Постановка проблемы коиб АС.

СОДЕРЖАНИЕ

СОКРАЩЕНИЯ И ОБОЗНАЧЕНИЯ 3

ВВЕДЕНИЕ 3

ТЕОРЕТИЧЕСКАЯ ЧАСТЬ 3

1. ПОСТАНОВКА ПРОБЛЕМЫ КОИБ АС. 3

СОСТАВ КОМПОНЕНТОВ КСИБ. 3

МЕТОДОЛОГИЯ ФОРМИРОВАНИЯ ЗАДАЧ 3

2. ИНТЕГРАЦИЯ СРЕДСТВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В ТЕХНОЛОГИЧЕСКУЮ СРЕДУ. 3

ЭТАПЫ И ОСОБЕННОСТИ ПРОЕКТИРОВАНИЯ КСИБ НА СОВРЕМЕННОМ УРОВНЕ И ТРЕБОВАНИЯ К НИМ 3

3. ЭТАПЫ И ОСОБЕННОСТИ ПРОЕКТИРОВАНИЯ КСИБ НА СОВРЕМЕННОМ УРОВНЕ И ТРЕБОВАНИЯ К НИМ 3

ТИПОВАЯ СТРУКТУРА КОМПЛЕКСНОЙ СЗИ ОТ НСД 3

4. МЕТОДЫ И МЕТОДИКИ ПРОЕКТИРОВАНИЯ 3

Методика выявления возможных каналов НСД 3

Последовательность работ при проектировании комплексной СЗИ от НСД и утечки за счет ПЭМИН 3

5. МЕТОДЫ И МЕТОДИКИ ПРОЕКТИРОВАНИЯ 3

Моделирование как инструментарий проектирования 3

Методика построения административного управления КСОИБ 3

6. МЕТОДЫ И МЕТОДИКИ ОЦЕНКИ КАЧЕСТВА КСИБ 3

7. ТРЕБОВАНИЯ К ЭКСПЛУАТАЦИОННОЙ ДОКУМЕНТАЦИИ КСИБ 3

АТТЕСТАЦИЯ ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ 3

8. ОСОБЕННОСТИ ЭКСПЛУАТАЦИИ КСИБ НА ОБЪЕКТЕ ЗАЩИТЫ 3

Организационно-функциональные задачи СБ 3

9. ВЕДЕНИЕ СПЕЦИАЛЬНОЙ ИНФОРМАЦИОННОЙ БАЗЫ ДАННЫХ КСИБ 3

МОНИТОРИНГ И КОНТРОЛЬ СОСТОЯНИЯ ОКРУЖАЮЩЕЙ СРЕДЫ 3

ЗАДАНИЯ 3

ПОРЯДОК ВЫПОЛНЕНИЯ РАБОТЫ 3

ПРАКТИЧЕСКАЯ ЧАСТЬ 3

1. ПОСТАНОВКА ПРОБЛЕМЫ КОИБ АС. СОСТАВ КОМПОНЕНТОВ КСИБ. МЕТОДОЛОГИЯ ФОРМИРОВАНИЯ ЗАДАЧ ЗИ 3

2. ИНТЕГРАЦИЯ СРЕДСТВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В ТЕХНОЛОГИЧЕСКУЮ СРЕДУ. ЭТАПЫ И ОСОБЕННОСТИ ПРОЕКТИРОВАНИЯ КСИБ НА СОВРЕМЕННОМ УРОВНЕ И ТРЕБОВАНИЯ К НИМ 3

3. ЭТАПЫ И ОСОБЕННОСТИ ПРОЕКТИРОВАНИЯ КСИБ НА СОВРЕМЕННОМ УРОВНЕ И ТРЕБОВАНИЯ К НИМ. ТИПОВАЯ СТРУКТУРА КОМПЛЕКСНОЙ СЗИ ОТ НСД 3

4. МЕТОДЫ И МЕТОДИКИ ПРОЕКТИРОВАНИЯ 3

Анализ рисков 3

5. МЕТОДЫ И МЕТОДИКИ ПРОЕКТИРОВАНИЯ 3

Модели систем и процессов ЗИ 3

Основные положения неформальных теорий 3

6. МЕТОДЫ И МЕТОДИКИ ОЦЕНКИ КАЧЕСТВА КСИБ 3

7. ТРЕБОВАНИЯ К ЭКСПЛУАТАЦИОННОЙ ДОКУМЕНТАЦИИ КСИБ. АТТЕСТАЦИЯ ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ 3

8. ОСОБЕННОСТИ ЭКСПЛУАТАЦИИ КСИБ НА ОБЪЕКТЕ ЗАЩИТЫ 3

9. ВЕДЕНИЕ СПЕЦИАЛЬНОЙ ИБД КСИБ. МОНИТОРИНГ И КОНТРОЛЬ СОСТОЯНИЯ ОКРУЖАЮЩЕЙ СРЕДЫ 3

БИБЛИОГРАФИЧЕСКИЙ СПИСОК 3

СОКРАЩЕНИЯ И ОБОЗНАЧЕНИЯ

АРМ	автоматизированное рабочее место
АС	автоматизированная система
БИ	безопасность информации
ВТСС	вспомогательные технические средства и системы
ВЦ	вычислительный центр
ГТК	Государственная техническая комиссия при Президенте РФ[1]
ДФ	дестабилизирующие факторы
ЗИ	защита информации
ИБД	информационная база данных
КОИБ АС	комплексное обеспечение информационной безопасности автоматизированных систем
КСОИБ	комплексная система обеспечения информационной безопасности
КСИБ	комплексная система информационной безопасности
ЛВС	локальная вычислительная сеть
НСД	несанкционированный доступ
ОТСС	основные технические средства и системы
ПО	программное обеспечение
ПЭМИН	побочное электромагнитное излучение и наводки
РД	руководящий документ
РММ	руководящие-методические материалы
СБ	служба безопасности
СВТ	средство вычислительной техники
СЗИ	система защиты информации
СРД	система разграничения доступа
СрЗИ	средство защиты информации
СТДЗИ	система типовых документов по ЗИ
ТС	техническое средство
ЦЗИ	центр ЗИ
ЭД	эксплуатационная документация

ВВЕДЕНИЕ

Целью изучения дисциплины «Комплексное обеспечение информационной безопасности автоматизированных систем» является обобщение и систематизация знаний, полученных студентами, при изучении смежных дисциплин.

В результате изучения дисциплины студенты должны

знать:

· основные понятия информационной безопасности;

· основные компоненты обеспечения БИ;

· требования основных нормативных, руководящих и технических документов в области КОИБ АС;

уметь:

· проектировать и реализовывать комплексную СЗИ оценивать ее качество;

· применять системный подход к обеспечению информационной безопасности в различных сферах деятельности, включая комплекс организационных мер, учитывающих особенности функционирования предприятия и решаемых им задач;

· реализовывать СЗИ в АС в соответствии со стандартами по оценке защищенных систем;

· используя современные методы и средства разрабатывать и оценивать модели и политику безопасности;

· применять типовые методы проектирования и оценки эффективности сложных систем в области своей деятельности.

Поэтому целями практических работ по данной дисциплине являются:

· закрепление основных понятий и вопросов информационной безопасности;

· подробное рассмотрение основных компонентов обеспечения БИ;

· разработка, составление и оформление основной норматитивно-технической документации на АС в соответствии с требованиями государственных стандартов, основных нормативных, руководящих и технических документов в области КОИБ АС;

· умение ориентироваться в различных формах построения АС и методах ЗИ в них, организовывать работы по ЗИ в АС, разрабатывать концепцию информационной безопасности для АС.

ТЕОРЕТИЧЕСКАЯ ЧАСТЬ

Согласно программе по данной дисциплине предусмотрены следующие темы практических занятий:

№	Тема практических занятий	Часы
	Постановка проблемы КОИБ АС. Состав компонентов КСИБ. Методология формирования задач защиты: методологические основы и особенности ЗИ, обоснование функций и задач.
	Интеграция средств информационной безопасности в технологическую среду. Этапы и особенности проектирования КСИБ на современном уровне и требования к ним: СЗИ и общеметодологические принципы ее построения, особенности архитектурного построения, методология проектирования СЗИ.
	Этапы и особенности проектирования КСИБ на современном уровне и требования к ним: этапы проектирования КСОИБ и требования к ним. Типовая структура комплексной СЗИ от НСД.
	Методы и методики проектирования: методика выявления возможных каналов НСД, последовательность работ при проектировании комплексной СЗИ от утечки информации по каналам НСД и ПЭМИН.
	Методы и методики проектирования: моделирование как инструментарий проектирования, методика построения административного управления КСОИБ.
	Методы и методики оценки качества КСИБ: методы экспертных, экспертно-лингвистических оценок, неформальные методы оценивания, анализ и оценка рисков
	Требования к эксплуатационной документации КСИБ. Аттестация по требованиям безопасности.
	Особенности эксплуатации КСИБ на объекте защиты.
	Ведение специальной информационной базы данных КСИБ. Мониторинг и контроль состояния окружающей среды.
Итого

Ниже по каждой теме в помощь студентам при подготовке к практическим занятиям приведены некоторые ключевые понятия, на которые следует обратить внимание, даны пояснения, обобщающие и дополняющие материал пособий, указанных в библиографическом списке.

 

СОСТАВ КОМПОНЕНТОВ КСИБ.

Ключевые понятия:

объект защиты, информация, источник информации, носитель информации, виды информации;

угроза, виды угроз;

СЗИ.

В общем виде, если отбросить научную фразеологию, концепция информационной безопасности отвечает на 3 простых вопроса:

1) что защищать – объект защиты,

2) от чего защищать – угроза,

3)
как защищать – СЗИ,

которые и формируют компоненты КСОИБ.

Рис. 2. Состав компонентов КСОИБ.

На основании разделения СрЗИ можно выделить состав КСОИБ:

1) нормативно-правовое,

2) морально-эстетическое,

3) организационное,

4) техническое

обеспечение информационной безопасности:

В качестве объектов, подлежащих защите в интересах субъектов информационных отношений, должны рассматриваться:

· информация, представленная в любой материальной форме, ее носители;

· информационные средства, процессы и системы обработки (передачи, хранения) информации.

Под информацией понимают сведения о фактах, событиях, процессах и явлениях, о состоянии объектов (их свойствах, характеристиках) в некоторой предметной области, которые (сведения) используются (необходимые) для оптимизации принимаемых решений в процессе управления данными объектами.В зависимости от наносимого собственнику ущерба защищаемая информация делится на информацию открытого и ограниченного доступа (государственная, служебная, коммерческая тайна…). Источник информации – материальный объект или субъект информации, способный накапливать, хранить, преобразовывать и выдавать информацию в виде сообщений или сигналов различной физической природы. Информация доступна человеку, если она содержится на материальном носителе. Значит, правильнее будет сказать, что объектами защиты являются материальные носители информации – это физическое лица или материальный объект, в том числе физическое поле, в котором информация находит свое отображение в виде символов, образов, сигналов, технических решений или процессов. Носители бывают: прямые и косвенные.

В общем случае среди информационных средств, представляемых в качестве объекта защиты, выделяют: ОТСС, ВТСС, выделенные (защищаемые) помещения.

Под угрозой (вообще) обычно понимают потенциально возможное событие, действие (воздействие), процесс или явление, которое может привести к нанесению ущерба чьим-либо интересам. По отношению к объекту защиты угрозы бывают объективные и субъективные, внутренние и внешние.

Методы экспертных оценок

Методика оценивания имеет следующий вид:

1) разработка постановки задачи,

2) обоснование перечня и содержания тех параметров, для определения которых целесообразно использовать экспертные оценки,

3) разработка реквизитов (бланков, инструкций), необходимых для проведения экспертных оценок,

4) подбор и подготовка экспертов, привлекаемых для решения задачи,

5) организация и обеспечение работы экспертов,

6) контроль и первичная обработка экспертных оценок,

7) базовая обработка экспертных оценок.

Одна из трудностей состоят в выполнение 4 шага. В состав группы обычно входят 5-7 специалистов, для соизмерения их компетентности вводиться так называемый коэффициент компетентности. При подборе экспертов также учитываются ряд предъявляемых к ним требований.

Различают несколько способов работы экспертов:

· простые суждения,

· интервьюирование,

· анкетирование.

Наиболее распространенные методы экспертных оценок:

· метод экспертных структурных вопросников – позволяет получить информацию об объекте, оценить значимость показателей и проверить качество методик. В основе лежит вопросник, или анкета. Вопросник подписывается руководителем организации, а разъяснения по его заполнению дает руководитель группы по проверке организации. Предлагаемая методика включает в себя ряд последовательных этапов:

1) адаптация вопросника для оценки качества КСОИБ;

2) тестирование вопросника, первичное нормирование шкалы оценок;

3) общая оценка качества системы с помощью вопросника – по итогам определяется необходимость проведения полноценного аудита качества КСОИБ;

4) углубленная оценка качества КСОИБ – по результатам готовиться отчет;

5) принятие управленческих решений

· метод оценки уязвимости информации Хоффмана – позволяет рассчитать степень обеспечения безопасности АС, оцениваемой группой экспертов, основываясь на рассмотрении определенного количества заданных характеристик КСОИБ,

· непосредственная численная оценка,

· оценка в баллах,

· метод Акоффа-Черчмена,

· метод частотных предпочтений,

· ранжирование,

· метод Терстоуна.

Следует отметить, что никогда нельзя использовать только один метод оценки. В отношении проблемы ЗИ нередки случаи, когда или эксперты в силу высокой степени неопределенности затрудняются количественно оценить значения параметров, или вообще не удается сформировать группу компетентных специалистов достаточной численности. В таких случаях можно воспользоваться методами экспертно-лингвистических оценок.

Макромоделирование

Такое моделирование осуществляется в основном с целью получения предварительных общих оценок системы. Задача при этом упрощается за счет использования при построении модели только основных характеристик.

Одним из этапов Оценки качества КСОИБ является оценка рисков в АС.

Анализ и оценка рисков в АС

Под риском следует понимать – следствие действия либо бездействия, в результате которого существует реальная возможность получения неопределенных результатов различного характера, как положительно, так и отрицательно влияющих на деятельность рассматриваемого объекта.

При выполнении полного анализа рисков необходимо провести ряд мероприятий:

1) определить ценность ресурсов – для этого выбирается подходящая система критериев, которые должны описать потенциальный ущерб, связанный с нарушением конфиденциальности, целостности, доступности информации:

· стоимость ресурсов,

· ущерб репутации организации,

· неприятности, связанные с нарушением действующего законодательства,

· ущерб для здоровья персонала,

· ущерб, связанный с разглашением персональных данных отдельных лиц,

· финансовые потери от разглашения информации,

· финансовые потери, связанные с восстановлением ресурсов,

· потери, связанные с невозможностью выполнения обязательств,

· ущерб от дезорганизации деятельности и др.;

2) составить полный список угроз БИ и оценить их параметры – необходимо проанализировать ресурсы с точки зрения воздействия возможных угроз БИ и идентифицировать уязвимости СЗИ. Угрозы ранжируются по привлекательности ресурса и вероятности реализации угроз;

3) оценить уязвимость ресурсов – для каждого уровня угрозы оценивается уровень уязвимости информации (легкость, с которой реализованная угроза способна привести к негативному воздействию). Например, уровень угроз и уровень уязвимостей можно оценить по шкале «высокий-средний-низкий»;

4) оценить риски – метод основан на использовании таблиц и учитывает ценность ресурса, уровни угрозы и уязвимости. Каждому значению уровня риска должно быть поставлено в соответствие описание, позволяющее однозначно его трактовать разным людям и понимать, где проходит граница между значениями. Например, показатель риска измеряется в шкале от 0 до 8 со следующими определениями уровней риска: 1: риск практически отсутствует,

2: риск очень мал,

3: …

8: риск очень велик.

Другой метод оценки рисков состоит в разделении их на приемлемые и неприемлемые. Вопрос о том, как провести границу между приемлемыми и не приемлемыми рисками, остается на усмотрении пользователя;

5) выбрать контрмеры – оценить существующие средств обеспечения информационной безопасности и оценить их эффективность.

Требования к эксплуатационной документации КСИБ

Ключевые понятия:

типовой документ, назначение;

система типовых документов по ЗИ;

справочно-информационные документы, словарь по ЗИ, концепция ЗИ в АС, справочники;

стандарты;

РММ;

инструкции;

эксплуатационная документация на АС, ведомость, формуляр, руководство…

Рис. 15. Требования к ЭД КСИБ.

В целях соблюдения принципов системно-концептуального подхода к решению проблемы ЗИ необходимо рассмотреть все возможные типы и виды документов по ЗИ. Это связано с тем, что чем лучше будет документационное обеспечение, тем эффективнее будут решаться все проблемы ЗИ.

Под типовымдокументом понимается такой документ, который отработан корректно, прошел апробацию и утвержден полномочными органами в качестве типового (или, по крайней мере, получивший всеобщее признание в кругу профессиональных специалистов).

Основное назначение документов по ЗИ:

1) обеспечение научно-методологического и концептуального единства при решении всех вопросов ЗИ,

2) создание условий для однозначного понимания и практической реализации основных положений концепции ЗИ,

3) обеспечение необходимыми данными всех органов и лиц, участвующих в ЗИ,

4) обеспечение нормативно-правового регулирования процессов ЗИ.

В соответствии с этим документы должны образовывать единую упорядоченную систему документов, которую называют системой типовых документов по ЗИ. Структурно СТДЗИ представляет собой упорядоченный перечень групп и индексацию (идентификацию) документов, разрабатываемых по вопросам, относящихся к ЗИ в АС.

СТДЗИ на основе системно-концептуального подхода может быть представлена в виде совокупности 4-х групп документов:

· справочно-информационные,

· стандарты,

· РММ,

· инструкции.

Стандарты

В группу стандартов должны быть относятся документы, являющиеся образцом, имеющие точный сертификат по основным параметрам и утвержденные полномочными органами, причем факт утверждения гарантирует пользователям соответствие стандарта своему сертификату. Стандарты составляют очень важную часть документов по ЗИ и их можно разделить на обязательные к применению и рекомендуемые.

Выделено 6 подгрупп стандартов по ЗИ:

· стандарты в области тех концептуальных решений в области ЗИ, которые достаточно полно разработаны, научно обоснованы и прошли необходимую апробацию в теоретической и практической работе,

· СЗИ,

· механизмов защиты,

· СрЗИ,

· средств контроля,

· защищенных технологий.

РММ

К РММ относятся утвержденные полномочными органами документы, содержат полное и систематизированное описание соответствующих вопросов, относящихся к ЗИ.

Практика организации и обеспечения работ по созданию АС показывает, что РММ обычно составляют наиболее представительную группу документов, регламентирующие различные аспекты работ.

Предлагается следующий перечень разновидностей РММ:

· вопросы общей методологии ЗИ или концептуальные;

· уязвимость информации и методология ее оценки;

· требования к ЗИ и нормы защищенности;

· функции и задачи ЗИ;

· СЗИ (общие вопросы);

· технические СЗИ;

· программные СЗИ;

· организационные СЗИ;

· криптографические СЗИ;

· механизмы ЗИ;

· СЗИ (архитектура и технология функционирования);

· методология проектирования СЗИ;

· организация работ по ЗИ;

· условия, способствующие повышению эффективности ЗИ;

· организационно-правовое обеспечение ЗИ.

Инструкции

К инструкциям относятся систематизированные наборы типовых инструкций для различных категорий подразделений и лиц, имеющих отношение к ЗИ. Инструкции должны быть утверждены полномочными органами, причем утверждение дает инструкциям статус типовых, на основе которых на каждом конкретном предприятии (учреждении, заведении) должны разрабатываться и утверждаться соответствующими должностными лицами рабочие инструкции, учитывающие специфику предприятий (учреждений, заведений). При этом, так как основными категориями подразделений и лиц, имеющих непосредственное отношение к ЗИ, являются пользователи (абоненты) АС, сотрудники самой АС и служба ЗИ, то необходимо предусмотреть для каждой из категорий свою разновидность типовых инструкций.

ЭД на АС

ЭД, разрабатываемую в ходе жизненного цикла АС, можно разделить следующим образом:

· документация функциональной части АС,

· документация организационного обеспечения АС,

· документация информационного обеспечения АС,

· документация технического обеспечения АС,

· документация программного обеспечения АС

ЭД на АС должна:

1) быть достаточной для ввода АС в действие и ее эффективного функционирования,

2) содержать сведения, необходимые для быстрого и качественного освоения и правильной эксплуатации средств автоматизации АС,

3) содержать указания по деятельности персонала АС в аварийных ситуациях или при нарушении нормальных условий функционирования АС,

4) не содержать положений, допускающих неоднозначное толкование.

В состав ЭД входят:

· Ведомость ЭД,

· План организационно-технических мероприятий по подготовке АС к внедрению,

· Описания технологии обработки (передачи) информации,

· Технический паспорт,

· Формуляр системы,

· Руководство пользователя,

· Руководство администратора,

· Программа и методика предварительных испытаний,

· Программа и методика приемочных испытаний,

· Инструкция по эксплуатации комплекса ТС.

АТТЕСТАЦИЯ ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ

Ключевые понятия:

сертификация по требованиям безопасности;

аттестация по требованиям безопасности;

критическая информация, критические АС;

«Аттестат соответствия»;

порядок аттестации;

планирование, сбор информации, базовый анализ, функциональный уровень, детальный анализ, отчетная документация, аккредитация безопасности АС.

Рис.16. Аттестация по требованиям безопасности.

В современных условиях наиболее перспективным способом проверки достигнутого качества функционирования и уровня защищенности АС является процедура аттестации. Для многих АС аттестация носит добровольный характер, но существует большая категория АС, для которых аттестация является обязательным условием их эксплуатации. Система аттестации АС является составной частью Единой системы сертификации СрЗИ и аттестации объектов информатизации по требованиям БИ, организация функционирования которой осуществляется ГТК. Существует два направления решения этой проблемы: связанное со СВТ и направление, связанное с АС. Это послужило причиной отличия используемой в нашей стране терминологии от принятой в других странах. Понятие «сертификация по требованиям безопасности» [3] в России применяется по отношению к СВТ, в то время как тот же самый процесс по отношению к АС называется аттестацией. В США в обоих случаях используется понятие «сертификация». В дальнейшем используется принятый в нашей стране термин аттестация.

Процедуру аттестации АС можно условно разделить на несколько последовательных этапов:

1) планирование,

2) сбор информации,

3) базовый анализ,

4) детальный анализ,

5) подготовка отчетных документов,

6) аккредитация.

Планирование

Можно выделить четыре стадии планирования:

1) инициирование – определяется общий порядок выполнения работ, необходимые затраты ресурсов на проведения аттестации и согласование схемы аттестации с заказчиком работ;

2) анализ – определяют границы проведения аттестации и распределение работ, общие и внутренние требования БИ, предъявляемые к АС, собирают исходные данные, необходимые для разработки программы и методики аттестационных испытаний;

3) планирование ресурсов – осуществляется выделение ресурсов (временных, людских, ТС и т.п.), необходимых для выполнения намеченных задач;

4) документирование плана проведения аттестации – осуществляется подготовка и согласование плана проведения аттестации, который в общем случае включает в себя следующие разделы:

· резюме – все необходимые сведения о порядке проведения работ,

· введение – описывает структуру АС, границы проведения обследования, уровень критичности, группы решаемых системой задач, ограничения, накладываемые политикой безопасности, общий график работ, критерии для оценки уровня защищенности АС,

· распределение ответственности – определяется организационная структура и обязанности участников процедуры аттестации,

· требования БИ – определяется набор требований БИ,

· подход к оцениванию – перечисляются задачи, выполняемые при проведении базового в случае необходимости детального анализа.

· план-график работ – определяет сроки подготовки отчетных документов и исходных данных, сроки проведения совещаний и сроки окончания этапов выполнения работ,

· поддержка – перечисляются требования к поддержке процедуры аттестации со стороны обслуживающего персонала и руководства организации,

· отчетные документы – отчет по результатам предварительного обследования объекта информатизации, программа и методика проведения аттестационных испытаний, протокола испытаний, заключение по результатам испытаний,

· приложения – структура отчета по результатам аттестационных испытаний, информация по методам и средствам проведения испытаний и анализа, даются ссылки на источники такой информации.

Принятая схема проведения аттестации оформляется в виде «Технического задания» и «Программы работ».

Сбор информации

Существует 3 основных метода сбора информации: от обслуживающего персонала и разработчиков АС, изучение документации, проведение опросов.

Для проведения аттестационных испытаний должны быть подготовлены следующие документы:

· документы, содержащие требования БИ,

· отчет по результатам анализа рисков – содержит описание ресурсов АС, оценку их критичности, описание существующих угроз и уязвимостей, оценку ущерба, оценку рисков,

· диаграммы информационных потоков приложений – описывают входные, выходные и внутренние информационные потоки приложений, выполняющихся в рамках АС,

· описание механизмов БИ.

Базовый анализ

В общем случае базовый анализ должен выполняться на функциональном уровне — это уровень абстракции, представленный спецификациями функций АС. Проводится анализ механизмов безопасности АС, позволяет определить общий уровень ее защищенности и степень соответствия требованиям БИ и заключается в проверке наличия в составе системы компонентов, реализующих необходимый набор требований БИ:

· существующие, как общие требования БИ, так и специфичные для АС должны быть критически исследованы. Основная часть требований может содержаться в «Техническом задании на создание АС»;

· анализируются механизмы безопасности – если требования БИ четко определены, то анализ проводится по спискам проверки (перечень контрольных вопросов) в противном случае используют методы тестирования механизмов безопасности АС. Важным вопросом анализа механизмов БИ является выбор уровня детализации;

· проверяется существование механизмов БИ, представленных функциональными спецификациями АС;

· рассматривается методология реализации механизмов БИ

Детальный анализ

Во многих случаях для проведения аттестации бывает недостаточно одного базового анализа, что требует проведения детального анализа для поиска конкретных ошибок в реализации АС, при этом:

· оценивают эффективность реализации функций безопасности,

· проверяется правильность функционирования механизмов БИ (работоспособность механизмов БИ, эксплуатационные характеристики, устойчивости к попыткам взлома, мониторинг механизмов безопасности).

Здесь может использоваться большинство известных методов тестирования, формальная верификация

Подготовка отчетных документов по результатам аттестации

Основными отчетными документами по результатам аттестации являются:

· «Заключение по результатам аттестационных испытаний» - содержит выводы относительно соответствия механизмов БИ АС критериям аттестации, оценку уровня защищенности и рекомендации по обеспечению режима БИ АС, дополняющие существующие организационные меры защиты,

· «Протокола аттестационных испытаний», прилагаемые к «Заключению…».

На основании Заключения председатель аттестационной комиссии принимает решение о выдаче «Аттестата соответствия».

Аккредитация

В США термином «аккредитация безопасности АС» обозначается основывающаяся на результатах аттестации санкция руководства предприятия, позволяющая использовать АС для обработки жизненно-важной и/или конфиденциальной информации в данной среде функционирования.

8. Особенности эксплуатации КСИБ
на объекте защиты

Ключевые понятия:

эксплуатация КСИБ, принципы эксплуатации;

контроль, виды, субъекты и объекты контроля;

служба безопасности, ее функции, задачи, методика построения и состав;

отдел режима и охраны, права и обязанности;

отдел ЗИ, права и обязанности;

инженерно-техническая группа, права и обязанности.

Рис. 17. Особенности эксплуатации КСИБ на объекте защиты.

КСИБ на объект должна руководствоваться следующими принципами:

· приоритет мер,

· законность,

· комплексное использование сил и средств,

· координация и взаимодействие внутри и вне объекта,

· сочетание гласности с конспирацией,

· компетентность,

· экономическая целесообразность,

· плановая основа деятельности,

· системность,

что гарантирует соблюдение принципов системно-концептуального подхода к решению проблемы ЗИ в процессе эксплуатации объекта.

Согласно этим принципам эксплуатация КСИБ включает в себя:

· применение сданных в эксплуатацию СрЗИ;

· планирование эксплуатационных мероприятий и контроль за их исполнением;

· техническое обслуживание, ремонт приборов и аппаратуры СрЗИ, технический контроль за эксплуатацией СрЗИ;

· материальное обеспечение эксплуатационных нужд;

· ведение установленной технической ЭД;

· сбор и обобщение статистических данных по эксплуатационно-техническому обслуживанию;

· анализ причин отказов в работе аппаратуры и причин, способствующих совершению краж и пожаров с заблокированных участков объекта.

Одной из основных функций при введении и эксплуатации КСОИБ АС является контроль – состоит в процессе сопоставления фактически достигнутых результатов с запланированными. Субъекты контрольной деятельности делятся на внутренние (руководитель предприятия, эксплуатирующего АС, члены СБ) и внешние (сотрудники лицензионно-разрешительных подразделений органов внутренних дел и прокуратуры). Контролю подлежат деятельность подразделений, состояние технической защиты объекта, защищенность информации, система профессиональной подготовки и переподготовки сотрудников СБ и т.д. Различают три вида контроля: предварительный, текущий и заключительный.

В рамках контроля состояния ЗИ на предприятии должны быть изучены следующие вопросы:

1) соблюдение норм, правил хранения и охраны в помещениях, спецхранилищах, на рабочих местах носителей информации;

2) ведение учета и обеспечение личной ответственности за выполнение данной функции;

3) соблюдение порядка хранения и уничтожения сведений, подлежащих защите;

4) соблюдение требований порядка обращения с носителями информации;

5) меры по предотвращению несанкционированного выноса носителей информации за территорию предприятия;

6) соблюдение режима и охраны их при транспортировке, рассылке, переносе, доставке;

7) организация доступа командированных, приглашенных лиц к информации предприятия;

8) уровень знания требований режима лиц, допущенных к закрытым работам и документам;

9) степень обеспеченности СБ надежными хранилищами, запирающими устройствами, средствами опечатывания;

10) уровень обеспеченности сотрудников предприятия соответствующими рабочими местами для работы с носителями информации;

11) состояние пропускного и внутреннего режима в зданиях, помещениях, в целом на предприятии;

12) механизм распределения носителей информации по уровням исполнения и управления;

13) обоснованность доступа к различным видам носителей конкретных групп сотрудников;

14) порядок обращения с носителями на рабочих местах;

15) порядок пользования средствами получения, обработки, хранения, отображения, передачи информации;

16) порядок обмена сведениями внутри предприятия и с внешними партнерами;

17) своевременность и правильность засекречивания и раскрытия сведений;

18) организация и проведение совещаний, переговоров, выставок, конференций, симпозиумов и т.д.;

19) качество разработки организационно-методических документов, выполнение планов работ и специальных мероприятий по ЗИ;

20) уровень и полнота выполнения требований руководства предприятия;

21) состояние профилактической работы с сотрудниками;

22) уровень организационно-методического обеспечения взаимодействия между подразделениями;

23) время поиска и доведения информации до исполнителей.

Таким образом, одним из условий, необходимых для реализации и эксплуатации КСИБ являются организационные условия, одно из которых заключается в необходимости создания системы органов, основу которой составили бы специализированные центры ЗИ и службы. В этих целях на предприятиях создаются специальные службы, зачастую называемые СБ.

ЗАДАНИЯ

ИНТЕГРАЦИЯ СРЕДСТВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В ТЕХНОЛОГИЧЕСКУЮ СРЕДУ. ЭТАПЫ И ОСОБЕННОСТИ ПРОЕКТИРОВАНИЯ КСИБ НА СОВРЕМЕННОМ УРОВНЕ И ТРЕБОВАНИЯ К НИМ.

1). Провести анализ решения задач ЗИ посредством соответствующих СрЗИ по каждому классу задач (с примерами).

2). Рассмотреть на примерах возможные варианты СЗИ и ТПР.

ЭТАПЫ И ОСОБЕННОСТИ ПРОЕКТИРОВАНИЯ КСИБ НА СОВРЕМЕННОМ УРОВНЕ И ТРЕБОВАНИЯ К НИМ. ТИПОВАЯ СТРУКТУРА КОМПЛЕКСНОЙ СЗИ ОТ НСД.

1). Разработать общие рекомендации по формированию требований к ЗИ в зависимости от:

· характера обрабатываемой информации,

· размещения объемов защищаемой информации,

· времени пребывания защищаемой информации в АС,

· структуры АС,

· территориальной распределенности АС,

· этапов жизненного цикла АС.

2). Провести обзор и сравнить отечественные и зарубежные РД по ЗИ от НСД.

ТРЕБОВАНИЯ К ЭКСПЛУАТАЦИОННОЙ ДОКУМЕНТАЦИИ КСИБ. АТТЕСТАЦИЯ ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ.

1). Разработать ЭД на АС.

2). Разработать перечень РД, отражающих требования БИ.

ПОРЯДОК ВЫПОЛНЕНИЯ РАБОТЫ

1. Для подготовки к практическому занятию и выполнения задания по каждой из тем студентам необходимо провести самостоятельную работу по обзору соответствующей литературы, лекционного материала, м