6.Основные принципы построения системы комплексной защиты информации
Построение системы обеспечения безопасности информации АС ОРГАНИЗАЦИИ и ее функционирование должны осуществляться в соответствии со следующими основными принципами:
законность;
системность;
комплексность;
непрерывность;
своевременность;
преемственность и непрерывность совершенствования;
разумная достаточность;
персональная ответственность;
минимизация полномочий;
взаимодействие и сотрудничество;
гибкость системы защиты;
открытость алгоритмов и механизмов защиты;
простота применения средств защиты;
научная обоснованность и техническая реализуемость;
специализация и профессионализм;
обязательность контроля.
Законность
Предполагает осуществление защитных мероприятий и разработку системы безопасности информации АС ОРГАНИЗАЦИИ в соответствии с действующим законодательством в области информации, информатизации и защиты информации, других нормативных актов по безопасности информации, утвержденных органами государственной власти и управления в пределах их компетенции, с применением всех дозволенных методов обнаружения и пресечения правонарушений при работе с информацией. Принятые меры безопасности информации не должны препятствовать доступу правоохранительных органов в предусмотренных законодательством случаях к информации конкретных систем.
Пользователи и обслуживающий персонал АС ОРГАНИЗАЦИИ должны иметь представление об ответственности за правонарушения в области систем автоматизированной обработки информации (статьи 272, 273, 274 Уголовного Кодекса РФ и т.п.).
Системность
Системный подход к построению системы защиты информации в АС ОРГАНИЗАЦИИ предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения проблемы обеспечения безопасности информации АС ОРГАНИЗАЦИИ.
При создании системы защиты должны учитываться все слабые и наиболее уязвимые места системы обработки информации, а также характер, возможные объекты и направления атак на систему со стороны нарушителей (особенно высококвалифицированных злоумышленников), пути проникновения в распределенные системы и НСД к информации. Система защиты должна строиться с учетом не только всех известных каналов проникновения и НСД к информации, но и с учетом возможности появления принципиально новых путей реализации угроз безопасности.
Комплексность
Комплексное использование методов и средств защиты компьютерных систем предполагает согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существенные (значимые) каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов. Защита должна строиться эшелонировано. Внешняя защита должна обеспечиваться физическими средствами, организационными и правовыми мерами. Одним из наиболее укрепленных рубежей призваны быть средства защиты, реализованные на уровне операционных систем (ОС) СВТ в силу того, что ОС - это та часть компьютерной системы, которая управляет использованием всех ее ресурсов. Прикладной уровень защиты, учитывающий особенности предметной области, представляет внутренний рубеж защиты.
Непрерывность защиты
Защита информации – не разовое мероприятие и не простая совокупность проведенных мероприятий и установленных средств защиты, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла АС ОРГАНИЗАЦИИ, начиная с самых ранних стадий проектирования, а не только на этапе ее эксплуатации.
Большинству физических и технических средств защиты для эффективного выполнения своих функций необходима постоянная организационная (административная) поддержка (своевременная смена и обеспечение правильного хранения и применения имен, паролей, ключей шифрования, переопределение полномочий и т.п.). Перерывы в работе средств защиты могут быть использованы злоумышленниками для анализа применяемых методов и средств защиты, для внедрения специальных программных и аппаратных "закладок" и других средств преодоления системы защиты после восстановления ее функционирования.
Своевременность
Предполагает упреждающий характер мер обеспечения безопасности информации, то есть постановку задач по комплексной защите АС и реализацию мер обеспечения безопасности информации на ранних стадиях разработки АС в целом и ее системы защиты информации, в частности.
Разработка системы защиты должна вестись параллельно с разработкой и развитием самой защищаемой системы. Это позволит учесть требования безопасности при проектировании архитектуры и, в конечном счете, создать более эффективные (как по затратам ресурсов, так и по стойкости) защищенные системы.
Преемственность и совершенствование
Предполагают постоянное совершенствование мер и средств защиты информации на основе преемственности организационных и технических решений, кадрового состава, анализа функционирования АС и ее системы защиты с учетом изменений в методах и средствах перехвата информации, нормативных требований по защите, достигнутого отечественного и зарубежного опыта в этой области.
Разумная достаточность
(экономическая целесообразность, сопоставимость возможного ущерба и затрат)
Предполагает соответствие уровня затрат на обеспечение безопасности информации ценности информационных ресурсов и величине возможного ущерба от их разглашения, утраты, утечки, уничтожения и искажения. Используемые меры и средства обеспечения безопасности информационных ресурсов не должны заметно ухудшать эргономические показатели работы АС, в которой эта информация циркулирует. Излишние меры безопасности, помимо экономической неэффективности, приводят к утомлению и раздражению персонала.
Создать абсолютно непреодолимую систему защиты принципиально невозможно. Пока информация находится в обращении, принимаемые меры могут только снизить вероятность негативных воздействий или ущерб от них, но не исключить их полностью. При достаточном количестве времени и средств возможно преодолеть любую защиту. Поэтому имеет смысл рассматривать некоторый приемлемый уровень обеспечения безопасности. Высокоэффективная система защиты стоит дорого, использует при работе существенную часть ресурсов компьютерной системы и может создавать ощутимые дополнительные неудобства пользователям. Важно правильно выбрать тот достаточный уровень защиты, при котором затраты, риск и размер возможного ущерба были бы приемлемыми (задача анализа риска).
Персональная ответственность
Предполагает возложение ответственности за обеспечение безопасности информации и системы ее обработки на каждого сотрудника в пределах его полномочий. В соответствии с этим принципом распределение прав и обязанностей сотрудников строится таким образом, чтобы в случае любого нарушения круг виновников был четко известен или сведен к минимуму.
Принцип минимизации полномочий
Означает предоставление пользователям минимальных прав доступа в соответствии с производственной необходимостью. Доступ к информации должен предоставляться только в том случае и объеме, если это необходимо сотруднику для выполнения его должностных обязанностей.
Взаимодействие и сотрудничество
Предполагает создание благоприятной атмосферы в коллективах подразделений ОРГАНИЗАЦИИ. В такой обстановке сотрудники должны осознанно соблюдать установленные правила и оказывать содействие в деятельности подразделений технической защиты информации.
Гибкость системы защиты
Принятые меры и установленные средства защиты, особенно в начальный период их эксплуатации, могут обеспечивать как чрезмерный, так и недостаточный уровень защиты. Для обеспечения возможности варьирования уровнем защищенности, средства защиты должны обладать определенной гибкостью. Особенно важным это свойство является в тех случаях, когда установку средств защиты необходимо осуществлять на работающую систему, не нарушая процесса ее нормального функционирования. Кроме того, внешние условия и требования с течением времени меняются. В таких ситуациях свойство гибкости системы защиты избавляет владельцев АС от необходимости принятия кардинальных мер по полной замене средств защиты на новые.
Открытость алгоритмов и механизмов защиты
Суть принципа открытости алгоритмов и механизмов защиты состоит в том, что защита не должна обеспечиваться только за счет секретности структурной организации и алгоритмов функционирования ее подсистем. Знание алгоритмов работы системы защиты не должно давать возможности ее преодоления (даже авторам). Это однако не означает, что информация о конкретной системе защиты должна быть общедоступна.
Простота применения средств защиты
Механизмы защиты должны быть интуитивно понятны и просты в использовании. Применение средств защиты не должно быть связано со знанием специальных языков или с выполнением действий, требующих значительных дополнительных трудозатрат при обычной работе зарегистрированных установленным порядком пользователей, а также не должно требовать от пользователя выполнения рутинных малопонятных ему операций (ввод нескольких паролей и имен и т.д.).
Научная обоснованность и техническая реализуемость
Информационные технологии, технические и программные средства, средства и меры защиты информации должны быть реализованы на современном уровне развития науки и техники, научно обоснованы с точки зрения достижения заданного уровня безопасности информации и должны соответствовать установленным нормам и требованиям по безопасности информации.
Специализация и профессионализм
Предполагает привлечение к разработке средств и реализации мер защиты информации специализированных организаций, наиболее подготовленных к конкретному виду деятельности по обеспечению безопасности информационных ресурсов, имеющих опыт практической работы и государственную лицензию на право оказания услуг в этой области. Реализация административных мер и эксплуатация средств защиты должна осуществляться профессионально подготовленными специалистами ОРГАНИЗАЦИИ (специалистами подразделений технической защиты информации).
Обязательность контроля
Предполагает обязательность и своевременность выявления и пресечения попыток нарушения установленных правил обеспечения безопасности информации на основе используемых систем и средств защиты информации при совершенствовании критериев и методов оценки эффективности этих систем и средств.
Контроль за деятельностью любого пользователя, каждого средства защиты и в отношении любого объекта защиты должен осуществляться на основе применения средств оперативного контроля и регистрации и должен охватывать как несанкционированные, так и санкционированные действия пользователей.
- Наименование организации
- Концепция обеспечения безопасности информации в автоматизированной системе организации
- Содержание
- 1. Общие положения 5
- 2. Объекты защиты 6
- 3. Цели и задачи обеспечения безопасности информации 12
- 4. Основные угрозы безопасности информации ас организации 16
- 5. Основные положения технической политики в области обеспечения безопасности информации ас организации 28
- 6. Основные принципы построения системы комплексной защиты информации 34
- 7. Меры, методы и средства обеспечения требуемого уровня защищенности информационных ресурсов 38
- 8. Первоочередные мероприятия по обеспечению безопасности информации ас организации 59
- Введение
- 1.Общие положения
- 1.1.Назначение и правовая основа документа
- 2.Объекты защиты
- 2.1.Назначение, цели создания и эксплуатации ас организации как объекта информатизации
- 2.2.Структура, состав и размещение основных элементов ас организации, информационные связи с другими объектами
- 2.3.Категории информационных ресурсов, подлежащих защите
- 2.4.Категории пользователей ас организации, режимы использования и уровни доступа к информации
- 2.5.Уязвимость основных компонентов ас организации
- 3.Цели и задачи обеспечения безопасности информации
- 3.1.Интересы затрагиваемых при эксплуатации ас организации субъектов информационных отношений
- 3.2.Цели защиты
- 3.3.Основные задачи системы обеспечения безопасности информации ас организации
- 3.4.Основные пути достижения целей защиты (решения задач системы защиты)
- 4.Основные угрозы безопасности информации ас организации
- 4.1.Угрозы безопасности информации и их источники
- 4.2.Пути реализации непреднамеренных искусственных (субъективных) угроз безопасности информации в ас организации
- 4.3.Умышленные действия сторонних лиц, зарегистрированных пользователей и обслуживающего персонала
- 4.4.Утечка информации по техническим каналам
- 4.5.Неформальная модель возможных нарушителей
- 5.Основные положения технической политики в области обеспечения безопасности информации ас организации
- 5.1.Техническая политика в области обеспечения безопасности информации
- 5.2.Формирование режима безопасности информации
- 5.3.Оснащение техническими средствами хранения и обработки информации
- 6.Основные принципы построения системы комплексной защиты информации
- 7.Меры, методы и средства обеспечения требуемого уровня защищенности информационных ресурсов
- 7.1.Меры обеспечения безопасности
- 7.1.1.Законодательные (правовые) меры защиты
- 7.1.2.Морально-этические меры защиты
- 7.1.3.Организационные (административные) меры защиты
- Формирование политики безопасности
- Регламентация доступа в помещения ас организации
- Регламентация допуска сотрудников к использованию ресурсов ас организации
- Регламентация процессов ведения баз данных и осуществления модификации информационных ресурсов
- Регламентация процессов обслуживания и осуществления модификации аппаратных и программных ресурсов ас организации
- Обеспечение и контроль физической целостности (неизменности конфигурации) аппаратных ресурсов ас организации
- Подразделения технической защиты информации
- Ответственность за нарушения установленного порядка использования ас организации. Расследование нарушений.
- 7.2.Физические средства защиты
- 7.2.1.Разграничение доступа на территорию и в помещения
- 7.3.Технические (программно-аппаратные) средства защиты
- 7.3.1.Средства идентификации (опознавания) и аутентификации (подтверждения подлинности) пользователей
- 7.3.2.Средства разграничения доступа зарегистрированных пользователей системы к ресурсам ас
- 7.3.3.Средства обеспечения и контроля целостности программных и информационных ресурсов
- 7.3.4.Средства оперативного контроля и регистрации событий безопасности
- 7.3.5.Криптографические средства защиты информации
- 7.4.Защита информации от утечки по техническим каналам
- Техническая политика в области использования импортных технических средств информатизации
- 7.5.Защита речевой информации при проведении закрытых переговоров
- 7.6.Управление системой обеспечения безопасности информации
- 7.7.Контроль эффективности системы защиты
- 8.Первоочередные мероприятия по обеспечению безопасности информации ас организации
- Перечень нормативных документов, регламентирующих деятельность в области защиты информации
- Список использованных сокращений
- Термины и определения