Защита информации в информационных системах

Защита информации в информационных системах

 

Ключевые элементы инфраструктуры организации, являющиеся объектами защиты:

  • Персональные данные
  • Идентификационная информация
  • Общедоступная информация
  • Критически важные данные
  • Ключевая информация
  • Информация ограниченного доступа ИС
  • Информация ограниченного доступа из внешних ИС
  • Информация по ИС, ее структуре, топологии, ИТ
  • Коммерческая тайна
  • Технологии, разработки, иная критичная информация (пароли, ключи, ЭЦП)
  • Внутренние пользователи информационных систем, инсайдеры
  • Информационные технологии, средства телекоммуникаций
  • Персональные данные
  • Обслуживающий персонал
  • Внешние пользователи взаимодействующих систем и организаций

 

Основные каналы угроз ключевым элементам инфраструктуры организации

  • Аппаратные и программные сбои
    • Нарушение доступности
    • Блокировка каналов связи
    • Остановка работы АСУ
    • Сбои узлов сети
  • Вирусы и вредоносные программы
    • Сбои в работе ЭВМ
    • Нарушения в работе АСУ
    • Нарушение сетевого обмена
    • Внедрение ложной информации
    • Искажение, уничтожение данных и резервных копий
    • Хищение паролей, ЭЦП
  • Конкуренты
    • Хищение коммерческой тайны
    • Сбои в работе инфраструктуры
    • Разрушение баз данных
    • Хищение разработок
    • Неправомерная передача информации «во вне»
  • Злоумышленники
    • Хищение денежных средств
    • Нарушение работы ЭВМ
    • Кража критичных данных
    • Фальсификация данных
    • Нарушение работы телекоммуникаций
    • Блокировка доступа в системе

Основные причины возникновения угроз

  • Ошибки пользователей, администраторов
  • Неучтенные носители
  • Незащищенные каналы связи
  • Неисправное или морально устаревшее оборудование
  • Нелицензионное ПО
  • Инсайдеры
  • Ошибки в настройках
  • Отсутствие резерва, обменного фонда

 

Предпосылки возникновения угроз

  • Ошибочное определение уровней защищенности
  • Сложность эксплуатации разнородных технических решений
  • Неадекватная оценка уязвимостей и последствий угроз
  • Многообразие политик безопасности разных операторов
  • Неустойчивая вычислительная, сетевая инфраструктура

 

 

Виды негативных последствий воздействия угроз безопасности

  • Конфиденциальность
    • Несанкционированное ознакомление
    • Хищение информации
    • Передача информации
  • Целостность
    • Подмена критичной информации
    • Модификация данных
    • Уничтожение информации
  • Доступность
    • Блокирование каналов передачи данных
    • Нарушение доступности данных
    • Сбои в обработке данных
  • Достоверность
    • Отрицание подлинности данных
    • Нарушения актуальности данных
    • Фальсификация данных

 

Основные этапы работ по обеспечению безопасности информации

  1. Аудит
    • Цели
      • Получение достоверной информации:
    • об информационных ресурсах;
    • об используемых информационных технологиях;
    • о режимах обработки информации
      • Задачи
        • определение критичной информации (коммерческая тайна, персональные данные, разработки);
        • описание технологического процесса обработки и доступа к критичной информации;
        • классификация информационных систем по требованиям безопасности;
        • разработка моделей угроз
      • Результат этапа
        • Перечни защищаемых ресурсов
        • Аналитическое обоснование создания системы защиты
        • Технико-экономический расчет на создание системы защиты
        • Частные модели угроз
        • Техническое задание на работы по созданию и вводу в действие системы защиты
  1. Проектирование
    • Цели
      • Разработка технического решения:
    • согласованного по комплексу организационных и технических мер;
    • учитывающего используемые информационные технологии;
    • оптимального по соотношению «Цена / Качество»
      • Задачи
        • стендовое моделирование вариантов системы защиты;
        • техническое проектирование системы защиты;
        • разработка разрешительной системы доступа;
        • разработка организационно-распорядительных, методических и эксплуатационных документов по вопросам безопасности информации
      • Результат этапа
        • Матрица доступа
        • Программа и методика испытаний
        • Организационно распорядительные документы
        • Технорабочий проект на создание системы защиты
        • Эксплуатационная документация на систему защиты
  1. Внедрение
    • Цели
      • Реализация технического решения по созданию системы защиты информации.
      • Оценка соответствия требованиям безопасности информации
    • Задачи
      • установка и настройка средств защиты и функций безопасности;
      • формирование защищенных информационных систем;
      • встраивание системы защиты в информационную инфраструктуру с обеспечением совместимости с информационными сервисами предприятия;
      • аттестационные испытания по оценке соответствия требованиям безопасности информации
    • Результат этапа
      • Система защиты информации
      • Защищенные каналы передачи данных
      • Защищенные информационные системы
      • Протоколы испытаний
      • Технические паспорта
      • Аттестаты соответствия
  1. Сопровождение
    • Цели
      • Получение достоверных сведений:
    • об информационных ресурсах;
    • об используемых информационных технологиях;
    • о режимах обработки информации
      • Задачи
        • консультации по эксплуатации систем и средств защиты информации;
        • гарантийное обслуживание систем и средств защиты информации (в т.ч. шифровальных средств);
        • обновление программного обеспечения средств защиты;
        • изготовление ключевой информации;
        • инспекционный контроль состояния защиты информации
      • Результат этапа
        • Периодический анализ защищенности
        • Контроль состояния защиты
        • Инспекционный контроль
        • Техническая поддержка системы и средств защиты
        • Изготовление ключевой информации для Заказчика
        • Внешний аудит

 

 

 

Правила и Политика безопасности информации определяются

  • Федеральными законами (149-ФЗ, 152-ФЗ, 210-ФЗ)
  • Требованиями к защите персональных данных…(ПП №1119)
  • Приказами ФСТЭК в части защиты ПДн, ЗИ в ГИС, ЗИ в ИСОП
  • Приказами ФСБ в части криптосредств, в части ЗИ в ИСОП
  • Ведомственными требованиями безопасности (операторы внешних ИС)
  • Правила ИБ для ИС (на основе анализа угроз и проектирования СЗИ)

 

Элементарный набор правил

  • Разработать политику безопасности
  • Определить регламенты работы лиц, ответственных за ИБ
  • Определить регламенты взаимодействия с внешними ИС
  • Подготовить пользователей
  • Вести систему анализа / контроля защищенности
  • Определить настройки средств защиты
  • Определить порядок эксплуатации
  • Ввести систему контроля выполнения правил безопасности

 

Основные решения по защите информации в ИС

  • Защищенная (доверенная) система передачи данных, защита межсетевого взаимодействия
  • Сегментация сетевых структур объектов, защита периметра сегментов
  • Централизованное управление политиками в ЛВС объектов
  • Контроль выполнения мер, анализ защищенности, тестирование
  • Централизованное управление подсистемами защиты (АВЗ, защиты от НСД, резервирования)
  • Единая учетная и парольная политика, многофакторная идентификация и аутентификация

 

Основные мероприятия обеспечения защиты информации в ИС:

  • Формирование требований к защите информации, содержащейся в ИС
  • Разработка системы защиты информации ИС
  • Внедрение системы защиты информации ИС
  • Аттестация и оценка эффективности
  • Обеспечение защиты информации в ходе эксплуатации и выводе из эксплуатации

 

Порядок проведения испытаний

  • Предварительное ознакомление с объектом
    • уточнение исходных данных;
    • уточнение уровней (классов защиты);
    • уточнение требований по ЗИ
  • Разработка и согласование ПМИ
    • В соответствии с ГОСТ РО 0043-003-2012ГОСТ РО 0043-004-2013ГОСТ 34.603-92
  • Испытания
    • проверка документации по СЗИ и по организации ЗИ;
    • проверки (испытания) согласно ПМИ
  • Оформление результатов
    • протоколы испытаний;
    • заключение;
    • АТТЕСТАТ или МР по доработке СЗИ

 

Сопровождение системы защиты

  • Периодический контроль/анализ защищенности
  • Ежегодный контроль эффективности СЗИ
  • Повторная аттестация(при изменениях, приводящих к нарушениям штатной работы, безопасности)
  • Контроль за утечкой информации с рабочих мест сотрудников (DLP)
  • Контроль за обновлением версий и лицензий ПО СЗИ