Выбор мер защиты информации от НСД

 

5.4.1 Выбор защитных мер (механизмов), предназначенных для предотвращения выявленных угроз безопасности информации или для усиления системы защиты, а также способов их реализации

Механизмы защиты информации являются достаточно специфичными и направленными на решение ограниченного круга задач безопасности. Поэтому необходимо сопоставить те свойства информации, которые предполагается обеспечивать в первую очередь, и возможные пути нарушения этих свойств. Результат такого сопоставления может быть представлен в виде таблицы А.4:

Таблица А.4 - Способы нанесения ущерба

Способы нанесения ущерба	Объекты воздействий
Оборудование	Программы	Данные	Персонал
Раскрытие (утечка) информации	Хищение носителей информации, подключение к линии связи, несанкционированное использование ресурсов	Несанкциони-рованное копирование перехват	Хищение, копирование, перехват	Передача сведений о защите, разглашение, халатность
Потеря целостности информации	Подключение, модификация, спец. вложения, изменение режимов работы, несанкционированное использование ресурсов	Внедрение “троянских коней” и “жучков”	Искажение, модификация	Вербовка персонала, “маскарад”
Нарушение работоспособ-ности автоматизиро-ванной системы	Изменение режимов функционирования, вывод из строя, хищение, разрушение	Искажение, удаление, подмена	Искажение, удаление, навязывание ложных данных	Уход, физи-ческое устране-ние
Незаконное тиражирование (воспроизве-дение) информации	Изготовление аналогов без лицензий	Использование незаконных копий	Публикация без ведома авторов

 

Основу любой СЗИ составляет совокупность некоторых механизмов защиты информации, которые можно выделить на основе различных критериев. Обычно выделяют следующие механизмы (или организационные и технические меры безопасности):

- идентификацию и аутентификацию, обеспечение доверенной загрузки,

- управление доступом,

- криптографию,

- ограничение программной среды

- протоколирование и аудит,

- обеспечение целостности

- экранирование,

- защиту от вторжения;

- антивирусную защиту.

Выбор способа реализации механизмов защиты информации и решения задач защиты заключается в выборе типа средств, которые планируется использовать для решения каждого из механизмов (организационные; инженерно-технические (физические); программно-аппаратные; криптографические), и занесение их в Частную модель угроз ИСПДн (таблица А5).

 

Таблица А5.Частная модель угроз безопасности
информационной системы персональных данных

Наименование угрозы	Меры по противодействию угрозе
Технические	Организационные
1. Угрозы от утечки по техническим каналам
1.1. Угрозы утечки акустической информации	Виброгенераоры, генераторы шумов, звукоизоляция.	Инструкция пользователя
Технологический процесс
1.2. Угрозы утечки видовой информации	Жалюзи на окна	Пропускной режим
Инструкция пользователя
1.3. Угрозы утечки информации по каналам ПЭМИН	Генераторы пространственного зашумления	Технологический процесс обработки
Генератор шума по цепи электропитания	Контур заземления
2. Угрозы несанкционированного доступа к информации
2.1. Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн
2.1.1. Кража ПЭВМ	Охранная сигнализация	Пропускной режим
Решетки на окна	Охрана
Металлическая дверь	Акт установки средств защиты
Кодовый замок
Шифрование данных
2.1.2. Кража носителей информации	Охранная сигнализация	Акт установки средств защиты
Хранение в сейфе	Учет носителей информации
Шифрование данных
2.2. Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий);
2.2.1. Действия вредоносных программ (вирусов)	Антивирусное ПО   АВЗ.1 Реализация антивирусной защиты АВЗ.2 Обновление базы данных признаков вредоносныхкомпьютерных программ (вирусов)	Инструкция пользователя. Акт установки средств защиты
2.2.2. Недекларированные возможности системного ПО и прикладного ПО (угрозы типа 1 и 2 при обработки персональных данных).	Настройка средств защиты. СЗИ с собственной ДМ и ММ. (меры защиты — ИАФ.1-6, УПД.1-6)	Сертификация ПО.
2.2.3 Загрузка внешней ОС	Электронный замок «Соболь».	Инструкция пользователя. Акт установки средств защиты.
2.2.4. Установка ПО не связанного с исполнением служебных обязанностей, средств взлома и обхода защиты.	Изолированная программная среда в Secret Net. Настройка средств защиты. (меры защиты — ИАФ.1-6, УПД.1-6)	Инструкция пользователя
Инструкция ответственного
2.3. Угрозы непреднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера.
2.3.1. Утрата ключей и атрибутов доступа	Меры защиты — ИАФ.1-4	Инструкция пользователя
Инструкция администратора безопасности
2.3.6. Стихийное бедствие	Пожарная сигнализация
2.4. Угрозы преднамеренных действий внутренних нарушителей
2.4.1. Доступ к информации, модификация, уничтожение лицами не допущенных к ее обработке (угрозы типа 3)	Система защиты от НСД (меры защиты — ИАФ.1-6, УПД.1-6)	Акт установки средств защиты
Разрешительная система допуска
Технологический процесс обработки
2.4.2. Разглашение информации, модификация, уничтожение сотрудниками допущенными к ее обработке		Договор о не разглашении
Инструкция пользователя
2.5. Угрозы несанкционированного доступа по каналам связи
2.5.1. Угроза «Анализ сетевого трафика» с перехватом передаваемой из ИСПДн и принимаемой из внешних сетей информации:
2.5.1.1. Перехват за переделами с контролируемой зоны;	Шифрование (ПСКЗИ ШИПКА). (меры защиты — ЗИС.1-24)	Технологический процесс
.....
2.5.9. Угрозы внедрения по сети вредоносных программ.	Антивирусное ПО, система обнаружения вторжений. (Антивирус Касперского 6.0, СОВ StoneGate IPS)	Технологический процесс
Инструкция пользователя

 

Мероприятия по выбору состава и содержание организационных и технических мер по обеспечению безопасности в государственных информационных системах, а также персональных данных, в АСУ ТП КВО подробно описаны в следующих документах ФСТЭК: Приказ № 21 от 18 февраля 2013 г., Приказ № 17 от 11 февраля 2013 г. и «Методический документ. Меры защиты информации в государственных информационных системах». Утверждено директором ФСТЭК России 11 февраля 2014 г. и

Приказ № 31 от 14 марта 2014 г. «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды».

Выбор мер по обеспечению безопасности включаетв себя:

-выбор базового набора мер,

- адаптацию его к особенностям ИСПДн,

-дополнение этих мер для нейтрализации оставшихся актуальных угроз (см. п. 5.4.3).

После определения базовой конфигурации мер защиты информации необходимо заново оценить оставшиеся угрозы безопасности информации в соответствии с изменившимися параметрами информационной системы (внести в таблицу А5 выбранные меры и определить не блокированные ими угрозы). Оценив новые параметры угроз, необходимо принять решение о применении дополнительных мер защиты информации для обеспечения нейтрализации оставшихся угроз или о достижении требуемого уровня безопасности информационной системы.

 

5.4.2 Определение функциональных компонент (информационных служб), в которых предполагается использовать выбранные механизмы защиты

Реализация политики безопасности информации в разных компонентах системы, как правило, строится на основе разных подходов и преследует разные цели в соответствии с тем, что в разных информационных службах главный упор делается на разные свойства информации (целостность, доступность, конфиденциальность).

Реализация механизмов защиты информации базируется на двух подходах:

- использование встроенных в основные информационные службы (в том числе операционные системы, прикладные программы и др.) средств защиты;

- использование дополнительных экранирующих (навесных) средств защиты.

Задачей распределения механизмов защиты по компонентам является построение наиболее экономичной и наиболее эффективной системы защиты информации. Рациональным подходом в данном случае может рассматриваться использование одного механизма (или одного набора средств) для обслуживания некоторой совокупности взаимодействующих информационных служб — системная интеграция (подробнее в п. 5.4.4).

Основное внимание уделяется анализу недостатков используемых аппаратных и системных программных средств для определения необходимости применения в отдельных элементах информационной системы дополнительных средств защиты информации.

В курсовом проекте выполняется подробный информационный поиск и аналитический обзор существующих наборов средств защиты информации по одному из механизмов, заданному номером варианта индивидуального задания на курсовое проектирование. Приводится итоговая таблица (пример – таблица в приложении В), содержащая перечень всех существующих на данный момент средств защиты, реализующих данный механизм, и их технические характеристики, их веса по которым осуществляется выбор того или иного средства. Обосновывается критерий выбора для различных типов архитектур АС, приводится обоснованный по этим критериям выбор средства для заданного варианта индивидуального задания.

 

Оценка остаточного риска

Составив решения по комплексу технических средств, реализующих выбранные меры защиты, для разработки подсистемы защиты от НСД, составляются таблицы соответствия средств защиты установленным требованиям мер соответствующих классов и уровней защищенности (пример - таблица А.6).

Таблица А.6– Соответствие СЗИ требованиям по безопасности

Требование	Средство защиты
Состав и содержание организационных и технических мер безопасности	Аккорд-NT/2000 V3.0 TSE	СЗИ Соболь	Cisco PIX 515	ПСКЗИ ШИПКА	Антивирус касперского 6.0
Управление доступом субъектов доступа к объектам доступа (УПД)
УПД1.Блокировка доступа к ресурсам средств вычислительной техники	+	+	+	+	+
УПД2.Блокировка загрузки нештатной операционной системы со съемных машинных носителей информации	+
УПД3.Блокировка интерфейсов и цепей питания средств вычислительной техники	+	+
Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ1-ИАФ:)
……
……
Ограничение программной среды (ОПС)
Защита машинных носителей информации (ЗНИ)
Регистрация событий безопасности (РСБ)
Обеспечение целостности информационной системы и информации (ОЦЛ)
Защита среды виртуализации (ЗСВ)
Защита технических средств (ЗТС)
Защите информационной системы, ее средств и систем связи и передачи данных (ЗИС)