Политика безопасности среднего уровня – процедурного

К среднему уровню относятся вопросы, касающиеся отдельных аспектов БИ, но важные для различных систем, эксплуатируемых организацией. Примеры таких вопросов - отношение к передовым, но еще недостаточно проверенным технологиям, как сочетание свободы получения информации с защитой от внешних угроз, применение пользователями неофициального программного обеспечения и т.д.

Политика среднего уровня должна для каждого аспекта освещать следующие направления:

а) описание аспекта. Например, если рассмотреть применение пользователями неофициального программного обеспечения, последнее определяется как обеспечение, которое не было одобрено и/или закуплено на уровне организации.

б) область применения. Следует специфицировать, где, когда, как, по отношению к кому и чему применяется данная политика безопасности. Например, касается ли организаций - субподрядчиков политика отношения к неофициальному программному обеспечению?

в) позиция организации по данному аспекту. Продолжая пример с неофициальным программным обеспечением, можно представить себе позиции полного запрета, выработки процедуры приемки подобного обеспечения и т.п. Позиция может быть сформулирована и в более общем виде, как набор целей, которые преследует организация в данном аспекте. Вообще, стиль документов по политике безопасности, как и перечень этих документов, может быть существенно разным для разных организаций.

г) роли и обязанности. Необходимо включить информацию о должностных лицах, отвечающих за проведение политики безопасности в жизнь. Если для использования военнослужащим неофициального программного обеспечения нужно официальное разрешение, то должно быть известно, у кого и как его следует получать. Должны проверяться дискеты, принесённые с других компьютеров, необходимо описать процедуру проверки. Если неофициальное программное обеспечение использовать нельзя, следует знать, кто следит за выполнением данного правила.

д) законопослушность. Политика должна содержать общее описание запрещенных действий и систему наказаний за них.

е) точки контакта. Должно быть известно, куда следует обращаться за разъяснениями, помощью и дополнительной информацией. Обычно «точкой контакта» служит должностное лицо, а не конкретный человек, занимающий в данный момент данный пост.

АС является распределенной вычислительной системой, объединяющей автоматизированные системы (подсистемы) центральных и территориальных подразделений организации в единую корпоративную вычислительную (информационно -телекоммуникационную) сеть. В АС может циркулировать информация разных категорий доступности или уровней секретности. Защищаемая информация может быть совместно использована различными пользователями из различных подсетей единой вычислительной сети.

В ряде подсистем АС может быть предусмотрено взаимодействие с внешними организациями по коммутируемым и выделенным каналам с использованием специальных средств передачи информации. Комплекс технических средств АС включает средства обработки данных (ПЭВМ, сервера БД, почтовые сервера и т.п.), средства обмена данными в ЛВС без возможности выхода в сети общего пользования (кабельная система, мосты, шлюзы, модемы и т.д.), а также средства хранения (в т.ч. архивирования) данных.

К основным особенностям функционирования АС, относятся:

· большая территориальная распределенность системы;

· объединение в единую систему большого количества разнообразных технических средств обработки и передачи информации;

· большое разнообразие решаемых задач и типов обрабатываемых сведений (данных), сложные режимы автоматизированной обработки информации с широким совмещением выполнения информационных запросов различных пользователей;

· объединение в единых БД информации различного назначения, принадлежности и грифов секретности;

· непосредственный доступ к вычислительным и информационным ресурсам большого числа различных категорий пользователей (источников и потребителей информации) и обслуживающего личного состава;

· наличие большого числа источников и потребителей информации;

· непрерывность функционирования АС;

· высокая интенсивность информационных потоков в АС;

· наличие в АС ярко выраженных функциональных подсистем с различными требованиями по уровням защищенности (физически объединенных в единую сеть);

· разнообразие категорий пользователей и обслуживающего личного состава системы.

Общая структурная и функциональная организация АС определяется организационно-штатной структурой организации и задачами, решаемыми его структурными подразделениями с применением средств автоматизации. В самом общем виде, единая телекоммуникационная информационная система представляет собой совокупность ЛВС отделов и служб организации, объединённых средствами телекоммуникации. Каждая ЛВС в АС объединяет ряд взаимосвязанных и взаимодействующих автоматизированных подсистем (технологических участков), обеспечивающих решение задач отдельными структурными подразделениями организации.

Объекты информатизации АС включают:

· технологическое оборудование (СВТ, сетевое и кабельное оборудование);

· информационные ресурсы, содержащие сведения ограниченного доступа и представленные в виде документов или записей в носителях на магнитной, оптической и другой основе, информационных физических полях, массивах и базах данных;

· программные средства (ОС, СУБД, другое общесистемное и прикладное программное обеспечение);

· АС связи и передачи данных (средства телекоммуникации);

· каналы связи по которым передается информация (в том числе ограниченного распространения);

· служебные помещения, в которых циркулирует информация ограниченного распространения;

· технические средства (звукозаписи, звукоусиления, звуковоспроизведения, изготовления, тиражирования документов, переговорные и телевизионные устройства и другие технические средства обработки графической, смысловой и буквенно-цифровой информации), используемые для обработки информации;

· технические средства и системы, не обрабатывающие информацию (вспомогательные технические средства и системы - ВТСС), размещенные в помещениях, где обрабатывается (циркулирует) информация, содержащая сведения ограниченного распространения.

Обеспечение функционирования и эксплуатация АС осуществляется на основании требований организационно-распорядительных документов руководства организации и вышестоящего звена управления.

Для каждой АС необходимо отрабатывать общий Перечень защищаемых ресурсов и Перечни защищаемых ресурсов подразделений или отдельных объектов ВТ, входящих в состав АС в качестве относительно независимых функциональных компонентов. Перечни разрабатываются в процессе анализа решаемых в интересах подразделений функциональных задач, состава автоматизированных рабочих мест, организуемых БД, возможностей и режимов использования программных средств, а также средств, обеспечивающих обмен информацией между объектами АС. В Перечнях защищаемых ресурсов указываются сведения о допуске к этим ресурсам соответствующих подразделений или должностных лиц организации. Составление Перечней защищаемых ресурсов осуществляется совместно представителями подразделений, органов автоматизации, связи и защиты информации АС.

Условно защищаемые ресурсы можно разделить на четыре категории:

а) помещения.

П1 – помещения, в которых находятся серверы, магнитные накопители с секретной информацией, секретные документы;

П2 – помещения, в которых обрабатывается секретная информация;

П3 – помещения, в которых обрабатывается несекретная информация;

П4 – помещения, смежные с помещениями П1;

П5 – помещения, предназначенные для приёма посетителей и ведения несекретных совещаний.

б) технические средства.

ТС1 – технические средства, хранящие и обрабатывающие секретную информацию;

ТС2 – технические средства для ввода-вывода секретной информации;

ТС3 – технические средства, хранящие и обрабатывающие несекретную информацию;

ТС4 – технические средства удалённого доступа;

ТС5 – технические средства передачи информации.

в) программные средства.

ПС1 – ПО серверов централизованной обработки секретной и несекретной информации;

ПС2 – ПО БИ и управления сетью;

ПС3 – ПО, предназначенное для ввода-вывода секретной информации на АРМ;

ПС4 – ПО, предназначенное для ввода-вывода несекретной информации на АРМ;

ПС5 – ПО, предназначенное для передачи несекретной информации с АРМ.

г) информационные массивы.

Исходя из необходимости обеспечения различных уровней защиты разных видов информации, хранимой и обрабатываемой в АС, а также с учётом возможных путей нанесения ущерба организации, вводятся условные категории защищаемой информации.

N1 – наиболее важная информация, хранящаяся на серверах;

N2 – важная информация, хранящаяся на АРМ;

N3 – важная информация, которую разрешено передавать по каналам связи;

N4 – информация для служебного пользования;

N5 – информация, к которой не предъявляются по защите.

Категория секретности N1 может условно соответствовать информации с грифом «совершенно секретно», информационные массивы N2 и N3 соответствовать информации с грифом «секретно», а информационные массивы N4 и N5 информации с грифом «несекретно».

В соответствии с проведённым категорированием защищаемых ресурсов АС определяются матрицы соответствия ресурсов между собой в таблицах 1.3.1 – 1.3.6.