См. Документы Федерального агентства по рыболовству
ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО РЫБОЛОВСТВУ
ПРИКАЗ
от 6 марта 2013 г. N 154
ОБ УТВЕРЖДЕНИИ КОНЦЕПЦИИ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ РОСРЫБОЛОВСТВА
В соответствии со Стратегией развития рыбохозяйственного комплекса Российской Федерации на период до 2020 года, утвержденной Приказом Федерального агентства по рыболовству от 30 марта 2009 г. N 246, Концепцией внедрения и использования информационных технологий в деятельности Росрыболовства, утвержденной Приказом Федерального агентства по рыболовству от 12 октября 2009 г. N 896, а также в целях реализации статей 14 и 16 Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" приказываю:
1. Утвердить прилагаемую Концепцию информационной безопасности Федерального агентства по рыболовству.
2. Структурным подразделениям Федерального агентства по рыболовству руководствоваться утвержденной Концепцией информационной безопасности Федерального агентства по рыболовству.
3. Административному управлению (О.В. Баранник) разместить Концепцию информационной безопасности Федерального агентства по рыболовству на официальном сайте Федерального агентства по рыболовству.
4. Административному управлению (О.В. Баранник) совместно с советником руководителя А.В. Ваховским в развитие Концепции информационной безопасности Росрыболовства разработать Политику информационной безопасности Росрыболовства и регламенты на ее основе.
5. Контроль за исполнением настоящего Приказа оставляю за собой.
Руководитель
А.А.КРАЙНИЙ
Утверждаю
Руководитель Федерального
агентства по рыболовству
А.А.КРАЙНИЙ
КОНЦЕПЦИЯ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ РОСРЫБОЛОВСТВА
ВВЕДЕНИЕ
Концепция, или концепт (от лат. conceptio - понимание, система) - генеральный замысел, руководящая идея. Концепция определяет стратегию действий, вектор развития.
Информационная безопасность (далее - ИБ) - состояние (качество) определенного объекта (в качестве объекта может выступать информация, данные, ресурсы автоматизированной системы, автоматизированная система, информационная система предприятия, общества, государства и т.п.) (Национальный стандарт РФ "Защита информации. Основные термины и определения. ГОСТ Р 50922-2006").
ИБ - это также деятельность, направленная на обеспечение защищенного состояния объекта и состояние защищенности информации, при котором обеспечиваются такие ее характеристики, как конфиденциальность, целостность и доступность (Национальный стандарт РФ "Информационная технология. Практические правила управления информационной безопасностью. ГОСТ Р ИСО/МЭК 17799-2005").
Беспрецедентные темпы развития и распространения информационных технологий (далее - ИТ), обострение конкурентной борьбы и криминогенной обстановки требуют создания целостной системы ИБ, взаимоувязывающей правовые, оперативные, технологические, организационные, технические и физические меры защиты информации (далее - ЗИ).
Исходя из возрастающей роли информационных ресурсов (далее - ИР) в развитии рыболовства, основная цель информационной политики по отношению к ИР может быть сформулирована как создание условий и механизмов формирования, развития и эффективного использования ИР, принадлежащих Федеральному агентству по рыболовству (далее - Росрыболовство), его территориальным органам и подведомственным ему организациям.
Настоящая Концепция определяет систему взглядов на проблему обеспечения ИБ в единой интегрированной информационно-вычислительной системе (далее - ИИВС) Росрыболовства и представляет собой систематизированное изложение целей и задач защиты, а также основных принципов и способов достижения требуемого уровня ИБ в ИИВС Росрыболовства.
Правовой базой для разработки настоящей Концепции служат требования действующих в России законодательных и нормативных документов, перечень которых приведен в Приложении 1.
Концепция является методологической основой для формирования и проведения в Росрыболовстве единой политики в области обеспечения ИБ, для принятия управленческих решений и разработки практических мер по ее воплощению, в частности для разработки Политики по ИБ ИИВС Росрыболовства.
Концепция направлена на достижение следующих основных целей обеспечения ИБ:
- обеспечение приемлемого уровня рисков экономического и других видов ущерба при нарушении ИБ (конфиденциальности, целостности, доступности);
- обеспечение своевременного и надежного доступа к соответствующим категориям информации и ИР ИИВС Росрыболовства и его территориальных органов и подведомственных организаций;
- принятие мер к предотвращению, минимизации ущерба при наступлении инцидентов ИБ.
Настоящая Концепция определяет:
- основные цели, задачи, общие принципы и направления обеспечения ИБ в структурных подразделениях Росрыболовства и его территориальных органов и подведомственных организаций;
- порядок осуществления контроля выполнения положений настоящей Концепции.
Список основных использованных в настоящей Концепции сокращений приведен в Приложении 2. Перечень использованных специальных терминов и определений - в Приложении 3.
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Назначение и правовая основа документа
Настоящая "Концепция ИБ ИИВС Росрыболовства" (далее - Концепция) определяет систему взглядов на проблему обеспечения ИБ в ИИВС Росрыболовства и представляет собой систематизированное изложение целей и задач защиты, основных принципов построения, организационных, технологических и процедурных аспектов обеспечения ИБ в ИИВС Росрыболовства.
Законодательной основой настоящей Концепции являются Конституция Российской Федерации, Гражданский и Уголовный кодексы, законы, указы, постановления, другие нормативные правовые и правовые акты законодательства Российской Федерации, документы Государственной технической комиссии при Президенте Российской Федерации (Гостехкомиссии России), Федерального агентства правительственной связи и информации при Президенте Российской Федерации (ФАПСИ), Федеральной службы по техническому и экспортному контролю (ФСТЭК), а также нормативно-методические материалы и организационно-распорядительные документы Росрыболовства, отражающие вопросы обеспечения ИБ в ИИВС Росрыболовства.
Концепция учитывает современное состояние и ближайшие перспективы развития ИИВС Росрыболовства, цели, задачи и правовые основы ее создания и эксплуатации, режимы функционирования данной системы, а также общий анализ угроз безопасности для ИР ИИВС Росрыболовства.
Основные положения и требования Концепции распространяются на все структурные подразделения Росрыболовства, в которых осуществляется автоматизированная обработка информации, содержащей сведения, составляющие банковскую, коммерческую, служебную тайну, или персональные данные, а также на подразделения, осуществляющие сопровождение, обслуживание и обеспечение нормального функционирования ИИВС Росрыболовства.
Концепция является методологической основой для:
- формирования и проведения единой политики в области обеспечения ИБ в ИИВС Росрыболовства и подведомственных территориальных организациях;
- принятия управленческих решений и разработки практических мер по воплощению политики ИБ и выработки комплекса согласованных мер нормативно-правового, технологического и организационно-технического характера, направленных на выявление, отражение и ликвидацию последствий реализации различных видов угроз ИБ;
- координации деятельности структурных подразделений Росрыболовства при проведении работ по созданию, развитию и эксплуатации ИИВС Росрыболовства с соблюдением требований обеспечения ИБ;
- разработки предложений по совершенствованию правового, нормативного, методического, технического и организационного обеспечения ИБ ИИВС Росрыболовства.
Требования настоящей Концепции распространяются только на обеспечение ИБ, не составляющей государственную тайну. Концепция не регламентирует вопросы охраны помещений и обеспечения сохранности и физической целостности компонентов ИИВС Росрыболовства, защиты от стихийных бедствий, сбоев в системе энергоснабжения, а также меры по обеспечению личной безопасности персонала и клиентов Росрыболовства. Однако предполагает построение системы ИБ на тех же концептуальных основах, что и система безопасности Росрыболовства в целом (имущественная, физическая и проч.). Это позволяет не только принципиально, но и практически сопрягать их, оптимизируя затраты на построение такой системы.
Научно-методической основой Концепции является системный подход, предполагающий проведение исследований, разработку системы ЗИ и процессов ее обработки в ИИВС Росрыболовства с единых методологических позиций с учетом всех факторов, оказывающих влияние на ЗИ, и с позиции комплексного применения различных мер и средств защиты.
При разработке Концепции учитывались основные принципы создания комплексных систем ИБ, характеристики и возможности организационно-технических методов и современных аппаратно-программных средств защиты и противодействия угрозам ИБ, а также текущее состояние и перспективы развития ИТ.
Основные положения Концепции базируются на качественном осмыслении вопросов ИБ и не концентрируют внимание на экономическом (количественном) анализе рисков и обосновании необходимых затрат на ЗИ.
Информационная безопасность Росрыболовства достигается в результате обеспечения целостности, доступности и конфиденциальности в рамках ИИВС.
Целостность достигается путем разработки и внедрения технологий контроля и восстановления целостности ИР, средствами разграничения полномочий, средствами защиты от НСД к ИР и каналам связи, физической охраной технических средств ИИВС Росрыболовства и носителей информации и другими организационно-техническими мерами, регламентирующими доступ к ИР ИИВС Росрыболовства, входящими в Регламент обеспечения ИБ в ИИВС Росрыболовства, который должен быть разработан и утвержден в соответствии с настоящей Концепцией.
Доступность достигается путем защиты от НСД к ИИВС Росрыболовства, резервирования программно-технических средств, защиты от перегрузки оборудования, дублирования каналов передачи данных в сети, а также организационно-технологическими мерами, входящими в Регламент обеспечения ИБ в ИИВС Росрыболовства.
Конфиденциальность достигается путем применения сертифицированных средств ЗИ от НСД (в том числе криптографических), реализацией правил разграничения доступа к ИР, а также организационными мерами и мерами дисциплинарного, административного и иного воздействия в соответствии с законодательством Российской Федерации по предотвращению разглашения информации конфиденциального характера и неправомерных действий со стороны лиц, имеющих право доступа к информации конфиденциального характера.
Ответственность
Ответственность за реализацию и соблюдение требований, изложенных в настоящей Концепции, возлагается:
- на начальников управлений (подразделений, самостоятельных отделов) Росрыболовства, территориальных управлений Росрыболовства и его подведомственных организаций;
- на все категории пользователей ИИВС Росрыболовства.
Контроль над реализацией, а также координацию работ по подготовке Концепции ИБ, пересмотр и дополнение положений возлагается на подразделение, отвечающее за обеспечение ИБ в соответствии с его функциональными обязанностями и полномочиями, определенными нормативными актами Росрыболовства.
Корректировка Концепции производится по мере необходимости в соответствии с установленным порядком.
2. ОБЪЕКТЫ ЗАЩИТЫ
Основными объектами ИБ в Росрыболовстве являются:
- ИР с ограниченным доступом, иные чувствительные по отношению к случайным и несанкционированным воздействиям и нарушению их безопасности ИР, в том числе открытая (общедоступная) информация, представленные в виде документов и массивов информации, независимо от формы и вида их представления;
- процессы обработки информации в ИИВС Росрыболовства - информационные технологии, регламенты и процедуры сбора, обработки, хранения и передачи информации, научно-технический персонал разработчиков и пользователей системы и ее обслуживающий персонал;
- информационная инфраструктура, включающая системы обработки и анализа информации, технические и программные средства ее обработки, передачи и отображения, в том числе каналы информационного обмена и телекоммуникации, системы и средства защиты информации, объекты и помещения, в которых размещены компоненты ИИВС Росрыболовства.
2.1. Назначение, цели создания и эксплуатации
ИИВС Росрыболовства как объекта информатизации
ИИВС Росрыболовства предназначена для автоматизации деятельности должностных лиц (сотрудников) Росрыболовства. Создание и применение ИИВС преследует следующие цели:
- повышение качества управления производственными процессами;
- повышение качества контроля за движением материальных и финансовых ресурсов Росрыболовства;
- повышение оперативности и достоверности процедур сбора данных о состоянии материальных и финансовых ресурсов Росрыболовства;
- сокращение финансовых и временных затрат на поддержку внутреннего и внешнего документооборота;
- повышение оперативности и обоснованности прогнозирования деятельности Росрыболовства;
- повышение оперативности и обоснованности планирования расходов финансовых ресурсов Росрыболовства;
- интегрирование обработки информации, формирования и ведения специализированных баз данных (далее - БД);
- взаимодействие с клиентами Росрыболовства и другими внешними организациями;
- информационно-справочное обслуживание структурных подразделений Росрыболовства;
- своевременный анализ и прогнозирование деятельности Росрыболовства, обоснования принятия управленческих решений.
2.2. Структура, состав и размещение основных элементов ИИВС
Росрыболовства, информационные связи с другими объектами
ИИВС Росрыболовства является распределенной системой, объединяющей автоматизированные системы (подсистемы) центральных и территориальных подразделений Росрыболовства в единую вычислительную (информационно-телекоммуникационную) сеть.
В ИИВС Росрыболовства циркулирует информация разных категорий. Защищаемая информация может быть совместно использована различными пользователями из различных подсетей единой вычислительной сети.
В ряде подсистем ИИВС Росрыболовства предусмотрено взаимодействие с внешними (государственными и коммерческими, российскими и зарубежными) организациями по коммутируемым и выделенным каналам с использованием специальных средств передачи информации.
Комплекс технических средств ИИВС Росрыболовства включает средства обработки данных (ПЭВМ, сервера БД, почтовые, файловые сервера и другие ИР), средства обмена данными в ЛВС с возможностью выхода в глобальные сети (кабельная система, мосты, шлюзы, модемы и другие средства связи), а также средства хранения и резервирования данных.
К основным особенностям функционирования ИИВС Росрыболовства относятся:
- большая территориальная распределенность системы;
- объединение в единую систему большого количества разнообразных технических средств обработки и передачи информации;
- большое разнообразие решаемых задач и типов обрабатываемых сведений (данных), сложные режимы автоматизированной обработки информации с широким совмещением выполнения информационных запросов различных пользователей;
- объединение в единых БД информации различного назначения, принадлежности и уровней конфиденциальности;
- непосредственный доступ к вычислительным и ИР большого числа различных категорий пользователей (источников и потребителей информации) и обслуживающего персонала;
- наличие большого числа каналов взаимодействия с внешними источниками и потребителями информации;
- непрерывность функционирования ИИВС Росрыболовства;
- высокая интенсивность информационных потоков в ИИВС Росрыболовства;
- наличие в ИИВС Росрыболовства ярко выраженных функциональных подсистем с различными требованиями по уровням защищенности (физически объединенных в единую сеть);
- разнообразие категорий пользователей и обслуживающего персонала системы.
Общая структурная и функциональная организация ИИВС Росрыболовства определяется организационно-штатной структурой органов Росрыболовства и задачами, решаемыми его структурными подразделениями с применением средств автоматизации. В самом общем виде единая ИИВС Росрыболовства представляет собой совокупность локальных вычислительных сетей (далее - ЛВС) Росрыболовства, объединенных средствами телекоммуникации. Каждая ЛВС в ИИВС Росрыболовства объединяет ряд взаимосвязанных и взаимодействующих автоматизированных подсистем (технологических участков), обеспечивающих решение задач отдельными структурными подразделениями Росрыболовства.
Объекты информатизации ИИВС Росрыболовства включают:
- технологическое оборудование (средства вычислительной техники, сетевое и кабельное оборудование);
- ИР, содержащие сведения ограниченного доступа и представленные в виде документов или записей на носителях магнитной, оптической и другой основе, информационных физических полях, массивах и БД;
- программные средства (операционные системы, системы управления БД, другое общесистемное и прикладное программное обеспечение);
- автоматизированные системы связи и передачи данных (средства телекоммуникации);
- каналы связи, по которым передается информация (в том числе ограниченного распространения);
- служебные помещения, в которых циркулирует информация ограниченного распространения;
- технические средства (звукозаписи, звукоусиления, звуковоспроизведения, изготовления, тиражирования документов, переговорные и телевизионные устройства и другие технические средства обработки графической, смысловой и буквенно-цифровой информации), используемые для обработки информации;
- технические средства и системы, не обрабатывающие информацию (вспомогательные технические средства и системы, далее - ВТСС), размещенные в помещениях, где обрабатывается (циркулирует) информация, содержащая сведения ограниченного (служебного) распространения.
Обеспечение функционирования и эксплуатация ИИВС Росрыболовства осуществляется Административным управлением Росрыболовства, начальниками территориальных управлений и руководителями подведомственных организаций на основании требований организационно-распорядительных актов руководства Росрыболовства.
2.2.1. Общая характеристика ИИВС Росрыболовства
Инфраструктура ИИВС предназначена для предоставления вычислительной платформы различным информационным системам Росрыболовства и обеспечения возможности взаимодействия различных категорий пользователей с ИР.
ИИВС Росрыболовства характеризуется разветвленной инфраструктурой территориально распределенных на территории России объектов и подразделений Росрыболовства, объединенных открытой телекоммуникационной сетью связи.
Основная инфраструктура ИИВС Росрыболовства сосредоточена в центральном аппарате Росрыболовства и расположена в зданиях по адресам: Москва, Рождественский бульвар, д. 12/8 стр. 1 и стр. 2, дома 14 и 15. Объекты "Дом 15" и "Дом 12/14" соединены между собой волоконно-оптическими линиями связи по схеме "звезда" с центром на объекте "Дом 15", где размещается центр обработки данных (ЦОД) и телекоммуникационное ядро ИИВС. В ЦОД находятся основные вычислительные мощности ИИВС Росрыболовства, обеспечивающие функционирование большинства информационных сервисов Федерального агентства по рыболовству.
Также имеются здания 20 территориальных управлений Федерального агентства по рыболовству и около трехсот отделов, расположенных по всей территории Российской Федерации, объединяемых в единую инфраструктуру с помощью информационно-телекоммуникационной сети общего пользования (сеть Интернет). Общая структура объектов Росрыболовства показана на рис. 1.
┌───────────────────────────────────────────────────────────────┐
│ Федеральное агентство по рыболовству │
│ (г. Москва) │
│ │
│ ┌─────────┐ │
│ ┌─────────┤ │ Рождественский бул., 12/14 │
│ │ │ │ Административное здание │
│ │ │ │ │
│ │ └┬────────┘ │
│ └──────────┘:: │
│ :: │
│ :: │
│ ┌─────────┐ │
│ │ │ Рождественский бул., 15 │
│ │ ├────────┐ ЦОД │
│ │ │ │ │
│ └─────────┤ │ │
│ │ ~~ │ │ │
│ ~~ └────────┘ │
└───────────┼──────~~───-\────\─────────────────────────────────┘
~~ \ \
│ ~~ \ \
~~ \ \
│ ~~ \ \
Сеть ~~ Интернет\ \
│ ~~ \ \
~~ /\ \ \
│ ~~ / \ \ Удаленные
~~ / \ \ пользователи
│ ~~ / \ \
┌──────────────────~~──┐ \ ┌──────────────────────┐
│ Территориальное ~~ ├─┐ \ │ Отделы ФАР ├─┐
│ управление ФАР ~~ │ │ \│ │ ├─┐
│ ~~ │ │ │ ┌─────────┐ │ ├ │
│ ┌─────────┐ │ │ │ │ │ │ │ │
│ │ │ │ │ │ │ │ │ │ │
│ │ │ │ │ │ │ │ │ │ │
│ │ │ │ │ │ └─────────┘ │ │ │
│ └─────────┘ │ │ │ │ │ │
│ │ │ └─┬────────────────────┘ │ │
└─┬────────────────────┘ │ └─┬────────────────────┘ │
└──────────────────────┘ └──────────────────────┘
:: - Оптоволоконный канал связи
- - Каналы связи общего доступа с использованием сети Интернет
~~ - VPN туннели
ФАР - Федеральное агентство по рыболовству
Рис. 1. Структура объектов Росрыболовства
2.2.2. Структура ИИВС Росрыболовства
Инфраструктура ИИВС Росрыболовства центрального аппарата (далее - ЦА) представляет собой локально-вычислительную сеть, объединяющую рабочие места пользователей и серверные платформы с выделением различных сегментов. Общая структура ИИВС центрального аппарата Росрыболовства приведена на рис. 2.
┌────────────────────────┐ ┌────────────────────────────────────────┐
│ Сегмент "Интернет" │ │ Сегмент "Агентство" │
│ │ │ │
│ ┌────────────────────┐ │ │ ┌───────┐ │
│ │ Сегмент "Интернет" │ │ │ │ АРМ │ ┌────┐ │
│ │ (АП) │ │ │ ┌───────────┐ └───┬───┘ │ УЦ │ │
│ └──────────┬─────────┘ │ │ │ Терминалы │\ │ └─┬──┘ │
│ │ │ └───────────┘ \ │ │
│ │ │ │ \ │ │
│ / \ │ │ ┌────────────┐ \ / \ ┌─────┴───┐ │
│ / \ │ │ │ Внутренний ├────/ \───┤ Внешний │ │
│ \ / │ │ │ контур │ \ / │ контур │ │
│ \ / │ │ └────────────┘ \ / └─────────┘ │
│ │ │ │ │ │
│ │ │ │
│ ┌──────────┴─────────┐ │ │ │ │
│ │ Сегмент "Интернет" │ │ │ ┌──────────┴───────┐ ┌─────┐ │
│ │ (Proxy) │ │ │ │ Удаленный доступ │ │ ДМЗ │ │
│ └────────────────────┘ │ │ └──────────┬───────┘ └──┬──┘ │
│ │ │ │ │ │ │
└──────────── ───────────┘ └────────────────────────────────────────┘
│ . │ │
/ \
│__________/ \_____________________│_____________│
\ /
\ /
│ ┌───────┐ Компоненты располагаются
│ │ в административных зданиях
│ └───────┘
/ \
│ │ ┌───────┐ Компоненты располагаются
\ / │ │ в ЦОД
│ └───────┘
│
/ \
/ \
. . / \ . .
. ./ \. .
. . . .
. ISP 1 . . ISP 2 .
. . . .
. . . . . . . .
Рис. 2. Структура ИИВС ЦА Росрыболовства
Сегмент "Агентство" является основным сегментом, в котором размещаются рабочие станции пользователей и все ИР Росрыболовства. В сегменте выделяются "внутренний контур" с ИР конфиденциального характера, не содержащими сведения, составляющие государственную тайну, и "внешний контур" - с открытыми ИР, не содержащими служебной информации ограниченного распространения. Доступ пользователей во "внутренний контур" осуществляется посредством терминального доступа.
Также имеются сегменты защищенных демилитаризованных зон (далее - ДМЗ), в которых размещаются ресурсы, доступ к которым разрешен со стороны внешних пользователей, и "Удаленный доступ", который предназначен для организации удаленного доступа к внутренним ресурсам Росрыболовства со стороны территориальных управлений и мобильных пользователей.
Сегмент "Интернет" предназначен для предоставления пользователям Росрыболовства доступа к ресурсам международной сети Интернет и представляет собой отдельный контур, физически отделенный от контура "Агентство".
Общая структура ИИВС территориального управления Росрыболовства (далее - ТУ) приведена на рис. 3.
┌─────────────────────┐
│ Серверный сегмент │
└──────────┬──────────┘
│
│
┌───────────────┐ / \ ┌──────────────────┐
│ Сегмент АРМ ├────────/ \───────┤ Удаленный доступ │
└───────────────┘ \ / └──────────────────┘
\ /
│
│
/ \
│ │
\ /
│
│
. .
. .
. .
. ISP .
. .
. . . .
Рис. 3. Структура ТУ
Архитектура серверной площадки центра обработки данных (далее - ЦОД) основана на использовании виртуализированной среды, в которую помещаются компоненты ИС. Общая архитектура виртуализированной среды ЦОД приведена на рис. 4.
┌─────────────────────────────────────────────────────────────────────────┐ │ ЦОД │ │ ┌/───\┐ vSphere Client│ │ │ │ │ │ │\ _ /│ Файлы VM . . . │ │ │ │ на разделах VMFS . . │ │ │ СХД │ . LAN ЦОД . АРМ Админист-│ │ │ │ . . ратора ЦОД │ │ └──┬──┘ . . . . │ │ . │ │ │ . │ . . │ │ . . . │ │ │ . SAN . . │ │ . . . . │ │ │ . . . . . │ │ │ . . │ │ │ / \ . . / \ │ │ / \ . . / \ │ │ / \ . . / \ │ │ / Server\ . . / Server\ │ │ │\ ESX(i)/│ . .│\ ESX(i)/│ │ │ │ \ / │ │ \ / │ │ │ \ \ / / \ \ / / │ │ \ \ / / \ \ / / │ │┌──────\ │ /──────────────────────────────┐┌───────\ │ /────────────────┐│ ││ \│/ ││ \│/ ││ ││ . . . ││ . . . ││ ││┌──────┐ . . ││┌──────┐ . . ││ │││vmware│ . vLAN .─ ─ ─ ─ ─ ─ ┐ │││vmware│ . vLAN . ││ ││└──────┘ / . . \ │ ││└──────┘ /. . \ ││ ││ / │ . . . │ \ ││ / │ . . . │ \ ││ ││ / \ │ ││ / \ ││ ││ / │ │ \ ││ / │ │ \ ││ ││ ┌─────┐┌─────┐┌─────┐ ┌─────┐┌──┴──────┐││┌─────┐┌─────┐┌─────┐┌─────┐││ ││ │ VM││ VM││ VM│ │ VM││ VM││││ VM││ VM││ VM││ VM│││ ││ ││---││││---││││---││ ││---││││-------││││││---││││---││││---││││---││││ ││ │ OS ││ OS ││ OS │ │ OS ││ vCenter ││││ OS ││ OS ││ OS ││ OS │││ ││ ││---││││---││││---││ ││---││││Server ││││││---││││---││││---││││---││││ ││ │ App ││ App ││ App │ │ App ││ ││││ App ││ App ││ App ││ App │││ ││ ││---││││---││││---││ ││---││││-------││││││---││││---││││---││││---││││ ││ └─────┘└─────┘└─────┘ └─────┘└─────────┘││└─────┘└─────┘└─────┘└─────┘││ ││ АИС 2 АИС 1 ││ АИС 2 АИС 1 ││ │└─────────────────────────────────────────┘└────────────────────────────┘│ └─────────────────────────────────────────────────────────────────────────┘
Рис. 4. Виртуализированная среда ЦОД
В качестве основной аппаратной платформы используются высокопроизводительные серверы, на которых устанавливается программное обеспечение гипервизора. Все серверы подключены к сетевой системе хранения данных, на которой физически размещаются файлы создаваемых виртуальных машин. Запуск виртуальных машин осуществляется при помощи гипервизора, который выделяет для виртуальной машины необходимые аппаратные ресурсы и управляет ее работой. На одном сервере можно запустить одновременно несколько виртуальных машин.
Виртуальная машина представляет собой аналог физического сервера или рабочей станции и включает в себя необходимую операционную систему, прикладное ПО. Для размещения в виртуальной среде информационной системы создается необходимый набор виртуальных машин.
Для сетевого взаимодействия различных виртуальных машин в среде гипервизора создаются виртуальные коммутаторы, обеспечивающие создание виртуальной ЛВС. Виртуальные коммутаторы поддерживают технологию "VLAN" и позволяют разделить виртуальную сеть на различные изолированные сегменты. Все виртуальные машины, запущенные на одном гипервизоре, взаимодействуют в рамках созданной виртуальной сети. При взаимодействии с виртуальными машинами, запущенными на другом гипервизоре, или сетевыми узлами, не входящими в виртуальную среду, используются физические сетевые карты серверов и физические коммутаторы ЦОД.
Создание и управление виртуальной инфраструктурой осуществляется при помощи специального сервера управления, который представляет собой отдельную виртуальную машину, запущенную на одном из серверов.
2.3. Категории информационных ресурсов Росрыболовства,
подлежащих защите
В подсистемах ИИВС Росрыболовства циркулирует информация различных уровней конфиденциальности, содержащих сведения ограниченного распространения (служебная информация, персональные данные и т.п.) и открытые сведения.
В документообороте ИИВС Росрыболовства присутствуют:
- платежные поручения и другие расчетно-денежные документы;
- различного рода отчеты (финансовые, аналитические и другие);
- сведения о лицевых счетах;
- обобщенная информация, документы ограниченного распространения;
- служебная переписка.
Защите подлежит вся информация, циркулирующая в ИИВС Росрыболовства и содержащая:
- общие открытые сведения;
- сведения ограниченного распространения;
- сведения, составляющие служебную и коммерческую тайну, доступ к которым ограничен собственником информации (Росрыболовством) в соответствии с Федеральным законодательством;
- сведения о частной жизни граждан (персональные данные), доступ к которым ограничен в соответствии с Федеральным законодательством.
2.4. Категории пользователей ИИВС Росрыболовства,
режимы использования и уровни доступа к информации
В Росрыболовстве имеется большое число категорий пользователей и обслуживающего персонала, которые должны иметь различные полномочия по доступу к информационным, программным и другим ресурсам ИИВС:
- пользователи (конечные пользователи, пользователи БД, сотрудники подразделений Росрыболовства);
- ответственные за ведение БД (ввод, корректировка, удаление данных);
- администраторы серверов (файловых серверов, серверов приложений, серверов БД) и ЛВС;
- системные программисты из компаний-интеграторов Росрыболовства (ответственные за сопровождение общего программного обеспечения) на серверах и рабочих станциях пользователей;
- специалисты по обслуживанию технических средств вычислительной техники;
- администраторы ИБ (специальных средств защиты).
2.5. Уязвимость основных компонентов ИИВС Росрыболовства
Наиболее доступными и уязвимыми компонентами ИИВС Росрыболовства являются сетевые рабочие станции (автоматизированные рабочие места (далее - АРМ) сотрудников подразделений Росрыболовства). Именно с них могут быть предприняты наиболее многочисленные попытки несанкционированного доступа к информации (далее - НСД) в сети и попытки совершения несанкционированных действий (непреднамеренных и умышленных). С АРМ осуществляется управление процессами обработки информации (в том числе на серверах), запуск программ, ввод и корректировка данных, на дисках рабочих станций могут размещаться важные данные и программы обработки. На мониторы и печатающие устройства АРМ выводится информация при работе пользователей (операторов), выполняющих различные функции и имеющих разные полномочия по доступу к данным и другим ресурсам системы. Нарушения конфигурации аппаратно-программных средств АРМ и неправомерное вмешательство в процессы их функционирования могут приводить к блокированию информации, невозможности своевременного решения важных задач и выходу из строя отдельных АРМ и подсистем. В особой защите нуждаются такие привлекательные для злоумышленников элементы сетей, как выделенные файловые серверы, серверы БД и серверы приложений. Здесь злоумышленники, прежде всего, могут искать возможности получения доступа к защищаемой информации и оказания влияния на работу различных подсистем серверов, используя недостатки протоколов обмена и средств разграничения удаленного доступа к ресурсам серверов. При этом могут предприниматься попытки как удаленного (со станций сети), так и непосредственного (с консоли сервера) воздействия на работу серверов и их средств защиты. Мосты, шлюзы, маршрутизаторы, коммутаторы и другие сетевые устройства, каналы и средства связи также нуждаются в защите. Они могут быть использованы нарушителями для реструктуризации и дезорганизации работы сети, перехвата передаваемой информации, анализа трафика и реализации других способов вмешательства в процессы обмена данными.
3. ЦЕЛИ И ЗАДАЧИ ОБЕСПЕЧЕНИЯ ИБ
3.1. Интересы затрагиваемых при эксплуатации
ИИВС Росрыболовства субъектов информационных отношений
Субъектами правоотношений при использовании ИИВС Росрыболовства и обеспечении ИБ являются:
- Росрыболовство как собственник ИР;
- подразделения управлений и отделений Росрыболовства, обеспечивающие эксплуатацию системы автоматизированной обработки информации;
- должностные лица и сотрудники структурных подразделений Росрыболовства как пользователи и поставщики информации в ИИВС в соответствии с возложенными на них функциями;
- юридические и физические лица, сведения о которых накапливаются, хранятся и обрабатываются в ИИВС Росрыболовства;
- другие юридические и физические лица, задействованные в процессе создания и функционирования ИИВС Росрыболовства (разработчики компонент ИИВС из компаний-интеграторов, обслуживающий персонал, организации, привлекаемые для оказания услуг в области ИБ).
Перечисленные субъекты информационных отношений заинтересованы в обеспечении:
- конфиденциальности (сохранения в тайне) определенной части информации;
- достоверности (полноты, точности, адекватности, целостности) информации;
- защиты от навязывания им ложной (недостоверной, искаженной) информации (то есть от дезинформации);
- своевременного доступа (за приемлемое для них время) к необходимой им информации;
- разграничения ответственности за нарушения законных прав (интересов) других субъектов информационных отношений и установленных правил обращения с информацией;
- возможности осуществления непрерывного контроля и управления процессами обработки и передачи информации;
- защиты части информации от незаконного ее тиражирования (защиты авторских прав, прав собственника информации и т.п.).
3.2. Цели защиты
Основной целью, на достижение которой направлены все положения настоящей Концепции, является защита субъектов информационных отношений (интересы которых затрагиваются при создании и функционировании ИИВС Росрыболовства) от возможного нанесения им любого ущерба посредством случайного или преднамеренного несанкционированного вмешательства в процесс функционирования ИИВС Росрыболовства или несанкционированного доступа к циркулирующей в ней информации и ее незаконного использования.
Указанная цель достигается посредством обеспечения и постоянного поддержания следующих свойств информации и автоматизированной системы ее обработки:
- доступности обрабатываемой информации для зарегистрированных пользователей (устойчивого функционирования ИИВС Росрыболовства, при котором пользователи имеют возможность получения необходимой информации и результатов решения задач за приемлемое для них время);
- сохранения в тайне (обеспечения конфиденциальности) определенной части информации, хранимой, обрабатываемой ИИВС Росрыболовства и передаваемой по каналам связи;
- целостности и аутентичности (подтверждение авторства) информации, хранимой и обрабатываемой в ИИВС Росрыболовства и передаваемой по каналам связи.
3.3. Основные задачи системы обеспечения информационной
безопасности ИИВС Росрыболовства
Для достижения основной цели защиты и обеспечения указанных свойств информации и системы ее обработки система безопасности ИИВС Росрыболовства должна обеспечивать эффективное решение следующих задач:
- защиту от вмешательства в процесс функционирования ИИВС Росрыболовства посторонних лиц (возможность использования автоматизированной системы и доступ к ее ресурсам должны иметь только зарегистрированные в установленном порядке пользователи - сотрудники структурных подразделений Росрыболовства);
- разграничение доступа зарегистрированных пользователей к аппаратным, программным и ИР ИИВС Росрыболовства (возможность доступа только к тем ресурсам и выполнению только тех операций с ними, которые необходимы конкретным пользователям ИИВС Росрыболовства для выполнения своих служебных обязанностей), то есть защиту от НСД:
к информации, циркулирующей в ИИВС;
средствам вычислительной техники ИИВС;
аппаратным, программным и криптографическим средствам защиты, используемым в ИИВС;
- регистрацию действий пользователей при использовании защищаемых ресурсов ИИВС Росрыболовства в системных журналах и периодический контроль корректности действий пользователей системы путем анализа содержимого этих журналов ответственными сотрудниками, отвечающими за ИБ;
- контроль целостности (обеспечение неизменности) среды исполнения программ и ее восстановление в случае нарушения;
- защиту от несанкционированной модификации и контроль целостности используемых в ИИВС Росрыболовства программных средств, а также защиту системы от внедрения несанкционированных программ, включая компьютерные вирусы;
- ЗИ ограниченного распространения от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи;
- ЗИ ограниченного распространения, хранимой, обрабатываемой и передаваемой по каналам связи, от несанкционированного разглашения или искажения;
- обеспечение аутентификации пользователей, участвующих в информационном обмене (подтверждение подлинности отправителя и получателя информации);
- обеспечение живучести криптографических средств ЗИ при компрометации части ключевой системы;
- своевременное выявление источников угроз ИБ, причин и условий, способствующих нанесению ущерба заинтересованным субъектам информационных отношений, создание механизма оперативного реагирования на угрозы ИБ и негативные тенденции;
- создание условий для минимизации и локализации наносимого ущерба неправомерными действиями физических и юридических лиц, ослабление негативного влияния и ликвидация последствий нарушения ИБ.
3.4. Основные пути достижения целей защиты
(решения задач системы защиты)
Поставленные основные цели защиты и решение перечисленных выше задач достигаются:
- строгим учетом всех подлежащих защите ресурсов системы (информации, задач, каналов связи, серверов и АРМ);
- регламентацией процессов обработки информации, подлежащей защите с применением средств автоматизации и действий сотрудников структурных подразделений Росрыболовства, использующих ИИВС, а также действий персонала, осуществляющего обслуживание и модификацию программных и технических средств ИИВС Росрыболовства, на основе утвержденных руководством Росрыболовства организационно-распорядительных документов по вопросам обеспечения ИБ;
- полнотой, реальной выполнимостью и непротиворечивостью требований организационно-распорядительных документов Росрыболовства по вопросам обеспечения ИБ;
- назначением и подготовкой должностных лиц (сотрудников), ответственных за организацию и осуществление практических мероприятий по обеспечению ИБ и процессов ее обработки;
- наделением каждого сотрудника (пользователя) минимально необходимыми для выполнения им своих функциональных обязанностей полномочиями по доступу к ресурсам ИИВС Росрыболовства;
- четким знанием и строгим соблюдением всеми сотрудниками, использующими и обслуживающими аппаратные и программные средства ИИВС Росрыболовства, требований организационно-распорядительных документов по вопросам обеспечения ИБ в Росрыболовстве;
- персональной ответственностью за свои действия каждого сотрудника, участвующего в рамках своих функциональных обязанностей в процессах автоматизированной обработки информации и имеющего доступ к ресурсам ИИВС Росрыболовства;
- реализацией технологических процессов обработки информации с использованием комплексов организационно-технических мер защиты программного обеспечения, технических средств и данных;
- принятием эффективных мер обеспечения физической целостности технических средств и непрерывным поддержанием необходимого уровня защищенности компонентов ИИВС Росрыболовства;
- применением физических и технических (программно-аппаратных) средств защиты ресурсов системы и непрерывной административной поддержкой их использования;
- разграничением потоков информации, предусматривающим предупреждение попадания информации более высокого уровня конфиденциальности на носители и в файлы с более низким уровнем конфиденциальности, а также запрещением передачи информации ограниченного распространения по незащищенным каналам связи;
- эффективным контролем за соблюдением сотрудниками подразделений Росрыболовства - пользователями ИИВС требований по обеспечению ИБ;
- юридической защитой интересов Росрыболовства при взаимодействии его подразделений с внешними организациями (связанном с обменом информацией) от противоправных действий как со стороны этих организаций, так и от НСД обслуживающего персонала и третьих лиц;
- проведением постоянного анализа эффективности и достаточности принятых мер и применяемых средств ЗИ, разработкой и реализацией предложений по совершенствованию системы ЗИ в ИИВС Росрыболовства.
4. ОСНОВНЫЕ УГРОЗЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
В ИИВС РОСРЫБОЛОВСТВА
4.1. Угрозы информационной безопасности и их источники
Наиболее опасными (значимыми) угрозами ИБ ИИВС Росрыболовства (способами нанесения ущерба субъектам информационных отношений) являются:
- нарушение конфиденциальности (разглашение, утечка) сведений, составляющих служебную информацию ограниченного распространения, а также персональных данных;
- нарушение работоспособности (дезорганизация работы) ИИВС Росрыболовства, блокирование информации, нарушение технологических процессов, срыв своевременного решения задач;
- нарушение целостности (искажение, подмена, уничтожение) информационных, программных и других ресурсов ИИВС Росрыболовства, а также фальсификация (подделка) документов.
Основными источниками угроз информационной безопасности в ИИВС Росрыболовства являются:
- непреднамеренные (ошибочные, случайные, необдуманные, без злого умысла и корыстных целей) нарушения установленных регламентов сбора, обработки и передачи информации, а также требований ИБ и другие действия сотрудников (в том числе администраторов средств защиты) структурных подразделений Росрыболовства при эксплуатации ИИВС, приводящие к непроизводительным затратам времени и ресурсов, разглашению сведений ограниченного распространения, потере ценной информации или нарушению работоспособности отдельных рабочих станций (АРМ), подсистем или ИИВС Росрыболовства в целом;
- преднамеренные (в корыстных целях, по принуждению третьими лицами, со злым умыслом) действия сотрудников подразделений Росрыболовства, допущенных к работе с ИИВС Росрыболовства, а также сотрудников подразделений, отвечающих за обслуживание, администрирование программного и аппаратного обеспечения, средств защиты и обеспечения ИБ;
- воздействия из других логических и физических сегментов ИИВС Росрыболовства со стороны сотрудников других подразделений Росрыболовства, в том числе программистов - разработчиков прикладных задач (из компаний-интеграторов Росрыболовства), а также удаленное несанкционированное вмешательство посторонних лиц из телекоммуникационной сети Росрыболовства и внешних сетей общего назначения (прежде всего Internet) через легальные и несанкционированные каналы подключения сети Росрыболовства к таким сетям, используя недостатки протоколов обмена, средств защиты и разграничения удаленного доступа к ресурсам ИИВС Росрыболовства;
- деятельность международных и отечественных преступных групп и формирований, политических и экономических структур, а также отдельных лиц по добыванию информации, навязыванию ложной информации, нарушению работоспособности системы в целом и ее отдельных компонент;
- деятельность иностранных разведывательных и специальных служб, направленная против интересов Росрыболовства и РФ в целом;
- ошибки, допущенные при проектировании ИИВС Росрыболовства и ее системы защиты, ошибки в программном обеспечении, отказы и сбои технических средств (в том числе средств ЗИ и контроля эффективности защиты) ИИВС Росрыболовства;
- пожары, аварии, стихийные бедствия и другие случаи форс-мажорных обстоятельств.
4.2. Пути реализации непреднамеренных искусственных
(субъективных) угроз информационной безопасности
в ИИВС Росрыболовства
Пользователи, операторы, системные администраторы и сотрудники Росрыболовства, обслуживающие систему, являются внутренними источниками случайных воздействий, т.к. имеют непосредственный доступ к процессам обработки информации и могут совершать непреднамеренные ошибки и нарушения действующих правил, инструкций и процедур.
Основные пути реализации непреднамеренных искусственных (субъективных) угроз ИИВС Росрыболовства (действия, совершаемые людьми случайно, по незнанию, невнимательности или халатности, из любопытства, но без злого умысла) и меры по нейтрализации соответствующих угроз и снижению возможного наносимого ими ущерба приведены в таблице 4.2.1.
Таблица 4.2.1
|
Основные пути реализации непреднамеренных искусственных (субъективных) угроз ИИВС
|
Меры по нейтрализации угроз
и снижению возможного наносимого ущерба
|
|
Действия сотрудников Росрыболовства, приводящие к частичному или полному отказу системы или нарушению работоспособности аппаратных или программных средств; отключению оборудования или изменению режимов работы устройств и программ; разрушению ИР системы (неумышленная порча оборудования, удаление, искажение программ или файлов с важной информацией, в том числе системных, повреждение каналов связи, неумышленная порча носителей информации и подобное)
|
1. Организационные меры (регламентация действий, введение запретов).
2. Применение физических средств, препятствующих неумышленному совершению нарушения.
3. Применение технических (аппаратно-программных) средств разграничения доступа к ресурсам.
4. Резервирование критичных ресурсов
|
|
Несанкционированный запуск технологических программ, способных при некомпетентном использовании вызывать потерю работоспособности системы (зависания или зацикливания) или осуществляющих необратимые изменения в системе (форматирование или реструктуризацию носителей информации, удаление данных и подобное)
|
1. Организационные меры (удаление всех потенциально опасных программ с дисков АРМ).
2. Применение технических (аппаратно-программных) средств разграничения доступа к технологическим и инструментальным программам на дисках АРМ
|
|
Несанкционированное внедрение и использование неучтенных программ (игровых, обучающих, технологических и других, не являющихся необходимыми для выполнения сотрудниками своих служебных обязанностей) с последующим необоснованным расходованием ресурсов (процессорного времени, оперативной памяти, памяти на внешних носителях и подобное)
|
1. Организационные меры (введение запретов).
2. Применение технических (аппаратно-программных) средств, препятствующих несанкционированному внедрению и использованию неучтенных программ
|
|
Непреднамеренное заражение компьютера вирусами
|
1. Организационные меры (регламентация действий, введение запретов).
2. Технологические меры (применение специальных программ обнаружения и уничтожения вирусов).
3. Применение аппаратно-программных средств, препятствующих заражению компьютеров компьютерными вирусами
|
|
Разглашение, передача или утрата атрибутов разграничения доступа (паролей, ключей шифрования или ключей ЭЦ, идентификационных карточек, пропусков)
|
1. Организационные меры (регламентация действий, введение запретов, усиление ответственности).
2. Применение физических средств обеспечения сохранности указанных реквизитов
|
|
Игнорирование организационных ограничений (установленных правил) при работе в системе
|
1. Организационные меры (усиление ответственности и контроля).
2. Использование дополнительных физических и технических средств защиты
|
|
Некомпетентное использование, настройка или неправомерное отключение средств защиты персоналом, ответственным за ИБ
|
Организационные меры (обучение персонала, усиление ответственности и контроля)
|
|
Ввод ошибочных данных
|
1. Организационные меры (усиление ответственности и контроля).
2. Технологические меры контроля за ошибками операторов ввода данных
|
4.3. Умышленные действия сторонних лиц, зарегистрированных
пользователей и обслуживающего персонала
Основные возможные пути умышленной дезорганизации работы, вывода ИИВС Росрыболовства из строя, проникновения в систему и несанкционированного доступа к информации (с корыстными целями, по принуждению, из желания отомстить и т.п.) и меры по нейтрализации соответствующих угроз и снижению возможного наносимого ими ущерба приведены в таблице 4.3.1.
Таблица 4.3.1
|
Основные возможные пути умышленной дезорганизации работы, вывода ИИВС из строя, проникновения в систему и НСД к информации (с корыстными целями, по принуждению, из желания отомстить и т.п.)
|
Меры по нейтрализации угроз
и снижению возможного наносимого ущерба
|
|
Физическое разрушение или вывод из строя всех или отдельных наиболее важных компонентов автоматизированной системы (устройств, носителей важной системной информации, лиц из числа персонала и т.п.), отключение или вывод из строя подсистем обеспечения функционирования вычислительных систем (электропитания, линий связи и т.п.)
|
1. Организационные меры (регламентация действий, введение запретов).
2. Применение физических средств, препятствующих неумышленному совершению нарушения.
3. Резервирование критичных ресурсов.
4. Обеспечение личной безопасности сотрудников
|
|
Внедрение агентов в число персонала системы (в том числе, возможно, и в административную группу, отвечающую за безопасность), вербовка (путем подкупа, шантажа, угроз и т.п.) пользователей, имеющих определенные полномочия по доступу к защищаемым ресурсам
|
Организационные меры (подбор, расстановка и работа с кадрами, усиление контроля и ответственности). Автоматическая регистрация действий персонала
|
|
Хищение носителей информации (распечаток, магнитных дисков, лент, микросхем памяти, запоминающих устройств и целых ПЭВМ), хищение производственных отходов (распечаток, записей, списанных носителей информации и т.п.)
|
Организационные меры (организация хранения и использования носителей с защищаемой информацией)
|
|
Несанкционированное копирование носителей информации, чтение остаточной информации из оперативной памяти и с внешних запоминающих устройств
|
1. Организационные меры (организация хранения и использования носителей с защищаемой информацией).
2. Применение технических средств разграничения доступа к защищаемым ресурсам и автоматической регистрации получения твердых копий документов
|
|
Незаконное получение паролей и других реквизитов разграничения доступа (агентурным путем, используя халатность пользователей, путем подбора, путем имитации интерфейса системы программными закладками и т.д.) с последующей маскировкой под зарегистрированного пользователя
|
1. Организационные меры (регламентация действий, введение запретов, работа с кадрами).
2. Применение технических средств, препятствующих внедрению программ перехвата паролей, ключей и других реквизитов
|
|
Несанкционированное использование АРМ пользователей, имеющих уникальные физические характеристики, такие как номер рабочей станции в сети, физический адрес, адрес в системе связи, аппаратный блок кодирования и т.п.
|
1. Организационные меры (строгая регламентация доступа в помещения и допуска к работам на данных АРМ).
2. Применение физических и технических средств разграничения доступа
|
|
Несанкционированная модификация программного обеспечения - внедрение программных "закладок" и "вирусов" ("троянских коней" и "жучков"), то есть таких участков программ, которые не нужны для осуществления заявленных функций, но позволяющих преодолевать систему защиты, скрытно и незаконно осуществлять доступ к системным ресурсам с целью регистрации и передачи защищаемой информации или дезорганизации функционирования системы
|
1. Организационные меры (строгая регламентация допуска к работам).
2. Применение физических и технических средств разграничения доступа и препятствующих несанкционированной модификации аппаратно-программной конфигурации АРМ.
3. Применение средств контроля целостности программ
|
|
Перехват данных, передаваемых по каналам связи, и их анализ с целью получения конфиденциальной информации и выяснения протоколов обмена, правил вхождения в связь и авторизации пользователей и последующих попыток их имитации для проникновения в систему
|
1. Физическая защита каналов связи.
2. Применение средств криптографической защиты передаваемой информации.
3. Применение средств электронной подписи (ЭП)
|
|
Вмешательство в процесс функционирования ИИВС из сетей общего пользования с целью несанкционированной модификации данных, доступа к конфиденциальной информации, дезорганизации работы подсистем и т.п.
|
1. Организационные меры (регламентация подключения и работы в сетях общего пользования).
2. Применение специальных технических средств защиты (межсетевых экранов, средств контроля защищенности и обнаружения атак на ресурсы системы и т.п.)
|
4.4. Утечка информации по техническим каналам
При проведении мероприятий и эксплуатации технических средств Росрыболовства возможны следующие каналы утечки или нарушения целостности информации, нарушения работоспособности технических средств:
- побочные электромагнитные излучения информативного сигнала от технических средств ИИВС Росрыболовства и линий передачи информации;
- наводки информативного сигнала, обрабатываемого ИИВС Росрыболовства, на провода и линии, выходящие за пределы контролируемой зоны, в т.ч. на цепи заземления и электропитания;
- изменения тока потребления, обусловленные обрабатываемыми ИИВС Росрыболовства информативными сигналами;
- радиоизлучения, модулированные информативным сигналом, возникающие при работе различных генераторов, входящих в состав ИИВС Росрыболовства, или при наличии паразитной генерации в узлах (элементах) ИИВС;
- электрические сигналы или радиоизлучения, обусловленные воздействием на ИИВС Росрыболовства высокочастотных сигналов, создаваемых с помощью разведывательной аппаратуры, по эфиру и проводам, либо сигналов промышленных радиотехнических устройств (радиовещательные, радиолокационные станции, средства радиосвязи и т.п.) и модуляцией их информативным сигналом (облучение, "навязывание");
- радиоизлучения или электрические сигналы от внедренных в ИИВС Росрыболовства и выделенные помещения специальных электронных устройств перехвата информации ("закладок"), модулированные информативным сигналом;
- радиоизлучения или электрические сигналы от электронных устройств перехвата информации, подключенных к каналам связи или техническим средствам обработки информации;
- акустическое излучение информативного речевого сигнала или сигнала, обусловленного функционированием технических средств обработки информации (телеграф, телетайп, принтер, пишущая машинка и т.п.);
- электрические сигналы, возникающие посредством преобразования информативного сигнала из акустического в электрический за счет микрофонного эффекта и распространяющиеся по проводам и линиям передачи информации;
- вибрационные сигналы, возникающие посредством преобразования информативного акустического сигнала при воздействии его на строительные конструкции и инженерно-технические коммуникации выделенных помещений;
- просмотр информации с экранов дисплеев и других средств ее отображения с помощью оптических средств;
- воздействие на технические или программные средства в целях нарушения целостности (уничтожения, искажения) информации, работоспособности технических средств, средств ЗИ, адресности и своевременности информационного обмена, в том числе электромагнитное, через специально внедренные электронные и программные средства ("закладки").
Перехват информации ограниченного распространения или воздействие на нее с использованием технических средств может вестись непосредственно из зданий, расположенных в непосредственной близости от объектов ИИВС Росрыболовства, мест временного пребывания заинтересованных в перехвате информации или воздействии на нее лиц при посещении ими подразделений Росрыболовства, а также с помощью скрытно устанавливаемой в районах важнейших объектов и на их территориях автономной автоматической аппаратуры.
В качестве аппаратуры разведок или воздействия на информацию и технические средства могут использоваться:
- космические средства разведки для перехвата радиоизлучений от средств радиосвязи, радиорелейных станций и приема сигнала от автономных автоматических средств разведки и электронных устройств перехвата информации ("закладок");
- стационарные средства, размещаемые в зданиях;
- портативные возимые и носимые средства, размещаемые в зданиях, в транспортных средствах, а также носимые лицами, ведущими разведку;
- автономные автоматические средства, скрытно устанавливаемые на объектах защиты или поблизости от них.
Стационарные средства обладают наибольшими энергетическими, техническими и функциональными возможностями. В то же время они, как правило, удалены от объектов защиты и не имеют возможности подключения к линиям, коммуникациям и сооружениям. Портативные средства могут использоваться непосредственно на объектах защиты или поблизости от них и могут подключаться к линиям и коммуникациям, выходящим за пределы контролируемой территории.
Кроме перехвата информации техническими средствами разведки возможно непреднамеренное попадание защищаемой информации к лицам, не допущенным к ней, но находящимся в пределах контролируемой зоны. Такого рода утечка информации возможна вследствие:
- непреднамеренного прослушивания без использования технических средств разговоров, ведущихся в выделенном помещении, из-за недостаточной звукоизоляции его ограждающих конструкций, систем вентиляции и кондиционирования воздуха;
- случайного прослушивания телефонных переговоров при проведении профилактических работ на АТС, кроссах, кабельных коммуникациях с помощью контрольной аппаратуры;
- просмотра информации с экранов дисплеев и других средств ее отображения.
4.5. Неформальная модель возможных нарушителей
Полная модель нарушителя и угроз ИИВС Росрыболовства должна быть разработана и утверждена отдельным документом, который должен войти в Регламент обеспечения ИБ в виде приложения.
НАРУШИТЕЛЬ - это лицо (субъект), которое предприняло (пыталось предпринять) попытку несанкционированного доступа к ресурсам системы (попытку выполнения запрещенных ему действий с данным ресурсом) по ошибке, незнанию или осознанно со злым умыслом (из корыстных интересов) или без такового (ради игры или с целью самоутверждения и т.п.) и использовавшее для этого различные возможности, методы и средства (чисто агентурные методы получения сведений, технические средства перехвата без модификации компонентов системы, штатные средства и недостатки систем защиты, подключение к каналам передачи данных, внедрение программных закладок и использование специальных инструментальных и технологических программ и подобное).
Система защиты ИИВС Росрыболовства должна строиться исходя из предположений о следующих возможных типах нарушителей в системе (с учетом категории лиц, мотивации, квалификации, наличия специальных средств и др.):
1) "Неопытный (невнимательный) пользователь" - сотрудник Росрыболовства (или подразделения другого ведомства, зарегистрированный как пользователь системы), который может предпринимать попытки выполнения запрещенных операций, доступа к защищаемым ресурсам ИИВС Росрыболовства с превышением своих полномочий, ввода некорректных данных и подобные действия по ошибке, некомпетентности или халатности без злого умысла и использующий при этом только штатные (доступные ему) аппаратные и программные средства.
2) "Любитель" - сотрудник Росрыболовства (или подразделения другого ведомства, зарегистрированный как пользователь системы), пытающийся преодолеть систему защиты без корыстных целей и злого умысла, для самоутверждения или из "спортивного интереса". Для преодоления системы защиты и совершения запрещенных действий он может использовать различные методы получения дополнительных полномочий доступа к ресурсам (имен, паролей, средств доступа других пользователей), недостатки в построении системы защиты и доступные ему штатные (установленные на рабочей станции) программы (несанкционированные действия посредством превышения своих полномочий на использование разрешенных средств). Помимо этого он может пытаться использовать дополнительно нештатные инструментальные и технологические программные средства (отладчики, служебные утилиты), самостоятельно разработанные программы или стандартные дополнительные технические средства.
3) "Мошенник" - сотрудник Росрыболовства (или подразделения другого ведомства, зарегистрированный как пользователь системы), который может предпринимать попытки выполнения незаконных технологических операций, ввода подложных данных и тому подобные действия в корыстных целях, по принуждению или из злого умысла, но использующий при этом только штатные (установленные на рабочей станции и доступные ему) аппаратные и программные средства от своего имени или от имени другого сотрудника (зная его имя и пароль, используя его кратковременное отсутствие на рабочем месте и т.п.).
4) "Внешний нарушитель (злоумышленник)" - постороннее лицо или сотрудник Росрыболовства (или подразделения другого ведомства, зарегистрированный как пользователь системы), действующий целенаправленно из корыстных интересов, из мести или из любопытства, возможно в сговоре с другими лицами. Он может использовать весь набор радиоэлектронных способов нарушения ИБ, методов и средств взлома систем защиты, характерных для сетей общего пользования (в особенности сетей на основе IP-протокола), включая удаленное внедрение программных закладок и использование специальных инструментальных и технологических программ, используя имеющиеся слабости протоколов обмена и системы защиты узлов сети ИИВС Росрыболовства.
5) "Внутренний злоумышленник" - сотрудник структурного подразделения Росрыболовства, зарегистрированный как пользователь системы, действующий целенаправленно из корыстных интересов или мести за нанесенную обиду, возможно в сговоре с лицами, не являющимися сотрудниками Росрыболовства. Он может использовать весь набор методов и средств взлома системы защиты, включая агентурные методы получения реквизитов доступа, пассивные средства (технические средства перехвата без модификации компонентов системы), методы и средства активного воздействия (модификация технических средств, подключение к каналам передачи данных, внедрение программных закладок и использование специальных инструментальных и технологических программ), а также комбинации воздействий как изнутри, так и извне - из сетей общего пользования.
Внутренним нарушителем может быть лицо из следующих категорий персонала Росрыболовства:
- зарегистрированные конечные пользователи ИИВС Росрыболовства (сотрудники структурных подразделений);
- сотрудники структурных подразделений, не допущенные к работе с ИИВС Росрыболовства (обслуживающий персонал, в том числе водители, техники);
- персонал, обслуживающий технические средства ИИВС Росрыболовства (инженеры, техники);
- сотрудники отделов разработки и сопровождения ПО (прикладные и системные программисты из компаний-интеграторов);
- технический персонал, обслуживающий здания (уборщицы, электрики, сантехники и другие сотрудники, имеющие доступ в здания и помещения, где расположены компоненты ИИВС Росрыболовства);
- сотрудники службы ИБ ИИВС Росрыболовства;
- руководители различных уровней.
Категории лиц, которые могут быть внешними нарушителями:
- уволенные сотрудники Росрыболовства;
- представители организаций, взаимодействующих по вопросам обеспечения жизнедеятельности Росрыболовства (энерго-, водо-, теплоснабжения и т.п.);
- посетители (приглашенные представители организаций, граждане), представители фирм, поставляющих технику, программное обеспечение, услуги и т.п.;
- члены преступных организаций, сотрудники спецслужб или лица, действующие по их заданию;
- лица, случайно или умышленно проникшие в сети ИИВС Росрыболовства из внешних (по отношению к Росрыболовству) сетей телекоммуникации (хакеры).
Пользователи и обслуживающий персонал из числа сотрудников Росрыболовства имеют наиболее широкие возможности по осуществлению несанкционированных действий вследствие наличия у них определенных полномочий по доступу к ресурсам и хорошего знания технологии обработки информации и защитных мер. Действия этой группы лиц напрямую связаны с нарушением действующих правил и инструкций. Особую опасность эта группа нарушителей представляет при взаимодействии с криминальными структурами или спецслужбами.
Уволенные сотрудники могут использовать для достижения целей свои знания о технологии работы, защитных мерах и правах доступа. Полученные в Росрыболовстве знания и опыт выделяют их среди других источников внешних угроз.
Криминальные структуры представляют наиболее агрессивный источник внешних угроз. Для осуществления своих замыслов эти структуры могут идти на открытое нарушение закона и вовлекать в свою деятельность сотрудников Росрыболовства всеми доступными им силами и средствами.
Профессиональные хакеры имеют наиболее высокую техническую квалификацию и знания о слабостях программных средств, используемых в ИИВС. Наибольшую угрозу представляют при взаимодействии с работающими и уволенными сотрудниками Росрыболовства и криминальными структурами.
Организации, занимающиеся разработкой, поставкой и ремонтом оборудования, информационных систем, представляют внешнюю угрозу в силу того, что эпизодически имеют непосредственный доступ к ИР. Криминальные структуры и спецслужбы могут использовать эти организации для временного устройства на работу своих членов с целью доступа к защищаемой информации в ИИВС Росрыболовства.
Принимаются следующие ограничения и предположения о характере действий возможных нарушителей:
- работа по подбору кадров и специальные мероприятия исключают возможность создания коалиций нарушителей, т.е. объединения (сговора) и целенаправленных действий двух и более нарушителей - сотрудников Росрыболовства по преодолению системы защиты;
- нарушитель скрывает свои несанкционированные действия от других сотрудников;
- несанкционированные действия могут быть следствием ошибок пользователей, администраторов безопасности, эксплуатирующего и обслуживающего персонала, а также недостатков принятой технологии обработки, хранения и передачи информации;
- в своей противоправной деятельности вероятный нарушитель может использовать любое имеющееся средство перехвата информации, воздействия на информацию и информационные системы, адекватные финансовые средства для подкупа персонала, шантаж и другие средства и методы для достижения стоящих перед ним целей.
5. ОСНОВНЫЕ ПОЛОЖЕНИЯ ТЕХНИЧЕСКОЙ ПОЛИТИКИ В ОБЛАСТИ
ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ИИВС РОСРЫБОЛОВСТВА
5.1. Техническая политика в области обеспечения
информационной безопасности
Реализация технической политики в области обеспечения ИБ Росрыболовства должна исходить из предпосылки, что невозможно обеспечить требуемый уровень защищенности информации не только с помощью одного отдельного средства (мероприятия), но и с помощью их простой совокупности. Необходимо их системное согласование между собой (комплексное применение), а отдельные разрабатываемые элементы информационной системы должны рассматриваться как часть единой информационной системы в защищенном исполнении при оптимальном соотношении технических (аппаратных, программных) средств и организационных мероприятий.
Основными направлениями реализации технической политики обеспечения ИБ ИИВС Росрыболовства являются:
- обеспечение ЗИ ИР от хищения, утраты, утечки, уничтожения, искажения или подделки за счет НД и специальных воздействий;
- обеспечение ЗИ от утечки по техническим каналам при ее обработке, хранении и при передаче по каналам связи.
Система обеспечения ИБ ИИВС Росрыболовства должна предусматривать комплекс организационных, программных и технических средств и мер по ЗИ в процессе ее обработки и хранения, при передаче информации по каналам связи, при ведении конфиденциальных переговоров, раскрывающих сведения с ограниченным доступом, при использовании импортных технических и программных средств.
В рамках указанных направлений технической политики обеспечения ИБ осуществляются:
- реализация разрешительной системы допуска исполнителей (пользователей, обслуживающего персонала) к работам, документам и информации конфиденциального характера;
- реализация системы инженерно-технических и организационных мер охраны, предусматривающей многорубежность и равнопрочность построения охраны (территории, здания, помещения) с комплексным применением современных технических средств охраны, обнаружения, наблюдения, сбора и обработки информации, обеспечивающих достоверное отображение и объективное документирование событий;
- ограничение доступа исполнителей и посторонних лиц в здания и помещения, где проводятся работы конфиденциального характера и размещены средства информатизации и коммуникации, на которых обрабатывается (хранится, передается) информация конфиденциального характера, непосредственно к самим средствам информатизации и коммуникациям;
- разграничение доступа пользователей и обслуживающего персонала к ИР, программным средствам обработки (передачи) и ЗИ в подсистемах различного уровня и назначения, входящих в ИИВС Росрыболовства;
- учет документов, информационных массивов, регистрация действий пользователей и обслуживающего персонала, контроль за НСД и действиями пользователей, обслуживающего персонала и посторонних лиц;
- предотвращение внедрения в автоматизированные подсистемы программ-вирусов, программных закладок;
- криптографическое преобразование информации, обрабатываемой и передаваемой средствами вычислительной техники и связи;
- надежное хранение традиционных и машинных носителей информации, ключей (ключевой документации) и их обращение, исключающее хищение, подмену и уничтожение;
- необходимое резервирование технических средств и дублирование массивов и носителей информации;
- снижение уровня и информативности побочных электромагнитных излучений и наводок (далее - ПЭМИН), создаваемых различными элементами автоматизированных подсистем;
- обеспечение акустической защиты помещений, в которых обсуждается информация конфиденциального или служебного характера;
- электрическая развязка цепей питания, заземления и других цепей объектов информатизации, выходящих за пределы контролируемой зоны;
- активное зашумление в различных диапазонах;
- противодействие оптическим и лазерным средствам наблюдения.
5.2. Формирование режима информационной безопасности
С учетом выявленных угроз ИБ ИИВС Росрыболовства режим защиты должен формироваться как совокупность способов и мер защиты циркулирующей в автоматизированной системе информации и поддерживающей ее инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, влекущих за собой нанесение ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.
Комплекс мер по формированию режима ИБ включает:
- установление в Росрыболовстве организационно-правового режима ИБ (нормативные документы, работа с персоналом, делопроизводство);
- выполнение организационно-технических мероприятий по ЗИ ограниченного распространения от утечки по техническим каналам (аттестация и сертификация объектов информатизации и ИИВС Росрыболовства в целом);
- организационные и программно-технические мероприятия по предупреждению НСД к ИР ИИВС;
- комплекс мероприятий по контролю функционирования средств и систем защиты ИР ограниченного распространения после случайных или преднамеренных воздействий;
- комплекс оперативных мероприятий ИБ по предотвращению (выявлению) проникновения в Росрыболовство информаторов, связанных с преступными группировками.
Организационно-правовой режим предусматривает создание и поддержание правовой базы информационной безопасности и разработку (введение в действие) следующих организационно-распорядительных документов:
- Политика (Положение) об ИБ Росрыболовства;
- Регламент о сохранности информации ограниченного распространения. Указанный Регламент определяет организацию, порядок работы со сведениями ограниченного распространения, обязанности и ответственность сотрудников, допущенных к этим сведениям, порядок передачи материалов, содержащих сведения ограниченного распространения, государственным (коммерческим) учреждениям и организациям;
- Регламент УЦ;
- Перечень сведений, составляющих служебную информацию, а также перечень документов ограниченного распространения (далее - перечень). Перечень определяет сведения, отнесенные к категориям конфиденциальных ("ДСП", ограниченного распространения, персональные данные), уровень и сроки обеспечения ограничений по доступу к защищаемой информации;
- Приказы и распоряжения по установлению режима ИБ в Росрыболовстве:
- о создании комиссии по формированию Перечня сведений, составляющих служебную тайну;
- о назначении постоянно действующей технической комиссии;
- о вводе в эксплуатацию объектов информатизации ИИВС Росрыболовства;
- о назначении выделенных помещений;
- о допуске сотрудников к работе с информацией ограниченного распространения;
- о назначении лиц, ответственных за обеспечение сохранности информации ограниченного распространения в ИИВС Росрыболовства;
- инструкции и функциональные обязанности сотрудникам:
по организации охранно-пропускного режима;
по организации делопроизводства;
по организации работы с информацией на магнитных, оптических и других носителях;
- о ЗИ ограниченного распространения в ИИВС Росрыболовства;
- по организации модификаций аппаратно-программных конфигураций АРМ.
Организационно-технические мероприятия по защите информации ограниченного распространения от утечки по техническим каналам предусматривают:
- комплекс мер и соответствующих технических средств, ослабляющих утечку речевой и сигнальной информации, - пассивная защита (защита);
- комплекс мер и соответствующих технических средств, создающих помехи при съеме информации, - активная защита (противодействие);
- комплекс мер и соответствующих технических средств, позволяющих выявлять каналы утечки информации, - поиск (обнаружение).
Физическая охрана объектов информатизации (компонентов компьютерных систем) включает:
- организацию системы охранно-пропускного режима и системы контроля допуска на объект;
- введение дополнительных ограничений по доступу в помещения, предназначенные для хранения закрытой информации (кодовые и электронные замки, карточки допуска и т.д.);
- визуальный и технический контроль контролируемой зоны объекта защиты;
- применение систем охранной и пожарной сигнализации и т.д.
Выполнение режимных требований при работе с информацией ограниченного распространения предполагает:
- разграничение допуска к ИР Росрыболовства ограниченного распространения;
- разграничение допуска к программно-аппаратным ресурсам ИИВС Росрыболовства;
- ведение учета ознакомления сотрудников с информацией ограниченного распространения;
- включение в функциональные обязанности сотрудников обязательства о неразглашении и сохранности сведений ограниченного распространения;
- организация уничтожения информационных отходов (бумажных, магнитных и т.д.);
- оборудование служебных помещений сейфами, шкафами для хранения бумажных и магнитных носителей информации и т.д.
Мероприятия технического контроля предусматривают:
- контроль за проведением технического обслуживания, ремонта носителей информации и средств ИИВС Росрыболовства;
- проверки поступающего оборудования, предназначенного для обработки закрытой информации, на наличие специально внедренных закладных устройств;
- инструментальный контроль технических средств на наличие побочных электромагнитных излучений и наводок;
- оборудование систем информатизации устройствами защиты от сбоев электропитания и помех в линиях связи;
- защита выделенных помещений при проведении закрытых работ (переговоров), создание акустических, виброакустических и электромагнитных помех для затруднения съема информации;
- постоянное обновление технических и программных средств защиты от НСД в соответствии с меняющейся оперативной обстановкой.
5.3. Оснащение техническими средствами хранения
и обработки информации
Организация хранения конфиденциальных документов и носителей информации, а также оборудование режимных помещений осуществляется в соответствии с установленными в Росрыболовстве требованиями.
В случае оснащения помещений средствами охранной сигнализации, а также автоматизированной системой приема и регистрации сигналов от этих средств прием-сдача таких помещений под охрану осуществляется на основании специально разрабатываемой по согласованию с Административным управлением инструкции, утверждаемой руководством Росрыболовства.
В Административном управлении Росрыболовства на случай пожара, аварии или стихийного бедствия разрабатывается инструкция, утверждаемая руководством Росрыболовства, в которой предусматривается порядок вызова должностных лиц, вскрытия режимных помещений, очередность и порядок спасения документов и технических изделий и дальнейшего их хранения.
Инструкция должна находиться в подразделении охраны, независимо от его ведомственной принадлежности.
Подразделения Росрыболовства, в которых обрабатывается информация, имеющая статус ограниченного распространения, должны быть обеспечены средствами уничтожения документов.
В случае применения для обработки информации ограниченного распространения средств вычислительной техники создается система защиты информации (далее - СЗИ), которая направлена на обеспечение сохранности информации во время разработки, монтажа, эксплуатации, ремонта и списания средств вычислительной техники (далее - СВТ) путем предотвращения случаев НСД, ее утечки за счет побочных электромагнитных излучений, наводок и разрушения.
Применяемая СЗИ должна проходить обязательную сертификацию (аттестацию или сертификацию) на соответствие требованиям законодательства Российской Федерации в области ИБ.
Обработка конфиденциальной информации на СВТ разрешается только после завершения работ по созданию СЗИ, проверки ее функционирования и аттестации.
Работы по обеспечению ИБ, обрабатываемой с помощью ИИВС Росрыболовства, можно условно разделить на следующие группы:
- обеспечение физической безопасности компонентов ИИВС Росрыболовства (специально внедренные закладные устройства, побочные электромагнитные излучения и наводки, повреждения, сбои питания, кражи и т.п.);
- обеспечение логической безопасности ИИВС Росрыболовства (защита от НСД, от ошибок в действиях пользователей и программ и т.д.);
- обеспечение социальной безопасности ИИВС Росрыболовства (разработка организационных, соответствующих законодательным нормам документов, регулирующих применение компьютерных технологий, порядок расследования и наказания за компьютерные преступления, контроль и предотвращение неправильного использования информации в случае, когда она хранится или обрабатывается с помощью компьютерных систем).
6. ОСНОВНЫЕ ПРИНЦИПЫ ПОСТРОЕНИЯ СИСТЕМЫ КОМПЛЕКСНОЙ ЗАЩИТЫ
ИНФОРМАЦИИ В РОСРЫБОЛОВСТВЕ
Построение системы обеспечения ИБ в ИИВС Росрыболовства и ее функционирование должны осуществляться в соответствии со следующими основными принципами:
- законность;
- системность;
- комплексность;
- непрерывность;
- своевременность;
- преемственность и непрерывность совершенствования;
- разумная достаточность;
- персональная ответственность;
- минимизация полномочий;
- взаимодействие и сотрудничество;
- гибкость системы защиты;
- открытость алгоритмов и механизмов защиты;
- простота применения средств защиты;
- научная обоснованность и техническая реализуемость;
- специализация и профессионализм;
- обязательность контроля.
Законность
Предполагает осуществление защитных мероприятий и разработку системы ИБ ИИВС Росрыболовства в соответствии с действующим законодательством в области информации, информатизации и ЗИ, других нормативных актов по ИБ, утвержденных органами государственной власти и управления в пределах их компетенции, с применением всех дозволенных методов обнаружения и пресечения правонарушений при работе с информацией. Принятые меры безопасности информации не должны препятствовать доступу правоохранительных органов в предусмотренных законодательством случаях к информации конкретных систем.
Пользователи и обслуживающий персонал ИИВС Росрыболовства должны иметь представление об ответственности за правонарушения в области систем автоматизированной обработки информации (статьи 272, 273, 274 Уголовного кодекса РФ и т.п.).
Системность
Системный подход к построению системы ЗИ в ИИВС Росрыболовства предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения проблемы обеспечения ИБ ИИВС Росрыболовства.
При создании системы защиты должны учитываться все слабые и наиболее уязвимые места системы обработки информации, а также характер, возможные объекты и направления атак на систему со стороны нарушителей (особенно высококвалифицированных злоумышленников), пути проникновения в распределенные системы и НСД к информации. Система защиты должна строиться с учетом не только всех известных каналов проникновения и НСД к информации, но и с учетом возможности появления принципиально новых путей реализации угроз безопасности.
Комплексность
Комплексное использование методов и средств защиты компьютерных систем предполагает согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существенные (значимые) каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов. Защита должна строиться эшелонировано. Внешняя защита должна обеспечиваться физическими средствами, организационными и правовыми мерами. Одним из наиболее укрепленных рубежей призваны быть средства защиты, реализованные на уровне операционных систем (далее - ОС) СВТ в силу того, что ОС - это та часть компьютерной системы, которая управляет использованием всех ее ресурсов. Прикладной уровень защиты, учитывающий особенности предметной области, представляет внутренний рубеж защиты.
Непрерывность защиты
ЗИ - не разовое мероприятие и не простая совокупность проведенных мероприятий и установленных средств защиты, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла ИИВС, начиная с самых ранних стадий проектирования, а не только на этапе ее эксплуатации.
Большинству физических и технических средств защиты для эффективного выполнения своих функций необходима постоянная организационная (административная) поддержка (своевременная смена и обеспечение правильного хранения и применения имен, паролей, ключей шифрования, переопределение полномочий и т.п.). Перерывы в работе средств защиты могут быть использованы злоумышленниками для анализа применяемых методов и средств защиты, для внедрения специальных программных и аппаратных "закладок" и других средств преодоления системы защиты после восстановления ее функционирования.
Своевременность
Предполагает упреждающий характер мер обеспечения ИБ, то есть постановку задач по комплексной защите ИИВС Росрыболовства и реализацию мер обеспечения ИБ на ранних стадиях разработки ИИВС Росрыболовства в целом и ее системы ЗИ в частности.
Разработка системы защиты должна вестись параллельно с разработкой и развитием самой защищаемой системы. Это позволит учесть требования ИБ при проектировании архитектуры и, в конечном счете, создать более эффективные (как по затратам ресурсов, так и по стойкости) защищенные системы.
Преемственность и совершенствование
Предполагают постоянное совершенствование мер и средств ЗИ на основе преемственности организационных и технических решений, кадрового состава, анализа функционирования ИИВС Росрыболовства и ее системы защиты с учетом изменений в методах и средствах перехвата информации, нормативных требований по защите, достигнутого отечественного и зарубежного опыта в этой области.
Разумная достаточность
(экономическая целесообразность, сопоставимость возможного
ущерба и затрат)
Предполагает соответствие уровня затрат на обеспечение безопасности информации ценности ИР и величине возможного ущерба от их разглашения, утраты, утечки, уничтожения и искажения. Используемые меры и средства ИБ ИР не должны заметно ухудшать эргономические показатели работы ИИВС Росрыболовства, в которой эта информация циркулирует. Излишние меры безопасности, помимо экономической неэффективности, приводят к утомлению и раздражению персонала.
Создать абсолютно непреодолимую систему защиты принципиально невозможно. Пока информация находится в обращении, принимаемые меры могут только снизить вероятность негативных воздействий или ущерб от них, но не исключить их полностью. При достаточном количестве времени и средств возможно преодолеть любую защиту. Поэтому имеет смысл рассматривать некоторый приемлемый уровень обеспечения безопасности. Высокоэффективная система защиты стоит дорого, использует при работе существенную часть ресурсов компьютерной системы и может создавать ощутимые дополнительные неудобства пользователям. Важно правильно выбрать тот достаточный уровень защиты, при котором затраты, риск и размер возможного ущерба были бы приемлемыми (задача анализа риска).
Персональная ответственность
Предполагает возложение ответственности за обеспечение ИБ и системы ее обработки на каждого сотрудника в пределах его полномочий. В соответствии с этим принципом распределение прав и обязанностей сотрудников строится таким образом, чтобы в случае любого нарушения круг виновников был четко известен или сведен к минимуму.
Принцип минимизации полномочий
Означает предоставление пользователям минимальных прав доступа в соответствии с производственной необходимостью. Доступ к информации должен предоставляться только в том случае и объеме, если это необходимо сотруднику для выполнения его должностных обязанностей. Особенно это касается предоставления доступа к внешним источникам информации, в частности сети Internet.
Взаимодействие и сотрудничество
Предполагает создание благоприятной атмосферы в коллективах подразделений Росрыболовства. В такой обстановке сотрудники должны осознанно соблюдать установленные правила и оказывать содействие в деятельности подразделений технической ЗИ.
Гибкость системы защиты
Принятые меры и установленные средства защиты, особенно в начальный период их эксплуатации, могут обеспечивать как чрезмерный, так и недостаточный уровень защиты. Для обеспечения возможности варьирования уровнем защищенности средства защиты должны обладать определенной гибкостью. Особенно важным это свойство является в тех случаях, когда установку средств защиты необходимо осуществлять на работающую систему, не нарушая процесса ее нормального функционирования. Кроме того, внешние условия и требования с течением времени меняются. В таких ситуациях свойство гибкости системы защиты избавляет владельцев ИИВС от необходимости принятия кардинальных мер по полной замене средств защиты на новые.
Открытость алгоритмов и механизмов защиты
Суть принципа открытости алгоритмов и механизмов защиты состоит в том, что защита не должна обеспечиваться только за счет секретности структурной организации и алгоритмов функционирования ее подсистем. Знание алгоритмов работы системы защиты не должно давать возможности ее преодоления (даже авторам). Это не означает, что информация о конкретной системе защиты должна быть общедоступна.
Простота применения средств защиты
Механизмы защиты должны быть интуитивно понятны и просты в использовании. Применение средств защиты не должно быть связано со знанием специальных языков или с выполнением действий, требующих значительных дополнительных трудозатрат, чем при обычной работе зарегистрированных установленным порядком пользователей, а также не должно требовать от пользователя выполнения рутинных малопонятных ему операций (ввод нескольких паролей и имен и т.д.).
Научная обоснованность и техническая реализуемость
Информационные технологии, технические и программные средства, средства и меры ЗИ должны быть реализованы на современном уровне развития науки и техники, научно обоснованы с точки зрения достижения заданного уровня ИБ и должны соответствовать установленным нормам и требованиям по ИБ.
Специализация и профессионализм
Предполагает привлечение к разработке средств и реализации мер ЗИ специализированных организаций, наиболее подготовленных к конкретному виду деятельности по обеспечению ИБ ИР, имеющих опыт практической работы и государственную лицензию на право оказания услуг в этой области, в соответствии с заключаемым государственным контрактом на обслуживание, техническую поддержку или другой вид обеспечения поддержки. Реализация административных мер и эксплуатация средств защиты должны осуществляться профессионально подготовленными специалистами (специалистами подразделения технической ЗИ).
Обязательность контроля
Предполагает обязательность и своевременность выявления и пресечения попыток нарушения установленных правил обеспечения ИБ на основе используемых систем и средств ЗИ при совершенствовании критериев и методов оценки эффективности этих систем и средств.
Контроль за деятельностью любого пользователя, каждого средства защиты и в отношении любого объекта защиты должен осуществляться на основе применения средств оперативного контроля и регистрации и должен охватывать как несанкционированные, так и санкционированные действия пользователей.
7. МЕРЫ, МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ ТРЕБУЕМОГО УРОВНЯ
ЗАЩИЩЕННОСТИ ИНФОРМАЦИОННЫХ РЕСУРСОВ
7.1. Меры обеспечения безопасности
Все меры обеспечения безопасности компьютерных систем подразделяются на:
- правовые (законодательные);
- морально-этические;
- организационные (административные);
- физические;
- технические (аппаратные и программные).
Правовые (законодательные) меры защиты
К правовым мерам защиты относятся действующие в стране законы, указы и нормативные правовые и правовые акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений в процессе ее обработки и использования, а также устанавливающие ответственность за нарушения этих правил, препятствуя тем самым неправомерному использованию информации, и являющиеся сдерживающим фактором для потенциальных нарушителей. Правовые меры защиты носят в основном предупреждающий, профилактический характер и требуют постоянной разъяснительной работы с пользователями и обслуживающим персоналом системы.
Морально-этические меры защиты
К морально-этическим мерам относятся нормы поведения, которые традиционно сложились или складываются по мере распространения ЭВМ в стране или обществе. Эти нормы большей частью не являются обязательными, как, например, утвержденные нормативные правовые акты, однако их несоблюдение ведет обычно к падению авторитета, престижа человека, группы лиц или организации. Морально-этические нормы бывают как неписаные (например, общепризнанные нормы честности, патриотизма и т.п.), так и писаные, то есть оформленные в некоторый свод (устав) правил или предписаний. Морально-этические меры защиты являются профилактическими и требуют постоянной работы по созданию здорового морального климата в коллективах структурных подразделений.
Организационные (административные) меры защиты
Организационные (административные) меры защиты - это меры организационного характера, регламентирующие процессы функционирования системы обработки данных, использование ее ресурсов, деятельность обслуживающего персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности или снизить размер потерь в случае их реализации.
Формирование политики безопасности
Главная цель административных мер, предпринимаемых на высшем управленческом уровне, - сформировать политику в области обеспечения ИБ (отражающую подходы к ЗИ) и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.
С практической точки зрения политику в области обеспечения ИБ в ИИВС Росрыболовства целесообразно разбить на два уровня. К верхнему уровню относятся решения руководства, затрагивающие деятельность Росрыболовства в целом. Примером таких решений могут быть:
- принятие решения о формировании или пересмотре комплексной программы обеспечения ИБ Росрыболовства, определение ответственных за ее реализацию;
- формулирование целей, постановка задач, определение направлений деятельности в области ИБ;
- принятие решений по вопросам реализации программы ИБ, которые рассматриваются на уровне организации в целом;
- обеспечение нормативной правовой базы вопросов ИБ и т.п.
Политика верхнего уровня должна четко очертить сферу влияния и ограничения при определении целей ИБ, определить, какими ресурсами (материальные, персонал) они будут достигнуты, и найти разумный компромисс между приемлемым уровнем безопасности и функциональностью ИИВС Росрыболовства.
Политика нижнего уровня определяет процедуры и правила достижения целей и решения задач ИБ и детализирует (регламентирует) эти правила:
- какова область применения политики ИБ;
- каковы роли и обязанности должностных лиц, отвечающих за проведение политики ИБ;
- кто имеет права доступа к информации ограниченного распространения;
- кто и при каких условиях может читать и модифицировать информацию и т.д.
Политика нижнего уровня должна:
- предусматривать регламент информационных отношений, исключающих возможность произвольных, монопольных или несанкционированных действий в отношении конфиденциальных ИР;
- определять иерархические принципы, методы разделения информации по типу и разграничение доступа к информации ограниченного распространения;
- выбирать программно-математические и технические (аппаратные) средства криптозащиты, противодействия НСД, аутентификации, авторизации, идентификации и другие защитные механизмы, обеспечивающие гарантии реализации прав и ответственности субъектов информационных отношений.
Регламентация доступа в помещения ИИВС Росрыболовства
Эксплуатация защищенных АРМ и серверов ИИВС Росрыболовства должна осуществляться в помещениях, оборудованных надежными автоматическими замками, средствами сигнализации и постоянно находящихся под охраной или наблюдением, исключающих возможность бесконтрольного проникновения в помещения посторонних лиц и обеспечивающих физическую сохранность находящихся в помещении защищаемых ИР (АРМ, документов, реквизитов доступа и т.п.). Размещение и установка технических средств ПЭВМ таких АРМ должна исключать возможность визуального просмотра вводимой (выводимой) информации лицами, не имеющими к ней отношения. Уборка помещений с установленными в них ПЭВМ должна производиться в присутствии ответственного, за которым закреплены данные технические средства, или дежурного по подразделению с соблюдением мер, исключающих доступ посторонних лиц к защищаемым ресурсам.
В помещениях во время обработки и отображения на ПЭВМ информации ограниченного распространения должен присутствовать только персонал, допущенный к работе с данной информацией. Запрещается прием посетителей в помещениях, когда осуществляется обработка защищаемой информации.
По окончании рабочего дня помещения с установленными защищенными АРМ должны сдаваться под охрану с включением сигнализации и с отметкой в книге приема и сдачи служебных помещений.
Для хранения служебных документов и носителей с защищаемой информацией помещения снабжаются сейфами и металлическими шкафами.
Помещения должны быть обеспечены средствами уничтожения документов.
В случае применения для обработки информации СВТ, пропускной и внутриобъектовый режим объекта СВТ должен удовлетворять требованиям, предъявляемым к режимным объектам.
Регламентация допуска сотрудников к использованию ресурсов ИИВС Росрыболовства
В рамках разрешительной системы допуска устанавливается: кто, кому, какую информацию и для какого вида доступа может предоставить и при каких условиях; система разграничения доступа, которая предполагает определение для всех пользователей автоматизированной информационной системы информационных и программных ресурсов, доступных им для конкретных операций (чтение, запись, модификация, удаление, выполнение) с помощью заданных программно-технических средств доступа.
Допуск сотрудников подразделений Росрыболовства к работе с автоматизированной системой и доступ к ее ресурсам должен быть строго регламентирован. Любые изменения состава и полномочий пользователей подсистем ИИВС Росрыболовства должны производиться установленным порядком согласно "Инструкции по внесению изменений в списки пользователей ИИВС и наделению их полномочиями доступа к ресурсам системы". Основными пользователями информации в ИИВС Росрыболовства являются сотрудники структурных подразделений Росрыболовства. Уровень полномочий каждого пользователя определяется индивидуально с соблюдением следующих требований:
- открытая, конфиденциальная информация размещается по возможности на различных серверах (это упрощает обеспечение защиты);
- каждый сотрудник пользуется только предписанными ему правами по отношению к информации, с которой ему необходимо работать в соответствии с должностными обязанностями;
- начальник имеет права на просмотр информации своих подчиненных только в установленных пределах в соответствии со своими должностными обязанностями;
- наиболее ответственные технологические операции должны производиться по правилу "в две руки" - правильность введенной информации подтверждается другим должностным лицом, не имеющим права ввода информации.
Все сотрудники Росрыболовства, допущенные к работе (пользователи), и обслуживающий персонал ИИВС Росрыболовства должны нести персональную ответственность за нарушения установленного порядка автоматизированной обработки информации, правил хранения, использования и передачи находящихся в их распоряжении защищаемых ресурсов системы. Каждый сотрудник (при приеме на работу) должен подписывать Соглашение-обязательство о соблюдении и ответственности за нарушение установленных требований по сохранению служебной тайны, если такая работа предусматривается, а также правил работы с защищаемой информацией в ИИВС Росрыболовства.
Обработка защищаемой информации в подсистемах ИИВС Росрыболовства должна производиться в соответствии с утвержденными технологическими инструкциями (техническими порядками) для данных подсистем.
Для пользователей защищенных АРМ (то есть АРМ, на которых обрабатывается защищаемая информация или решаются подлежащие защите задачи и на которых установлены соответствующие средства защиты) должны быть разработаны необходимые технологические инструкции, включающие требования по обеспечению ИБ в Росрыболовстве.
Регламентация процессов ведения баз данных и осуществления модификации информационных ресурсов
Все операции по ведению БД Росрыболовства и допуск сотрудников структурных подразделений (а также сотрудников сторонних организаций, например компаний-интеграторов) к работе с этими базами данных должны быть строго регламентированы (должны производиться в соответствии с утвержденными технологическими инструкциями). Любые изменения состава и полномочий пользователей БД ИИВС Росрыболовства должны производиться установленным порядком.
Распределение имен, генерация паролей, сопровождение правил разграничения доступа к базам данных возлагается на специальных пользователей - администраторов конкретных БД и системных администраторов. При этом могут использоваться как только штатные, так и дополнительные средства защиты СУБД и операционных систем (ОС).
Регламентация процессов обслуживания и осуществления модификации аппаратных и программных ресурсов ИИВС Росрыболовства
Все аппаратные и программные ресурсы ИИВС Росрыболовства должны быть установленным порядком категорированы (для каждого ресурса должен быть определен требуемый уровень защищенности). Подлежащие защите ресурсы системы (задачи, программы, АРМ) подлежат строгому учету (на основе использования соответствующих формуляров или специализированных баз данных).
Аппаратно-программная конфигурация автоматизированных рабочих мест, на которых обрабатывается защищаемая информация (с которых возможен доступ к защищаемым ресурсам), должна соответствовать кругу возложенных на пользователей данного АРМ функциональных обязанностей. Все неиспользуемые в работе (лишние) устройства ввода-вывода информации (COM, LPT порты, дисководы НГМД, CD, USB и другие носители информации) на таких АРМ должны быть отключены (удалены), не нужные для работы программные средства и данные с дисков АРМ также должны быть удалены или запрещены к использованию.
Для упрощения сопровождения, обслуживания и организации защиты АРМ должны оснащаться программными средствами и конфигурироваться унифицировано (в соответствии с установленными правилами).
Ввод в эксплуатацию новых АРМ и все изменения в конфигурации технических и программных средств существующих АРМ в ИИВС Росрыболовства должны осуществляться только установленным порядком.
Все программное обеспечение (разработанное специалистами отделов программирования компаний-интеграторов Росрыболовства, полученное централизованно или приобретенное у фирм-производителей) должно установленным порядком проходить испытания и передаваться в отдел ИТ Административного управления Росрыболовства. В подсистемах ИИВС Росрыболовства должны устанавливаться и использоваться только полученные установленным порядком из отдела ИТ программные средства. Использование в ИИВС Росрыболовства ПО, не учтенного (и не проанализированного на пригодность к рабочему процессу Росрыболовства) в отделе ИТ Административного управления Росрыболовства должно быть запрещено.
Разработка ПО задач (комплексов задач), проведение испытаний разработанного и приобретенного ПО, передача ПО в эксплуатацию должны осуществляться в соответствии с установленным порядком разработки, проведения испытаний и передачи задач (комплексов задач) в эксплуатацию.
Обеспечение и контроль физической целостности (неизменности конфигурации) аппаратных ресурсов ИИВС Росрыболовства
На всех АРМ, подлежащих защите, должны быть установлены необходимые технические средства защиты (соответствующие категории данных АРМ).
Узлы и блоки оборудования СВТ ИИВС, к которым доступ обслуживающего персонала в процессе эксплуатации не требуется, после наладочных, ремонтных и иных работ, связанных с доступом к их монтажным схемам, должны закрываться и опечатываться (пломбироваться) сотрудниками службы технического контроля Росрыболовства. О вскрытии (опечатывании) блоков ПЭВМ делается запись в "Журнале учета нештатных ситуаций, фактов вскрытия и опечатывания блоков ПЭВМ, выполнения профилактических работ, установки и модификации аппаратных и программных средств АРМ подразделения".
Повседневный и периодический контроль за целостностью и соответствием печатей (пломб) на системных блоках ПЭВМ должен осуществляться пользователями АРМ и администраторами ИБ (ответственными за ИБ подразделений Росрыболовства).
Кадровая работа (подбор и подготовка персонала, обучение пользователей)
До начала этапа эксплуатации автоматизированной системы ее пользователи, а также необходимый руководящий и обслуживающий персонал должны быть ознакомлены с перечнем сведений, подлежащих засекречиванию и защите, в части, их касающейся, и своим уровнем полномочий, а также организационно-распорядительной, нормативной, технической и эксплуатационной документацией, определяющей требования и порядок обработки информации ограниченного распространения.
ЗИ по всем перечисленным направлениям возможна только после выработки у пользователей определенной дисциплины, т.е. норм, обязательных для исполнения всеми, кто работает с ИИВС Росрыболовства. К таким нормам можно отнести запрещение любых умышленных или неумышленных действий, которые нарушают нормальную работу ИИВС Росрыболовства, вызывают дополнительные затраты ресурсов, нарушают целостность хранимой и обрабатываемой информации, нарушают интересы законных пользователей.
Все сотрудники Росрыболовства, использующие при работе конкретные подсистемы ИИВС, должны быть ознакомлены с организационно-распорядительными документами по защите ИИВС Росрыболовства в части, их касающейся, должны знать и неукоснительно выполнять технологические инструкции и общие обязанности по обеспечению безопасности информации при использовании ИИВС Росрыболовства. Доведение требований указанных документов до лиц, допущенных к обработке защищаемой информации, должно осуществляться начальниками подразделений под роспись.
Подразделения технической защиты информации (или ответственные сотрудники за информационную безопасность)
Для непосредственной организации (построения) и эффективного функционирования системы ЗИ в Росрыболовстве должна быть создана специальная служба технической ЗИ или назначены ответственные лица из состава отдела ИТ Административного управления Росрыболовства.
Служба (или ответственные лица) технической ЗИ должна представлять собой систему штатных или нештатных подразделений, ответственных сотрудников, предназначенных для организации квалифицированной разработки (совершенствования) системы ЗИ и организационного (административного) обеспечения ее функционирования во всех подразделениях Росрыболовства.
На эти подразделения (или ответственных сотрудников за ИБ) целесообразно возложить решение следующих основных задач:
- проведение в жизнь политики обеспечения ИБ, определение требований к системе ЗИ;
- организация мероприятий и координация работ всех подразделений Росрыболовства по комплексной ЗИ;
- контроль и оценка эффективности принятых мер и применяемых средств ЗИ.
Основные функции подразделения ИБ (или сотрудников, ответственных за ИБ) заключаются в следующем:
- формирование требований к системе защиты в процессе создания (развития) ИИВС Росрыболовства;
- участие в проектировании системы защиты, ее испытаниях и приемке в эксплуатацию;
- планирование, организация и обеспечение функционирования системы ЗИ в процессе функционирования ИИВС Росрыболовства;
- распределение между пользователями необходимых реквизитов защиты;
- наблюдение за функционированием системы защиты и ее элементов;
- организация проверок надежности функционирования системы защиты;
- обучение пользователей и персонала ИИВС Росрыболовства правилам безопасной обработки информации;
- регламентация действий и контроль за администраторами БД, серверов и сетевых устройств (за сотрудниками, обеспечивающими правильность применения имеющихся в составе ОС, СУБД и т.п. средств разграничения доступа и других средств ЗИ);
- взаимодействие с ответственными за ИБ в подразделениях Росрыболовства;
- контроль за соблюдением пользователями и персоналом ИИВС установленных правил обращения с защищаемой информацией в процессе ее автоматизированной обработки;
- принятие мер при попытках НСД к информации и при нарушениях правил функционирования системы защиты.
Организационно-правовой статус подразделения ИБ или ответственных сотрудников за ИБ определяется следующим образом:
- численность ответственных сотрудников за ИБ должна быть достаточной для выполнения всех перечисленных выше функций;
- подразделение ИБ (или ответственные сотрудники за ИБ) должно подчиняться лицу, которое несет персональную ответственность за соблюдение правил обращения с защищаемой информацией;
- персонал (или ответственные сотрудники за ИБ) службы защиты не должен иметь других обязанностей, связанных с функционированием ИИВС Росрыболовства (или такие обязанности должны быть сведены к минимуму);
- ответственные сотрудники за ИБ должны иметь право доступа во все помещения, где установлена аппаратура ИИВС Росрыболовства, и право прекращать автоматизированную обработку информации при наличии непосредственной угрозы для защищаемой информации;
- руководителю подразделения ИБ (или ответственному сотруднику за ИБ) должно быть предоставлено право запрещать включение в число действующих новых элементов ИИВС Росрыболовства, если они не отвечают требованиям ЗИ и это может привести к серьезным последствиям в случае реализации значимых угроз ИБ;
- подразделение ИБ (или ответственный сотрудник за ИБ) должно обеспечиваться всеми условиями, необходимыми для выполнения своих функций.
Для решения задач, возложенных на подразделение ИБ, его сотрудники должны иметь следующие права:
- определять необходимость и разрабатывать правовые документы, касающиеся вопросов обеспечения ИБ, включая документы, регламентирующие деятельность сотрудников структурных подразделений Росрыболовства, его территориальных органов и подведомственных организаций;
- получать информацию от сотрудников структурных подразделений Росрыболовства, его территориальных органов и подведомственных организаций по вопросам применения информационных технологий и эксплуатации ИИВС;
- участвовать в проработке технических решений по вопросам обеспечения ИБ при проектировании и разработке комплексов задач;
- участвовать в испытаниях разработанных комплексов задач по вопросам оценки качества реализации требований по обеспечению ИБ;
- контролировать деятельность сотрудников подразделений Росрыболовства, его территориальных органов и подведомственных организаций по вопросам обеспечения ИБ.
В состав подразделения ИБ (или уполномоченных сотрудников по ИБ) ЗИ должны входить следующие специалисты:
- ответственные за администрирование средств защиты от НСД (выбор, установка, настройка, снятие средств защиты, просмотр журналов регистрации событий, оперативный контроль за работой пользователей и реагирование на события НСД и т.п.);
- ответственные за администрирование криптографических средств защиты (установка, настройка, снятие СКЗИ, генерация и распределение ключей и т.д.);
- ответственные за решение вопросов ЗИ в разрабатываемых программистами и внедряемых прикладных программах (участие в разработке технических заданий по вопросам ЗИ, выбор средств и методов защиты, участие в испытаниях новых прикладных программ с целью проверки выполнения требований по ЗИ и т.д.);
- специалисты по защите от утечки информации по техническим каналам.
Ответственность за нарушения установленного порядка использования ИИВС Росрыболовства. Расследование нарушений
Любое грубое нарушение порядка и правил работы в ИИВС Росрыболовства сотрудниками структурных подразделений Росрыболовства, его территориальных органов и подведомственных организаций, а также других ведомств должно расследоваться. К виновным должны применяться адекватные меры воздействия. Мера ответственности персонала за действия, совершенные в нарушение установленных правил обеспечения безопасной автоматизированной обработки информации, должна определяться нанесенным ущербом, наличием злого умысла и другими факторами, указывающими на обстоятельства нарушения.
Для реализации принципа персональной ответственности пользователей за свои действия необходимы:
- индивидуальная идентификация пользователей и инициированных ими процессов, т.е. установление за ними идентификатора, на базе которого будет осуществляться разграничение доступа в соответствии с принципом обоснованности доступа;
- проверка подлинности пользователей (аутентификация) на основе паролей, ключей на различной физической основе, биометрических характеристик личности и т.п.;
- регистрация (протоколирование) работы механизмов контроля доступа к ресурсам информационных систем с указанием даты и времени, идентификаторов запрашивающего и запрашиваемых ресурсов, вида взаимодействия и его результата;
- реакция на попытки НСД (сигнализация, блокировка и т.д.).
7.2. Физические средства защиты
Физические меры защиты основаны на применении разного рода механических, электро- или электронно-механических устройств и сооружений, специально предназначенных для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам системы и защищаемой информации, а также технических средств визуального наблюдения, связи и охранной сигнализации.
7.2.1. Разграничение доступа на территорию и в помещения
Физическая защита зданий, помещений, объектов и средств информатизации должна осуществляться путем установления соответствующих постов охраны, с помощью технических средств охраны или любыми другими способами, предотвращающими или существенно затрудняющими проникновение в здание, помещения посторонних лиц, хищение документов и информационных носителей, самих средств информатизации, исключающими нахождение внутри контролируемой (охраняемой) зоны технических средств разведки.
Более современными, надежными системами физической защиты, дающими широкие возможности регистрации и контроля за доступом исполнителей и посторонних лиц в помещения, в которых проводятся работы и переговоры конфиденциального характера, обрабатывается и хранится такая информация, являются технические системы, основанные на таких методах идентификации и аутентификации персонала, как магнитные и электронные карты с личными данными, биометрические характеристики личности, реализуемые в виде автоматизированных систем контроля за доступом в указанные помещения. Подобные автоматизированные системы могут быть реализованы на центральной ПЭВМ службы безопасности, собирающей информацию с большого количества терминалов, контролирующих доступ в помещения, к объектам и отдельным средствам информатизации.
Для обеспечения физической безопасности компонентов ИИВС Росрыболовства службе ИБ (или ответственным сотрудникам) необходимо осуществить ряд организационных и технических мероприятий, включающих (кроме выполнения рекомендаций по инженерной и технической защите зданий и помещений):
- проверку поступающего оборудования ИИВС Росрыболовства, предназначенного для обработки закрытой (конфиденциальной) информации, на:
наличие специально внедренных закладных устройств;
побочные электромагнитные излучения и наводки;
- введение дополнительных ограничений по доступу в помещения (компьютерный зал, серверная и т.д.), предназначенные для хранения и обработки закрытой информации;
- оборудование систем информатизации устройствами защиты от сбоев электропитания и помех в линиях связи.
7.3. Технические (аппаратно-программные) средства защиты
Технические (аппаратно-программные) меры защиты основаны на использовании различных электронных устройств и специальных программ, входящих в состав ИИВС Росрыболовства и выполняющих (самостоятельно или в комплексе с другими средствами) функции защиты (идентификацию и аутентификацию пользователей, разграничение доступа к ресурсам, регистрацию событий, криптографическое закрытие информации и т.д.).
С учетом всех требований и принципов обеспечения ИБ в ИИВС Росрыболовства по всем направлениям защиты в состав системы защиты должны быть включены следующие средства:
- средства аутентификации потребителей (пользователей) и элементов ИИВС Росрыболовства (терминалов, задач, элементов баз данных и т.п.), соответствующих степени конфиденциальности информации и обрабатываемых данных;
- средства разграничения доступа к данным;
- средства криптографического закрытия информации в линиях передачи данных и в базах данных;
- средства регистрации обращения и контроля за использованием защищаемой информации;
- средства реагирования на обнаруженный НСД;
- средства снижения уровня и информативности ПЭМИН, создаваемых различными элементами ИИВС Росрыболовства;
- средства снижения уровня акустических излучений, сопровождающих функционирование элементов ИИВС Росрыболовства;
- средства маскировки от оптических средств наблюдения;
- средства электрической развязки как элементов ИИВС Росрыболовства, так и конструктивных элементов помещений, в которых размещается ИИВС (включая водопроводную и канализационную систему);
- средства активного зашумления в радио- и акустическом диапазонах.
На технические средства защиты от НСД возлагается решение следующих основных задач (в соответствии с Руководящими документами Гостехкомиссии России и ГОСТ в области ИБ):
- идентификация и аутентификация пользователей при помощи имен и/или специальных аппаратных средств (Touch Memory, Smart Card, Token и т.п.);
- регламентация доступа пользователей к физическим устройствам компьютера (дискам, портам ввода-вывода);
- избирательное (дискреционное) управление доступом к логическим дискам, каталогам и файлам;
- полномочное (мандатное) разграничение доступа к защищаемым данным на рабочей станции и на файловом сервере;
- создание замкнутой программной среды, разрешенной для запуска программ, расположенных как на локальных, так и на сетевых дисках;
- защита от проникновения компьютерных вирусов и разрушительного воздействия вредоносных программ;
- контроль целостности модулей системы защиты, системных областей диска и произвольных списков файлов в автоматическом режиме и по командам администратора;
- регистрация всех действий пользователя в защищенном журнале, наличие нескольких уровней регистрации;
- централизованный сбор, хранение и обработка на файловом сервере журналов регистрации рабочих станций сети;
- защита данных системы защиты на файловом сервере от доступа всех пользователей, включая администратора сети;
- централизованное управление настройками средств разграничения доступа на рабочих станциях сети;
- оповещение администратора безопасности обо всех событиях НСД, происходящих на рабочих станциях;
- оперативный контроль за работой пользователей сети, изменение режимов функционирования рабочих станций и возможность блокирования (при необходимости) любой станции сети.
Успешное применение технических средств защиты предполагает, что выполнение перечисленных ниже требований обеспечено организационными мерами и используемыми физическими средствами защиты:
- физическая целостность всех компонент ИИВС Росрыболовства обеспечена;
- каждый сотрудник (пользователь системы) имеет уникальное системное имя и минимально необходимые для выполнения им своих функциональных обязанностей полномочия по доступу к ресурсам системы;
- использование на рабочих станциях ИИВС Росрыболовства инструментальных и технологических программ (тестовых утилит, отладчиков и т.п.), позволяющих предпринять попытки взлома или обхода средств защиты, ограничено и строго регламентировано;
- в защищенной системе нет программирующих пользователей. Разработка и отладка программ осуществляется за пределами защищенной системы;
- все изменения конфигурации технических и программных средств ПЭВМ ИИВС Росрыболовства производятся строго установленным порядком только на основании обращений руководства структурных подразделений Росрыболовства, согласованных с Регламентом по ИБ;
- сетевое оборудование (концентраторы, коммутаторы, маршрутизаторы и т.п.) располагается в местах, недоступных для посторонних (в специальных помещениях, шкафах и т.п.);
- специальной службой технической ЗИ осуществляется непрерывное управление и административная поддержка функционирования средств защиты в соответствии с Положением об ИБ в Росрыболовстве, которое должно быть разработано.
7.3.1. Средства идентификации (опознавания) и аутентификации
(подтверждения подлинности) пользователей
В целях предотвращения работы с ИИВС Росрыболовства посторонних лиц необходимо обеспечить возможность распознавания системой каждого законного пользователя (или ограниченных групп пользователей). Для этого в системе (в защищенном месте) должен храниться ряд признаков каждого пользователя, по которым этого пользователя можно опознать. В дальнейшем при входе в систему, а при необходимости - и при выполнении определенных действий в системе, пользователь обязан себя идентифицировать, т.е. указать идентификатор, присвоенный ему в системе. Кроме того, для идентификации могут применяться различного рода устройства: магнитные карточки, ключевые вставки, дискеты и т.п.
Аутентификация (подтверждение подлинности) пользователей должна осуществляться на основе использования паролей (секретных слов) или проверки уникальных характеристик (параметров) пользователей при помощи специальных биометрических средств.
7.3.2. Средства разграничения доступа зарегистрированных
пользователей системы к ресурсам ИИВС Росрыболовства
После распознавания пользователя система должна осуществлять авторизацию пользователя, то есть определять, какие права предоставлены пользователю: какие данные и как он может использовать, какие программы может выполнять, когда, как долго и с каких терминалов может работать, какие ресурсы системы может использовать и т.п. Авторизация пользователя должна осуществляться с использованием следующих механизмов реализации разграничения доступа:
- механизмов избирательного управления доступом, основанных на использовании атрибутных схем, списков разрешений и т.п.;
- механизмов полномочного управления доступом, основанных на использовании меток конфиденциальности ресурсов и уровней допуска пользователей;
- механизмов обеспечения замкнутой среды доверенного программного обеспечения (индивидуальных для каждого пользователя списков разрешенных для запуска программ), поддерживаемых механизмами идентификации (распознавания) и аутентификации (подтверждения подлинности) пользователей при их входе в систему.
Зоны ответственности и задачи конкретных технических средств защиты устанавливаются исходя из их возможностей и эксплуатационных характеристик, описанных в документации на данные средства.
Технические средства разграничения доступа должны быть составной частью единой системы контроля доступа:
- на контролируемую территорию;
- в отдельные помещения;
- к элементам ИИВС Росрыболовства и элементам системы ЗИ (физический доступ);
- к ИР ИИВС Росрыболовства (программно-математический доступ);
- к информационным хранилищам (носителям информации, томам, файлам, наборам данных, архивам, справкам, записям и т.д.);
- к активным ресурсам (прикладным программам, задачам, формам запросов и т.п.);
- к операционной системе, системным программам и программам защиты и т.п.
7.3.3. Средства обеспечения и контроля целостности
программных и информационных ресурсов
Контроль целостности программ, обрабатываемой информации и средств защиты с целью обеспечения неизменности программной среды, определяемой предусмотренной технологией обработки, и защиты от несанкционированной корректировки информации должен обеспечиваться:
- средствами подсчета контрольных сумм;
- средствами электронной подписи (ЭП);
- средствами сравнения критичных ресурсов с их эталонными копиями (и восстановления в случае нарушения целостности);
- средствами разграничения доступа (запрет доступа с правами модификации или удаления).
В целях ЗИ и программ от несанкционированного уничтожения или искажения необходимо обеспечить:
- дублирование системных таблиц и данных;
- дуплексирование и зеркальное отображение данных на дисках;
- отслеживание транзакций;
- периодический контроль целостности операционной системы и пользовательских программ, а также файлов пользователей;
- антивирусный контроль;
- резервное копирование данных по заранее установленной схеме;
- хранение резервных копий вне помещения файл-сервера;
- обеспечение непрерывности электропитания для файл-серверов и критичных рабочих станций и кондиционирование электропитания для остальных станций сети.
7.3.4. Средства оперативного контроля и регистрации
событий безопасности
Средства объективного контроля должны обеспечивать обнаружение и регистрацию всех событий (действий пользователей, попыток НСД и т.п.), которые могут повлечь за собой нарушение политики ИБ и привести к возникновению кризисных ситуаций. Средства контроля и регистрации должны предоставлять возможности:
- ведения и анализа журналов регистрации событий ИБ (системных журналов). Журналы регистрации должны вестись для каждой рабочей станции сети;
- оперативного ознакомления администратора ИБ с содержимым системного журнала любой станции и с журналом оперативных сообщений об НСД;
- получения твердой копии (печати) системного журнала ИБ;
- упорядочения системных журналов ИБ по дням и месяцам, а также установления ограничений на срок их хранения;
- оперативного оповещения администратора ИБ о нарушениях.
При регистрации событий в системном журнале ИБ должна фиксироваться следующая информация:
- дата и время события;
- идентификатор субъекта (пользователя, программы), осуществляющего регистрируемое действие;
- действие (если регистрируется запрос на доступ, то отмечается объект и тип доступа).
Средства контроля должны обеспечивать обнаружение и регистрацию следующих событий:
- вход пользователя в систему;
- вход пользователя в сеть;
- неудачная попытка входа в систему или сеть (неправильный ввод пароля);
- подключение к файловому серверу;
- запуск программы;
- завершение программы;
- оставление программы резидентно в памяти;
- попытка открытия файла, недоступного для чтения;
- попытка открытия на запись файла, недоступного для записи;
- попытка удаления файла, недоступного для модификации;
- попытка изменения атрибутов файла, недоступного для модификации;
- попытка запуска программы, недоступной для запуска;
- попытка получения доступа к недоступному каталогу;
- попытка чтения/записи информации с диска, недоступного пользователю;
- попытка запуска программы с диска, недоступного пользователю;
- нарушение целостности программ и данных системы защиты;
- другие сведения ИБ.
Должны поддерживаться следующие основные способы реагирования на обнаруженные факты НСД (возможно с участием администратора ИБ):
- извещение владельца информации о НСД к его данным;
- снятие программы (задания) с дальнейшего выполнения;
- извещение администратора БД и администратора ИБ;
- отключение терминала (рабочей станции), с которого были осуществлены попытки НСД к информации;
- исключение нарушителя из списка зарегистрированных пользователей;
- подача сигнала тревоги и др.
7.3.5. Криптографические средства защиты информации
Одним из важнейших элементов системы обеспечения ИБ ИИВС Росрыболовства должно быть использование криптографических методов и средств ЗИ от НСД при ее передаче по каналам связи.
Все средства криптографической ЗИ в ИИВС Росрыболовства должны строиться на основе базисного криптографического ядра, прошедшего всесторонние исследования специализированными организациями ФАПСИ и ФСТЭК. Используемые средства криптографической защиты секретной информации должны быть сертифицированы, а вся подсистема, в которой они используются, должна быть аттестована или сертифицирована. Компании-интеграторы, исполнители на использование криптографических средств в ИИВС Росрыболовства должны иметь лицензию, выдаваемую организацией, отвечающей за ИБ в РФ, определяемую при заключении государственного контракта.
Ключевая система применяемых в ИИВС Росрыболовства криптографических средств должна обеспечивать криптографическую живучесть и многоуровневую защиту от компрометации ключевой информации, разделение пользователей по уровням обеспечения защиты и зонам их взаимодействия между собой и пользователями других уровней.
Конфиденциальность и имитозащита информации при ее передаче по каналам связи должна обеспечиваться за счет применения в системе шифросредств абонентского и на отдельных направлениях канального шифрования. Сочетание абонентского и канального шифрования информации должно обеспечивать ее сквозную защиту по всему тракту прохождения, защищать информацию в случае ее ошибочной переадресации за счет сбоев и неисправностей аппаратно-программных средств центров коммутации.
В ИИВС Росрыболовства, являющейся системой с распределенными ИР, также должны использоваться средства формирования и проверки электронной подписи, обеспечивающие целостность и юридически доказательное подтверждение подлинности сообщений, а также аутентификацию пользователей, абонентских пунктов и подтверждение времени отправления сообщений. При этом должны использоваться только стандартизованные алгоритмы цифровой подписи, а соответствующие средства, реализующие эти алгоритмы, должны быть сертифицированы организацией, отвечающей за ИБ в РФ.
7.3.6. Защита информационных систем
Информационные системы Росрыболовства <1> являются ключевым элементом информационной инфраструктуры, обеспечивающей выполнение агентством возложенных на него задач. Реализация угроз ИБ в отношении данных информационных систем может вызвать срыв деятельности Росрыболовства со значительными негативными экономическими последствиями.
--------------------------------
<1> Под информационными системами Росрыболовства подразумеваются информационные системы центрального аппарата и подведомственных учреждений агентства.
Информационные системы Росрыболовства представляют собой территориально распределенную совокупность программно-технических комплексов, объединенных с помощью каналов связи, расположенных на всех уровнях взаимодействия:
центральные органы исполнительной власти;
органы государственной власти;
государственные учреждения.
В информационных системах Росрыболовства объектами защиты являются информация, содержащаяся в информационной системе, технические средства (в том числе средства вычислительной техники, машинные носители информации, средства и системы связи и передачи данных, технические средства обработки буквенно-цифровой, графической, видео- и речевой информации), общесистемное, прикладное, специальное программное обеспечение, информационные технологии, а также средства защиты информации.
Защита информации, содержащейся в информационной системе, обеспечивается путем выполнения обладателем информации и оператором требований к организации защиты информации, содержащейся в информационной системе, и требований к мерам защиты информации, содержащейся в информационной системе.
Для обеспечения защиты информации, содержащейся в информационной системе, назначается структурное подразделение или должностное лицо (работник), ответственные за защиту информации.
Защита информации, содержащейся в информационной системе, является составной частью работ по созданию и эксплуатации информационной системы и обеспечивается на всех стадиях (этапах) ее создания и в ходе эксплуатации путем принятия организационных и технических мер защиты информации, направленных на блокирование (нейтрализацию) угроз безопасности информации в информационной системе, в рамках системы (подсистемы) защиты информации информационной системы (далее - система защиты информации информационной системы).
Организационные и технические меры защиты информации, реализуемые в рамках системы защиты информации информационной системы, должны быть направлены на исключение:
неправомерных доступа, копирования, предоставления или распространения информации (обеспечение конфиденциальности информации);
неправомерных уничтожения или модифицирования информации (обеспечение целостности информации);
неправомерного блокирования информации (обеспечение доступности информации).
Для обеспечения защиты информации, содержащейся в информационной системе, необходимо выполнение следующих мероприятий:
формирование требований к защите информации, содержащейся в информационной системе;
разработка системы защиты информации информационной системы;
внедрение системы защиты информации информационной системы;
аттестация информационной системы по требованиям защиты информации (далее - аттестация информационной системы) и ввод ее в действие;
обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы;
обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации.
Формирование требований к защите информации, содержащейся в информационной системе, осуществляется обладателем информации (заказчиком).
Формирование требований к защите информации, содержащейся в информационной системе, осуществляется с учетом ГОСТ Р 51583-2014 "Национальный стандарт Российской Федерации. Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения" (далее - ГОСТ Р 51583) и ГОСТ Р 51624-2000 "Национальный стандарт Российской Федерации. Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования" (далее - ГОСТ Р 51624) и в том числе включает:
принятие решения о необходимости защиты информации, содержащейся в информационной системе;
классификацию информационной системы по требованиям защиты информации (далее - классификация информационной системы);
определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в информационной системе, и разработку на их основе модели угроз безопасности информации;
определение требований к системе защиты информации информационной системы.
При создании системы защиты информации, содержащейся в информационной системе, осуществляется:
анализ целей создания информационной системы и задач, решаемых этой информационной системой;
определение информации, подлежащей обработке в информационной системе;
анализ нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать информационная система;
принятие решения о необходимости создания системы защиты информации информационной системы, а также определение целей и задач защиты информации в информационной системе, основных этапов создания системы защиты информации информационной системы и функций по обеспечению защиты информации, содержащейся в информационной системе, обладателя информации (заказчика), оператора и уполномоченных лиц.
Информационные системы должны быть идентифицированы и классифицированы в соответствии с руководящими, нормативно-методическими документами ФСТЭК, ФСБ России и Минкомсвязи России. Каждый класс характеризуется определенной минимальной совокупностью требований по защите информации.
Классификация информационной системы проводится в зависимости от значимости обрабатываемой в ней информации и масштаба информационной системы.
Требования к системе защиты информации информационной системы включаются в техническое задание на создание информационной системы и (или) техническое задание (частное техническое задание) на создание системы защиты информации информационной системы, разрабатываемые с учетом ГОСТ 34.602-89 "Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы", ГОСТ Р 51583 и ГОСТ Р 51624, и должны в том числе содержать:
цель и задачи обеспечения защиты информации в информационной системе;
класс защищенности информационной системы;
перечень нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать информационная система;
перечень объектов защиты информационной системы;
требования к мерам и средствам защиты информации, применяемым в информационной системе;
требования к защите информации при информационном взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями, в том числе с информационными системами уполномоченного лица, а также при применении вычислительных ресурсов (мощностей), предоставляемых уполномоченным лицом для обработки информации.
Внедрение системы защиты информации информационной системы осуществляется в соответствии с проектной и эксплуатационной документацией на систему защиты информации информационной системы и в том числе включает:
установку и настройку средств защиты информации в информационной системе. Используемые средства защиты являются самостоятельным объектом защиты. Все средства защиты, используемые для защиты от актуальных угроз, должны быть сертифицированы;
разработку документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в информационной системе в ходе ее эксплуатации (далее - организационно-распорядительные документы по защите информации);
внедрение организационных мер защиты информации;
предварительные испытания системы защиты информации информационной системы;
опытную эксплуатацию системы защиты информации информационной системы;
анализ уязвимостей информационной системы и принятие мер защиты информации по их устранению;
приемочные испытания системы защиты информации информационной системы.
При внедрении организационных мер защиты информации осуществляются:
реализация правил разграничения доступа, регламентирующих права доступа субъектов доступа к объектам доступа, и введение ограничений на действия пользователей, а также на изменение условий эксплуатации, состава и конфигурации технических средств и программного обеспечения;
проверка полноты и детальности описания в организационно-распорядительных документах по защите информации действий пользователей и администраторов информационной системы по реализации организационных мер защиты информации;
отработка действий должностных лиц и подразделений, ответственных за реализацию мер защиты информации.
Анализ уязвимостей информационной системы проводится в целях оценки возможности преодоления нарушителем системы защиты информации информационной системы и предотвращения реализации угроз безопасности информации.
Анализ уязвимостей информационной системы включает анализ уязвимостей средств защиты информации, технических средств и программного обеспечения информационной системы.
Аттестация информационной системы организуется обладателем информации (заказчиком) или оператором и включает проведение комплекса организационных и технических мероприятий (аттестационных испытаний), в результате которых подтверждается соответствие системы защиты информации информационной системы установленным требованиям.
Обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы осуществляется оператором в соответствии с эксплуатационной документацией на систему защиты информации и организационно-распорядительными документами по защите информации и в том числе включает:
управление (администрирование) системой защиты информации информационной системы;
выявление инцидентов и реагирование на них;
управление конфигурацией аттестованной информационной системы и ее системы защиты информации;
контроль (мониторинг) за обеспечением уровня защищенности информации, содержащейся в информационной системе.
В ходе управления (администрирования) системой защиты информации информационной системы осуществляются:
заведение и удаление учетных записей пользователей, управление полномочиями пользователей информационной системы и поддержание правил разграничения доступа в информационной системе;
управление средствами защиты информации в информационной системе, в том числе параметрами настройки программного обеспечения, включая программное обеспечение средств защиты информации, управление учетными записями пользователей, восстановление работоспособности средств защиты информации, генерацию, смену и восстановление паролей;
установка обновлений программного обеспечения, включая программное обеспечение средств защиты информации, выпускаемых разработчиками (производителями) средств защиты информации или по их поручению;
централизованное управление системой защиты информации информационной системы (при необходимости);
регистрация и анализ событий в информационной системе, связанных с защитой информации (далее - события безопасности);
информирование пользователей об угрозах безопасности информации, о правилах эксплуатации системы защиты информации информационной системы и отдельных средств защиты информации, а также их обучение;
сопровождение функционирования системы защиты информации информационной системы в ходе ее эксплуатации, включая корректировку эксплуатационной документации на нее и организационно-распорядительных документов по защите информации.
7.4. ЗИ от утечки по техническим каналам
В качестве основных мер ЗИ, циркулирующей в ИИВС Росрыболовства, рекомендуются:
- использование сертифицированных серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации, а также образцов технических средств, прошедших специальные исследования, в соответствии с требованиями предписания на эксплуатацию;
- использование сертифицированных средств ЗИ;
- размещение объекта защиты относительно границы контролируемой зоны с учетом радиуса зоны возможного перехвата информации, полученного для данного объекта по результатам специальных исследований;
- маскирующее зашумление побочных электромагнитных излучений и наводок информативных сигналов;
- конструктивные доработки технических средств и помещений, где они расположены, в целях локализации возможных каналов утечки информации;
- размещение понижающих трансформаторных подстанций электропитания и контуров заземления объектов защиты в пределах контролируемой зоны;
- развязка цепей электропитания объектов защиты с помощью защитных фильтров, блокирующих (подавляющих) информативный сигнал;
- периодическая проверка технических средств на отсутствие паразитной генерации их элементов;
- создание выделенных сетей связи и передачи данных с учетом максимального затруднения доступа к ним посторонних лиц;
- гальваническая или сетевая логическая (VLAN) развязка линий связи и других цепей между каналами связи, выходящими за пределы контролируемой зоны и находящимися внутри нее основными блоками;
- использование защищенных каналов связи;
- проверка импортных технических средств перед введением в эксплуатацию на отсутствие в них электронных устройств перехвата информации;
- аттестация объектов СВТ.
Техническая политика в области использования импортных
технических средств информатизации
Одним из методов технической разведки, промышленного шпионажа является внедрение в конструкцию технических средств информатизации специальных электронных (закладных) устройств для съема, перехвата, ретрансляции информации или вывода технических средств из строя.
В целях противодействия такому методу воздействия для технических средств информатизации, предназначенных для обработки информации, составляющей информацию ограниченного распространения, должны осуществляться специальный порядок приобретения импортных технических средств, проведение специальных проверок этих средств, осуществляемых специализированными организациями в соответствии с требованиями и по методикам ИБ РФ.
Использование технических средств иностранного производства для обработки и хранения конфиденциальной информации или устанавливаемых в выделенных помещениях возможно при выполнении следующих условий:
- проведены специальные исследования (сертификационные испытания) технических средств и выполнен полный комплекс работ по их специальной защите;
- проведена специальная проверка технических средств на отсутствие в их составе возможно внедренных электронных устройств перехвата информации.
Специальная проверка технических средств иностранного производства может не проводиться при условии:
- если суммарное затухание сигналов при их распространении от места установки технического средства до границ контролируемой зоны объекта составляет величину не менее 60 дБ в диапазоне частот 10 МГц - 10 ГГц.
Обеспечение ЗИ от утечки по техническим каналам при ее обработке (обсуждении), хранении и передаче по каналам связи предусматривает:
- предотвращение утечки обрабатываемой техническими средствами информации за счет побочных электромагнитных излучений и наводок, а также электроакустических преобразований, создаваемых функционирующими техническими средствами;
- выявление возможно внедренных в импортные технические средства специальных электронных устройств съема (ретрансляции) или разрушения информации (закладных устройств);
- предотвращение утечки информации в линиях связи;
- исключение перехвата техническими средствами речевой информации при ведении конфиденциальных переговоров.
Предотвращение утечки обрабатываемой информации за счет побочных электромагнитных излучений и наводок, а также за счет электроакустических преобразований реализуется путем применения защищенных технических средств, сертифицированных по требованиям ИБ, внедрением объектовых мер защиты, в том числе установлением контролируемой зоны вокруг объектов ИИВС Росрыболовства, средств активного противодействия (при необходимости) и др. Конкретные требования к мерам объектовой защиты определяются по результатам специальных исследований технических средств с учетом установленной категории защищаемого объекта в зависимости от степени конфиденциальности обрабатываемой информации и условий ее размещения.
Исключение перехвата техническими средствами речевой информации достигается проектными решениями, обеспечивающими необходимую звукоизоляцию помещений, применением технических средств и организационных мер защиты оборудования, расположенного в помещениях.
Основными направлениями снижения уровня и информативности ПЭМИН являются:
1) разработка и выбор оптимальных схем и элементов, основанных на применении устройств с низким уровнем излучения типа:
- жидкокристаллических и газоразрядных экранов отображения;
- оптико-электронных и волоконно-оптических линий передачи данных;
- запоминающих устройств на магнитных доменах, голографических запоминающих устройств и т.п.;
2) экранирование (развязка) отдельных элементов и устройств ИИВС Росрыболовства, реализуемое путем:
- локального экранирования излучающих элементов СВТ и средств связи;
- экранирование кабелей и устройств заземления;
- применение развязывающих фильтров в цепях питания и т.п.;
3) использование специальных программ и кодов, базирующихся:
- на применении мультипрограммных режимов обработки данных, обеспечивающих минимальные интервалы обращения к защищаемой информации;
- на применении параллельных многоразрядных кодов, параллельных кодов с малой избыточностью, а также симметричных кодов;
- на ограничении регулярности вывода и времени отображения информации на устройствах отображения;
4) применение активных мешающих или подавляющих воздействий, основанных на использовании встроенных синхронизированных генераторов:
- генераторов импульсных помех;
- специальных (инверсных) схем заполнения интервалов;
5) использование специальных схем нарушения регулярности вывода информации на устройства отображения.
7.5. Защита речевой информации при проведении
закрытых переговоров
Исходя из возможности перехвата речевой информации при проведении разговоров конфиденциального характера с помощью внедрения специальных электронных (закладных) устройств, транслирующих эту информацию, акустических, виброакустических и лазерных технических средств разведки, информации, наведенной на различные электрические и прочие цепи, выходящие за пределы контролируемой зоны, противодействие этим угрозам безопасности ИР должно осуществляться всеми доступными средствами и методами.
Помещения, в которых предусматривается ведение конфиденциальных переговоров, должны быть проверены на предмет отсутствия в них (в стеновых панелях, фальшполах и фальшпотолках, мебели, технических средствах, размещенных в этих помещениях) закладных устройств, технические средства передачи информации (телефоны, телефаксы, модемы), а также различные электрические и прочие цепи, трубопроводы, системы вентиляции и кондиционирования и т.д. должны быть защищены таким образом, чтобы акустические сигналы не могли быть перехвачены за пределами контролируемой зоны, а в необходимых случаях и за пределами данного выделенного помещения.
В этих целях используются проектные решения, обеспечивающие звукоизоляцию помещений, специальные средства обнаружения закладных устройств, устанавливаются временные или постоянные посты радиоконтроля, на технические средства передачи информации устанавливаются устройства, предотвращающие перехват акустических сигналов с линий связи, на электрические цепи, выходящие за пределы контролируемой зоны, ставятся фильтры, а на трубопроводы - диэлектрические вставки, используются системы активной защиты в акустическом и других диапазонах.
7.6. Управление системой обеспечения
информационной безопасности
Управление системой обеспечения ИБ в ИИВС Росрыболовства представляет собой целенаправленное воздействие на компоненты системы обеспечения безопасности (организационные, технические, программные и криптографические) с целью достижения требуемых показателей и норм защищенности циркулирующей в ИИВС Росрыболовства информации в условиях реализации основных угроз безопасности.
Главной целью организации управления системой обеспечения ИБ является повышение надежности ЗИ в процессе ее обработки, хранения и передачи.
Целями управления системой обеспечения ИБ являются:
- на этапе создания и ввода в действие ИИВС Росрыболовства - разработка и реализация научно-технических программ и координационных планов создания нормативной правовой и технической баз, обеспечивающих использование передовых зарубежных средств и ИТ, производство отечественных технических и программных средств обработки и передачи информации в защищенном исполнении в интересах обеспечения ИБ ИИВС Росрыболовства; организация и координация взаимодействия в этой области разработчиков ИИВС Росрыболовства компаний-интеграторов, концентрация кадровых, финансовых и иных ресурсов заинтересованных сторон при разработке и поэтапном вводе в действие системы; создание действенной организационной структуры, обеспечивающей комплексное решение задач ИБ при функционировании ИИВС Росрыболовства, в том числе службы безопасности ИИВС (или ответственных сотрудников за ИБ), оснащенной необходимыми программно-аппаратными средствами управления и контроля;
- на этапе эксплуатации ИИВС Росрыболовства - обязательное и неукоснительное выполнение предусмотренных на этапе создания ИИВС правил и процедур, направленных на обеспечение ИБ, всеми задействованными в системе участниками, эффективное пресечение посягательств на ИР, технические средства и информационные технологии, своевременное выявление негативных тенденций и совершенствование управления в области ЗИ и ИБ.
Управление системой обеспечения ИБ Росрыболовства реализуется специализированной подсистемой, представляющей собой совокупность органов управления, технических, программных и криптографических средств и организационных мероприятий и взаимодействующих друг с другом пунктов управления различных уровней.
Органом управления является подразделение ИБ (или ответственные сотрудники за ИБ), а пунктами управления - центр управления ИБ (далее - ЦУБ) и автоматизированные рабочие места администраторов (операторов) ИБ, расположенные на объектах ИИВС Росрыболовства.
Функциями подсистемы управления являются: информационная, управляющая и вспомогательная.
Информационная функция заключается в непрерывном контроле состояния системы защиты, проверке соответствия показателей защищенности допустимым значениям и немедленном информировании операторов безопасности о возникающих в ИИВС Росрыболовства ситуациях, способных привести к нарушению ИБ. К контролю состояния системы защиты предъявляются два требования: полнота и достоверность. Полнота характеризует степень охвата всех средств защиты и параметров их функционирования. Достоверность контроля характеризует степень адекватности значений контролируемых параметров их истинному значению. В результате обработки данных контроля формируется информация состояния системы защиты, которая обобщается (агрегируется) и передается на вышестоящие пункты управления.
Управляющая функция заключается в формировании планов реализации технологических операций ИИВС Росрыболовства с учетом требований ИБ в условиях, сложившихся для данного момента времени, а также в определении места возникновения ситуации уязвимости информации и предотвращении ее утечки за счет оперативного блокирования участков ИИВС Росрыболовства, на которых возникают угрозы ИБ. К управляющим функциям подразделения ИБ (или ответственных сотрудников за ИБ) относятся учет, хранение и выдача документов и информационных носителей, паролей и ключей. При этом генерация паролей, ключей, сопровождение средств разграничения доступа, приемка включаемых в программную среду ИИВС новых программных средств, контроль соответствия программной среды эталону, а также контроль за ходом технологического процесса обработки конфиденциальной информации возлагается на системных администраторов ИИВС Росрыболовства и администратора ИБ (или ответственных сотрудников), которые расположены в ЦУБ.
К вспомогательным функциям подсистемы управления относятся учет всех операций, выполняемых в ИИВС с защищаемой информацией, формирование отчетных документов и сбор статистических данных с целью анализа и выявления потенциальных каналов утечки информации.
7.7. Контроль эффективности системы защиты
Контроль эффективности ЗИ осуществляется с целью своевременного выявления и предотвращения утечки информации по техническим каналам, за счет несанкционированного доступа к ней, а также предупреждения возможных специальных воздействий, направленных на уничтожение информации, разрушение средств информатизации.
Контроль может проводиться как подразделением ИБ (или ответственными сотрудниками за ИБ) (оперативный контроль в процессе информационного взаимодействия в ИИВС), так и привлекаемыми для этой цели компетентными организациями, имеющими лицензию на этот вид деятельности, а также государственными организациями, отвечающими за ИБ в РФ.
Оценка эффективности мер ЗИ проводится с использованием технических и программных средств контроля на предмет соответствия установленным требованиям.
Контроль может осуществляться администратором ИБ как с помощью штатных средств системы ЗИ от НСД, так и с помощью специальных программных средств контроля.
8. ПЕРВООЧЕРЕДНЫЕ МЕРОПРИЯТИЯ ПО ОБЕСПЕЧЕНИЮ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ИИВС РОСРЫБОЛОВСТВА
Для реализации основных положений настоящей Концепции целесообразно провести (осуществить) следующие мероприятия:
- создать в центральном аппарате, во всех территориальных управлениях и подведомственных организациях Росрыболовства подразделения технической ЗИ в ИИВС и/или ввести ответственных (из числа сотрудников) за ИБ в структурных подразделениях, территориальных управлениях и подведомственных организациях Росрыболовства, определить их задачи и функции на различных стадиях создания, развития и эксплуатации ИИВС Росрыболовства и системы ЗИ;
- для снижения затрат на создание системы защиты и упрощения категорирования и аттестации подсистем ИИВС Росрыболовства рассмотреть возможность внесения изменений в конфигурацию сетей и СВТ, технологии обработки, передачи и хранения (архивирования) информации (с целью максимального разделения подсистем ИИВС Росрыболовства, в которых обрабатывается информация различных категорий конфиденциальности);
- определить порядок приобретения и использования сертифицированных серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации; образцов технических средств, прошедших специальные исследования, в соответствии с требованиями предписания на эксплуатацию, а также сертифицированных средств ЗИ;
- уточнить (в том числе на основе апробации) конкретные требования к ИИВС, включаемые в ТЗ на разработку проектов ИИВС;
- определить возможность использования в ИИВС Росрыболовства имеющихся сертифицированных средств ЗИ;
- произвести закупку сертифицированных образцов и серийно выпускаемых технических и программных средств ЗИ и их внедрение на рабочих станциях и файловых серверах ИИВС с целью контроля за изменением конфигурации аппаратных и программных средств и действиями пользователей;
- для обеспечения режима удаленного доступа пользователей по сети к информации конфиденциальных БД рассмотреть возможность разработки, сертификации и аттестации специальных криптографических средств. В их состав должны входить: сетевой криптошлюз, защищенные абонентские пункты доступа через криптошлюз, удостоверяющий центр (далее - УЦ) генерации и распространения ключей ЭП. На уровне прикладных программ необходимо разработать средства, обеспечивающие возможность доступа к конфиденциальным данным только с защищенных абонентских пунктов;
- определить степень участия персонала в обработке (передаче, хранении, обсуждении) информации, характер его взаимодействия между собой и с подразделениями (или ответственными сотрудниками по ИБ) по ЗИ;
- произвести разработку и реализацию разрешительной системы доступа пользователей и эксплуатационного персонала ИИВС Росрыболовства или иного объекта информатизации к обрабатываемой информации;
- произвести разработку организационно-распорядительной и рабочей документации по эксплуатации объекта информатизации в защищенном исполнении, а также средств и мер ЗИ в ИИВС, регламентирующих процессы допуска пользователей к работе с ИИВС Росрыболовства, разработки, приобретения и использования программного обеспечения на рабочих станциях и серверах, порядок внесения изменений в конфигурацию аппаратных и программных средств при ремонте, развитии и обслуживании СВТ, порядок применения и администрирования средств ЗИ, на основе Регламентов по ИБ;
- для снижения риска перехвата в сети с других рабочих станций имен и паролей привилегированных пользователей (в особенности администраторов средств защиты и БД) организовать их работу в отдельных сегментах сети (VLan), шире применять сетевые устройства типа switch, не использовать удаленных режимов конфигурирования сетевых устройств (маршрутизаторов, концентраторов и т.п.);
- исключить доступ программистов компаний-интеграторов в эксплуатируемые подсистемы ИИВС Росрыболовства (к реальной информации и БД), организовать опытный участок ИИВС Росрыболовства для разработки и отладки программ. Передачу разработанных программ в эксплуатацию производить через ответственного за ИБ в Административном управлении Росрыболовства;
- для защиты компонентов ИИВС Росрыболовства от неправомерных воздействий из других ИИВС (внешних) и внешних сетей по IP-протоколу целесообразно использовать на узлах корпоративной сети Росрыболовства сертифицированные установленным порядком межсетевые экраны;
- произвести опытную эксплуатацию средств ЗИ в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объектов информатизации и отработки технологических процессов обработки (передачи) информации;
- произвести специальную проверку импортных технических средств на предмет возможно внедренных в эти средства электронных устройств перехвата информации ("закладок");
- произвести специальную проверку выделенных помещений на предмет обнаружения возможно внедренных в эти помещения или предметы интерьера электронных устройств перехвата информации ("закладок");
- произвести обследование объекта информатизации и специальные исследования технических средств;
- произвести конструктивные доработки технических средств и помещений, где они расположены, в целях локализации возможных технических каналов утечки информации (в случае необходимости);
- произвести развязку цепей электропитания объектов защиты с помощью защитных фильтров, блокирующих (подавляющих) информативный сигнал;
- произвести развязку линий связи и других цепей между выходящими за пределы контролируемой зоны и находящимися внутри нее;
- произвести необходимую звуко- и виброизоляцию выделенных помещений;
- произвести категорирование помещений, в которых проводятся обсуждения или ведутся переговоры по секретным вопросам (выделенных помещений);
- произвести категорирование сегментов ИИВС Росрыболовства и служебных помещений, предназначенных для обработки, передачи и хранения конфиденциальной информации;
- произвести классификацию защищенности автоматизированных систем от НСД к информации, предназначенных для обработки конфиденциальной информации;
- произвести оформление технического паспорта объекта информатизации;
- произвести аттестацию объекта информатизации по требованиям ЗИ и ИБ в РФ;
- организовать охрану и физическую защиту объекта информатизации и отдельных технических средств, исключающих НСД к техническим средствам, их хищение и нарушение работоспособности;
- организовать контроль состояния и эффективности ЗИ с оценкой выполнения требований нормативных документов организационно-технического характера, обоснованности принятых мер, проверки выполнения норм эффективности ЗИ по действующим методикам с применением поверенной контрольно-измерительной аппаратуры и сертифицированных программных средств контроля;
- для контроля за состоянием защиты, выявлением слабых мест (уязвимостей) в системе защиты серверов и рабочих станций и принятия своевременных мер по их устранению (перекрытию возможности их использования злоумышленниками) необходимо использовать специальные программы оценки защищенности ЛВС ИИВС Росрыболовства;
- в целях безопасного обмена информацией внутри ИИВС, а также с внешними организациями должен быть развернут, аттестован и аккредитован собственный УЦ Росрыболовства, в соответствии с федеральным законодательством РФ;
- обмен документами в ИИВС должен быть обеспечен ЭП;
- доступ к внешней электронной почте и Интернету по умолчанию для сотрудников Росрыболовства закрыт и может быть предоставлен только по письменному указанию руководителей подразделений. Использование работниками доступа в Интернет и электронной почты должно контролироваться администратором ИБ Росрыболовства на основе утвержденного списка сотрудников, имеющих доступ к внешней почте и Интернету. Ресурсы сети Интернет, не имеющие отношения к производственной необходимости или потенциально опасные, должны быть заблокированы (например, игровые и развлекательные сайты, сообщества социальных сетей, сетевые радиостанции и видеосервисы);
- контроль за наличием информации непроизводственного характера в электронной почтовой системе и сети Интернет осуществляется администратором ИБ Росрыболовства с помощью автоматизированной системы контроля информационных потоков (СКИП).
Приложение 1
ПЕРЕЧЕНЬ
НОРМАТИВНЫХ ДОКУМЕНТОВ, РЕГЛАМЕНТИРУЮЩИХ ДЕЯТЕЛЬНОСТЬ
В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ И ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
В РОССИЙСКОЙ ФЕДЕРАЦИИ И ФЕДЕРАЛЬНОМ АГЕНТСТВЕ
ПО РЫБОЛОВСТВУ РОССИЙСКОЙ ФЕДЕРАЦИИ
Общее законодательство
Конституция Российской Федерации
Гражданский кодекс Российской Федерации
Уголовный кодекс Российской Федерации
Декларация прав и свобод человека и гражданина Российской Федерации. Принята Постановлением ВС РСФСР от 22 ноября 1991 г. N 1920-1
Доктрина информационной безопасности Российской Федерации. Утверждена Президентом Российской Федерации В.В. Путиным 9 сентября 2000 г. N Пр-1895
Стратегия развития информационного общества Российской Федерации. Утверждена Президентом Российской Федерации В.В. Путиным 7 февраля 2008 г. N Пр-212
Кодекс Российской Федерации об административных правонарушениях
Трудовой кодекс Российской Федерации
Приказы Федерального агентства по рыболовству:
- от 12 октября 2009 г. N 896 "Об утверждении Концепции внедрения и использования информационных технологий в деятельности Росрыболовства, его территориальных органов и находящихся в его ведении организаций";
- от 4 мая 2009 г. N 365 "Об организации работы по информатизации деятельности Федерального агентства по рыболовству"
Законодательные акты Российской Федерации:
- Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации";
- Федеральный закон от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи";
- Федеральный закон от 4 мая 2011 г. N 99-ФЗ "О лицензировании отдельных видов деятельности";
- Федеральный закон от 3 апреля 1995 г. N 40-ФЗ "О Федеральной службе безопасности";
- Федеральный закон от 28 декабря 2010 г. N 390-ФЗ "О безопасности";
- Федеральный закон от 7 июля 2003 г. N 126-ФЗ "О связи";
- Закон РФ от 21 июля 1993 г. N 5485-1 "О государственной тайне";
- Закон РФ от 7 февраля 1992 г. N 2300-1 "О защите прав потребителей";
- Федеральный закон от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании"
Указы Президента Российской Федерации:
- "О стратегии национальной безопасности Российской Федерации до 2020 года" от 12 мая 2009 г. N 537;
- "Вопросы Федеральной службы по техническому и экспортному контролю" от 16 августа 2004 г. N 1085;
- "О защите государственных секретов Российской Федерации" от 14 января 1992 г. N 20;
- "Об утверждении Перечня сведений, отнесенных к государственной тайне" от 30 ноября 1995 г. N 1203;
- "О Межведомственной комиссии по защите государственной тайны" от 8 ноября 1995 г. N 1108;
- "О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации" от 3 апреля 1995 г. N 334;
- "О защите информационно-телекоммуникационных систем и баз данных от утечки конфиденциальной информации по техническим каналам" от 8 мая 1993 г. N 644;
- "Об утверждении Перечня сведений конфиденциального характера" от 6 марта 1997 г. N 188;
- "О мерах по упорядочению разработки, производства, реализации, приобретения в целях продажи, ввоза в Российскую Федерацию и вывоза за ее пределы, а также использования специальных технических средств, предназначенных для негласного получения информации" от 9 января 1996 г. N 21;
- "Об основах государственной политики в сфере информатизации" от 20 января 1994 г. N 170;
- "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена" от 17 марта 2008 г. N 351;
- "О совершенствовании информационно-телекоммуникационного обеспечения органов государственной власти и порядке их взаимодействия при реализации государственной политики в сфере информатизации" от 1 июля 1994 г. N 1390 (и разработанная во исполнение Указа "Концепция формирования и развития единого информационного пространства России и соответствующих государственных информационных ресурсов");
- "О Федеральном агентстве по рыболовству" от 30 мая 2008 г. N 863
Распоряжения Президента Российской Федерации:
- "Концепция формирования и развития единого информационного пространства России и соответствующих государственных информационных ресурсов", одобрена решением Президента Российской Федерации от 23 ноября 1995 г. N Пр-1694
Постановления Правительства Российской Федерации:
- "Об утверждении требований по обеспечению целостности, устойчивости функционирования и безопасности информационных систем общего пользования" от 25 августа 2009 г. N 104;
- "О порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти" от 3 ноября 1994 г. N 1233;
- "О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны" от 15 апреля 1995 г. N 333;
- "Положение о лицензировании деятельности по разработке, производству, реализации и приобретению в целях продажи специальных технических средств, предназначенных для негласного получения информации" от 12 апреля 2012 г. N 287;
- "Об утверждении Правил отнесения сведений, составляющих государственную тайну, к различным степеням секретности" от 4 сентября 1995 г. N 870;
- "Об утверждении Положения о подготовке к передаче сведений, составляющих государственную тайну, другим государствам или международным организациям" от 2 августа 1997 г. N 973;
- "О перечне сведений, которые не могут составлять коммерческую тайну" от 5 декабря 1991 г. N 35;
- "О Федеральном агентстве по рыболовству" от 11 июня 2008 г. N 444;
- "Концепция формирования в Российской Федерации электронного Правительства до 2010 года" от 6 мая 2008 г. N 632-р;
- "Концепция долгосрочного социально-экономического развития Российской Федерации на период до 2020 года" от 17 ноября 2008 г. N 1662-р;
- "Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии законодательством Российской Федерации иной информации ограниченного распространения, и продукции (работ, услуг), сведения о которой составляют государственную тайну, предназначенной для эксплуатации в загранучреждениях Российской Федерации, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, об особенностях аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению соответствия указанной продукции (работ, услуг), и о внесении изменения в Положение о сертификации средств защиты информации" от 21 апреля 2010 г. N 266;
- "О сертификации средств защиты информации" от 26 июня 1995 г. N 608;
- "Концепция развития рыбного хозяйства Российской Федерации на период до 2020 года" от 2 сентября 2003 г. N 1265-р;
- "О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций" от 16 марта 2009 г. N 228;
- "Разработка и утверждение административных регламентов исполнения государственных функций и административных регламентов предоставления государственных услуг" от 16 мая 2011 г. N 373
Решения Гостехкомиссии России:
- "Основы концепции защиты информации в Российской Федерации от иностранной технической разведки и от ее утечки по техническим каналам" от 16 ноября 1993 г. N 6;
- "О типовых требованиях к содержанию и порядку разработки руководства по защите информации от технических разведок и от ее утечки по техническим каналам на объекте" от 3 октября 1995 г. N 42;
- "Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации", утвержден Приказом Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.;
- "Положение о сертификации средств защиты информации по требованиям безопасности информации", утверждено Приказом Государственной технической комиссии при Президенте Российской Федерации от 27 октября 1995 г. N 199
Совместные решения Гостехкомиссии России и ФАПСИ:
- "Положение о государственном лицензировании деятельности в области защиты информации" от 24 апреля 1994 г. N 10;
- "Система сертификации средств криптографической защиты информации" (N РОСС RU.0001.03001);
- "Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну" от 13 июня 2001 г. N 152
Руководящие документы Гостехкомиссии России:
- "Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации" (решение Председателя Гостехкомиссии России от 30 марта 1992 года);
- "Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники" (решение Председателя Гостехкомиссии России от 30 марта 1992 г.);
- "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" (решение Председателя Гостехкомиссии России от 30 марта 1992 г.);
- "Автоматизированные системы. Защита от несанкционированного доступа к информации. Термины и определения" (решение Председателя Гостехкомиссии России от 30 марта 1992 г.);
- "Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" (решение Председателя Гостехкомиссии России от 25 июля 1997 г.);
- "Перечень средств защиты информации, подлежащих сертификации в системе сертификации Гостехкомиссии России" (N РОСС RU.0001.01БИ00);
- "Положение об аккредитации испытательных лабораторий и органов по сертификации средств защиты информации по требованиям безопасности информации", утверждено Председателем Государственной технической комиссии при Президенте Российской Федерации 25 ноября 1994 г.;
- "Положение по аттестации объектов информатизации по требованиям безопасности информации", утверждено Председателем Государственной технической комиссии при Президенте Российской Федерации 25 ноября 1994 г.;
- "Руководящий документ. Безопасность информационных технологий. Положение по разработке профилей защиты и заданий по безопасности", утвержден Председателем Государственной технической комиссии при Президенте Российской Федерации в 2003 г.;
- "Безопасность информационных технологий. Руководство по формированию семейств профилей защиты", утверждено Председателем Государственной технической комиссии при Президенте Российской Федерации в 2003 г.;
- "Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации" (решение Гостехкомиссии России от 30 марта 1992 года);
- "Специальные требования и рекомендации по ЗИ, составляющей государственную тайну, от утечки по техническим каналам" (решение Гостехкомиссии России от 23 мая 1997 г. N 55)
Документы Роскомнадзора:
- "Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных", Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 19 августа 2011 г. N 706
Документы ФСБ России:
- "Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)", приложение к Приказу ФСБ России от 9 февраля 2005 г. N 66;
- "Требования о защите информации, содержащейся в информационных системах общего пользования", Приказ от 31 августа 2010 г. N 416/489
Документы ФСТЭК России:
- "Перечень технической документации, национальных стандартов и методических документов, необходимых для выполнения работ и оказания услуг, установленных Положением "О лицензировании деятельности по технической защите конфиденциальной информации", утвержденным Постановлением Правительства Российской Федерации от 3 февраля 2012 г. N 79", утвержден директором ФСТЭК России 16 марта 2012 г.;
- "Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры" (утв. ФСТЭК России 18.05.2007);
- "Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры" (утв. ФСТЭК России 18.05.2007);
- "Общие требования по обеспечению безопасности информации в ключевых системах информационной инфраструктуры" (утв. ФСТЭК России 18.05.2007);
- "Рекомендации по обеспечению безопасности информации в ключевых системах информационной инфраструктуры" (утв. ФСТЭК России 19.11.2007)
Документы по созданию автоматизированных систем и систем защиты информации, регламентированию:
Отечественные:
- ГОСТ Р ИСО/МЭК 17799-2005 "Информационные технологии. Практические правила управления информационной безопасностью";
- "Терминология в области защиты информации. Справочник" (ВНИИстандарт, 1993 г.);
- ГОСТ 34.602-89 "Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированных систем";
- РД 50-34.698-90 "Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Требования к содержанию документов";
- ГОСТ 6.30-2003 "Унифицированная система организационно-распорядительной документации";
- ГОСТ 6.10.4-84 "Унифицированные системы документации. Придание юридической силы документам на машинном носителе и машинограмме, создаваемым средствами вычислительной техники";
- ГОСТ 34.201-89 "Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем";
- ГОСТ 28195-89 "Оценка качества программных средств. Общие положения";
- ГОСТ Р ИСО/МЭК 9126-93 "Информационная технология. Оценка программной продукции. Характеристики качества и руководства по их применению";
- ГОСТ 2.111-68. ЕСКД "Нормоконтроль"
Международные:
- ISO 15408 "Общие критерии оценки безопасности информационных технологий";
- ISO/IEC 17799:2005 "Международный стандарт информационной безопасности";
- ISO/IEC 27000:2009 "Information technology. Security techniques. Information security management systems. Overview and vocabulary" - Определения и основные принципы. Выпущен в июле 2009 г.;
- ISO/IEC 27001:2005/BS 7799-2:2005 "Information technology. Security techniques. Information security management systems. Requirements" - Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования. Выпущен в октябре 2005 г.;
- ISO/IEC 27002:2005, BS 7799-1:2005, BS ISO/IEC 17799:2005 "Information technology. Security techniques. Code of practice for information security management" - Информационные технологии. Методы обеспечения безопасности. Практические правила управления информационной безопасностью. Выпущен в июне 2005 г.;
- ISO/IEC 27003:2010 "Information Technology. Security Techniques. Information Security Management Systems Implementation Guidance" - Руководство по внедрению системы управления информационной безопасностью. Выпущен в январе 2010 г.;
- ISO/IEC 27004:2009 "Information technology. Security techniques. Information security management. Measurement" - Измерение эффективности системы управления информационной безопасностью. Выпущен в январе 2010 г.
- ISO/IEC 27005:2008 "Information technology. Security techniques. Information security risk management" - Информационные технологии. Методы обеспечения безопасности. Управление рисками информационной безопасности. Выпущен в июне 2008 г.;
- ISO/IEC 27006:2007 "Information technology. Security techniques. Requirements for bodies providing audit and certification of information security management systems" - Информационные технологии. Методы обеспечения безопасности. Требования к органам аудита и сертификации систем управления информационной безопасностью. Выпущен в марте 2007 г.;
- ISO/IEC 27007. Information technology. Security techniques. Guidelines for Information Security Management Systems auditing (FCD) - Руководство для аудитора СУИБ. 2011 год
Стандарты по защите от НСД к информации:
- ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения";
- ГОСТ Р 50739-95 "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования";
- ГОСТ 16325-88 "Машины вычислительные электронные цифровые общего назначения. Общие технические требования"
Стандарты по криптографической защите и ЭП:
- ГОСТ 28147-89 "Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования";
- ГОСТ Р 34.11-94 "Информационная технология. Криптографическая защита информации. Функция хэширования";
- ГОСТ Р 34.10-2001 "Информационная технология, криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи"
Стандарты, применяемые при оценке качества объектов информатизации:
- ГОСТ 28906-91 "Системы обработки информации. Взаимосвязь открытых систем. Базовая эталонная модель";
- ГОСТ 16504-81 "Система государственных испытаний продукции. Основные термины и определения";
- ГОСТ 28195-89 "Оценка качества программных средств. Общие положения"
Стандарты ЕСКД, СРПП:
- ГОСТ 19.001-77 "Единая система программной документации. Общие положения";
- ГОСТ 34.603-92 "Информационная технология. Виды испытаний автоматизированных систем";
- ГОСТ 27201-87 "Машины вычислительные электронные персональные. Типы, основные параметры. Общие технические требования";
- ГОСТ 21964-76 "Внешние воздействующие факторы. Номенклатура и характеристики";
- ГОСТ Р 34.951-92 "Информационная технология. Взаимосвязь открытых систем. Услуги сетевого уровня"
Стандарты в области терминов и определений:
- ГОСТ 15971-90 "Системы обработки информации. Термины и определения";
- ГОСТ 29099-91 "Сети вычислительные локальные. Термины и определения";
- ГОСТ 28806-90 "Качество программных средств. Термины и определения";
- ГОСТ Р 52292-2004 "Информационная технология. Электронный обмен информацией. Термины и определения"
Методические рекомендации:
- "Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации", утверждены руководством 8 Центра ФСБ России от 21 февраля 2008 г. N 149/54-144;
- "Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных", утверждены руководством 8 Центра ФСБ России от 21 февраля 2008 г. N 149/6/6-622;
- "Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных", утверждена Заместителем директора ФСТЭК России 14 февраля 2008 г.
Приложение 2
СПИСОК
ИСПОЛЬЗОВАННЫХ СОКРАЩЕНИЙ
АРМ - Автоматизированное рабочее место
АС - Автоматизированная система
БД - База данных
ВП - Выделенное помещение
ВТСС - Вспомогательные технические средства и системы
ГОСТ - Государственный стандарт
ЕСКД - Единая система конструкторской документации
ЕСПД - Единая система программной документации
ЗП - Защищаемые помещения
ЗИ - Защита информации
ИБ - Информационная безопасность
ИР - Информационные ресурсы
ИТ - Информационные технологии
ЛВС - Локальная вычислительная сеть
ИИВС - Интегрированная информационно-вычислительная система
НГМД - Накопитель на гибком магнитном диске
НД - Нормативный документ
НЖМД - Накопитель на жестком магнитном диске
НСД - Несанкционированный доступ
ОС - Операционная система
ОТЗИ - Отдел технической ЗИ
ОТСС - Основные технические средства и системы
ПО - Программное обеспечение
ПС - Программные средства
ПЭВМ - Персональная ЭВМ
ПЭМИН - Побочные электромагнитные излучения и наводки
РД - Руководящий документ
РС - Рабочая станция сети
СЗИ НСД - Система защиты от НСД к информации
СВТ - Средство вычислительной техники
СКЗИ - Средство криптографической ЗИ
СПД - Система передачи данных
СЦ - Ситуационный центр
СУБД - Система управления базами данных
ТЗ - Техническое задание
ТС - Технические средства
ТУ - Территориальное управление
УЦ - Удостоверяющий центр
ФАП - Фонд алгоритмов и программ
ФАПСИ - Федеральное агентство правительственной связи и информации
ФСТЭК - Федеральная служба по техническому и экспортному контролю
ЦА - Центральный аппарат
ЦОД - Центр обработки данных
ЭВМ - Электронно-вычислительная машина
ЭП - Электронная подпись
ЭМС - Электромагнитная совместимость
Приложение 3
ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
- Объект защиты - по ГОСТ Р 50992-96;
- Организационный контроль эффективности защиты информации - по ГОСТ Р 50992-96;
- Приемо-сдаточные испытания - по ГОСТ 16504-81;
- Программа испытаний - по ГОСТ 16504-81;
- Средство защиты информации - по ГОСТ Р 50992-96;
- Цель защиты информации - по ГОСТ Р 50992-96.
Кроме того, применены или нуждаются в описании следующие термины:
АДМИНИСТРАТОР БЕЗОПАСНОСТИ - лицо или группа лиц, ответственных за обеспечение безопасности системы, за реализацию и непрерывность соблюдения установленных административных мер защиты и осуществляющих постоянную организационную поддержку функционирования применяемых физических и технических средств защиты.
АДМИНИСТРАТОР ЗАЩИТЫ (БЕЗОПАСНОСТИ) ИНФОРМАЦИИ - лицо, ответственное за защиту автоматизированной системы от несанкционированного доступа к информации.
АВТОМАТИЗИРОВАННАЯ СИСТЕМА ОБРАБОТКИ ИНФОРМАЦИИ (АС) - организационно-техническая система, представляющая собой совокупность следующих взаимосвязанных компонентов: технических средств обработки и передачи данных (средств вычислительной техники и связи), методов и алгоритмов обработки в виде соответствующего программного обеспечения, массивов (наборов, баз) данных на различных носителях, персонала и пользователей, объединенных по организационно-структурному, тематическому, технологическому или другим признакам для выполнения автоматизированной обработки данных с целью удовлетворения информационных потребностей государственных органов, общественных или коммерческих организаций (юридических лиц), отдельных граждан (физических лиц) и иных потребителей информации.
АТАКА НА АВТОМАТИЗИРОВАННУЮ СИСТЕМУ - любое действие, выполняемое нарушителем, которое приводит к реализации угрозы, путем использования уязвимостей АС.
АВТОРИЗОВАННЫЙ СУБЪЕКТ ДОСТУПА - субъект, которому предоставлены соответствующие права доступа к объектам системы (полномочия).
АНАЛИЗ РИСКОВ - систематическое использование информации для определения источников и величины рисков.
АВТОРИЗАЦИЯ - разграничение доступа в соответствии с совокупностью правил, регламентирующих права доступа субъектов доступа к объектам доступа.
АУТЕНТИФИКАЦИЯ - проверка принадлежности субъекту доступа предъявляемого им идентификатора, подтверждение подлинности.
БЕЗОПАСНОСТЬ - состояние защищенности жизненно важных интересов личности, предприятия, общества и государства от внутренних и внешних угроз. Безопасность достигается проведением единой политики в области охраны и защиты важных ресурсов, системой мер экономического, политического, организационного и иного характера, адекватных угрозам жизненно важным интересам личности, общества и государства.
БЕЗОПАСНОСТЬ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ - достижение требуемого уровня защиты (класса и категории защищенности) объекта информатизации при обработке информации и ее передаче через сети передачи данных (СПД), обеспечивающего сохранение таких ее качественных характеристик (свойств), как секретность (конфиденциальность), целостность и доступность.
БЕЗОПАСНОСТЬ СУБЪЕКТОВ ИНФОРМАЦИОННЫХ ОТНОШЕНИЙ - защищенность субъектов информационных отношений от нанесения им материального, морального или иного ущерба путем воздействия на информацию и/или средства ее обработки и передачи.
БЕЗОПАСНОСТЬ АС (компьютерной системы) - защищенность АС от несанкционированного вмешательства в нормальный процесс ее функционирования, а также от попыток хищения, незаконной модификации или разрушения ее компонентов.
БЕЗОПАСНОСТЬ ЛЮБОГО КОМПОНЕНТА (РЕСУРСА) АС - складывается из обеспечения трех его характеристик: конфиденциальности, целостности и доступности.
Конфиденциальность компонента системы заключается в том, что он доступен только тем субъектам доступа (пользователям, программам, процессам), которым предоставлены на то соответствующие полномочия.
Целостность компонента предполагает, что он может быть модифицирован только субъектом, имеющим для этого соответствующие права. Целостность является гарантией корректности (неизменности, работоспособности) компонента в любой момент времени.
Доступность компонента означает, что имеющий соответствующие полномочия субъект может в любое время без особых проблем получить доступ к необходимому компоненту системы (ресурсу).
БЕЗОПАСНОСТЬ ИНФОРМАЦИОННОЙ ТЕХНОЛОГИИ - защищенность технологического процесса переработки информации.
БЕЗОПАСНОСТЬ ИНФОРМАЦИИ - защищенность информации от нежелательного (для соответствующих субъектов информационных отношений) ее разглашения (нарушения конфиденциальности), искажения (нарушения целостности), утраты или снижения степени доступности информации, а также незаконного ее тиражирования.
ВНЕШНИЙ ВОЗДЕЙСТВУЮЩИЙ ФАКТОР - воздействующий фактор, внешний по отношению к объекту информатизации.
ВНУТРЕННИЙ ВОЗДЕЙСТВУЮЩИЙ ФАКТОР - воздействующий фактор, внутренний по отношению к объекту информатизации.
ВРЕДОНОСНЫЕ ПРОГРАММЫ - программы или измененные программы объекта информатизации (ОИ), приводящие к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ОИ.
ВСПОМОГАТЕЛЬНЫЕ ТЕХНИЧЕСКИЕ СРЕДСТВА И СИСТЕМЫ (ВТСС) защищаемого объекта информатизации - технические средства и системы, не предназначенные для передачи, обработки и хранения секретной информации, устанавливаемые совместно с ОТСС или в выделенных помещениях.
К ним относятся:
- различного рода телефонные средства и системы;
- средства вычислительной техники;
- средства и системы передачи данных в системе радиосвязи;
- средства и системы охранной и пожарной сигнализации;
- средства и системы оповещения и сигнализации;
- контрольно-измерительная аппаратура;
- средства и системы кондиционирования;
- средства и системы проводной радиотрансляционной сети и приема программ радиовещания и телевидения (абонентские громкоговорители, системы радиовещания; телевизоры и радиоприемники и т.д.);
- средства электронной оргтехники;
- средства и системы электрочасофикации.
ВЫДЕЛЕННЫЕ ПОМЕЩЕНИЯ (ВП ИЛИ ЗП - ЗАЩИЩАЕМЫЕ ПОМЕЩЕНИЯ) - помещения (служебные кабинеты, актовые залы, конференц-залы и т.д.), специально предназначенные для проведения закрытых мероприятий (совещаний, обсуждений, конференций, переговоров и т.п.), в которых циркулирует конфиденциальная речевая информация (по секретным вопросам), а также помещения, оборудованные средствами правительственной связи, иных видов специальной связи.
ДОСТУП К РЕСУРСУ - получение субъектом доступа возможности манипулировать (использовать, управлять, изменять характеристики и т.п.) данным ресурсом.
ДОСТУП К ИНФОРМАЦИИ - ознакомление с информацией (копирование, тиражирование), ее модификация (корректировка) или уничтожение (удаление). Доступ к информации регламентируется ее правовым режимом и должен сопровождаться строгим соблюдением его требований. Доступ к информации, осуществленный с нарушениями требований ее правового режима, рассматривается как несанкционированный доступ. Доступ к информации - это также возможность получения информации и ее использования.
ДОСТУПНОСТЬ ИНФОРМАЦИИ - свойство системы, в которой циркулирует информация (средств и технологии ее обработки), характеризующееся способностью обеспечивать своевременный беспрепятственный доступ к информации субъектов, имеющих на это надлежащие полномочия.
ЕСТЕСТВЕННЫЕ УГРОЗЫ - это угрозы, вызванные воздействиями на АС и ее элементы объективных физических процессов или стихийных природных явлений, не зависящих от человека.
ЗАМЫСЕЛ ЗАЩИТЫ - основная идея, раскрывающая состав, содержание, взаимосвязь и последовательность мероприятий, необходимых для достижения цели защиты информации и объекта.
ЗАЩИТА ИНФОРМАЦИИ (ЗИ) - деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на информацию (ГОСТ Р 50922-2006); ЗИ - это также организационные, правовые, технические и технологические меры по предотвращению угроз информационной безопасности и устранению их последствий (Концепция ИБ РФ).
ЗИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА (НСД) - деятельность по предотвращению получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации (ГОСТ Р 50922-2006).
ЗАЩИЩАЕМАЯ ИНФОРМАЦИЯ - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации (ГОСТ Р 50922-2006).
ЗАЩИЩАЕМЫЕ ОБЪЕКТЫ ИНФОРМАТИЗАЦИИ:
- средства и системы информатизации (средства вычислительной техники, автоматизированные системы различного уровня и назначения на базе средств вычислительной техники, в том числе информационно-вычислительные комплексы, сети и системы связи и передачи данных), технические средства приема, передачи и обработки информации (телефонии, звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео-, смысловой и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), используемые для обработки секретной информации;
- технические средства и системы, не обрабатывающие непосредственно секретную информацию, но размещенные в помещениях, где обрабатывается (циркулирует) секретная информация;
- выделенные помещения, предназначенные для ведения секретных переговоров или в которых размещены средства закрытой телефонной связи.
ЗЛОУМЫШЛЕННИК - нарушитель, действующий умышленно из корыстных побуждений.
ЖИЗНЕННО ВАЖНЫЕ ИНТЕРЕСЫ - совокупность потребностей, удовлетворение которых необходимо для надежного обеспечения существования и возможности прогрессивного развития субъекта (личности, организации, общества или государства).
ФИЗИЧЕСКИЙ КАНАЛ УТЕЧКИ ИНФОРМАЦИИ - неконтролируемый физический путь от источника информации за пределы организации или круга лиц, обладающих охраняемыми сведениями, посредством которого возможно неправомерное (несанкционированное) овладение нарушителем защищаемой информацией.
ИИВС (Интегрированная информационно-вычислительная система) - рассматривается как комплекс взаимоувязанных и взаимодействующих информационных подсистем, работающих как в сфере прямого управления Росрыболовства, так и в сфере подведомственных ему организаций.
ИНФОРМАЦИЯ В АС - сведения о фактах, событиях, процессах и явлениях в некоторой предметной области, включенные в систему обработки информации или являющиеся ее результатом в различных формах представления на различных носителях и используемые (необходимые) для оптимизации принимаемых решений в процессе управления объектами данной предметной области.
ИСКУССТВЕННЫЕ УГРОЗЫ - это угрозы АС, вызванные деятельностью человека. Среди них, исходя из мотивации действий, можно выделить:
- непреднамеренные (неумышленные, случайные) угрозы, вызванные ошибками в проектировании АС и ее элементов, ошибками в программном обеспечении, ошибками в действиях персонала и т.п.;
- преднамеренные (умышленные) угрозы, связанные с корыстными устремлениями людей (злоумышленников).
ИНФОРМАЦИОННЫЕ СПОСОБЫ НАРУШЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ - включают:
- противозаконный сбор, распространение и использование информации;
- манипулирование информацией (дезинформация, сокрытие или искажение информации);
- незаконное копирование информации (данных и программ);
- незаконное уничтожение информации;
- хищение информации из баз и банков данных;
- нарушение адресности и оперативности информационного обмена;
- нарушение технологии обработки данных и информационного обмена.
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ - состояние защищенности информационной среды общества, обеспечивающее ее формирование и развитие в интересах граждан, организаций и государства. Также см. "БЕЗОПАСНОСТЬ ИНФОРМАЦИИ".
ИНФОРМАЦИЯ - сведения о лицах, предметах, событиях, явлениях и процессах, независимо от формы их представления.
Информация может являться объектом публичных, гражданских и иных правовых отношений. Информация может свободно использоваться любым лицом и передаваться одним лицом другому лицу, если федеральными законами не установлены ограничения доступа к информации либо иные требования к порядку ее предоставления или распространения.
Информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного распространения).
Служебная информация ограниченного распространения без санкции должностного лица, принявшего решение об отнесении ее к разряду ограниченного распространения, не подлежит разглашению (распространению).
Информация в зависимости от порядка ее предоставления или распространения подразделяется на:
1) информацию, свободно распространяемую;
2) информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;
3) информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению;
4) информацию, распространение которой в Российской Федерации ограничивается или запрещается.
Законодательством Российской Федерации могут быть установлены виды информации в зависимости от ее содержания или обладателя.
ИНФОРМАЦИОННЫЕ РЕСУРСЫ - данные и документированная информация о жизнедеятельности общества, организованная в базы и банки данных, а также другие формы организации информации.
ИНФОРМАЦИОННАЯ СРЕДА - совокупность информационных ресурсов общества, системы формирования, распространения и использования информации, информационной инфраструктуры.
ИНФОРМАТИВНЫЙ СИГНАЛ - электрические сигналы, акустические, электромагнитные и другие физические поля, по параметрам которых может быть раскрыта секретная информация, передаваемая, хранимая или обрабатываемая в ОТСС и обсуждаемая в ВП.
ИНФОРМАЦИОННАЯ ИНФРАСТРУКТУРА - совокупность центров обработки и анализа информации, каналов информационного обмена и телекоммуникации, линий связи, систем и средств защиты информации.
ИНФОРМАЦИЯ С ОГРАНИЧЕННЫМ ДОСТУПОМ (информация ограниченного распространения) - информация, для которой установлен специальный режим сбора, хранения, обработки, распространения и использования.
КОМПЬЮТЕРНАЯ ИНФОРМАЦИЯ - информация в виде:
- записей в памяти ЭВМ, электронных устройствах, на машинных носителях (элементы, файлы, блоки, базы данных, микропрограммы, прикладные и системные программы, пакеты и библиотеки программ, микросхемы, программно-информационные комплексы и др.), обеспечивающих функционирование объекта информатизации (сети);
- сообщений, передаваемых по сетям передачи данных;
- программно-информационного продукта, являющегося результатом генерации новой или обработки исходной документированной информации, представляемого непосредственно на экранах дисплеев ОИ, на внешних носителях данных (магнитные диски, магнитные ленты, оптические диски, дискеты, бумага для распечатки и т.п.) или через сети передачи данных;
- электронных записей о субъектах прав.
КОНФИДЕНЦИАЛЬНОСТЬ ИНФОРМАЦИИ - субъективно определяемая (приписываемая) информации характеристика (свойство), указывающая на необходимость введения ограничений на круг субъектов, имеющих доступ к данной информации, и обеспечиваемая способностью системы (среды) сохранять указанную информацию в тайне от субъектов, не имеющих полномочий на право доступа к ней; обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.
КОНТРОЛИРУЕМАЯ ЗОНА (КЗ) - это пространство, в котором исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового допуска, и посторонних транспортных средств.
Границей КЗ могут являться:
- периметр охраняемой территории предприятия (учреждения);
- ограждающие конструкции охраняемого здания, охраняемой части здания, выделенного помещения.
В отдельных случаях на период обработки техническими средствами секретной информации (проведения закрытого мероприятия) КЗ временно может устанавливаться большей, чем охраняемая территория предприятия. При этом должны приниматься организационно-режимные и технические меры, исключающие или существенно затрудняющие возможность ведения перехвата информации в этой зоне.
ЗОНА 2 - пространство вокруг ОТСС, на границе и за пределами которого напряженность электромагнитного поля информативного сигнала не превышает нормированного значения.
ЗОНА 1 - пространство вокруг ОТСС, на границе и за пределами которого уровень наведенного от ОТСС информативного сигнала в ВТСС, а также в посторонних проводах и линиях передачи информации, имеющих выход за пределы контролируемой зоны, не превышает нормированного значения.
ЛИЦЕНЗИЯ В ОБЛАСТИ ЗИ - разрешение на право проведения тех или иных работ в области ЗИ.
МОРАЛЬНО-ЭТИЧЕСКИЕ МЕРЫ ЗИ - традиционно сложившиеся в стране или обществе нормы поведения и правила обращения с информацией. Эти нормы большей частью не являются обязательными, как законодательно утвержденные нормы, однако их несоблюдение ведет обычно к падению авторитета, престижа человека, группы лиц или организации. Морально-этические нормы бывают как неписаные (например, общепризнанные нормы честности, патриотизма и т.п.), так и писаные, то есть оформленные в некоторый свод (устав) правил или предписаний.
НЕСАНКЦИОНИРОВАННЫЙ ДОСТУП (НСД) - доступ субъекта к объекту в нарушение установленных в системе правил разграничения доступа.
НЕСАНКЦИОНИРОВАННОЕ ДЕЙСТВИЕ - действие субъекта в нарушение установленных в системе правил обработки информации.
НАРУШИТЕЛЬ - это лицо (субъект), которое предприняло (пыталось предпринять) попытку несанкционированного доступа к ресурсам системы (попытку выполнения запрещенных ему действий с данным ресурсом) по ошибке, незнанию или осознанно со злым умыслом (из корыстных интересов) или без такового (ради игры или с целью самоутверждения и т.п.) и использовавшее для этого различные возможности, методы и средства (чисто агентурные методы получения сведений, технические средства перехвата без модификации компонентов системы, штатные средства и недостатки систем защиты, подключение к каналам передачи данных, внедрение программных закладок и использование специальных инструментальных и технологических программ и т.п.).
ОРГАНИЗАЦИОННО-ПРАВОВЫЕ СПОСОБЫ НАРУШЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ - включают:
- закупку несовершенных, устаревших или неперспективных средств информатизации и информационных технологий;
- невыполнение требований законодательства и задержки в разработке и принятии необходимых нормативных правовых и технических документов в области безопасности информации.
ОБРАБОТКА ИНФОРМАЦИИ В АС - совокупность операций (сбор, накопление, хранение, преобразование, отображение, выдача и т.п.), осуществляемых над информацией (сведениями, данными) с использованием средств АС.
ОБЪЕКТ - пассивный компонент системы, единица ресурса автоматизированной системы (устройство, диск, каталог, файл и т.п.), доступ к которому регламентируется правилами разграничения доступа.
ОРГАНИЗАЦИОННЫЕ (АДМИНИСТРАТИВНЫЕ) МЕРЫ ЗАЩИТЫ - это меры, регламентирующие процессы функционирования системы обработки данных, использование ее ресурсов, деятельность персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности циркулирующей в ней информации.
ОСНОВНЫЕ ТЕХНИЧЕСКИЕ СРЕДСТВА И СИСТЕМЫ (ОТСС) защищаемого объекта информатизации - технические средства и системы, а также их коммуникации, используемые для обработки, хранения и передачи секретной информации. К ним могут относиться средства и системы информатизации (средства вычислительной техники, автоматизированные системы различного уровня и назначения на базе средств вычислительной техники, в том числе информационно-вычислительные комплексы, сети и системы, средства и системы связи и передачи данных), технические средства приема, передачи и обработки информации (телефонии, звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео-, смысловой и буквенно-цифровой информации), используемые для обработки секретной информации.
ОБЛАДАТЕЛЬ ИНФОРМАЦИИ - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам.
ПАРОЛЬ - служебное слово, которое считается известным узкому кругу лиц (одному лицу) и используется для ограничения доступа к информации, в помещение, на территорию.
ПРАВИЛА РАЗГРАНИЧЕНИЯ ДОСТУПА - совокупность правил, регламентирующих права доступа субъектов к объектам в некоторой системе.
ПОКАЗАТЕЛЬ ЭФФЕКТИВНОСТИ ЗИ - мера или характеристика для оценки эффективности защиты информации.
ПРАВОВЫЕ МЕРЫ ЗИ - действующие в стране законы, указы и другие нормативные акты, регламентирующие правила обращения с информацией и ответственность за их нарушения, препятствующие тем самым неправомерному ее использованию и являющиеся сдерживающим фактором для потенциальных нарушителей.
ПРОГРАММНО-МАТЕМАТИЧЕСКИЕ СПОСОБЫ НАРУШЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ - включают:
- внедрение программ-вирусов;
- внедрение программных закладок как на стадии проектирования системы (в том числе путем заимствования "зараженного" закладками программного продукта), так и на стадии ее эксплуатации, позволяющих осуществить несанкционированный доступ или действия по отношению к информации и системам ее защиты (блокирование, обход и модификация систем защиты, извлечение, подмена идентификаторов и т.д.) и приводящих к компрометации системы ЗИ.
ПРЕДОСТАВЛЕНИЕ ИНФОРМАЦИИ - действия, направленные на получение информации определенным кругом лиц или передачу информации определенному кругу лиц.
РАЗГРАНИЧЕНИЕ ДОСТУПА К РЕСУРСАМ АС - это такой порядок использования ресурсов системы, при котором субъекты получают доступ к объектам в строгом соответствии с установленными правилами.
РАДИОЭЛЕКТРОННЫЕ СПОСОБЫ НАРУШЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ - включают:
- перехват информации в технических каналах ее утечки (побочных электромагнитных излучений, создаваемых техническими средствами обработки и передачи информации, наводок в коммуникациях (сети электропитания, заземления, радиотрансляции, пожарной и охранной сигнализации и т.д.) и линиях связи, путем прослушивания конфиденциальных разговоров с помощью акустических, виброакустических и лазерных технических средств разведки, прослушивания конфиденциальных телефонных разговоров, визуального наблюдения за работой средств отображения информации);
- перехват и дешифрование информации в сетях передачи данных и линиях связи;
- внедрение электронных устройств перехвата информации в технические средства и помещения;
- навязывание ложной информации по сетям передачи данных и линиям связи;
- радиоэлектронное подавление линий связи и систем управления.
УДОСТОВЕРЯЮЩИЙ ЦЕНТР - юридическое лицо или индивидуальный предприниматель, осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронных подписей, а также иные функции, предусмотренные настоящим федеральным законом.
УГРОЗА - реально или потенциально возможные действия по реализации опасных воздействующих факторов на АС с целью преднамеренного или случайного (неумышленного) нарушения режима функционирования объекта и нарушения свойств защищаемой информации или других ресурсов объекта.
УГРОЗА АВТОМАТИЗИРОВАННОЙ СИСТЕМЕ - потенциально возможное событие, действие, процесс или явление, которое может привести к нанесению ущерба ресурсам АС.
УЯЗВИМОСТЬ АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ - любая характеристика АС, использование которой может привести к реализации угрозы.
УРОВЕНЬ ЗАЩИТЫ (КЛАСС И КАТЕГОРИЯ ЗАЩИЩЕННОСТИ) - характеристика, описываемая в нормативных документах определенной группой требований к данному классу и категории защищенности.
УГРОЗА БЕЗОПАСНОСТИ ИНФОРМАЦИИ - случайное (неумышленное) или преднамеренное (злоумышленное) воздействие, приводящее к нарушению целостности, доступности и конфиденциальности информации или поддерживающей ее инфраструктуры, которое наносит ущерб собственнику, распорядителю или пользователю информации. Это также потенциально возможное событие, действие, процесс или явление, которое может привести к нарушению конфиденциальности, целостности, доступности информации, а также неправомерному ее тиражированию. Угрозы информационной безопасности - также фактор или совокупность факторов, создающих опасность функционированию и развитию информационной среды общества.
УЯЗВИМОСТЬ СУБЪЕКТА ИНФОРМАЦИОННЫХ ОТНОШЕНИЙ - потенциальная подверженность субъекта нанесению ущерба его жизненно важным интересам посредством воздействия на критичную для него информацию, ее носители и процессы обработки.
УЯЗВИМОСТЬ ИНФОРМАЦИИ - подверженность информации воздействию различных дестабилизирующих факторов, которые могут привести к нарушению ее конфиденциальности, целостности, доступности или неправомерному ее тиражированию.
УГРОЗА ИНТЕРЕСАМ СУБЪЕКТОВ ИНФОРМАЦИОННЫХ ОТНОШЕНИЙ - потенциально возможное событие, действие, процесс или явление, которое посредством воздействия на информацию и другие компоненты АС может привести к нанесению ущерба интересам данных субъектов.
ФИЗИЧЕСКИЕ МЕРЫ ЗАЩИТЫ - это разного рода механические, электро- или электронно-механические устройства и сооружения, специально предназначенные для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам АС и защищаемой информации, а также технические средства визуального наблюдения, связи и охранной сигнализации.
ФИЗИЧЕСКИЕ СПОСОБЫ НАРУШЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ - включают:
- уничтожение, хищение и разрушение средств обработки и защиты информации, средств связи, целенаправленное внесение в них неисправностей;
- уничтожение, хищение и разрушение машинных или других оригиналов носителей информации;
- хищение ключей (ключевых документов) средств криптографической защиты информации, программных или аппаратных ключей средств защиты информации от несанкционированного доступа;
- воздействие на обслуживающий персонал и пользователей системы с целью создания благоприятных условий для реализации угроз безопасности информации;
- диверсионные действия по отношению к объектам безопасности информации (взрывы, поджоги, технические аварии и т.д.).
ЭЛЕКТРОННАЯ ПОДПИСЬ - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.
СЕКРЕТНАЯ ИНФОРМАЦИЯ - речевая информация, информация, циркулирующая в средствах вычислительной техники и связи, телекоммуникациях, а также другие информационные ресурсы, содержащие сведения, отнесенные к информации ограниченного распространения, представленные в виде информативных акустических и электрических сигналов, физических полей, материальных носителей (в том числе на магнитной и оптической основе), информационных массивов и баз данных.
СУБЪЕКТ - активный компонент системы (пользователь, процесс, программа), действия которого регламентируются правилами разграничения доступа.
СУБЪЕКТЫ ИНФОРМАЦИОННЫХ ОТНОШЕНИЙ - государство, государственные органы, государственные, общественные или коммерческие организации (объединения) и предприятия (юридические лица), отдельные граждане (физические лица) и иные субъекты, взаимодействующие с целью совместной обработки информации.
СИСТЕМА ЗАЩИТЫ АС (ИНФОРМАЦИИ) - совокупность (комплекс) специальных мер правового (законодательного) и административного характера, организационных мероприятий, физических и технических (программных и аппаратных) средств защиты, а также специального персонала, предназначенных для обеспечения безопасности АС (циркулирующей в АС информации).
ТЕХНИЧЕСКИЕ (АППАРАТНО-ПРОГРАММНЫЕ) СРЕДСТВА ЗАЩИТЫ - различные электронные устройства и специальные программы, входящие в состав АС, которые выполняют (самостоятельно или в комплексе с другими средствами) функции защиты информации (идентификацию и аутентификацию пользователей, разграничение доступа к ресурсам, регистрацию событий, криптографическое закрытие информации и т.д.).
ЦЕЛОСТНОСТЬ ИНФОРМАЦИИ - свойство информации, заключающееся в ее существовании в неискаженном виде (неизменном по отношению к некоторому фиксированному ее состоянию).
ЦЕЛЬ ЗАЩИТЫ АС (ИНФОРМАЦИИ) - предотвращение или минимизация наносимого ущерба (прямого или косвенного, материального, морального или иного) субъектам информационных отношений посредством нежелательного воздействия на компоненты АС, а также разглашения (утечки), искажения (модификации), утраты (снижения степени доступности) или незаконного тиражирования информации.
