01. 2-й етап: розробка політики безпеки інформації в ІТС

Під час другого етапу створення КСЗІ в ІТС складаються такі документи:
- політика безпеки інформації;
- план захисту інформації;
- календарний план робіт із захисту інформації.

Опис політики безпеки інформації в ІТС здійснюється згідно вимог додатку «Методичні вказівки щодо структури та змісту Плану захисту інформації в АС» до НД ТЗІ 1.4-001-2000 «Типове положення про СЗІ в АС», затверджується керівником організації-власника (розпорядника) ІТС, та вноситься, за необхідності, до відповідних розділів Плану захисту та Технічного завдання на створення КСЗІ.

Виходячи з міжнародного досвіду та вимог міжнародних стандартів в області інформаційної безпеки розрізняють 3 типи політики безпеки.

1. Програмна політики безпеки є політикою вищої ланки управління в організації. Об'єктом є організація в цілому, за розробку і здійснення програмної політики несе відповідальність керівництво організації. Програмна політика визначає стратегічні напрямки забезпечення інформаційної безпеки.

2. Системно - орієнтована політика – це структура,  склад,  вимоги до окремих компонентів, процедур і функцій ІТС, етапу документування, які визначені вітчизняними нормативними документами.

3. Проблемно - орієнтована політика спрямована на вирішення окремих проблем або завдань в області забезпечення інформаційної безпеки. Існує ряд областей діяльності організації, для яких необхідно розробити окремі політики: фізичної безпеки, керування доступом, адміністрування, криптозахисту, антивірусного захисту, інтернет-доступу тощо.

Вимоги до політики

Політика безпеки містить набір вимог, правил, обмежень, рекомендацій тощо, які регламентують порядок оброблення в ІТС інформації, зазначеної у «Переліку інформації, що підлягає автоматизованому обробленню в ІТС і потребує захисту», та спрямовані на захист її критичних властивостей від загроз, притаманних умовам функціонування конкретної ІТС.

Політика (з урахуванням результатів обстеження середовищ функціонування ІТС) визначає інформаційні ресурси ІТС, що потребують захисту. Мають бути сформульовані основні загрози для інформації з різними характеристиками відповідно до встановленого законодавством правового режиму та режиму доступу, компонентів обчислювальної системи, персоналу та вимоги щодо захисту від цих загроз.

Перераховуються основні рішення з протидії всім суттєвим загрозам, правила, які регламентують використання захищених технологій обробки інформації в ІТС, окремих заходів і засобів захисту інформації, діяльність користувачів всіх категорій.

Як складові частини загальної політики повинні бути наведені політики забезпечення конфіденційності, цілісності та доступності оброблюваної інформації, а також спостереженості та керованості ІТС.

Політика має бути розроблена таким чином, що б вона не потребувала частої модифікації (потреба частої зміни вказує на надмірну конкретизацію, наприклад, не завжди доцільно вказувати конкретну назву чи версію програмного продукту).

Політика повинна стосуватись:
- інформації (рівня критичності ресурсів ІТС);
- взаємодії об'єктів (правил, відповідальності за захист інформації, гарантій захисту);
- області застосування (яких складових компонентів ІТС політика безпеки стосується, а яких - ні).

Політика повинна передбачати використання всіх заходів захисту інформації:
- організаційно-правових;
- інженерно-технічних;
- програмно-апаратних тощо.

Політика безпеки повинна базуватися на таких основних принципах:
- системності та комплексності;
- безперервності та достатності захисту.

Крім того, політика безпеки повинна забезпечити:
- гнучкість керування системою захисту, простоту та зручність її використання;
- відкритість алгоритмів і механізмів захисту, якщо інше не передбачено окремо.

Політика безпеки повинна поширюватись на такі об’єкти захисту:

- відомості (незалежно від виду їхнього представлення), віднесені до інформації з обмеженим доступом (ІзОД) або інших видів інформації, що підлягають захисту, обробка яких здійснюється в АС і які можуть знаходитись на паперових, магнітних, оптичних та інших носіях; інформаційні масиви та бази даних, програмне забезпечення, інші інформаційні ресурси;

- обладнання АС та інші матеріальні ресурси, включаючи технічні засоби та системи, не задіяні в обробці ІзОД, але знаходяться у контрольованій зоні, носії інформації, процеси і технології її обробки. Технічні області, в яких необхідно захищати інформаційне та програмне забезпечення - робоча станція, комунікаційні канали (фізична мережа) та комутаційне обладнання, сервери, засоби друку та буферизації для утворення твердих копій, накопичувачі інформації;

- засоби та системи фізичної охорони матеріальних та інформаційних ресурсів, організаційні заходи захисту; коористувачі (персонал) АС та їхні права.

Вихідними даними для визначення вимог до заходів і засобів захисту є:
- завдання і функції ІТС;
- моделі загроз і порушників;
- результати аналізу ризиків.

На підставі цих даних визначаються компоненти ІТС (наприклад, окрема ЛОМ, спеціалізований АРМ, Iнтернет-вузол тощо), для яких необхідно або доцільно розробляти свої власні політики безпеки, відмінні від загальної політики безпеки в ІТС.

Для кожного компонента та (або) ІТС в цілому формується перелік необхідних послуг безпеки та вимог до рівнів реалізації кожної з них, визначається рівень гарантій реалізації послуг (згідно з НД ТЗІ 2.5-004-99 і 2.5-005-99). Визначені вимоги будуть складати ФПЗ ІТС або її компоненти.

Політика повинна доказово давати гарантії забезпечення:
- адекватності рівня захисту інформації рівню її критичності;
- рентабельності заходів захисту інформації;
- оцінюваності та перевіряємості захищеності інформації в будь-якому середовищі функціонування ІТС.

Реалізація політики повинна продемонструвати, що:
- забезпечується аудит для всіх критичних з точки зору безпеки ресурсів, до яких здійснюється доступ в процесі функціонування ІТС;
- персонал і користувачі забезпечені повним комплектом документації щодо порядку захисту інформації;
- всі критичні з точки зору безпеки інформації технології (функції) ІТС мають відповідні плани забезпечення безперервної роботи та її поновлення у разі виникнення надзвичайних ситуацій;
- враховані вимоги всіх документів, які регламентують порядок захисту інформації в ІТС, та забезпечується їхнє суворе дотримання.

Документальне оформлення політики

Структурно до політики повинні входити такі розділи:
- загальний, у якому визначається відношення керівництва ІТС до проблеми безпеки інформації;
- організаційний, у якому наводиться перелік підрозділів, робочих груп, посадових осіб, які відповідають за роботи у сфері захисту інформації, їхніх функції, викладаються підходи, що застосовуються до персоналу (опис посад з точки зору безпеки інформації, організація навчання та перепідго­товки персоналу, порядок реагування на порушення режиму безпеки тощо);
- класифікаційний, де визначаються матеріальні та інформаційні ресурси, які є у наявності в ІТС, та необхідний рівень їхнього захисту;
- розділ, у якому визначаються правила розмежування доступу користувачів та процесів до інформаційних ресурсів ІТС (далі - ПРД);
- розділ, у якому визначається підхід щодо керування робочими станціями, серверами, мережевим обладнанням тощо;
- розділ, у якому висвітлюються питання фізичного захисту;
- розділ, де викладено порядок розробки та супроводження ІТС, модернізації апаратного та програмного забезпечення;
- розділ, який регламентує порядок проведення відновлювальних робіт і забезпечення неперервного функціонування ІТС;
- юридичний розділ, у якому приводиться підтвердження відповідності політики безпеки законодавству України.

У класифікаційному розділі на основі інвентаризації усіх компонентів ІТС, що беруть участь у технологічному процесі обробки інформації, приводиться опис активних і пасивних компонентів ІТС. Інвентаризації (ідентифікації) підлягають:
- організаційно-топологічна структура ІТС, для якої створюється КСЗІ;
- склад і призначення функціональних підсистем ІТС;
- склад служб і протоколів, що реалізують інформаційний обмін між елементами (компонентами) ІТС;
- об'єкти захисту (види і категорії оброблюваної інформації, апаратно-програмні й інформаційні ресурси на відповідних рівнях ієрархічної структури ІТС);
- персонал і користувачі ІТС.

При описі  компонентів системи рекомендується скласти структурну схему інформаційних потоків між основними компонентами ІТС, а також описати технологію обробки інформації. При виборі й аналізі об'єктів ІТС важливим моментом є ступінь деталізації розглянутих об'єктів.

Так, для АС класу 1 (окрема ПЕОМ) припустимо розглядати всю інфраструктуру, тоді як для АС класу 3 (глобальна мережа) всеосяжна оцінка може зажадати неприйнятних витрат часу і сил. У цьому випадку рекомендується зосередитися на описі найбільш важливих компонентів ІТС.

Приводиться перелік інформаційних потоків, що циркулюють між компонентами ІТС. У залежності від класу ІТС структурна схема інформаційних потоків між основними компонентами ІТС може включати:
- внутрішні потоки обміну між активними і пасивними об'єктами усередині однієї ПЕОМ;
- локальні потоки обміну між робочими станціями і серверами усередині однієї ЛОМ (домена);
- міжмережеві потоки обміну між ЛОМ (доменами), що входять до складу однієї ІТС;
- потоки обміну інформацією з вилученими взаємодіючими об'єктами, що не входять до складу ІТС...

Чтобы прочитать лекцию полностью, напишите автору

----------------------------------------------------------------------------------------------------

Книга | Автор | Статьи | Фильмы | Фото | Ссылки | Отзывы

Контакт | Студентам | Ветеранам | Астрология | Карта сайта



Рейтинг@Mail.ru Яндекс.Метрика