Защита информации в информационных системах
Ключевые элементы инфраструктуры организации, являющиеся объектами защиты:
- Персональные данные
- Идентификационная информация
- Общедоступная информация
- Критически важные данные
- Ключевая информация
- Информация ограниченного доступа ИС
- Информация ограниченного доступа из внешних ИС
- Информация по ИС, ее структуре, топологии, ИТ
- Коммерческая тайна
- Технологии, разработки, иная критичная информация (пароли, ключи, ЭЦП)
- Внутренние пользователи информационных систем, инсайдеры
- Информационные технологии, средства телекоммуникаций
- Персональные данные
- Обслуживающий персонал
- Внешние пользователи взаимодействующих систем и организаций
Основные каналы угроз ключевым элементам инфраструктуры организации
- Аппаратные и программные сбои
- Нарушение доступности
- Блокировка каналов связи
- Остановка работы АСУ
- Сбои узлов сети
- Вирусы и вредоносные программы
- Сбои в работе ЭВМ
- Нарушения в работе АСУ
- Нарушение сетевого обмена
- Внедрение ложной информации
- Искажение, уничтожение данных и резервных копий
- Хищение паролей, ЭЦП
- Конкуренты
- Хищение коммерческой тайны
- Сбои в работе инфраструктуры
- Разрушение баз данных
- Хищение разработок
- Неправомерная передача информации «во вне»
- Злоумышленники
- Хищение денежных средств
- Нарушение работы ЭВМ
- Кража критичных данных
- Фальсификация данных
- Нарушение работы телекоммуникаций
- Блокировка доступа в системе
Основные причины возникновения угроз
- Ошибки пользователей, администраторов
- Неучтенные носители
- Незащищенные каналы связи
- Неисправное или морально устаревшее оборудование
- Нелицензионное ПО
- Инсайдеры
- Ошибки в настройках
- Отсутствие резерва, обменного фонда
Предпосылки возникновения угроз
- Ошибочное определение уровней защищенности
- Сложность эксплуатации разнородных технических решений
- Неадекватная оценка уязвимостей и последствий угроз
- Многообразие политик безопасности разных операторов
- Неустойчивая вычислительная, сетевая инфраструктура
Виды негативных последствий воздействия угроз безопасности
- Конфиденциальность
- Несанкционированное ознакомление
- Хищение информации
- Передача информации
- Целостность
- Подмена критичной информации
- Модификация данных
- Уничтожение информации
- Доступность
- Блокирование каналов передачи данных
- Нарушение доступности данных
- Сбои в обработке данных
- Достоверность
- Отрицание подлинности данных
- Нарушения актуальности данных
- Фальсификация данных
Основные этапы работ по обеспечению безопасности информации
- Аудит
- Цели
- Получение достоверной информации:
- об информационных ресурсах;
- об используемых информационных технологиях;
- о режимах обработки информации
- Задачи
- определение критичной информации (коммерческая тайна, персональные данные, разработки);
- описание технологического процесса обработки и доступа к критичной информации;
- классификация информационных систем по требованиям безопасности;
- разработка моделей угроз
- Результат этапа
- Перечни защищаемых ресурсов
- Аналитическое обоснование создания системы защиты
- Технико-экономический расчет на создание системы защиты
- Частные модели угроз
- Техническое задание на работы по созданию и вводу в действие системы защиты
- Задачи
- Цели
- Проектирование
- Цели
- Разработка технического решения:
- согласованного по комплексу организационных и технических мер;
- учитывающего используемые информационные технологии;
- оптимального по соотношению «Цена / Качество»
- Задачи
- стендовое моделирование вариантов системы защиты;
- техническое проектирование системы защиты;
- разработка разрешительной системы доступа;
- разработка организационно-распорядительных, методических и эксплуатационных документов по вопросам безопасности информации
- Результат этапа
- Матрица доступа
- Программа и методика испытаний
- Организационно распорядительные документы
- Технорабочий проект на создание системы защиты
- Эксплуатационная документация на систему защиты
- Задачи
- Цели
- Внедрение
- Цели
- Реализация технического решения по созданию системы защиты информации.
- Оценка соответствия требованиям безопасности информации
- Задачи
- установка и настройка средств защиты и функций безопасности;
- формирование защищенных информационных систем;
- встраивание системы защиты в информационную инфраструктуру с обеспечением совместимости с информационными сервисами предприятия;
- аттестационные испытания по оценке соответствия требованиям безопасности информации
- Результат этапа
- Система защиты информации
- Защищенные каналы передачи данных
- Защищенные информационные системы
- Протоколы испытаний
- Технические паспорта
- Аттестаты соответствия
- Цели
- Сопровождение
- Цели
- Получение достоверных сведений:
- об информационных ресурсах;
- об используемых информационных технологиях;
- о режимах обработки информации
- Задачи
- консультации по эксплуатации систем и средств защиты информации;
- гарантийное обслуживание систем и средств защиты информации (в т.ч. шифровальных средств);
- обновление программного обеспечения средств защиты;
- изготовление ключевой информации;
- инспекционный контроль состояния защиты информации
- Результат этапа
- Периодический анализ защищенности
- Контроль состояния защиты
- Инспекционный контроль
- Техническая поддержка системы и средств защиты
- Изготовление ключевой информации для Заказчика
- Внешний аудит
- Задачи
- Цели
Правила и Политика безопасности информации определяются
- Федеральными законами (149-ФЗ, 152-ФЗ, 210-ФЗ)
- Требованиями к защите персональных данных…(ПП №1119)
- Приказами ФСТЭК в части защиты ПДн, ЗИ в ГИС, ЗИ в ИСОП
- Приказами ФСБ в части криптосредств, в части ЗИ в ИСОП
- Ведомственными требованиями безопасности (операторы внешних ИС)
- Правила ИБ для ИС (на основе анализа угроз и проектирования СЗИ)
Элементарный набор правил
- Разработать политику безопасности
- Определить регламенты работы лиц, ответственных за ИБ
- Определить регламенты взаимодействия с внешними ИС
- Подготовить пользователей
- Вести систему анализа / контроля защищенности
- Определить настройки средств защиты
- Определить порядок эксплуатации
- Ввести систему контроля выполнения правил безопасности
Основные решения по защите информации в ИС
- Защищенная (доверенная) система передачи данных, защита межсетевого взаимодействия
- Сегментация сетевых структур объектов, защита периметра сегментов
- Централизованное управление политиками в ЛВС объектов
- Контроль выполнения мер, анализ защищенности, тестирование
- Централизованное управление подсистемами защиты (АВЗ, защиты от НСД, резервирования)
- Единая учетная и парольная политика, многофакторная идентификация и аутентификация
Основные мероприятия обеспечения защиты информации в ИС:
- Формирование требований к защите информации, содержащейся в ИС
- Разработка системы защиты информации ИС
- Внедрение системы защиты информации ИС
- Аттестация и оценка эффективности
- Обеспечение защиты информации в ходе эксплуатации и выводе из эксплуатации
Порядок проведения испытаний
- Предварительное ознакомление с объектом
- уточнение исходных данных;
- уточнение уровней (классов защиты);
- уточнение требований по ЗИ
- Разработка и согласование ПМИ
- В соответствии с ГОСТ РО 0043-003-2012ГОСТ РО 0043-004-2013ГОСТ 34.603-92
- Испытания
- проверка документации по СЗИ и по организации ЗИ;
- проверки (испытания) согласно ПМИ
- Оформление результатов
- протоколы испытаний;
- заключение;
- АТТЕСТАТ или МР по доработке СЗИ
Сопровождение системы защиты
- Периодический контроль/анализ защищенности
- Ежегодный контроль эффективности СЗИ
- Повторная аттестация(при изменениях, приводящих к нарушениям штатной работы, безопасности)
- Контроль за утечкой информации с рабочих мест сотрудников (DLP)
- Контроль за обновлением версий и лицензий ПО СЗИ