Лекция 3 Организационные методы защиты информации
3.1 Государственное регулирование в области защиты информации
В соответствии со статьёй 7 Закона «Об информации, информатизации и защите информации» государственное регулирование в области информации, информатизации и защиты информации включает:
обеспечение условий для реализации и защиты прав государственных органов, физических и юридических лиц;
создание системы информационной поддержки решения задач социально-экономического и научно-технического развития Республики Беларусь;
создание условий для развития и использования информационных технологий, информационных систем и информационных сетей на основе единых принципов технического нормирования и стандартизации, оценки соответствия требованиям технических нормативных правовых актов в области технического нормирования и стандартизации;
формирование и осуществление единой научной, научно-технической, промышленной и инновационной политики в области информации, информатизации и защиты информации с учетом имеющегося научно-производственного потенциала и современного мирового уровня развития информационных технологий;
создание и совершенствование системы привлечения инвестиций и механизма стимулирования разработки и реализации проектов в области информации, информатизации и защиты информации;
содействие развитию рынка информационных технологий и информационных услуг, обеспечение условий для формирования и развития всех видов информационных ресурсов, информационных систем и информационных сетей;
обеспечение условий для участия Республики Беларусь, административно-территориальных единиц Республики Беларусь, государственных органов, физических и юридических лиц в международном сотрудничестве, включая взаимодействие с международными организациями, обеспечение выполнения обязательств по международным договорам Республики Беларусь;
разработку и обеспечение реализации целевых программ создания информационных систем, применения информационных технологий;
совершенствование законодательства Республики Беларусь об информации, информатизации и защите информации;
иное государственное регулирование.
Государство занимает важное место в системе защиты информации в любой стране, в том числе и в Беларуси. Государственная политика обеспечения информационной безопасности исходит из следующих положений:
ограничение доступа к информации есть исключение из общего принципа открытости информации и осуществляется только на основе законодательства;
доступ к какой-либо информации, а также вводимые ограничения доступа осуществляются с учетом определяемых законом прав собственности на эту информацию;
юридические и физические лица, собирающие, накапливающие и обрабатывающие персональные данные и конфиденциальную информацию, несут ответственность перед законом за их сохранность и использование;
государство формирует национальную программу информационной безопасности и объединяет усилия государственных организаций и коммерческих структур в создании единой системы информационной безопасности страны;
государство формирует нормативно‑правовую базу, регламентирующую права, обязанности и ответственность всех субъектов, действующих в информационной сфере;
государство осуществляет контроль за созданием и использованием средств защиты информации посредством их обязательной сертификации и лицензирования деятельности в области защиты информации;
государство прилагает усилия для противодействия информационной экспансии США и других развитых стран, поддерживает интернационализацию глобальных информационных сетей и систем;
государство проводит протекционистскую политику, поддерживающую деятельность отечественных производителей средств информатизации и защиты информации, и осуществляет меры по защите внутреннего рынка от проникновения на него некачественных средств информатизации и информационных продуктов.
3.2 Государственная политика информационной безопасности
Согласно прилагаемой к конспекту книге В.Ф.Голикова 2004 г. первоочередные мероприятия по реализации государственной политики информационной безопасности должны включать:
создание нормативно‑правовой базы реализации государственной политики в области информационной безопасности, в том числе определение последовательности и порядка разработки законодательных и нормативно‑правовых актов, а также механизмов практической реализации принятого законодательства;
анализ технико-экономических параметров отечественных и зарубежных программно‑технических средств обеспечения информационной безопасности и выбор перспективных направлений развития отечественной техники;
формирование государственной научно‑технической программы совершенствования и развития методов и средств обеспечения информационной безопасности, предусматривающей их использование в национальных информационных и телекоммуникационных сетях и системах с учетом перспективы вхождения страны в глобальные информационные сети и системы;
создание системы сертификации на соответствие требованиям информационной безопасности отечественных и закупаемых импортных средств информатизации, используемых в государственных органах власти и управления.
Мероприятия по защите информации осуществляются как за счет бюджетных ассигнований, выделяемых целевым назначением, так и за счет средств предприятий, учреждений и организаций независимо от форм собственности. Финансирование НИОКР в области защиты информации, производства средств защиты информации и контроля эффективности защиты осуществляется за счет госбюджетных ассигнований, выделяемых целевым назначением гензаказчику, а также средств предприятий, учреждений и организаций различных форм собственности и частных лиц. Генеральным заказчиком технических, программных, программно-аппаратных и криптографических средств защиты информации, аппаратуры контроля эффективности защиты информации общего применения и научно-технической продукции по общесистемным исследованиям проблем защиты информации является Оперативно-аналитический центр при Президенте Республики Беларусь в области защиты информации (бывший ГЦБИ).
3.3 Состав государственной системы защиты информации РБ
Согласно прилагаемой к конспекту книге В.Ф.Голикова 2004 г. система информационной безопасности является составной частью общей системы национальной безопасности страны и представляет собой совокупность органов государственной власти и управления и предприятий, согласованно осуществляющих деятельность по обеспечению информационной безопасности. В систему входят:
органы государственной власти и управления, решающие задачи обеспечения информационной безопасности в пределах своей компетенции;
государственные и межведомственные комиссии и советы, специализирующиеся на проблемах информационной безопасности;
структурные и межотраслевые подразделения по защите информации органов государственной власти и управления, а также структурные подразделения предприятий, проводящие работы с использованием сведений, отнесенных к государственной тайне, или специализирующиеся на проведении работ в области защиты информации;
научно-исследовательские, проектные и конструкторские организации, выполняющие работы по обеспечению информационной безопасности;
учебные заведения, осуществляющие подготовку и переподготовку кадров для работы в системе обеспечения информационной безопасности.
Государственную систему защиты информации Республики Беларусь составляют:
Оперативно-аналитический центр при Президенте Республики Беларусь в области защиты информации (бывший Государственный центр безопасности информации при Совете Безопасности РБ, ГЦБИ);
структурные подразделения по защите информации органов государственного управления, предприятий, организация и учреждений;
головные предприятия (организации, учреждения) по направлениям защиты информации,
сертификационные и испытательные центры (лаборатории), предприятия, учреждения и организации различных форм собственности по оказанию услуг в области защиты информации.
Основными функциями системы информационной безопасности страны являются:
разработка и реализация стратегии обеспечения информационной безопасности;
оценка состояния информационной безопасности в стране, выявление источников внутренних и внешних угроз информационной безопасности, определение приоритетных направлений предотвращения и нейтрализации этих угроз;
координация и контроль деятельности субъектов системы информационной безопасности.
3.4 Лицензирование деятельности юридических и физических лиц по защите информации
Согласно прилагаемой к конспекту книге В.Ф.Голикова 2004 г. деятельность юридических и физических лиц по защите информации лицензируется. Положение о лицензировании в области защиты информации разработано Оперативно-аналитическим центром при Президенте Республики Беларусь в области защиты информации. Эта же организация и выдает лицензии.
3.4.1. Основные виды лицензируемой деятельности, состав, содержание работ и применяемые термины. 3.4.1.1. Под "техническими средствами защиты и контроля защищенности информации" понимаются:
защищенные от модификации, разрушения и утечки информации средства вычислительной техники, связи, хранения, отображения и размножения информации, подлежащей защите;
технические средства защиты информации общепромышленного исполнения и специального назначения;
инструментальные средства контроля защищенности информации.
3.4.1.2. К терминам "разработка, производство технических средств" относится цикл от исследований, согласно техническому заданию, до сдачи заказчику технического средства, изготовленного по конструкторской документации.
3.4.1.3. Термины "монтаж, наладка технических средств" включают установку, соединение (сборку) и приведение в рабочее состояние технических средств, устранение неисправностей в них.
3.4.1.4. К "специальным исследованиям технических средств" относится комплекс мероприятий по качественному и количественному исследованию возможностей утечки информации по техническим каналам и выработке рекомендаций по ее защите.
3.4.1.5. Под "проведением работ по контролю защищенности информации" понимается: постоянное или периодическое проведение комплекса работ, обеспечивающих проверку выполнения организационных и технических мероприятий по защите информации, исключающих ее разрушение, искажение или утечку по техническим каналам.
3.4.1.6. К терминам "разработка, производство программных средств защиты информации" относятся: разработка и производство специальных программ, с помощью которых осуществляются разграничение доступа к информации и предупреждение от несанкционированного ее использования.
3.4.1.7. К терминам "разработка, производство программно-аппаратных средств защиты информации" относятся: разработка и производство средств, содержащих в своем составе элементы, реализующие функции защиты информации, в которых программные (микропрограммные) и аппаратные части полностью взаимозависимы и неразделимы.
3.4.1.8. Термины "монтаж, наладка программных средств защиты информации" включают в себя:
установку, приведение в рабочее состояние и сопровождение на объектах заказчика программных средств защиты информации;
внедрение программных средств контроля эффективности мер по защите информации;
установку антивирусных программ.
3.4.1.9. Под термином "средства криптографии, реализованные в программных и программно-аппаратных комплексах защиты информации" подразумеваются средства:
обеспечения подлинности данных;
обеспечения целостности данных;
обеспечения конфиденциальности данных (шифрование);
управления ключевой системой (выполнение задач генерации, распределения, использования, хранения, уничтожения и восстановления ключей).
3.4.2. Основные требования к организациям, претендующим на получение лицензий на работы в области защиты информации. Предъявляются требования по:
— уровню квалификации специалистов;
— наличию и качеству измерительной базы;
— наличию и качеству производственных помещений;
— наличию режимного органа и обеспечению охраны материальных ценностей и секретов заказчика (при необходимости);
— наличию нормативно-технической и методической документации в лицензируемой области деятельности.
Требования к помещениям, предназначенным для проведения измерений при специсследованиях, их техническая и технологическая оснащенность рассматриваются как совокупность требований к разработанной технологии проведения измерений, измерительной аппаратуре, стендам и т.п., а также к организации их содержания, обслуживания и поверки, выполнение которых позволяет организации, претендующей на проведение указанных в заявке работ, получить лицензию на право их проведения.
3.5 Национальная система сертификации Республики Беларусь, назначение и функции
В соответствии с прилагаемой к конспекту книгой В.Ф.Голикова 2004 г. технические и программные средства защиты информационных ресурсов подлежат обязательной сертификации в национальной системе сертификации Республики Беларусь соответствующим органом по сертификации. Документами, регламентирующими вопросы сертификации в РБ, являются:
ГОСТ РБ "Национальная система сертификации Республики Беларусь";
СТБ 5.1.01‑96 "Основные положения";
СТБ 5.1.02‑96 "Общие требования и порядок аккредитации";
СТБ 5.1.03‑96 "Органы по сертификации систем качества. Общие требования и порядок аккредитации";
СТБ 5.1.04‑96 "Порядок проведения сертификации продукции. Общие требования";
СТБ 5.1.05‑96 "Сертификация систем качества. Порядок проведения";
СТБ 5.1.06‑96 "Положение об экспертах‑аудиторах по качеству";
СТБ 5.1.07‑96 "Реестр. Общие требования и порядок ведения".
Органом по сертификации средств защиты информации в республике является Оперативно-аналитический центр при Президенте Республики Беларусь в области защиты информации. К числу основных задач органа по сертификации средств защиты информации могут быть отнесены:
разработка нормативных документов на средства защиты и классификация их по функциональным свойствам;
разработка нормативных документов на методы испытаний средств защиты и их гармонизация с аналогичными документами зарубежных фирм и организаций;
выбор способов подтверждения соответствия средств защиты информации требованиям нормативных документов;
сертификация средств защиты информации и выдача сертификатов на их применение;
ведение реестра сертифицированных средств защиты информации;
инспекционный контроль за качеством продукции, которой присвоен тот или иной класс (уровень) защитных свойств;
приостановка или отмена действия выданных сертификатов.
3.6 Структура и функции систем защиты информации в соответствии со стандартом ISO 7498-2 1989
дВ соответствии с прилагаемой к конспекту книгой В.Ф.Голикова 2004 г. Для интеграции систем защиты информации и удешевления их стоимости проектные решения по системам защиты информации должны быть стандартизированы в рамках международных организаций, отдельных государств, областей деятельности, конкретных организаций и фирм. Для решения этой задачи осуществляется гармонизация международных, национальных, отраслевых и фирменных нормативных документов по защите информации. Международной организацией по стандартизации ‑ ИСО/МЭК разработаны стандарты, связанные с защитой информации.
Основным нормативным документом-стандартом, определяющим структуру и функции систем защиты информации, является стандарт ISO 7498-2 1989 "Системы обработки информации. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты". В этом документе рассмотрены вопросы терминологии по защите информации, приводится общее описание служб и механизмов защиты, уделено внимание проблемам взаимодействия служб, механизмов и уровней защиты, рассмотрены вопросы управления защитой при взаимодействии систем.
3.7 Страхование как метод защиты информации
В соответствии с прилагаемой к конспекту книгой В.Ф.Голикова 2004 г. определение защитных свойств технических средств осуществляется путем непосредственных испытаний. Заключение (сертификат) банковского сертификационного центра должно явиться основой для системы страховых гарантий. Для предотвращения банковских информационных рисков необходимо страхование:
электронного документооборота при заключении и исполнении договоров с участием банков, при оформлении первичных платежных документов с применением цифровой (электронной) подписи;
от несанкционированного доступа в информационную сеть;
от разрушения или потери информации в результате программных или аппаратных сбоев;
от прямых убытков, связанных с незаконным использованием программных и аппаратных средств информационной системы;
от потерь рабочего времени и ухудшения качества обслуживания клиентов, вызванных поломками или некорректным функционированием аппаратных средств.
3.8 Организационно-административные методы защиты информации
В соответствии с прилагаемой к конспекту книгой В.Ф.Голикова 2004 г. организационно-административные методы защиты информации регламентируют процессы создания и эксплуатации информационных объектов, а также взаимодействие пользователей и систем таким образом, чтобы несанкционированный доступ к информации становился либо невозможным, либо существенно затруднялся. Они охватывают все компоненты автоматизированных информационных систем на всех этапах их жизненного цикла: проектирования систем, строительства зданий, помещений и сооружений, монтажа и наладки оборудования, эксплуатации и модернизации систем. К организационно-административным мероприятиям защиты информации относятся:
выделение специальных защищенных помещений для размещения ЭВМ и средств связи и хранения носителей информации;
выделение специальных ЭВМ для обработки конфиденциальной информации;
организация хранения конфиденциальной информации на специальных промаркированных носителях информации;
использование в работе с конфиденциальной информацией технических и программных средств, имеющих сертификат защищенности и установленных в аттестованных помещениях;
организация специального делопроизводства для конфиденциальной информации, устанавливающего порядок подготовки, использования, хранения, уничтожения и учета документированной информации;
организация регламентированного доступа пользователей к работе на ЭВМ, средствам связи и к хранилищам носителей конфиденциальной информации;
установление запрета на использование открытых каналов связи для передачи конфиденциальной информации;
разработка и внедрение специальных нормативно-правовых и распорядительных документов по организации защиты конфиденциальной информации, которые регламентируют деятельность всех звеньев объекта защиты в процессе обработки, хранения, передачи и использования информации;
постоянный контроль за соблюдением установленных требований по защите информации.
3.9 Организационно-технические методы защиты информации
В соответствии с прилагаемой к конспекту книгой В.Ф.Голикова 2004 г. организационно-технические методы защиты информации охватывают все структурные элементы автоматизированных информационных систем на всех этапах их жизненного цикла. Организационно-техническая защита информации обеспечивается осуществлением следующих мероприятий:
ограничение доступа посторонних лиц внутрь корпуса оборудования за счет установки механических запорных устройств или замков;
отключение ЭВМ от локальной вычислительной сети или сети удаленного доступа (региональные и глобальные вычислительные сети) при обработке на ней конфиденциальной информации, кроме случаев передачи этой информации по каналам связи;
использование для отображения конфиденциальной информации жидкокристаллических, а для печати — струйных принтеров или термопечати с целью снижения утечки информации по электромагнитному каналу. При использовании обычных дисплеев и принтеров с этой же целью рекомендуется включать устройства, создающие дополнительный шумовой эффект (фон), — генераторы шума, кондиционер, вентилятор, или обрабатывать другую информацию на рядом стоящей ЭВМ;
установка клавиатуры и печатающих устройств на мягкие прокладки с целью снижения утечки информации по акустическому каналу;
размещение оборудования для обработки конфиденциальной информации на расстоянии не менее 2,5 м от устройств освещения, кондиционирования, связи, металлических труб, теле- и радиоаппаратуры;
организация электропитания ЭВМ от отдельного блока питания (с защитой от побочных электромагнитных излучений или от общей электросети через фильтр напряжения);
использование бесперебойных источников питания (БИП) персональных компьютеров для силовых электрических сетей с неустойчивым напряжением и плавающей частотой. Основное назначение бесперебойных источников питания — поддержание работы компьютера после исчезновения напряжения в электрической сети. Это обеспечивается за счет встроенных аккумуляторов, которые подзаряжаются во время нормальной работы. БИП мгновенно предупредит своего владельца об аварии электропитания и позволит ему в течение некоторого времени (от нескольких минут до нескольких часов) аккуратно закрыть файлы и закончить работу. Кроме обычных для БИП функций они могут выполнять функцию высококлассного стабилизатора напряжения и электрического фильтра. Важной особенностью устройства является возможность непосредственной связи между ним и сетевой операционной системой