с целью нарушения целостности (модификации, уничтожения) и доступности информации в процессе её обработки, передачи и хранения, а также работоспособности технических средств;
• по выявлению специальных электронных устройств перехвата информации, возможно внедренных в технические средства и защищаемые помещения.

Нормативно-технические документы по защите информации подразделяются на две группы.

Первая группа включает в себя документы, устанавливающие требования и рекомендации по защите информации. К ним относятся:

• специальные требования и рекомендации по ЗИ от утечки по техническим каналам;
• руководящие документы (РД).

Например, РД «Автоматизированные системы. Защита от несанкционированного доступа (НСД) к информации. Классификация автоматизированных систем (АС) и требования по ЗИ».

Определены требования по ЗИ в АС различных классов. Класс выбирается заказчиком и разработчиком с привлечением специалистов. Определяющие признаки группировки - наличие информации различного уровня конфиденциальности, полномочия субъектов на доступ к ней, режим обработки данных. Установлено 9 классов защищенности. Каждый характеризуется минимальной совокупностью требований по защите. Классы делятся на 3 группы, отличающиеся особенностями обработки информации.

Вторая группа включает в себя документы, устанавливающие критерии оценки защищенности информации (нормы эффективности защиты) и методы их контроля (в том числе при проведении сертификационных испытаний). К ним относятся:

• сборник норм ЗИ от утечки за счет побочных электромагнитных излучений и наводок (ПЭМИН);
• методики оценки защищенности информации от утечки по техническим каналам;

• руководящие документы.

Например, РД «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации».

Документ устанавливает классификацию средств вычислительной техники (СВТ) по уровню защищенности от НСД к информации. Классификация базируется на перечне показателей защищенности и совокупности описывающих их требований. Под СВТ понимается совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем. Показатели защищенности применяются к общесистемным программным средствам и операционным системам (с учетом архитектуры ЭВМ). Перечни показателей определяют классы защищенности СВТ. Сокращать или изменять перечни нельзя.

В рамках методического направления необходимо разработать концепцию (политику) безопасности, которая призвана сформулировать цель и обеспечить поддержку ИБ руководством организации. Высшее руководство должно поставить четкую цель и всесторонне оказывать свою поддержку в реализации ИБ посредством распространения политики безопасности среди сотрудников организации. Мероприятия по созданию КСЗИ, реализуемые вне единого комплекса мер, прописанных в рамках концепции безопасности, бесперспективны с точки зрения ожидаемой отдачи по решению проблем безопасности.

Под концепцией безопасности понимается взаимоувязанный комплекс организационно-технических мер, методологических указаний, регламентов, комплектов форм типовых документов, решающих задачи защиты конфиденциальной информации.

Концепция (Политика) безопасности - документ, в котором:

1. применяется методика определения и описания информационных потоков, описанная в методологии, представляющая собой формальное и точное описание работы с информацией в подразделениях, с учетом их изменения со временем. Определены критерии, по которым принимается решение о появлении или прекращении конкретного информационного потока;

2. анализируются, описываются и фиксируются информационные потоки, существующие при работе с информацией на текущий момент;

3. определяются для каждого информационного потока фазы существования информации (например, бумажный документ, электронный документ, запись в базе данных);

4. определяются категории конфиденциальной информации, разрабатывается классификация информации по категориям конфиденциальности;

5. проводится категорирование информации по категориям и фазам, создается матрица конфиденциальности;

6. определяются возможные пути разглашения конфиденциальной информации (модель угроз);

7. для каждой угрозы и атаки определяется модель нарушителя;

8. определяются уровни риска для всей матрицы конфиденциальности, вероятности реализации каждой атаки, стоимость ущерба при каждой атаке и усредненные вероятные величины убытков (риски);

9. определяются порядок изменения Концепции безопасности и Регламента обеспечения безопасности.

Письменный документ о политике безопасности должен быть доступен всем сотрудникам, отвечающим за обеспечение режима ИБ. Высшее руководство должно предоставить за документированную политику информационной безопасности всем подразделениям организации.

8.2 Модель угроз и модель нарушителя.[23]

С методологической точки зрения необходимо, прежде всего, уяснить:

- во-первых, что (или кто) является источником угрозы;

- во-вторых, каким образом угроза влияет на информационную безопасность предприятия.

В тоже время, концентрация нашего внимания только на угрозах ИБ приведет к бесконечной борьбе с ними, не затрагивая при этом порождающие их причины. Угроза – это результат имеющихся и формирующихся в самом обществе, в межличностных отношениях противоречий и без их выявления и решения никакая безопасность обеспечена быть не может. Именно поэтому в методологическом аспекте причины появления угроз ИБ приобретают качество характеристики, отражающей суть изучаемой нами проблемы.

Моделирование угроз и, как следствие, разработка модели потенциального нарушителя и сценариев его поведения, является основной творческой частью концепции ИБП.

Модель угроз представляет собой описание источников и характера угроз, их негативного воздействия на предприятие и его персонал, структуры инженерно-технической системы, порядок работы служб безопасности по предотвращению, выявлению и реагированию на угрозы.

Моделирование угроз фокусируется не только на слабых, с точки зрения ИБ, местах (потенциальных угрозах), но и включает анализ реальных угроз. Это противоправные действия или непредвиденные события, способные причинить существенный материальный ущерб или моральный вред. Модель должна иллюстрировать основные факторы, определяющие задачи, состав подразделений по обеспечению ИБП и структуру систем физической защиты предприятия. Задача построения модели угроз требует учета наиболее существенных связей объектов и параметров процессов внутри предприятия.

Исходя из этого, основными этапами моделирования являются:

§ оценка потенциальных и реальных внутренних и внешних угроз;

§ выбор приоритета;

§ выработка предложений по организации реагирования на угрозы ИБ с целью поддержания нормального функционирования предприятия.

Грамотно спроектированная модель позволяет избежать приобретения ненужного оборудования, четко определить необходимый функционал подразделений ИБ и их взаимодействие с системой физической защиты. Моделирование угроз ИБ — это способ контроля над ходом проектирования СЗИ. Ведь для того чтобы быть уверенным, что система устоит перед критическими инцидентами, следует заранее выяснить, о чем нужно побеспокоиться.

Модель угроз позволяет выстраивать стратегию работы подразделения, отвечающего за ИБП, формировать процедуры работы подразделений, вести мониторинг, определять порядок взаимодействия с внешними органами и организациями, деятельность которых оказывает существенное (положительное или отрицательное) влияние на ИБП.

Следствием моделирования угроз является разработка модели потенциального нарушителя

Модель нарушителя представляет собой описание профессионального круга лиц, к которому принадлежит нарушитель, мотивации нарушителя (цели), его предполагаемой квалификации, предполагаемых ограничений на действия и характер возможных действий нарушителя.