Управление компонентами системы ИБ

Эффективность системы ИБ и труда администраторов средств информационной безопасности будет чрезвычайно низкой при отсутствии средств сбора, анализа, хранения информации о состоянии системы ИБ, централизованного управления всеми ее составляющими. Дело в том, что каждое средство защиты реализует некоторую составляющую политики безопасности, которая на уровне подсистем задается набором параметров и требований. Политике ИБ должны соответствовать не только каждая подсистема или средство защиты, но и система ИБ в целом. Отслеживание работоспособности компонентов системы, примененных правил и других событий в системе ИБ требует наличия средств мониторинга и управления. Для проведения анализа собираемых данных, построения отчетов и принятия управляющих решений необходимы средства мониторинга, аудита и генерации отчетов.

Кроме того, отметим, что распределенная атака на ИС в некоторых случаях может быть зафиксирована и предотвращена только при получении данных из многих точек сети, как от средств защиты, так и от серверов, сетевого оборудования, приложений. Зафиксировать такую атаку можно, имея средства консолидации собираемых данных и корреляции регистрируемых событий.

Этапы работ по проектированию системы ИБ

1. Разработка концепции системы информационной безопасности.

Определяются основные цели, задачи и требования, а также общая стратегия построения системы ИБ. Идентифицируются критичные информационные ресурсы. Вырабатываются требования к системе ИБ и определяются базовые подходы к их реализации.

Концепция информационной безопасности служит методологической основой для:

• формирования и реализации единой политики в области обеспечения информационной безопасности;
• принятия обоснованных управленческих решений по разработки мер защиты информации;
• выработки комплекса согласованных мер нормативно-правового, технологического и организационно-технического характера, направленных на выявление и ликвидацию последствий реализации различных видов угроз информационной безопасности;
• координации деятельности подразделений при проведении работ по созданию, развитию и эксплуатации информационной системы с соблюдением требований обеспечения безопасности информации.

В концепции системы информационной безопасности для базового предприятия в курсовой работе необходимо отразить:

• общую характеристику объекта защиты (описание состава, функций и существующей технологии обработки информации);
• формулировку целей создания системы защиты, основных задач обеспечения информационной безопасности и путей достижения целей;
• основные классы угроз информационной безопасности, принимаемые во внимание при разработке подсистемы защиты;
• основные принципы и подходы к построению системы обеспечения информационной безопасности, меры, методы и средства достижения целей защиты.

2. Создание политики ИБ

Политика описывает общий подход к ИБ в базовой фирме без специфичных деталей. В курсовой работе рекомендуется ее описать следующими разделами:

- «Введение». Описывает необходимость появления данного документа (в ряде случаев отсутствует);

- «Цель политики». Описывает цели создания данного документа;

- «Область применения». Описывает объекты или субъекты, которые должны выполнять требования данной политики (например, «данная политика применяется ко всем сотрудникам, имеющим любую форму доступа к любым информационным ресурсам компании»);

- «Политика». Описывает сами требования;

- «Ответственность». Описывает наказание за нарушение указанных в предыдущем разделе требований;

- «Термины и определения»;

- «История изменений данной политики». Дает возможность отследить все вносимые в документ изменения (дата, автор, краткая суть изменения).

Такая структура позволяет в курсовой работе на 2–3 страницах описать все основные моменты, связанные с предметом политики безопасности базового предприятия. При этом надо постоянно помнить, что концепция – это не описание способа реализации. В ней нельзя «привязываться» к конкретным техническим решениям, продуктам и производителям. Иначе изменение ситуации в компании, уход с рынка какого-либо из вендоров и т. п. приведет к необходимости изменения концепции ИБ, а этого происходить не должно.

Примечание1. Политика безопасности должна пройти через отдел кадров и юридический департамент. Первый, проверив непротиворечивость документа с КЗОТом, сможет использовать его при приеме на работу новых сотрудников (и при аттестации уже работающих). Без юристов не обойтись, потому что документ должен соответствовать всем действующим в стране нормам и законам. В противном случае отдельные положения политики безопасности в конфликтных ситуациях могут быть оспорены в суде.

Примечание 2. Что надо не забыть включить в политику безопасности?

Обязательно включить вопросов, связанные с безопасностью:

- карманных компьютеров, смартфонов, коммуникаторов или обычных мобильных телефонов. Они настолько прочно вошли в нашу жизнь, что воспринимаются как нечто само собой разумеющееся. При этом как-то упускается из виду, что данные цифровые гаджеты могут служить отличным каналом как утечки информации, так и проникновения злоумышленников или вредоносных программ в обход периметровых средств защиты;

- портативных мобильных устройств – USB-дисков, «флэшек», iPod'ов и MP3-плейеров, цифровых фотоаппаратов. Первые два типа устройств миниатюрны, а значит, их можно незаметно пронести в офис и вынести всю конфиденциальную информацию. Остальные из названных устройств как носители информации не воспринимаются, но при необходимости идеально справятся с этой ролью;

- мобильных пользователей. Их число постоянно растет. Обладая при этом полным доступом к корпоративным ресурсам из любой точки мира, они остаются вне зоны действия периметровых средств корпоративной безопасности и атаковать их гораздо проще, чем центральный офис компании;

- экстранет-пользователей. Концепция «экстранет» или сети, открытой для партнеров, поставщиков, заказчиков и других типов внешних пользователей, позволяет не только улучшить показатели бизнеса (за счет сокращения складских запасов, облегчения и ускорения логистики, снижения стоимости продуктов и т. д.), но и открывает потенциальную брешь в системе защиты;

- беспроводных пользователей. Технология Wi-Fi повышает не только производительность сотрудников, но и опасность неконтролируемого проникновения внутрь защищаемой сети. Необходимо иметь политику использования точек беспроводного доступа в своей компании. Даже если у вас не разрешено использовать эту новую и эффективную ИТ-технологию, то ваши пользователи могут придерживаться противоположного мнения. По статистике, почти 99% всех несанкционированных установок точек беспроводного доступа совершают «нетерпеливые» сотрудники, жаждущие мобильности и повышения эффективности своей работы. Следовательно, вы должны регулярно контролировать радиоэфир в поисках несанкционированных беспроводных включений;

- гостевого доступа. С целью повышения лояльности ваших клиентов вы предлагаете им бесплатный гостевой выход в Интернет из своего офиса? А вы подумали о безопасности такого выхода? Не получат ли они при этом доступ к неразрешенной для них информации? Защищены ли они при выходе в Интернет? Ведь если они пострадают от вирусной эпидемии в момент нахождения в вашем офисе, виноваты будете только вы. При наличии политики безопасности гостевого входа подобных проблем не возникнет;

- аутсорсинга. Аутсо́рсинг (от англ. outsourcing: внешний источник) — передача организацией определённых бизнес-процессов или производственных функций на обслуживание другой компании, специализирующейся в соответствующей области. В последнее время компании все чаще избавляются от непрофильных для себя услуг и передают их на аутсорсинг в специализированные компании. Так поступают с хостингом web-сайтов, IP-телефонией и даже управлением средствами защиты. Но безопасно ли осуществляется отданная в чужие руки услуга? Не станет ли внешний подрядчик причиной утечки информации от вас? А если через канал взаимодействия между вами проникнет злоумышленник или вредоносная программа? Во избежание нежелательных последствий лучше предусмотреть все заранее;

- Очень редко разработчики концепции «вспоминают» о наличии лэптопов в компании, а напрасно. Лэптоп (лептоп) (англ. laptop — lap = колени сидящего человека) — более широкий термин, он применяется как к ноутбукам, так и к планшетным ПК. К ноутбукам обычно относят лэптопы, выполненные в раскладном форм-факторе. Лэптопы (особенно те, которые принадлежат начальству) содержат огромные залежи важнейшей информации по всем аспектам жизнедеятельности компании – ее ноу-хау, перспективным разработкам, политике ценообразования, конфиденциальным контрактам и т. п.

- взаимодействия с прессой в случае успешного взлома или вырвавшейся наружу эпидемии;

- расследования инцидентов;

- обучения всех сотрудников (начиная с высшего руководства и заканчивая низовым звеном);

- взаимодействия с другими сферами безопасности (секретное делопроизводство, физическая безопасность и т. п.);

- взаимодействия с правоохранительными органами или оператором связи и т. п.

ресурсов.

3. Подготовка технического задания на создание системы информационной безопасности

Основным документом на основе которого разрабатывается ТЗ ИСБ, является "Концепция информационной безопасности".

Рекомендованный порядок разработки, согласования и утверждения ТЗ ИСБ определен в приложении №1 ГОСТ 34.602-89.

ТЗ ИСБ является обязательным документом для разработки проектно-сметной документации. ТЗ должна составлять организация-заказчик (далее-заказчик). Учитывая, что далеко не каждая организация имеет в своем штате таких специалистов, то для разработки ТЗ может привлекаться на договорной основе специализированная организация, имеющая опыт работ в данной области и соответствующие лицензии (организация-разработчик, далее-разработчик), а также организации, привлекаемые для реализации различных этапов создания ИСБ (организации-исполнители, далее-исполнитель). ТЗ ИСБ утверждается руководством организации-заказчика и организации-разработчика. При необходимости, ТЗ ИСБ может согласовываться с органами вневедомственной охраны МВД РФ, государственной противопожарной службы МЧС РФ, ведомственной охраны, организациями-исполнителями и другими структурами. Все подписи должностных лиц согласующих и утверждающих организаций оформляются на первой странице ТЗ ИСБ и заверяются печатями данных организаций. Допускается согласование по письму. Все замечания заказчика по проекту ТЗ ИСБ должны быть представлены с техническим обоснованием. При возникновении разногласий оформляется протокол разногласий и обе стороны принимают меры к их устранению. Дополнения и изменения к ТЗ ИСБ утверждаются и согласовываются таким же порядком. Не допускается внесение изменений и дополнений после представление системы или ее части на приемо-сдаточные испытания.

Состав и содержание текстовой части ТЗ ИСБ

Состав и содержание ТЗ ИСБ изложены в ГОСТ 34.602-89, СНиП 11-01-95, РД 25 952-90, а так же будет определяться требованиями конкретного объекта, необходимым составом ИСБ, этапностью развертывания ИСБ и другими факторами.

Здесь необходимо дать точное и полное наименование работы по созданию ИСБ, указать название и адрес или местоположение защищаемого объекта, при необходимости может быть присвоен шифр работы.

1. Основание для создания ИСБ

Основанием для создания ИСБ, как правило, являются решение или документ заказчика, где определена необходимость оборудования объекта ИСБ, а также исходные данные: архитектурно-строительные чертежи, генплан объекта и т.п.

2. Цель и состав работы

Целью работы является создание ИСБ объекта, соответствующей определенным техническим, технологическим, производственно-экономическим показателям. Как правило, здесь же указываются критерии по которым делается оценка достижения целей создания ИСБ. Так же можно отразить требования по стадийности и этапности создания ИСБ.

3. Сроки создания ИСБ

Минимальные сроки создания ИСБ рассчитываются исходя из трудоемкости работ, нормативных сроков согласования и сдачи работ в надзорных органах. Заказчик или исполнитель может определить большие сроки, учитывая другие факторы.

4. Требования по вариантной разработке

На начальном этапе заказчик может привлечь несколько исполнителей для конкурсной организации работ. На этом этапе могут рассматриваться коммерческие предложения. Для проведения конкурса необходимо указать критерии выбора заказчиком варианта построения ИСБ.

5. Исходные данные для проектирования

В работе по проектированию задействуется много различных специалистов. Не все они имеют возможность принять участие в обследовании, особенно если это удаленный объект. От полноты и точности исходных данных во многом будет зависеть качество проектных работ.

• Описание объекта

Описание объекта должно быть выполнено в такой форме и объеме, чтобы было видно на какую материально-техническую базу должна "наложиться" создаваемая ИСБ. В первую очередь это касается инженерных средств защиты (ограждений, заграждений, освещения, связи и т.п.), состояния и организации физической охраны (караулы, посты, маршруты движения и т.п.), а также других факторов, влияющих на построение ИСБ. Необходимо так же дать краткую характеристику криминогенной и пожарной обстановки в месте расположения объекта, а так же соседних объектов, граничащих с защищаемым объектом.

• Перечень основных регламентирующих документов
  Здесь необходимо привести полный перечень тех нормативных документов, которыми должны руководствоваться заказчик, разработчик и исполнитель при выполнении работ по созданию ИСБ. Далее в тексте ТЗ нет необходимости повторять нормативные требования, изложенные в этих документах. Достаточно оговаривать, что элемент должен быть создан в соответствии с тем или иным нормативным документом. При этом надо помнить, что в случае расхождения норм в различных документах, приоритетными являются требования ГОСТ, потом СНиП, ВСН, РД, РТМ, НПБ.
• Особые условия

К особым условиям заказчик вправе отнести то, что не нашло отражения в основном тексте. Например, требования к проектной, монтажной, пусконаладочной организации (наличие определенных лицензий, опыта, квалификации специалистов и т.п.), о необходимости согласования проектно-сметной документации в определенных надзорных или взаимодействующих органах, поэтапному развертыванию ИСБ, о частичном использовании некоторых существующих систем безопасности и прочее.

6. Общие требования к ИСБ

В этом разделе объединены требования, единые для всех подсистем и системы в целом.

• Требования по назначению, составу и структуре
  Здесь целесообразно дать определение ИСБ, как совокупности различных элементов и систем, работающих под единым управлением, а также для выявления каких событий и действий она предназначена, какую информацию она должна формировать "на выходе". Необходимо указать из каких подсистем должна состоять ИСБ, алгоритм работы ИСБ, глубину интеграции подсистем, набор функций взаимодействия подсистем, интеллектуальные уровни, решающие задачи интеграции и управления компонентами, а также требования по защите самой ИСБ от преднамеренных и непреднамеренных действий по нарушению штатной работы системы. Кроме того, важно указать, какими другими системами (лифты, освещение, вентиляция и пр.) должна управлять или взаимодействовать ИСБ.

 

• Требования по размещению оборудования

Требования по размещению основного и промежуточного оборудования, кабельным трассам достаточно полно изложены в нормативных документах: ГОСТ Р 50776-95 "Системы тревожной сигнализации. Часть 1. Общие требования. Раздел 4. Руководство по проектированию, монтажу и техническому обслуживанию", ГОСТ 8709-82 "Щитки осветительные для промышленных и общественных зданий", РД 78.145-93 "Системы и комплексы охранной, пожарной и охранно-пожарной сигнализации. Правила производства и приемки работ", НПБ 88-2001 "Установки пожаротушения и сигнализации. Нормы и правила проектирования", ВСН 60-89 "Устройства связи, сигнализации и диспетчеризации инженерного оборудования жилых и общественных зданий. Нормы проектирования", ВСН 59-88 "Электрооборудование жилых и общественных зданий. Нормы проектирования", ОСТН-600-93 "Отраслевые строительно-технологические нормы на монтаж сооружений и устройств связи, радиовещания и телевидения", Правила устройства электроустановок (ПУЭ) и других. Здесь необходимо конкретно указать место расположения центра управления ИСБ, количество, состав и места размещения автоматизированных рабочих мест (АРМ). Если требуется изготовить специальные стойки, стеллажи, тумбы, столы, то необходимо сделать планы, чертежи в виде приложений или просто изложить требования к ним, оставив решение вопроса по дизайну за исполнителем.

• Требования по условиям эксплуатации
  Здесь необходимо выдвинуть требования по климатическому исполнению оборудования, защите от электромагнитных помех, агрессивной среды и т.п. Эти требования изложены в соответствующих ГОСТ.
• Требования к безопасности

Эти требования касаются обеспечения электробезопасности, других мер безопасности при монтаже, наладке, эксплуатации, обслуживании и ремонте ИСБ, соответствии ее санитарным нормам и правилам для лиц эксплуатирующих ИСБ.

• Требования к продолжительности непрерывной работы
  Как правило, при нормальном питающем напряжении система должна функционировать круглосуточно. Так же необходимо указать планируемый срок эксплуатации ИСБ, требуемую наработку на отказ основных блоков и оборудования, предполагаемую схему ремонтов и модернизации.
• Требования к электропитанию

Надо дать характеристику имеющейся электрической сети. Необходимо указать места подключения блоков ИСБ к существующей электрической сети. Если на объекте невозможно обеспечить электропитание ИСБ по первой категории, необходимо сформулировать требования по резервным источникам питания. Минимально необходимые требования по резервному электропитанию для различных подсистем ИСБ изложены в нормативных документах. Так же необходимо изложить требования по заземлению или занулению оборудования, грозозащите наружных устройств, устойчивости к перепаду напряжения в электросети, сопротивлению изоляции электропроводок и т.п.

• Требования к обслуживанию и ремонту

Здесь необходимо изложить требования к персоналу, который будет проводить техническое обслуживание и ремонт ИСБ. Это может быть специально обученный персонал заказчика или специализированная организация, привлекаемая на договорной основе. Так же необходимо указать нормативные документы, которыми необходимо будет руководствоваться при проведении технического обслуживания и ремонта.

• Требования к возможности расширения и изменения конфигурации ИСБ
  Если заказчик планирует расширение, изменение конфигурации ИСБ, то необходимо точно указать какие подсистемы, в каких размерах, в какие сроки будут этому подвержены. Проектная организация должна заложить соответствующий резерв возможностей ИСБ.
• Требования к надежности и устойчивости
  Здесь можно выдвинуть требования по возможности работы подсистем, отдельных блоков, элементов как в сетевом, так и в автономном режиме, к каким видам разрушающих и неразрушающих воздействий она должна быть устойчива, защита программного продукта и другие.
• Требования по метрологическому обеспечению
  Необходимо указать какие параметры системы, с какой точностью и периодичностью должны измеряться, какие и где должны быть встроенные средства контроля параметров системы.

7. Требования к подсистемам ИСБ.

В этом разделе формулируются специальные требования к каждой подсистеме.

• Подсистема сбора и обработки информации

В ИСБ данная подсистема, как правило, представляет собой программно-аппаратный комплекс. Поэтому надо сформулировать требования как к программной, так и к аппаратной части в виде функциональных и технических требований.

• Подсистема охранно-пожарной сигнализации

Наиболее важным элементом этой подсистемы являются извещатели. Для того чтобы проектная организация могла выбрать оптимальную модель извещателя, очень важно правильно и полно сформулировать признаки событий, которые должны классифицироваться извещателем, как "тревога", "саботаж" и "неисправность", а так же возможные преднамеренные и непреднамеренные помехи работе этих извещателей.

• Охранная сигнализация

Важным требованием будет тактика постановки и снятия с охраны разделов и зон, которую хотел бы реализовать заказчик. Кроме того, необходимо указать конкретные участки периметра, здания, сооружения, помещения, которые подлежат оборудованию охранной сигнализацией и указать их особенности (например: кассы, комнаты хранения оружия). Если планируется установка кнопок тревожной сигнализации или ловушек, требуется указать их вид и места установки. Необходимо так же сформулировать требования к приемно-контрольным приборам, извещателям, оповещению о тревожных событии (куда и в каком виде должен приходить сигнал).

• Противопожарная автоматика

Противопожарная автоматика может включать несколько различных установок: пожарную сигнализацию, оповещение людей о пожаре, дымоудаление, пожаротушение. В частном случае, учитывая особенности формирования требований по организации и производству работ по этим установкам, можно разработать ЧТЗ или задание на проектирование противопожарной автоматики. Нормы оборудования помещений, зданий и сооружений противопожарной автоматикой, а также требования к ним, достаточно жестко регламентированы, что в свою очередь значительно облегчает задачу формирования требований.

o Подсистема контроля и управления доступом

Подсистема контроля и управления доступом может быть предназначена для ограничения и санкционированного перемещения людей, транспорта на территории, в зданиях и помещениях. Требования необходимо формулировать с учетом положений ГОСТ Р 51241-98 "Средства и системы контроля и управления доступом. Классификация. Общие технические требования. Методы испытаний". Кроме того, надо указать конкретные требования к подсистеме по организации зон доступа, местам оборудования точек прохода и их пропускной способности, видам идентификационных признаков и устройствам идентификации, видам перекрытия проемов прохода, по штатной процедуре допуска персонала, посетителей и другие.

o Подсистема охранная телевизионная

Здесь необходимо указать какие элементы объекта подлежат оборудованию данной подсистемой (периметр, контрольно-пропускной пункт, входы, коридоры, помещения и т.п.). В качестве приложения должна быть схема размещения телевизионных камер с обозначенными сценами и их границами освещенности. Для каждой сцены должны быть указаны цели. Отдельно должно быть оговорено применение телевизионных камер на поворотных устройствах и использование трансфокаторов. Остальные требования к телевизионным камерам, устройствам обработки, записи и отображения, соединительным линиям, электропитанию можно сформулировать в соответствии с ГОСТ Р 51558-2000 "Системы охранные телевизионные. Общие технические требования и методы испытаний".

8. Приемка работ и гарантийные обязательства

Здесь необходимо указать виды, состав, объем и методы приемо-сдаточных испытаний ИСБ и ее составных частей на предмет ее соответствия заданным требованиям. Программы испытаний должны разрабатываться и утверждаться непосредственно перед испытаниями. Необходимо сформулировать требования к гарантийным обязательствам производителей оборудования и привлекаемых к работе монтажных, пусконаладочных организаций. Можно сформулировать требования к индивидуальному и групповому комплекту запасных частей, инструменту, принадлежностям (ЗИП).

1. Требования к проектно-сметной, конструкторской, рабочей и эксплуатационно-технической документации

Требования к проектной, конструкторской, рабочей и эксплуатационно-технической документации достаточно полно изложены в действующих нормативных документах. Необходимо указать требуемое количество экземпляров документации, если необходимо - степень ее конфиденциальности, обязанность подрядных организаций не разглашать эти сведения, использование иностранных терминов и другие. При формировании требований к сметной документации необходимо указать метод составления смет, ценники по которым должен производиться сметный расчет, какие коэффициенты и индексы могут быть применены.

Примечание. В курсовой работе должны быть отражены не все приведенные выше требования, а только те, выполнение которых необходимо для проектирования СИБ конкретного предприятия.

 

4. Создание модели системы ИБ

В курсовой работе рекомендуется построить процессную модель системы ИБ компании-заказчика, содержащую три уровня процессов:

• Процессы стратегического уровня – управление рисками, управление непрерывностью ведения бизнеса, разработка и развитие политики ИБ верхнего уровня.
• Тактические процессы – разработка и развитие процедур ИБ, технической архитектуры системы ИБ, классификация ИТ-ресурсов, мониторинг и управление инцидентами и другие.
• Процессы операционного уровня – управление доступом, управление сетевой безопасностью, проверка соответствия и др.

Определяются взаимосвязи процессов. В результате должна получиться трехуровневая процессно-сервисная модель системы ИБ, соответствующую требованиям стандарта ISO 27001. Рекомендуется при выполнении курсовой работы ознакомиться с содержанием данного стандарта.

Модель системы ИБ формализуется в едином комплексе нормативных документов. В этот комплекс входят следующие основные документы.

1. Концепция обеспечения ИБ.

2. Политика информационной безопасности.
3. Положение об информационной безопасности компании.
4. План обеспечения непрерывной работы и восстановления работоспособности информационной системы в кризисных ситуациях.
5. Правила работы с защищаемой информацией.
6. Журнал учета нештатных ситуаций.
7. План защиты информационных систем компании.
8. Положение о правах доступа к информации.
9. Инструкция по внесению изменений в списки пользователей и наделению их полномочиями доступа к информационным ресурсам компании.
10. Инструкция по внесению изменений в состав и конфигурацию технических и программных средств информационных систем.
11. Инструкция по работе сотрудников в сети Интернет.
12. Инструкция по организации парольной защиты.
13. Инструкция по организации антивирусной защиты.
14. Инструкция пользователю информационных систем по соблюдению режима информационной безопасности.
15. Инструкция администратора безопасности сети.
16. Аналитический отчет о проведенной проверке системы информационной безопасности.
17. Требования к процессу разработки программного продукта.
18. Положение о распределении прав доступа пользователей информационных систем.
19. Положение по учету, хранению и использованию носителей ключевой информации.
20. План обеспечения непрерывности ведения бизнеса.
21. Положение по резервному копированию информации.
22. Методика проведения полного анализа и управления рисками, связанными с нарушениями информационной безопасности.

Примечание. Вышеперечисленные документы могут быть указаны в приложения.