|
|
@@ -0,0 +1,156 @@
|
|
|
+# Содержание и порядок деятельности персонала по эксплуатации защищенных автоматизированных систем и подсистем безопасности автоматизированных систем
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+## Введение
|
|
|
+
|
|
|
+При организации автоматизированных информационных систем (АИС) должны строго соблюдаться требования по защите конфиденциальных данных, которые призваны предотвратить их утечку или искажение. Защита информации в автоматизированной системе должна предотвратить воздействие угроз различного происхождения, включая техногенные аварии, воздействие вредоносного ПО или хакеров, похищение данных инсайдерами с целью продажи или шпионажа. Снизить уровень таких рисков позволяет реализация комплекса мер защиты аппаратного и программного уровня.
|
|
|
+
|
|
|
+## Задачи по защите информации
|
|
|
+
|
|
|
+Информация имеет определенную ценность. При этом изменение ряда свойств информации может приводить к потере такой ценности. К числу таких свойств по действующему законодательству об охране данных относятся:
|
|
|
+
|
|
|
+* **конфиденциальность** — невозможность доступа третьих лиц;
|
|
|
+* **целостность (неизменность)** — возможность изменения информации только лицами, которые имеют соответствующий допуск;
|
|
|
+* **доступность** — обеспечение доступа пользователя к необходимой информации без ограничений в связи с проблемами аппаратного уровня или действия вредоносного программного обеспечения.
|
|
|
+
|
|
|
+Методы защиты информации в автоматизированных системах должны применяться ко всему массиву данных, которые обрабатываются в компании, а также по отношению к отдельным блокам повышенной важности.
|
|
|
+
|
|
|
+## Объекты защиты
|
|
|
+
|
|
|
+Для применяемых способов защиты информации в автоматизированных системах характерна определенная стоимость. Поэтому важно дифференцировать объекты защиты, чтобы наиболее дорогостоящие и сложные способы использовались по отношению к объектам повышенной ценности. Это разграничение выполняется еще на этапе разработки требований к архитектуре АИС.
|
|
|
+
|
|
|
+В том числе информационные массивы делят на такие виды:
|
|
|
+
|
|
|
+* **Исходные данные** — первичная информация, поступающая на хранение и обработку в АИС от клиентов, пользователей, контрагентов.
|
|
|
+* **Производные данные** — информация, которая создается непосредственно в АИС, в процессе обработки исходных данных. Сюда относят отчеты, базы данных и другие структурированные информационные массивы.
|
|
|
+* **Служебные.** Данные вспомогательного характера, архивы защитных систем, данные сканирования.
|
|
|
+* **Программные средства защиты данных** — лицензированное ПО или ПО собственной разработки.
|
|
|
+* **Алгоритмы**, на основе которых разрабатываются программы.
|
|
|
+
|
|
|
+Все информационные массивы, кроме вспомогательных данных, могут содержать коммерческую тайну. Поэтому они выступают в качестве объектов защиты информации в автоматизированных системах, которая должна выполняться с максимальной эффективностью.
|
|
|
+
|
|
|
+## Планирование и реализация систем защиты
|
|
|
+
|
|
|
+Важным требованием при обеспечении защиты информации в АИС является планомерное решение этой задачи. Эта деятельность должна быть структурирована и разбита на этапы.
|
|
|
+
|
|
|
+Можно выделить такие этапы:
|
|
|
+
|
|
|
+1. **Этап планирования.** Составляется перечень требований к системе информационной безопасности. Требования зависят от характера выполняемых бизнес-процессов, модели действующих внутренних и внешних угроз и степени их опасности, потребностей пользователей. Планирование выполняют в соответствии с действующими стандартами, которые регулируют информационную безопасность. Это международный стандарт ISO/IEC 27001 и его прямой российский аналог ГОСТ Р ИСО/МЭК 27001, а также ряд других стандартов.
|
|
|
+2. **Этап внедрения.** Должны быть исключены ошибки или срывы сроков по причине неточностей в планировании и бюджетировании.
|
|
|
+3. **Этап управления.** Оперативное управление безопасностью — это организованная система реагирования на любые инциденты информационной безопасности и нештатные ситуации. Оно реализуется комплексно с обеспечением работы в «ручном» и автоматическом режиме. В крупных организациях должна быть создана оперативно-диспетчерская служба. В малых компаниях управление системой информационной безопасности АИС может выполнять один сисадмин.
|
|
|
+4. **Плановое руководство.** Включает в себя периодический аудит системы информационной безопасности, комплексный анализ его результатов, подготовку по итогам анализа доклада и предложений руководству по совершенствованию системы и усилению защитных мер.
|
|
|
+5. **Повседневная работа** по поддержанию информационной безопасности. Включает процессы планирования, организации, управления, оценки, обнаружения возникающих инцидентов, внесение оперативных корректировок в функционирование аппаратных и программных защитных средств.
|
|
|
+
|
|
|
+На каждом из этих этапов должны применяться в полном объеме доступные ресурсы и осуществляться контроль эффективности.
|
|
|
+
|
|
|
+## Методы защиты информации
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+При построении системы защиты информации в АИС могут применяться одновременно разные методы, в том числе:
|
|
|
+
|
|
|
+* методы повышения уровня достоверности данных;
|
|
|
+* методы защиты информации в автоматизированных системах от их потери в результате аварий и аппаратных сбоев;
|
|
|
+* методы контроля физического доступа к оборудованию и сетям, который может приводить к хищению данных, повреждению аппаратуры, преднамеренному созданию нештатных и аварийных ситуаций, установке шпионских приборов и т. д.;
|
|
|
+* методы идентификации пользователей, аутентификации ПО, съемных носителей.
|
|
|
+
|
|
|
+Применяются и другие методы организационного и аппаратно-программного характера. Первые реализуются централизованно на уровне компании, а выбор аппаратно-программных методов остается на выбор специалиста.
|
|
|
+
|
|
|
+### Организационные
|
|
|
+
|
|
|
+Выбор организационных методов и их применение определяется спецификой деятельности компании, включая ее правовое регулирование. По этому параметру организации делятся на такие категории:
|
|
|
+
|
|
|
+* **Частная фирма**, которая не работает с информацией, содержащей гостайну, и не является оператором персональных данных. Допускается использование любых методов, удобных для организации.
|
|
|
+* **Частная компания**, являющаяся оператором персональных данных или работающая с данными, содержащими гостайну. Требования к методам защиты информации в автоматизированных информационных системах устанавливаются действующим законодательством и положениями нормативной документации ФСТЭК РФ.
|
|
|
+* **Банк.** Обрабатывает 3 категории конфиденциальных данных — персональные данные, коммерческую и банковскую тайну. Требования о применении организационных методов защиты устанавливаются положениями Центробанка.
|
|
|
+* **Государственное предприятие или государственный орган.** Требования по применению организационных методов устанавливаются на уровне головных организаций и министерств.
|
|
|
+
|
|
|
+Выделяют две категории организационных методов защиты информации — системные и административные.
|
|
|
+
|
|
|
+К числу системных методов принадлежат:
|
|
|
+
|
|
|
+* повышение степени надежности оборудования, выбор аппаратуры с минимальными рисками отказа, использование специального оборудования для минимизации рисков потери данных при аварийном отключении питания;
|
|
|
+* организация резервирования информации на внешних серверах для предотвращения ошибок в результате системных сбоев или физического повреждения оборудования;
|
|
|
+* ранжирование пользователей с предоставлением разных уровней допуска для уменьшения вероятности хищения, изменения, уничтожения информации;
|
|
|
+* структурирование обработки данных, совершенствование смежных процессов, формирование специализированных кластеров для работы с определенными типами данных.
|
|
|
+
|
|
|
+За разработку и внедрение применяемых в организации административных методов защиты несет ответственность руководство фирмы, вышестоящие инстанции, подразделения безопасности и управления персоналом.
|
|
|
+
|
|
|
+Среди административных методов защиты информации можно назвать такие способы:
|
|
|
+
|
|
|
+* утверждение внутренних нормативных документов, регламентирующих обработку данных и доступ к АИС;
|
|
|
+* создание у персонала заинтересованности в защите данных;
|
|
|
+* создание режима коммерческой тайны, внесение положений об ответственности за ее разглашение в контракты с работниками и трудовые договоры;
|
|
|
+* обучение и повышение мотивации персонала;
|
|
|
+* улучшение эргономики и условий труда, чтобы исключить потерю данных и системные сбои в связи с потерей внимания и усталостью работников.
|
|
|
+
|
|
|
+Внедрение организационных методов проводится с параллельным аудитом, который показывает их эффективность и позволяет совершенствовать защиту.
|
|
|
+
|
|
|
+### Аппаратно-программные
|
|
|
+
|
|
|
+Способы этой категории определяются политикой компании и регламентом ИТ-подразделений. Методы программного уровня поддерживают защищенность данных при обработке в АИС и передаче по различным каналам связи. Аппаратные методы предусматривают использование высокоточных контрольно-технических средств для дублирования функций программных способов защиты. Такие средства могут обнаруживать ошибки, недоступные для выявления программными способами.
|
|
|
+
|
|
|
+Основные группы задач, которые выполняются аппаратно-программными методами:
|
|
|
+
|
|
|
+* **Трехуровневое резервирование и дублирование данных**, формирование удаленных баз данных. Оперативное резервирование предусматривает копирование информации в реальном времени. Восстановительное резервирование применяется для восстановления информации в случае утери из-за сбоев. Долгосрочное резервирование — сохранение значительного объема данных, в том числе копий полного объема системных файлов, с длительным хранением для восстановления и проведения аудита.
|
|
|
+* **Блокирование ошибочных или преднамеренных вредоносных операций.**
|
|
|
+* **Защита информации от вредоносного ПО.** Применяется сканирование, обнаружение изменений элементов файлов, аудит, антивирусное программное обеспечение.
|
|
|
+* **Защита от несанкционированного доступа к данным.** Применяются файерволы, средства выявления атак.
|
|
|
+* **Шифрование данных** методами криптографической защиты.
|
|
|
+* **Контроль доступа, аутентификация пользователей.**
|
|
|
+
|
|
|
+Помимо этих методов, активно внедряется DLP- и SIEM-системы, а также другие комплексные решения.
|
|
|
+
|
|
|
+## Методы контроля доступа
|
|
|
+
|
|
|
+Формирование контроля доступа пользователей — необходимая мера для защиты информации. Контроль доступа реализуется на организационном и программном уровне.
|
|
|
+
|
|
|
+Предусматривается размещение рабочих станций и периферийного оборудования в замкнутом пространстве, куда исключается доступ посторонних. Для этого в компании создается пропускная система. Для обработки информации повышенной важности могут выделяться отдельные зоны с доступом по электронному пропуску. Рабочие станции в таких зонах работают без подключения к общей сети.
|
|
|
+
|
|
|
+Определенные процессы могут обрабатываться на специально выделенных рабочих станциях, которые также зачастую не подключаются к сети. Этот метод предполагает создание отдельных кластеров для вывода на печать.
|
|
|
+
|
|
|
+## Методы идентификации пользователей
|
|
|
+
|
|
|
+Еще одним ключевым системным решением для обеспечения безопасности данных в АИС является допуск только уполномоченных пользователей к работе с информацией. Для аутентификации могут использоваться разные способы, с учетом степени ценности защищаемых данных, в том числе:
|
|
|
+
|
|
|
+* **Логин и пароль.** Пользователь аутентифицируется путем введения этих идентификационных данных, которые должны иметь определенный формат. Устанавливаются требования по периодичности смены логина и пароля, предусматриваются меры дисциплинарной ответственности за передачу этих данных третьим лицам или за вход в систему под чужими данными.
|
|
|
+* **Диалоговый режим.** Для распознавания определенного пользователя в систему вводится набор определенных данных. После этого для входа в систему пользователь должен будет отвечать на меняющиеся вопросы.
|
|
|
+* **Биометрический метод.** Распознавание при помощи специального оборудования по отпечаткам пальцев, сетчатке глаза.
|
|
|
+* **Использование автоматических радиокодовых устройств (токенов)**, которые передают в систему зашифрованные сигналы. Если эти сигналы совпадают с заданными значениями, пользователю предоставляется доступ.
|
|
|
+* **Аутентификация при помощи чипов.** Информация, идентифицирующая пользователя, содержится на чипе и считывается при входе в систему. Эта информация может быть нанесена в зашифрованном виде. В этом случае ключ шифрования используется как дополнительный идентификационный параметр.
|
|
|
+
|
|
|
+Максимальное снижение рисков обеспечивают аппаратные методы контроля доступа, которые исключают подделку или перехват паролей. При этом наиболее высокая эффективность достигается с помощью биометрии.
|
|
|
+
|
|
|
+## Средства разграничения доступа
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+Применяются следующие варианты разграничения доступа пользователей к информации в соответствии с установленными полномочиями:
|
|
|
+
|
|
|
+* **По уровню конфиденциальности.** Предусматривается установка грифов секретности для маркировки информационных массивов и пользователей. Каждый пользователь получает доступ к данным не выше собственного уровня.
|
|
|
+* **По специальным спискам.** Каждому файлу, базе данных, программе или другому информационному объекту устанавливается перечень допущенных пользователей. Второй вариант — определение для каждого пользователя перечня разрешенных информационных объектов.
|
|
|
+* **По матрице полномочий.** Применяется двухмерная матрица, внутри которой за каждым пользователем закреплен идентификатор. Этот идентификатор прописывается в столбце. В строке матрицы прописаны идентификаторы информационных элементов. Допуск разрешается при совпадении обоих идентификаторов.
|
|
|
+* **По мандатному принципу.** Элементу информации, подлежащему защите, присваивается метка. Аналогичная метка должна содержаться и в запросе для предоставления доступа.
|
|
|
+
|
|
|
+Минусом этих методов является слабый уровень эффективности против инсайдеров, которые могут присвоить признаки идентификации других пользователей. Для защиты от них должна быть реализована система протоколирования.
|
|
|
+
|
|
|
+## Протоколирование
|
|
|
+
|
|
|
+Система протоколирования предусматривает создание учетного журнала, в который автоматически заносятся сведения о действиях пользователей. Такие журналы функционируют на основе программ-регистраторов, работающих самостоятельно или в составе системы DLP. Протоколирование обеспечивает контроль использования информации, подлежащей защите, фиксируют безуспешные и успешные попытки доступа к ней, осуществляют запись действий. Это позволяет накапливать статистическую базу для последующего аудита.
|
|
|
+
|
|
|
+## SIEM-системы
|
|
|
+
|
|
|
+SIEM-системы (Security Information and Event Management) — решения, которые внедряются крупными компаниями для обеспечения комплексной информационной защиты. Они не защищают напрямую от инцидентов, а обеспечивают оперативное информирование о сбоях и нарушениях в работе ПО и оборудования.
|
|
|
+
|
|
|
+SIEM с установленной периодичностью выполняет опрос программ, включая антивирусы и DLP, маршрутизаторов, другого оборудования. Полученные данные сопоставляются с заданными значениями. При обнаружении отклонений SIEM отправляет уведомление, на основании которого соответствующие службы принимают необходимые меры.
|
|
|
+
|
|
|
+К дополнительным функциям таких систем относится протоколирование и ведение журналов учета, что позволяет сформировать доказательную базу для расследования преступлений и нарушений в сфере информационной безопасности. Кроме того, SIEM обеспечивают аудит готовности системы к исполнению своих функций. Данные, получаемые от SIEM, дают основания для внедрения нового ПО или изменения технологических параметров АИС.
|
|
|
+
|
|
|
+## DLP-системы
|
|
|
+
|
|
|
+DLP-системы призваны поддерживать максимальную защиту от несанкционированных действий пользователей, обеспечивая полную целостность и конфиденциальность защищаемых данных. Действие такой системы строится на способности отличать открытую информацию от конфиденциальной. Она осуществляет мониторинг внутреннего и внешнего трафика и фиксируется события, связанные с копированием, передачей наружу или выводом на печать конфиденциальной информации. В таких случаях применяется блокировка и с предупреждением пользователя.
|
|
|
+
|
|
|
+Система DLP может дорабатываться под индивидуальные потребности организации и обеспечивает комплексную защиту информации. Необходимым условием для внедрения таких систем является наличие сертификата ФСТЭК, подтверждающего отсутствие незадекларированных возможностей.
|
|
|
+
|
|
|
+Источник: https://www.smart-soft.ru/
|
ypv
