Архитектура систем, построенных на современных информационных технологиях, становится всё сложнее. Вместе с этим растёт и количество угроз, оказывающих влияние на основные свойства информации — конфиденциальность, целостность и доступность. Для того чтобы противостоять угрозам информационной безопасности, система защиты информации должна обладать высокой эффективностью. Дать оценку её эффективности, в свою очередь, можно путём проведения аттестационных испытаний.
Введение
Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утверждённых регулирующими органами Российской Федерации. Таким образом фиксируются эффективность системы защиты и соответствие объекта информатизации требуемому уровню безопасности информации в реальных условиях. Наличие подтверждающего документа — аттестата соответствия — даёт право обрабатывать информацию на определённый период времени.
Под объектом информатизации подразумевается совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров (ГОСТ Р 51275-2006. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения).
В роли объекта информатизации могут выступать:
- автоматизированная система на базе автономного рабочего места (АРМ) или локальной вычислительной сети (ЛВС);
- средство изготовления или размножения документов;
- информационные системы;
- помещения для ведения конфиденциальных переговоров.
Аттестация бывает обязательной и добровольной. Обязательной аттестации подлежат:
- государственные информационные системы;
- информационные системы, обрабатывающие сведения, содержащие государственную тайну;
- информационные системы управления экологически опасными объектами;
- объекты информатизации, предназначенные для ведения конфиденциальных и секретных переговоров.
Добровольная аттестация также подтверждает эффективность системы защиты, но при наличии юридически закреплённого согласия со стороны владельца объекта выполнять требования положений по аттестации, федеральных законов и других нормативных правовых актов.
Эффективность системы обеспечения безопасности зависит от того, какие меры защиты информации будут реализованы на объекте информатизации и какими способами это будет достигаться.
Прежде чем реализовать организационные и технические меры защиты информации в АС / ИС, нужно ответить на три основополагающих вопроса: «что защищаем?», «зачем защищаем?» и «как защищаем?». В конце концов, оборонять компьютер среднестатистического сотрудника компании с установленным на нём World of Tanks или Warcraft незачем. Ответы на эти вопросы мы получаем при создании системы защиты информации (СЗИ).
Создание СЗИ информационной системы состоит из трёх последовательных частей: предпроектная стадия, стадия проектирования и стадия ввода в эксплуатацию.
Предпроектная стадия
На предпроектной стадии проходит обследование АС / ИС, разрабатывается обоснование необходимости создавать систему защиты, формулируется техническое задание.
На этапе обследования определяются перечень сведений, подлежащих защите, и границы контролируемой зоны. Также фиксируются требования к АС / ИС и, следовательно, базовый набор организационно-технических мер по защите информации. Происходят изучение структурно-функциональных характеристик АС / ИС, описание потенциального нарушителя, анализ угроз безопасности; определяется класс АС / ИС.
Важным аспектом здесь является модель угроз безопасности, ведь имея необходимый базовый набор мер для защищаемого объекта информатизации, нужно понять, каких из этих мер будет достаточно для реализации защиты, какие меры следует исключить, а какие — усилить. Модель является документом, описывающим возможные угрозы безопасности конфиденциальной информации; другими словами, итогом моделирования будет определение рисков, актуальных для объекта информатизации.
В рамках разработки модели угроз решаются следующие задачи:
- анализ угроз безопасности;
- описание потенциальных нарушителей;
- анализ возможных уязвимостей;
- описание способов реализации угроз;
- описание последствий нарушения свойств информации.
Говоря о модели угроз, нельзя не упомянуть и о модели нарушителя. Модель нарушителя позволяет определить злоумышленника и его потенциал.
Различают нарушителя внутреннего и внешнего, т.е. действующего внутри контролируемой зоны или за её пределами. Возможности каждого вида нарушителя по реализации угроз безопасности информации называются его потенциалом. Потенциал нарушителя определяется компетентностью, ресурсами и мотивацией, требуемыми для успешной вредоносной активности в информационной системе с заданными характеристиками и особенностями функционирования. В зависимости от потенциала злоумышленники подразделяются на нарушителей, обладающих базовым (низким), базовым повышенным (средним) и высоким потенциалом нападения. Суммарно тип и потенциал нарушителя позволяют идентифицировать угрозы безопасности.
Заключительным этапом предпроектной стадии является техническое задание, в котором будут определены требования для СЗИ объекта информатизации.
Стадия проектирования
На стадии проектирования системы выполняется разработка технического проекта и организационно-технических мероприятий по защите информации на основе предъявленных требований, осуществляется закупка СЗИ, составляется необходимая документация на объект информатизации. В ходе данных работ определяется то, каким способом будут реализованы организационные и технические меры.
Организационные меры регламентируют процессы функционирования АС / ИС, использование их ресурсов, деятельность персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз для безопасности информации. Технические меры основаны на использовании аппаратных средств и специальных программ, входящих в состав АС / ИС и выполняющих функции защиты.
Для примера разберём реализацию некоторых организационно-технических мер для государственной информационной системы (ГИС) 3-его класса защищённости.
Регулирующими нормативными правовыми актами для нас будут приказ ФСТЭК России №17 от 11 февраля 2013 г. «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» и методический документ «Меры защиты информации в государственных информационных системах», также изданный 11 февраля 2013 года.
Одной из обязательных мер для ГИС 3-его класса защищённости является реализация методов, типов и правил разграничения доступа (УПД.2). В усиление этой меры должны быть реализованы правила разграничения доступа к техническим средствам, внутренним и внешним устройствам и т.д. Поскольку данную меру невозможно полностью реализовать штатными средствами операционной системы, необходимо применение средства защиты информации от несанкционированного доступа.
Другой обязательной мерой является реализация антивирусной защиты (АВЗ.1), требующая внедрить соответствующее специализированное решение.
ЗСВ.1 — защита среды виртуализации — также обязательна для нашего примера. В данном требовании должна выполняться идентификация и аутентификация субъектов и объектов доступа в виртуальной инфраструктуре, в том числе — администраторов управления средствами виртуализации. Предположим, что в результате обследования структурно-функциональной схемы ГИС технологии виртуализации выявлены не были, вследствие чего эта мера неприменима.
Другим примером может быть ЗТС.1 — обеспечение защиты информации, обрабатываемой техническими средствами, от её утечки по техническим каналам. Это требование не является обязательным, но его применение зависит от актуальных проблем безопасности. Допустим, что в нашем случае по результатам моделирования угроз была установлена неактуальность таких рисков; соответственно, применение данного требования нецелесообразно.
В качестве варианта реализации организационных мер рассмотрим ЗТС.2 (защиту технических средств). Методические документы говорят нам о том, что должна быть организована контролируемая зона, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, а также средства защиты данных и обеспечения функционирования. Решением для выполнения этого требования будет «Приказ о контролируемой зоне».
Следует оговориться, что перечисленное выше — лишь малая доля количества мер, необходимых для обеспечения защиты ГИС 3-его класса.
Завершая эту часть материала, добавим ещё несколько важных тезисов в отношении выбора СЗИ для приведённого примера. При выборе программных или программно-аппаратных средств защиты информации главным критерием является наличие сертификата соответствия, потому что в ГИС применяются только те СЗИ, которые сертифицированы на соответствие обязательным требованиям по безопасности информации, установленным ФСТЭК России, или требованиям, указанным в технических условиях. При этом функциональность таких средств должна обеспечивать выполнение требований, предъявляемых к ГИС. В сертификате соответствия СЗИ должны быть перечислены конкретные требования, на соответствие которым проводилась сертификация, а также указано, где может применяться данное средство защиты информации.
Стадия ввода в эксплуатацию
Ввод в эксплуатацию является заключительной частью деятельности по созданию системы защиты. На этой стадии выполняются мероприятия, предусмотренные техническим проектом, такие как монтаж технических средств, установка и настройка СЗИ, а также опытная эксплуатация в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объекта информатизации.
По завершении ввода СЗИ в эксплуатацию проводится аттестация объектов информатизации по требованиям безопасности. Эта процедура официально подтверждает эффективность комплекса реализованных на объекте мер и средств защиты информации.
Выводы
Подводя итоги, можно сказать, что реализация организационно-технических мер защиты информации при подготовке объекта к аттестации является сложной задачей, требующей тщательного анализа информационной системы. Прежде всего это — комплекс мероприятий, направленных на обеспечение безопасности информации. Используемые технологии, распределённость и сложность АС / ИС, наличие уязвимостей в системном и прикладном программном обеспечении не только оказывают влияние на обработку и анализ существующих требований регуляторов, но и заставляют применять дополнительные организационные, технические и комплексные меры, направленные на обеспечение конфиденциальности, целостности и доступности информации для её владельца.