Организация и технология защиты конфиденциальной информации в информационных системах. Методическое пособие для студентов

– ведении Аппаратного журнала;

– ведении Журнала учета доступа.

После того, как операции по доступу к средствам категорий С-0, С-1 выполнены, ответственный за средство информатизации обязан обеспечить невозможность использования средства кем-либо, кроме него самого. Запрещается даже на короткое время оставлять без контроля средство информатизации, если такая возможность не исключена технически.

Для доступа к средствам информатизации там, где это возможно, в обязательном порядке должен использоваться пароль, а доступ должен быть организован строго в соответствии с Руководством по применению паролей.

3.3.3. Доступ к программным продуктам и информации

Порядок получения доступа к программным продуктам и информации определяется порядком доступа в помещения и к средствам информатизации. Ответственность за правильность доступа к программным продуктам и информации несут сотрудники, на рабочих местах которых используются эти программные средства и информация.

Доступ обеспечивается:

– к программным продуктам и компьютерной информации – имеющимися программно-аппаратными средствами защиты;

– к информации на бумажных носителях – принятой технологией несекретного «бумажного» делопроизводства;

– к речевой, видео- и другим видам информации – мерами обеспечения доступа в помещения и к средствам связи.

Технические действия по доступу к программным продуктам и информации заключаются в:

– запуске программного продукта;

– преодолении установленным порядком имеющихся программных и аппаратных – средств защиты;

– регистрации доступа средствами регистрации, если они имеются.

Организационные действия по доступу к программным продуктам и информации заключаются в ведении Журнала учета доступа.

3.4. Содержание средств информатизации

Правильное с точки зрения информационной безопасности содержание (эксплуатация и хранение) средств информатизации предполагает:

– для средств информатизации категории С-0 – полное предотвращение доступа (в том числе и физического) к этим средствам любых лиц, не имеющих соответствующего допуска;

– для средств информатизации категории С-1 – предотвращение несанкционированного их использования;

– для средств информатизации категории С-2 – ограничений нет.

Содержание программных продуктов средств информатизации определяется содержанием технических средств информатизации (компьютеров, сетей), на которых эти программные продукты установлены.

Средства информатизации содержатся, как правило, на рабочих местах сотрудников, за которыми эти средства закреплены. Технические средства категории С-0 могут содержаться в кладовых или в сейфах.

В рабочее время ответственность за содержание средств информатизации несут сотрудники, за которыми эти средства закреплены, а в их отсутствие – их непосредственные начальники. В нерабочее время ответственность за хранение средств информатизации несет дежурная смена охраны.

Приемка в эксплуатацию средств информатизации (аппаратных, программных) категорий С-0 и С-1 проводится силами сотрудников Управления по защите информации Управления информационных систем и технологий в следующем порядке:

– определяется категория средства информатизации;

– средство информатизации оснащается программными продуктами, устанавливается на рабочем месте и проверяется;

– производится проверка безопасности средства информатизации;

– при необходимости для такой проверки могут привлекаться специализированные организации;

– составляется и согласовывается с соответствующим подразделением перечень организационно-технических мероприятий, необходимых для обеспечения информационной безопасности средства информатизации, в том числе перечень средств защиты информации;

– средство информатизации, при необходимости, дополняется средствами защиты информации, из него исключаются не используемые «опасные» устройства и опечатывается;

– средство проверяется сотрудниками подразделения на предмет готовности к эксплуатации; составляется Акт о готовности средства информатизации по вопросам информационной безопасности, который утверждается начальниками Управления по защите информации и принимающего подразделения.

Каждое средство информатизации после приемки в эксплуатацию закрепляется письменным распоряжением руководителя подразделения за одним из сотрудников подразделения, который в дальнейшем отвечает за его содержание.

Сотрудник, ответственный за содержание средства информатизации, в части обеспечения информационной безопасности обязан:

– обеспечить установленный порядок доступа к средству информатизации;

– правильно использовать средства защиты информации, с которыми работает средство информатизации, если они имеются;

– при обнаружении признаков несанкционированного доступа к средству информатизации немедленно прекратить все работы с ним, обеспечить сохранение его в текущем состоянии и сообщить о случившемся своему руководителю и начальнику Управления по защите информации.

Учет средств информатизации ведется отделом информационных технологий в Журнале учета средств информатизации:

– технические средства информатизации учитываются в соответствии с их инвентарными номерами, которые присваиваются им при приемке в эксплуатацию;

– программные продукты средств информатизации учитываются поэкземплярно.

Дистрибутивы программных продуктов хранятся администратором сети таким образом, чтобы исключить возможность использования их для инсталляции несанкционированных копий программного продукта. Инсталляцию прикладных и автономных программных продуктов выполняет администратор сети.

Рабочие копии программных продуктов должны быть защищены от несанкционированной модификации программного кода и данных, для чего должны применяться различные методы, в том числе:

– установка программных продуктов на средствах информатизации соответствующей категории;

– установка программных продуктов на серверах сети с разделением доступа к ним, исходя из категорий пользователей;

– защита программных продуктов от копирования;

– шифрование исполняемых модулей и данных программных продуктов на носителях информации;

– запуск особо охраняемых программных продуктов категории С-0 и работа с информацией категории И-0 с гибких магнитных дисков, хранимых в сейфах.

Если доступ к средству информатизации защищается устройствами типа «замок» (механические замки, электронные замки, кодовые устройства и т.п.), имеющими «ключи» (обычные ключи, магнитные карты и т.п.), то оригинал ключа хранится у ответственного сотрудника, а дубликаты – у руководителя соответствующего подразделения. Хранение оригинала и дубликатов должно быть обеспечено таким образом, чтобы исключить возможность попадания ключа к кому-либо, кроме этих лиц. Все экземпляры ключей учитываются отдельными позициями в Журнале учета средств информатизации. В случае утраты ключа принимаются такие же меры, как при выявлении попытки несанкционированного доступа.

3.5. Обеспечение безопасности информации

Безопасность информации обеспечивается в соответствии с присвоенными ей категориями и предполагает:

– для информации категории И-0 – полное исключение возможности несанкционированного доступа к ней;

– для информации категории И-1 – исключение возможности несанкционированной модификации, предупреждение возможности анализа и статистической оценки;

– для информации категории И-2 – ограничений нет.

Основой безопасности информации является изложенная в п. 3.3. система контролируемого доступа в помещения, к средствам информатизации и самой информации. Кроме этого, в зависимости от формы представления информации, с целью обеспечения ее безопасности принимаются специальные меры, изложенные ниже. Во всех случаях, за исключением специально оговоренных, ответственность за принятие этих мер несет сотрудник, использующий информацию или организующий мероприятие с ее использованием.

Безопасность информации в бумажной форме представления обеспечивается в соответствии с принятой технологией «бумажного» документооборота.

Для обеспечения безопасности речевой информации необходимо:

– ограничить число лиц, участвующих в переговорах, до минимально необходимого;

– проводить переговоры в местах, исключающих возможность подслушивания;

– применять специальные средства, если такие имеются.

Для обеспечения безопасности телефонных переговоров необходимо:

– безусловно исключить из обсуждения при ведении переговоров по открытым (незащищенным) телефонным линиям связи сведения, относящиеся к категории И-0 и ограничивать использование сведений категории И-1;

– применять специальные средства, если такие имеются.

Для обеспечения безопасности информации, обрабатываемой с помощью средств информатизации необходимо:

– обеспечить защиту от несанкционированного получения информации категории И-0 и защиту от модификации, а также возможность восстановления авторства доступа к информации категорий И-0, И-1, для чего в обязательном порядке применять все меры защиты, доступные на используемых программно-аппаратных средствах;

– обеспечить хранение носителей информации (дискет, магнито-оптических дисков, компакт-дисков и др.) с информацией категории И-0 способом, исключающим их утрату, несанкционированное копирование и получение; обеспечить хранение применяемых средств защиты информации, в том числе средств доступа к ним, способом, исключающим их несанкционированное использование.

3.6. Использование средств защиты информации

Средства защиты информации – это специальные технические средства, используемые для предупреждения несанкционированного использования всех видов информации. Разнообразие видов используемой информации, целей защиты, вариантов угроз, применяемых технологий защиты определяют широкую номенклатуру таких средств. В каждом случае необходимости защиты информации выбирается свой конкретный тип средства.

По вариантам использования различаются средства защиты информации:

– коллективные, применяемые для защиты информации, используемой одновременно несколькими (многими) сотрудниками;

– индивидуальные, применяемые только одним сотрудником для защиты информации, используемой им самим;

– сетевые, применяемые для защиты в вычислительных сетях и сетях связи.

Необходимость применения средств защиты информации определяется при информационном обследовании, при принятии решения о применении информационной техники и в других случаях. Принятие решения на применение средств защиты, выбор способа защиты и типа средства защиты информации осуществляется совместно подразделением, которое использует защищаемую информацию, Управлением по защите информации и утверждается Членом Правления – Директором по безопасности и защите информации. Выбор сетевых средств защиты осуществляют совместно Управление информационных систем и технологий, Управление по защите информации и утверждает Член Правления – Директор по безопасности и защите информации.

Решение о применении средств защиты информации в подразделении оформляется совместным документом этого подразделения и Управления по защите информации, утверждается Членом Правления – Директором по безопасности и защите информации и представляется руководителем подразделения, защищающего свою информацию, для утверждения и выделения необходимых финансовых и технических средств Председателю Правления ХХХХ.

Закупку средств защиты информации производит Управление по защите информации. Если поставляемые средства защиты входят в состав средств информатизации (систем), их закупку (заказ разработки) выполняет подразделение, закупающее (заказывающее разработку) по согласованию с Управлением по защите информации.

Ответственность за использование средств защиты информации несут:

– за средства защиты коллективного пользования – специально назначаемые сотрудники;

– за средства защиты индивидуального пользования – сотрудники, на рабочих местах которых эти средства установлены;

– за сетевые средства защиты – администратор сети.

Закрепление средств защиты информации за ответственными за них сотрудниками производится письменным распоряжением руководителя соответствующего подразделения, первый экземпляр которого представляется и хранится в Управлении по защите информации.

Порядок приемки в эксплуатацию средств защиты информации:

– средство устанавливается администратором сети на рабочем месте и проверяется в соответствии с инструкцией по эксплуатации;

– сотрудник Управления по защите информации и администратор сети производят совместную приемку средства с проверкой функционирования, разрабатывают организационные и технические меры по его эффективному использованию;

– сотрудник Управления по защите информации и администратор сети составляют и подписывают совместный Акт о приемке с приложением необходимых материалов и утверждают его у руководителя принимающего подразделения и начальника Управления по защите информации, после чего средство считается принятым в эксплуатацию;

– средство защиты информации передается в эксплуатацию назначенному ответственному сотруднику.

Сотрудник, ответственный за средство защиты информации, обязан:

– изучить средство в объеме, необходимом для правильной его эксплуатации;

– обеспечить установленный порядок использования средства: своевременно включать и выключать его, поддерживать эффективный режим работы;

– не допускать несанкционированного применения средства кем бы то ни было, обеспечить его сохранность, сообщать в Управление по защите информации обо всех попытках несанкционированного использования средства или подозрениях на такие попытки;

– проводить техническое обслуживание, обеспечивать его исправность, организовывать ремонт в случае выхода из строя и выполнять другие эксплуатационные операции.

Учет средств защиты информации ведется отделом связи Управления по защите информации в отдельном разделе Журнала учета средств информатизации в соответствии с их инвентарными номерами, которые присваиваются им при приемке в эксплуатацию.

3.7. Контроль состояния информационной безопасности

Контроль состояния информационной безопасности проводится с целью проверки ее организации, а также предупреждения и своевременного выявления случаев ее нарушения.

Обязанности по контролю распределяются между исполнительными органами системы информационной безопасности следующим образом:

– Управление по защите информации проводит проверки организации и состояния информационной безопасности в подразделениях;

– сотрудники контролируют текущее состояние информационной безопасности на своих рабочих местах;

– администратор сети повседневно контролирует текущее состояние информационной безопасности в локальной вычислительной сети;

– руководители подразделений повседневно контролируют текущее состояние информационной безопасности в своих подразделениях;

– сотрудники контролируют текущее состояние информационной безопасности на своих рабочих местах.

Проверки организации и состояния информационной безопасности проводятся Управлением по защите информации в подразделениях и в сетях и могут быть:

– плановыми;

– внезапными;

– по фактам нарушения информационной безопасности.

Плановые проверки проводятся в соответствии с годовым Планом проверок, который составляется на очередной год в декабре текущего года, подписывается Членом Правления – Директором по безопасности и защите информации и утверждается Председателем Правления ХХХХ. В ходе плановых проверок должна полностью проверяться вся организация системы информационной безопасности.

Внезапные проверки проводятся Управлением по защите информации в соответствии с внутренними планами работы. Внезапные проверки проводятся по отдельным вопросам организации информационной безопасности.

Проверки по фактам нарушения информационной безопасности проводятся Управлением по защите информации после того, как нарушение устранено. Проверка проводится с целью выявления причин и предпосылок нарушения и выработки мер по предупреждению подобных нарушений в дальнейшем. Проверка проводится в обязательном порядке по каждому факту нарушения независимо от его последствий.