Определение способов интеграции механизмов безопасности в комплексную систему защиты информации

В настоящее время имеется большое количество разнообразных средств защиты информации, ориентированных на решение различных задач на основе различных вычислительных платформ.

Задача интеграции средств защиты информации стоит особенно остро, если АС создавалась длительное время из разнородных компонентов. При этом появляется более общая проблема интеграции самих компонент информационной системы.

В качестве подхода к интеграции средств защиты информации для разнородной информационной системы можно предложить выбор или построение средств защиты на основе однотипных сетевых технологий, что позволит организовать информационный обмен между элементами комплексной системы защиты и построить основу для создания централизованной системы управления защитой информации.

Дополнительным основанием для объединения средств защиты может служить соответствие их общепринятым международным (или государственным) стандартам, также производство их одной организацией.

При организации работ в разнородных информационных системах необходимо обращать внимание на достижение непротиворечивости реализации политики безопасности в разных компонентах системы, а также полноты реализации функций защиты информации в информационной системе в целом.

Для построения АС должны выбираться только сертифицированные СВТ и криптографические средства защиты информации. Перечни сертифицированных СВТ и криптографические средства защиты информации публикуются подразделениями ФСТЭК РФ и ФСБ.

Процесс поиска, изучения, анализа и выбора средств достаточно сложен и продолжителен, зависит от уровня знаний специалиста, при этом надо учитывать множество влияющих факторов. Поэтому возможно появление ошибок в силу различных причин, которые могут привести к выбору не лучшего варианта, что может затем сказаться на бюджете и безопасности. Поэтому актуальной является задача выбора оптимального состава комплекта СрЗИ.

Решать эту задачу можно применив систему поддержки принятия решения, базирующуюся на комплексе математических моделей многокритериальной оптимизации.

В [11] предлагается оптимизацию выбора СрЗИ проводить по критерию «предпочтительности выбора», вычисляемого как суммарный показатель экспертных оценок обязательных (по функциональным требованиям РД ФСТЭК и ФСБ) и дополнительных показателей, взвешенных коэффициентами важности, по каждому виду СрЗИ в отдельности - защиты от НСД, межсетевым экранам (МЭ), антивирусным средствам (АВС) (по одному средству каждого вида, то есть локально). Эта модель не решает проблемы выбора комплекта СрЗИ когда имеются средства, покрывающие ФТ из разных видов подсистем (известны средства с функциями МЭ, СОВ и АВС одновременно и всеми их сочетаниями), а также внутри одного вида СрЗИ – защиты от НСД, когда одни средства покрывают все функцианальные требования, другие – частично, а некоторые элементы с одним - двумя ФТ (е-токен как электронный ключ, Шипка как электронный ключ и средство хранения сертификатов КриптоПРО).

Решить эту задачу можно применив новую модель системной интеграции компонентов сложной системы (глобальной оптимизации), базирующуюся на расширенных моделях многокритериальной оптимизации и методах системного анализа [12].

Результатом работы должна быть структурная схема информационной системы с элементами подсистемы защиты информации, на которой отображаются:

- основные серверы системы с указанием применяемых операционных систем;

- рабочие места с указанием применяемых операционных систем;

- рабочие места или локальные сети, из которых возможно осуществление доступа к внешним информационным службам, с указанием средств, при помощи которых осуществляется доступ;

- элементы подсистемы защиты информации, которые являются узлами различных компонент (сегментов) информационной системы;

- реализация дополнительных экранирующих (навесных) средств защиты.

Структурная схема автоматизированной информационной системы с использованием средств защиты представлена в приложении Г.

 

5.4.5 Определение способов реагирования на нарушения безопасности информации и планирование восстановления работоспособности после нарушений безопасности ресурсов информационной системы

Комплексная система защиты должна предусматривать необходимые средства сигнализации о попытках нарушения безопасности информационной системы, блокирования нарушителей в ходе реализации угроз безопасности, а также содержать подробный план действий при возникновении аварийных ситуаций с назначением ответственных лиц за каждый участок работы.

Для быстрого восстановления работоспособности информационных служб важную роль играют средства создания и хранения архивных копий информации, а также соответствующим образом разработанная стратегия архивирования.

6. Формулирование и оформление в виде организационно-распорядительных документов правил работы с конкретными информационными службами

Для регламентации поведения пользователей на рабочих местах и организации работы администраторов должны быть разработаны типовые инструкции для каждого рабочего места (частные инструкции по ОБИ).

В инструкциях для администраторов информационных служб определяются основные положения политики безопасности применительно к данной службе и подходы к распределению полномочий пользователей.

В инструкциях для пользователей определяются правила работы в каждой информационной службе, а также действия в нестандартных и аварийных ситуациях.

Особенно детально должны быть расписаны правила работы пользователей, которые осуществляют связь с внешними информационными системами, а также в сегментах системы, в которые разрешен доступ внешних пользователей.

Эскизный проект выполняется в виде пояснительной записки с приложением графических схем и должен содержать следующие сведения:

- структурную схему автоматизированной информационной системы;

- обоснование проектных решений по автоматизации информационных процессов;

- структурную схему подсистемы защиты информации;

- обоснование проектных решений по защите информации;

- технико-экономическое обоснование проекта;

- спецификация оборудования.

Информация о стоимости применяемых средств защиты, а также общая стоимость системы защиты информации приводится в таблице 1.2.

Таблица А.5 – Стоимость СЗИ

Описание	Цена за единицу (руб.)	Кол-во	Стоимость всего (руб.)
Базовый пакет для сертифицированной версии OC Winows 2003 Server	4 156		16 624
Лицензия клиентского доступа к серверу терминалов на базе Windows 2003 «на устройство» (Windows 2003 TS Device CAL)			32 000
Лицензия клиентского доступа к серверу терминалов на базе Microsoft Windows 2003 «на пользователя» (Windows 2003 TS User CAL)	2 000		80 000
Комплекс СЗИ НСД «Аккорд-NT/2000» v.3.0(для применения совместно с сертифицированными СКЗИ)	14 986		14 986
Лицензия на право использования СПО «Аккорд-NT/2000» v.3.0 в режиме TSE (Terminal Server Edition) при применении в системах терминального доступа на одном терминальном сервере и для подключения до 50 терминальных клиентов
ПСКЗИ ШИПКА	2 900		145 000
Антивирус касперского 6.0 для Windows Server + 40 рабочих мест.	1 600	4+	6 400+52000
Межсетевой экран Cisco PIX 515	300 000		600 000
Система обнаружения вторжениений ФОРПОСТ
Средство резервного копирования Acronis Backup & Recovery 10.	39 000		39 000
ИТОГО:	1168 303