Организационные меры по контролю и управлению безопасностью информации 1 страница
Информационное обеспечение системы безопасности информации
Информационное обеспечение комплекса средств автоматизации обработки информации является совокупностью реализованных решений по объектам, размещению и формам организации информации, циркулирующей в информационной системе и в комплексе средств автоматизации обработки информации при их функционировании. Оно включает в себя упорядоченные и систематизированные массивы информации и данных, унифицированные документы, необходимые классификаторы, нормативно-справочную информацию и т.д. Система автоматизированного управления имеет дело не с самим объектом, а с информацией о нем. Поэтому основной функцией информационного обеспечения является создание и ведение динамической информационной модели объекта защиты, которая в каждый момент времени содержит данные, соответствующие фактическим значениям параметров с минимально допустимой задержкой во времени. Система защиты информации комплекса средств автоматизации обработки информации является его составной частью и на нее также распространяются принципы построения информационного обеспечения.
Одним из условий эффективного функционирования комплекса средств автоматизации обработки информации любого типа является рациональная организация общения пользователя с системой. В качестве средства общения используются информационные языки, представляющие собой совокупность словаря, правил записи и передачи в компьютер сообщений об объектах, ситуациях и запросах, позволяющих использовать формализованные процедуры их обработки в интересах их унификации и удобств в эксплуатации. В настоящее время в качестве специальных языков безопасности за рубежом частично используются язык безопасности Хартсона, язык описания данных рабочей группы по базам данных системного комитета Кодасил, и др.
В системах с высокой степенью безопасности специалисты, обслуживающие комплекс средств автоматизации информационной системы в процессе эксплуатации, делятся на три категории:
пользователи, т. е. представители организации-владельца информационной системы, выполняющие оперативные задачи при работе с информацией;
технический персонал, поддерживающий нормальное функционирование информационной системы;
должностные лица службы обеспечения безопасности информации, подчиненные руководству организации-владельца информационной систем.
Если комплекс средств автоматизации обработки информации, автоматизированная система управления, информационная сеть или сама информационная система в целом используется для обслуживания населения, то появляется другой тип пользователей и значительно повышается риск несанкционированного доступа к информации (например, в банковских автоматизированных системах управления).
Для обеспечения безопасности информации разграничение доступа к ней осуществляется как по вертикали, так и по горизонтали структуры организации-владельца информационной системы в целом, комплекса средств автоматизации обработки информации, автоматизированной системы управления или сети, включая категории специалистов и пользователей.
Особая категория — специалисты и должностные лица службы безопасности информации, которая, владея средствами управления защитой, может иметь доступ к охраняемой информации. Однако и здесь существуют возможности разграничения и ограничения доступа, которые необходимо по возможности реализовать.
Принятая система распределения обязанностей между отдельными служащими может в значительной мере способствовать повышению уровня безопасности информации со стороны персонала.
Рекомендуются следующие принципы организации работ.
Минимизация сведений, доступных персоналу.Каждый служащий должен знать только ту информацию, которая необходима ему для успешного выполнения своих обязанностей.
Минимизация связей персонала.Организация технологического процесса сбора и обработки информации и планирование помещений должны по мере возможности исключать или сводить к минимуму контакты персонала в процессе выполнения работ. Системные программисты и инженеры должны допускаться, когда в этом есть необходимость, в зал обработки информации и никогда не должны заходить в зону участка подготовки информации и данных, и т. д.
Разделение полномочий (привилегий).В системах с высокими требованиями безопасности некоторая ответственная процедура выполняется после подтверждения ее необходимости двумя сотрудниками. Например, изменение полномочий пользователя осуществляется только в том случае, когда руководитель и сотрудник системы безопасности информации одновременно посылают в систему свои пароли со своих терминалов.
Минимизация информации и данных, доступных персоналу.Информация и данные, которые могут быть обозримы персоналом, ограничиваются. Так отходы, в том числе и носители бывшие в употреблении, должны систематически уничтожаться. Выходные данные, полученные на печатающих устройствах, должны быть взяты на учет и могут предоставляться только тем, кому они предназначены. Количество копий документов должно строго контролироваться. Обозначения и наименования документов и носителей информации не должны раскрывать их содержание.
Дублирование контроля.Контроль важных операций никогда нельзя поручать одному сотруднику. Присутствие еще одного человека оказывает психологическое влияние на другого и делает его более добросовестным в работе.
Факт передачи рабочей смены должен быть зафиксирован в специальных журналах, с собственноручными подписями ответственных и сдающих смену, причем должно быть документально зафиксировано не только то, что передается, но и в каком состоянии.
В специальных хранилищах носителей информации должен вестись учет, фиксироваться каждая выдача и возвращение носителей. Носители с данными ограниченного пользования должны выдаваться только допущенным к ним лицам под расписку. Факты выдачи этих данных на печатающие устройства и записи на другие носители должны немедленно фиксироваться в журнале с указанием времени, объема и назначения проведенных работ.
В конце рабочей смены должны быть уничтожены установленным порядком накопившиеся за смену рабочие отходы, о чем должна быть произведена запись с подписями должностных лиц в рабочем журнале.
Независимо от того, в круглосуточном режиме или с перерывами в работе организации - владельца информационной системы, в ответственных системах обработки данных осуществляется непрерывный контроль доступа к информации, подлежащей защите. Это означает, что по окончании рабочей смены, прекращении функционирования информационной системы и/или комплекса средств автоматизации обработки информации и необходимости их выключения контроль доступа в помещения с аппаратурой комплекса средств автоматизации обработки информации и носителями информации должен передаваться под расписку другим ответственным за их охрану лицам до последующей передачи контроля следующей смене с регистрацией и подписями должностных лиц в специальном журнале.
Специалисты системы безопасности информации должны быть разносторонне подготовленными и разбираться не только в вопросах защиты, но и в технических вопросах, включая принципы работы и эксплуатации информационной техники, в особенности средств хранения, ввода и вывода информации.
Глава 6. Организационные мероприятия по обеспечению безопасности информации в комплексах средств автоматизации информационных систем
В процессе подготовки системы к эксплуатации в целях обеспечения безопасности информации в ней необходимо:
при выделении территории, зданий и помещений обозначить контролируемую зону вокруг размещения комплекса средств автоматизации обработки информации средств автоматизации;
установить и оборудовать охранную сигнализацию по границам контролируемой зоны;
создать контрольно-пропускную систему;
проверить схему размещения и места установки аппаратуры комплекса средств автоматизации обработки информации;
проверить состояние системы жизнеобеспечения людей, условия функционирования аппаратуры и хранения документации.
Параллельно с указанными мероприятиями провести:
перестройку структуры организации-потребителя в соответствии с потребностями внедряемой системы;
подобрать кадры для технического и оперативного обслуживания комплекс средств автоматизации обработки информации;
при необходимости подобрать специальные кадры для работы по защите информации в автоматизированной системе управления и создать централизованную систему безопасности информации при руководстве организации - потребителе информационной системы;
провести обучение персонала;
организовать распределение функциональных обязанностей и ответственности должностных лиц;
установить полномочия должностных лиц по доступу к техническим средствам и информации;
разработать должностные инструкции по выполнению функциональных обязанностей технического, оперативного состава должностных лиц, включая службу безопасности информации.
После выполнения указанных мероприятий и приема аппаратуры необходимо выполнить:
постановку на учет аппаратуры, носителей информации и документации;
проверку отсутствия посторонней аппаратуры;
контроль размещения аппаратуры в соответствии с требованиями по разграничению доступа, побочного электромагнитного излучения и наводок информации;
проверку функционирования подсистемы контроля вскрытия технических средств;
проверку функционирования комплекса средств автоматизации обработки информации с помощью средств функционального контроля;
верификацию программного обеспечения;
проверку побочного излучения и наводок информации аппаратурой комплекса средств автоматизации обработки информации на границах контролируемой зоны;
проверку на отсутствие штатных и посторонних коммуникаций, выходящих за пределы контролируемой зоны;
проверку функционирования информационной системы, комплекса средств автоматизации обработки информации, включая систему защиты информации, автономно и в составе автоматизированной системы управления по специальным программам испытаний;
тренировку оперативного состава должностных лиц, включая службу безопасности информации, по специальным программам.
По положительным результатам указанных проверок и тренировок можно приступать к загрузке штатных прикладных программ и действительной информации, проверке готовности остальных комплексов средств автоматизации обработки информации автоматизированной система управления, после чего начинается непосредственная эксплуатация системы.
В процессе эксплуатации системы служба безопасности информации осуществляет централизованный контроль доступа к информации с помощью терминала и организационными средствами; выполняются функции, перечисленные выше.
В процессе эксплуатации может возникнуть необходимость в доработках комплекса средств автоматизации обработки информации, которые должны проводиться под контролем службы безопасности. Контроль при этом заключается в проверке полномочий лиц, осуществляющих доработку.
Кроме того, в процессе эксплуатации системы рекомендуется проводить:
периодические проверки полномочий лиц, работающих на комплексе средств автоматизации обработки информации;
инспектирование правильности и полноты выполнения персоналом мер по обеспечению сохранности необходимых дубликатов файлов, библиотеки программ, оборудования комплекса средств автоматизации обработки информации;
практическую проверку функционирования отдельных мер защиты;
контроль недозволенных изменений программ и оборудования;
контроль всех процедур с библиотеками файлов на носителях и т. д.;
стимулирование персонала в вопросах обеспечения защиты;
разработку и обеспечение всех противопожарных мероприятий и обучение персонала действиям по тревоге;
консультирование всех сотрудников, работающих с комплексом средств автоматизации обработки информации, по вопросам обеспечения защиты информации.
Одна из обязанностей службы безопасности — организация и проведение обучения персонала методам обеспечения защиты информации. Обучение необходимо для всех сотрудников, начиная с момента их поступления на работу, включая руководящий состав организации - потребителя информационной системы.
Все служащие должны знать, что данные и файлы, с которыми они работают, могут быть в высшей степени конфиденциальны. Программы и документы с информацией, подлежащей защите, не следует брать для работы на дом. В детальной степени должны быть определены и идентифицированы все функции и ограничения при выполнении каждой работы. Это связано с необходимостью минимизировать сведения, которыми обладает каждый сотрудник, сохранив при этом их эффективное взаимодействие.
По окончании эксплуатации комплекса средств автоматизации обработки информации (когда-то наступает и такое событие, связанное с заменой информационной системы на более современную) необходимо провести ревизию остатков хранимой информации в комплексе средств автоматизации обработки информации, ценную информацию с обеспечением режима ограниченного доступа переписать на более современные носители, а остальную — уничтожить.
Раздел V. Безопасность информации в информационных сетях и автоматизированных системах управления
Глава 1. Анализ объектов обеспечения безопасности информации и постановка задачи
В качестве объекта защиты информации выбираем автоматизированную систему управления (см. рис. 6, гл.1, разд. 3 ) как более универсальную систему. В нее входят практически все виды автоматизированных информационных систем по классификации (см. рис. 1, гл. 2), согласно которой автоматизированная система управления может включать различные виды автоматизированных систем, в том числе информационные и вычислительные системы и сети.
Большая автоматизированная система управления, как правило, состоит из нескольких территориально удаленных информационных систем (комплексов средств автоматизации, комплексов аппаратно-программных средств), связанных между собой информационной сетью, которая, в свою очередь, состоит из нескольких узлов коммутации, связанных между собой и с вычислительными системами каналами связи. Узел коммутации — это совокупность средств коммуникации и передачи данных, который по составу технических средств можно рассматривать и как информационную систему, являющуюся элементом сети. Такой подход с позиций защиты информации позволяет выделить некоторый обобщенный элемент автоматизированной системы, на базе которого, по существу, она строится - комплекс средств автоматизации обработки информации.
Анализ объекта защиты будем вести с позиций, изложенных в разд. 3.
Предметом защиты в этом случае может служить следующая информация:
структура, состав, назначение и принципы построения автоматизированной системы управления;
структура, состав, назначение и принципы построения сети обмена информацией и данными в автоматизированной системе управления;
состояние направлений связи в сети передачи информации и данных;
адресные таблицы автоматизированной системы управления и сети;
таблицы полномочий элементов автоматизированной системы управления и сети;
информация, циркулирующая в комплексе средств автоматизации обработки информации и каналах связи.
Согласно принципам построения данная информация (кроме последней), если в сети заложен принцип обмена "каждый с каждым" (одноранговые сети), размещается на каждом элементе сети. Обмен информацией может происходить между процессами разных элементов сети, между их пользователями, между пользователем и процессом разных элементов сети.
В автоматизированных системах управления каждый пользователь и процесс имеет свой уровень полномочий. Персонал узла коммутации сети, через который транзитом проходит абонентская информация, не должен ее видеть и документировать, а обработка данной информации должна исключать ее запись в долговременную память.
Наличие на элементе автоматизированной системы управления, сети и каналах связи информации, различной по назначению и уровню защиты, предполагает соответствующие системные средства защиты, объединенные в систему защиты информации от несанкционированного доступа в автоматизированной системе управления.
Средства защиты информации так же, как и основные средства ее обработки в системе, реализуются на программном, аппаратном и организационном уровнях. При этом они выполняют свои функции в тесном взаимодействии с основными компонентами комплексов средств автоматизации автоматизированной системы управления и сети. Совокупность определенных средств защиты на уровнях комплексов средств автоматизации обработки информации, систем передачи информации и данных и автоматизированной системе управления образуют на каждом уровне свою систему защиты информации. Причем, с одной стороны, средства защиты являются общесистемными ресурсами, а с другой — в силу специфики решаемых задач, система защиты для каждого уровня может быть представлена в виде самостоятельной структуры, которая нуждается в собственном управлении в целях координации и контроля своих процессов по обеспечению безопасности информации.
Согласно изложенной выше концепции защиты информации для создания замкнутого контура (оболочки, периметра) защиты необходимо объединить средства защиты в целостный механизм — встроенную автоматизированную систему защиты, обеспечивающую централизованные подготовку, контроль и управление безопасностью информации в автоматизированной системе управления.
Анализ принципов построения автоматизированной системы управления показал, что обработка и обмен информацией в ней производится на четырех уровнях:
на уровне комплекса средств автоматизации обработки информации автоматизированной системы управления;
на уровне комплекса средств автоматизации системы передачи информации (сети передачи информации);
на уровне автоматизированной системы управления в целом;
на уровне системы передачи информации в целом.
На каждом из уровней образуется своя автоматизированная система, выполняющая свои задачи, связанные с вводом-выводом, хранением, обработкой и передачей определенной информации, соответствующей функциональным обязанностям должностных лиц и пользователей в структуре автоматизированной системы управления и системы передачи информации.
Аналогичным образом целесообразно распределить в автоматизированной системе управления функции обеспечения безопасности информации, подлежащей защите от утечки, модификации и утраты, и создать в автоматизированной системе управления на соответствующих уровнях встроенные системы защиты информации. Эти системы должны удовлетворять определенным требованиям. Так, для защиты передаваемой информации по тракту передачи данных от пользователя одного комплекса средств автоматизации обработки информации к пользователю другого они должны содержать средства абонентского шифрования.
Система защиты информации в трактах передачи информации должна включать средства абонентского шифрования, средства обеспечения цифровой подписи передаваемых сообщений, систему генерации и распределения соответствующих ключей шифрования, действительные значения которых вырабатываются и распределяются с помощью средств управления службой безопасности (защиты) информации автоматизированной системы управления.
Безопасность информации в системе передачи должна содержать средства линейного шифрования.
В каждой из перечисленных систем должна быть система опознания, разграничения доступа и средства контроля и управления, с помощью которых в рамках данной системы можно выполнять следующие функции:
составление перечня, ранжирование по важности и степени секретности и назначение сроков действия документов и других данных, подлежащих защите от несанкционированного доступа;
разграничение, распределение и контроль полномочий должностных лиц-пользователей по отношению к информации и функциям управления;
организацию и поддержку функционирования системы безопасности информации в системе;
подготовку, выбор, распределение и периодическую замену ключей шифрования информации и кодов цифровой подписи;
своевременное обнаружение, блокировку, сбор, регистрацию и документирование фактов несанкционированного доступа;
своевременное установление места, времени и причины несанкционированного доступа;
взаимодействие со службой функционального контроля и администраторами системы;
взаимодействие со службами безопасности других систем;
взаимодействие со службой безопасности нижестоящих объектов управления (комплексы средств автоматизации обработки информации).
К числу наиболее важных функций, определяющих необходимость создания системы защиты информации в автоматизированной системе, относятся: периодическая подготовка, распределение и периодическая замена ключей абонентского шифрования и кодов подписи, действительные значения которых должны быть доступны только должностным лицам этой службы и пользователям в соответствии с назначенными им полномочиями. Распределение ключей, помимо разграничения доступа к информации, позволяет обеспечить выполнение требований по иерархии системных отношений между должностными лицами автоматизированной системы управления и системы передачи информации.
Учитывая изложенное, на уровне комплекса средств автоматизации обработки информации должны быть предусмотрены, кроме собственных средств, средства защиты, работающие в интересах выполнения перечисленных выше системных функций.
В конечном итоге в обобщенном виде каждый комплекс средств автоматизации обработки информации должен содержать следующие средства обеспечения безопасности информации:
систему защиты информации в данном комплексе средств автоматизации обработки информации;
средства взаимодействия со средствами управления выше- и нижестоящих комплексов средств автоматизации обработки информации;
средства абонентского шифрования информации;
средства обеспечения цифровой подписи сообщений;
средства линейного шифрования информации.
При этом функции средств взаимодействия определяются положением комплекса средств автоматизации обработки информации в структуре автоматизированной системы управления и системы передачи информации. Комплекс средств автоматизации обработки информации верхних звеньев управления должно обладать соответствующими средствами управления безопасностью информации в подчиненной ему структуре.
Отметим, что в последнее время в результате совершенствования средств шифрования появилась возможность отказа от средств линейного шифрования и этому способствует концепция защиты информации в автоматизированной системе управления, предложенная в разд. 3.
При построении системы защиты информации в автоматизированной системе управления необходимо определить следующие исходные данные:
структуру, состав и назначение автоматизированной системы управления и ее элементов;
структуру, состав и принципы построения сети передачи информации;
информационные процессы, подлежащие автоматизации;
задачи и функции управления, их распределение между исполнителями;
схему информационных потоков и места сосредоточения информации подлежащей защите;
структуру, состав и размещение информационной базы автоматизированной системы управления;
перечень и сроки сохранения сведений, подлежащих защите;
состав и выполняемые функции должностных лиц-пользователей;
перечень, форму и количество входных, внутренних и выходных документов;
режим использования автоматизированной системы управления (открытый, закрытый и т. д.);
вероятностно-временные характеристики обработки сообщений;
органы управления и их размещение в автоматизированной системе управления;
органы управления сетью передачи информации и их размещение в автоматизированной системе управления.
Глава 2. Принципы построения системы безопасности информации в информационных сетях и автоматизированных системах управления
На основе данных о структуре, составе автоматизированной системы управления и системы передачи информации, а также возможных каналов несанкционированного доступа и концептуальных основ, приведенных в гл. 1, разд. 3, структура системы безопасности информации в автоматизированной системе управления будет иметь вид, представленный на рис. 1.
Из данной структуры следует, что система безопасности информации в автоматизированной системе управления (СБИ АСУ) включает в себя:
систему безопасности информации элементов автоматизированной системы управления (СБИ ЭАСУ);
систему опознания и разграничения доступа к информации автоматизированной системы управления (СОРДИ АСУ);
средства безопасности информации в трактах передачи информации (СБИ ТПИ);
средства управления безопасностью информации в автоматизированной системе управления (СУБИ АСУ);
систему безопасности информации в сети передачи информации (СБИ СПИ);
систему управления безопасностью информации в сети передачи информации (СУБИ СПИ);
систему безопасности информации в каналах связи (СБИ КС);
систему повышения достоверности информации (СПДИ);
систему безопасности информации элементов сети (СБИ ЭС).
Система безопасности информации информационной системы — элемента автоматизированной системы управления, являющегося абонентом системы передачи информации, в соответствии с его структурой и выполняемыми функциями по обработке информации, кроме автономных, должна содержать средства, работающие в интересах безопасности автоматизированной системы управления в целом.
Рис. 1. Структура системы безопасности информации в автоматизированной системе управления
Данные средства предполагают организацию средств выдачи на объект управления доступом в автоматизированную систему управления информации о фактах несанкционированного доступа на элементе автоматизированной системы управления, времени, месте и характере события.
Кроме того, каждый элемент автоматизированной системы управления в целях реализации поставленных задач в рамках автоматизированной системы управления производит обмен информацией с другими элементами автоматизированной системы управления или информационной сети на уровне пользователей, терминалов, компьютеров, процессов, информационных систем и т. д. Отношения между элементами автоматизированной системы управления определяются уровнем их полномочий на доступ к информации. При обращении к адресату эти полномочия должны ему предъявляться в виде пароля. Отсюда вытекает необходимость их хранения у адресата для проверки подлинности санкционированного обращения путем сравнения значений предъявленного и хранимого паролей. В связи с тем, что полномочия у разных запросов могут быть также различны, необходимо вводить и хранить их признаки в комплексе средств автоматизации обработки информации — элементе автоматизированной системы управления. Указанные средства и составляют систему опознания и разграничения доступак информации автоматизированной системы управления.
Средствами защиты информации в трактах передачи информацииможно назвать криптографическую защиту или шифрование сообщений в тракте
"пользователь 1 à ЭАСУ à СПИ à ЭАСУ à пользователь 2"
Данный метод защиты информации от источника до адресата называют межконцевым, или абонентским шифрованием
Средства управления безопасностью информациив автоматизированной системе управления обеспечивают:
контроль состава и структуры автоматизированной системы управления;
ввод и контроль полномочий объектов автоматизированной системы управления, процессов, терминалов, пользователей и т. д.; обнаружение и блокировку несанкционированного доступа;
сбор, регистрацию и документирование информации о несанкционированном доступе с элементов автоматизированной системы управления;
подготовку, рассылку и смену ключей паролей для абонентского шифрования информации в трактах передачи данных, а также установку периодичности и синхронизации их применения;
контроль функционирования системы защиты информации в автоматизированной системе управления;