01. 2-й етап: розробка політики безпеки інформації в ІТС

Під час другого етапу створення КСЗІ в ІТС складаються такі документи:
- політика безпеки інформації;
- план захисту інформації;
- календарний план робіт із захисту інформації.

Опис політики безпеки інформації в ІТС здійснюється згідно вимог додатку «Методичні вказівки щодо структури та змісту Плану захисту інформації в АС» до НД ТЗІ 1.4-001-2000 «Типове положення про СЗІ в АС», затверджується керівником організації-власника (розпорядника) ІТС, та вноситься, за необхідності, до відповідних розділів Плану захисту та Технічного завдання на створення КСЗІ.

Виходячи з міжнародного досвіду та вимог міжнародних стандартів в області інформаційної безпеки розрізняють 3 типи політики безпеки.

1. Програмна політики безпеки є політикою вищої ланки управління в організації. Об'єктом є організація в цілому, за розробку і здійснення програмної політики несе відповідальність керівництво організації. Програмна політика визначає стратегічні напрямки забезпечення інформаційної безпеки.

2. Системно - орієнтована політика – це структура,  склад,  вимоги до окремих компонентів, процедур і функцій ІТС, етапу документування, які визначені вітчизняними нормативними документами.

3. Проблемно - орієнтована політика спрямована на вирішення окремих проблем або завдань в області забезпечення інформаційної безпеки. Існує ряд областей діяльності організації, для яких необхідно розробити окремі політики: фізичної безпеки, керування доступом, адміністрування, криптозахисту, антивірусного захисту, інтернет-доступу тощо.

Вимоги до політики

Політика безпеки містить набір вимог, правил, обмежень, рекомендацій тощо, які регламентують порядок оброблення в ІТС інформації, зазначеної у «Переліку інформації, що підлягає автоматизованому обробленню в ІТС і потребує захисту», та спрямовані на захист її критичних властивостей від загроз, притаманних умовам функціонування конкретної ІТС.

Політика (з урахуванням результатів обстеження середовищ функціонування ІТС) визначає інформаційні ресурси ІТС, що потребують захисту. Мають бути сформульовані основні загрози для інформації з різними характеристиками відповідно до встановленого законодавством правового режиму та режиму доступу, компонентів обчислювальної системи, персоналу та вимоги щодо захисту від цих загроз.

Перераховуються основні рішення з протидії всім суттєвим загрозам, правила, які регламентують використання захищених технологій обробки інформації в ІТС, окремих заходів і засобів захисту інформації, діяльність користувачів всіх категорій.

Як складові частини загальної політики повинні бути наведені політики забезпечення конфіденційності, цілісності та доступності оброблюваної інформації, а також спостереженості та керованості ІТС.

Політика має бути розроблена таким чином, що б вона не потребувала частої модифікації (потреба частої зміни вказує на надмірну конкретизацію, наприклад, не завжди доцільно вказувати конкретну назву чи версію програмного продукту).

Політика повинна стосуватись:
- інформації (рівня критичності ресурсів ІТС);
- взаємодії об'єктів (правил, відповідальності за захист інформації, гарантій захисту);
- області застосування (яких складових компонентів ІТС політика безпеки стосується, а яких - ні).

Політика повинна передбачати використання всіх заходів захисту інформації:
- організаційно-правових;
- інженерно-технічних;
- програмно-апаратних тощо.

Політика безпеки повинна базуватися на таких основних принципах:
- системності та комплексності;
- безперервності та достатності захисту.

Крім того, політика безпеки повинна забезпечити:
- гнучкість керування системою захисту, простоту та зручність її використання;
- відкритість алгоритмів і механізмів захисту, якщо інше не передбачено окремо.

Політика безпеки повинна поширюватись на такі об’єкти захисту:

- відомості (незалежно від виду їхнього представлення), віднесені до інформації з обмеженим доступом (ІзОД) або інших видів інформації, що підлягають захисту, обробка яких здійснюється в АС і які можуть знаходитись на паперових, магнітних, оптичних та інших носіях; інформаційні масиви та бази даних, програмне забезпечення, інші інформаційні ресурси;

- обладнання АС та інші матеріальні ресурси, включаючи технічні засоби та системи, не задіяні в обробці ІзОД, але знаходяться у контрольованій зоні, носії інформації, процеси і технології її обробки. Технічні області, в яких необхідно захищати інформаційне та програмне забезпечення - робоча станція, комунікаційні канали (фізична мережа) та комутаційне обладнання, сервери, засоби друку та буферизації для утворення твердих копій, накопичувачі інформації;

- засоби та системи фізичної охорони матеріальних та інформаційних ресурсів, організаційні заходи захисту; коористувачі (персонал) АС та їхні права.

Вихідними даними для визначення вимог до заходів і засобів захисту є:
- завдання і функції ІТС;
- моделі загроз і порушників;
- результати аналізу ризиків.

На підставі цих даних визначаються компоненти ІТС (наприклад, окрема ЛОМ, спеціалізований АРМ, Iнтернет-вузол тощо), для яких необхідно або доцільно розробляти свої власні політики безпеки, відмінні від загальної політики безпеки в ІТС.

Для кожного компонента та (або) ІТС в цілому формується перелік необхідних послуг безпеки та вимог до рівнів реалізації кожної з них, визначається рівень гарантій реалізації послуг (згідно з НД ТЗІ 2.5-004-99 і 2.5-005-99). Визначені вимоги будуть складати ФПЗ ІТС або її компоненти.

Політика повинна доказово давати гарантії забезпечення:
- адекватності рівня захисту інформації рівню її критичності;
- рентабельності заходів захисту інформації;
- оцінюваності та перевіряємості захищеності інформації в будь-якому середовищі функціонування ІТС.

Реалізація політики повинна продемонструвати, що:
- забезпечується аудит для всіх критичних з точки зору безпеки ресурсів, до яких здійснюється доступ в процесі функціонування ІТС;
- персонал і користувачі забезпечені повним комплектом документації щодо порядку захисту інформації;
- всі критичні з точки зору безпеки інформації технології (функції) ІТС мають відповідні плани забезпечення безперервної роботи та її поновлення у разі виникнення надзвичайних ситуацій;
- враховані вимоги всіх документів, які регламентують порядок захисту інформації в ІТС, та забезпечується їхнє суворе дотримання.

Документальне оформлення політики

Структурно до політики повинні входити такі розділи:
- загальний, у якому визначається відношення керівництва ІТС до проблеми безпеки інформації;
- організаційний, у якому наводиться перелік підрозділів, робочих груп, посадових осіб, які відповідають за роботи у сфері захисту інформації, їхніх функції, викладаються підходи, що застосовуються до персоналу (опис посад з точки зору безпеки інформації, організація навчання та перепідго­товки персоналу, порядок реагування на порушення режиму безпеки тощо);
- класифікаційний, де визначаються матеріальні та інформаційні ресурси, які є у наявності в ІТС, та необхідний рівень їхнього захисту;
- розділ, у якому визначаються правила розмежування доступу користувачів та процесів до інформаційних ресурсів ІТС (далі - ПРД);
- розділ, у якому визначається підхід щодо керування робочими станціями, серверами, мережевим обладнанням тощо;
- розділ, у якому висвітлюються питання фізичного захисту;
- розділ, де викладено порядок розробки та супроводження ІТС, модернізації апаратного та програмного забезпечення;
- розділ, який регламентує порядок проведення відновлювальних робіт і забезпечення неперервного функціонування ІТС;
- юридичний розділ, у якому приводиться підтвердження відповідності політики безпеки законодавству України.

У класифікаційному розділі на основі інвентаризації усіх компонентів ІТС, що беруть участь у технологічному процесі обробки інформації, приводиться опис активних і пасивних компонентів ІТС. Інвентаризації (ідентифікації) підлягають:
- організаційно-топологічна структура ІТС, для якої створюється КСЗІ;
- склад і призначення функціональних підсистем ІТС;
- склад служб і протоколів, що реалізують інформаційний обмін між елементами (компонентами) ІТС;
- об'єкти захисту (види і категорії оброблюваної інформації, апаратно-програмні й інформаційні ресурси на відповідних рівнях ієрархічної структури ІТС);
- персонал і користувачі ІТС.

При описі  компонентів системи рекомендується скласти структурну схему інформаційних потоків між основними компонентами ІТС, а також описати технологію обробки інформації. При виборі й аналізі об'єктів ІТС важливим моментом є ступінь деталізації розглянутих об'єктів.

Так, для АС класу 1 (окрема ПЕОМ) припустимо розглядати всю інфраструктуру, тоді як для АС класу 3 (глобальна мережа) всеосяжна оцінка може зажадати неприйнятних витрат часу і сил. У цьому випадку рекомендується зосередитися на описі найбільш важливих компонентів ІТС.

Приводиться перелік інформаційних потоків, що циркулюють між компонентами ІТС. У залежності від класу ІТС структурна схема інформаційних потоків між основними компонентами ІТС може включати:
- внутрішні потоки обміну між активними і пасивними об'єктами усередині однієї ПЕОМ;
- локальні потоки обміну між робочими станціями і серверами усередині однієї ЛОМ (домена);
- міжмережеві потоки обміну між ЛОМ (доменами), що входять до складу однієї ІТС;
- потоки обміну інформацією з вилученими взаємодіючими об'єктами, що не входять до складу ІТС.

У цьому ж розділі можна вказати необхідні завдання захисту інформації, об'єкти захисту та обраний варіант побудови КСЗІ. З урахуванням класу ІТС для кожного компонента і ІТС в цілому перелічуються послуги безпеки і вимоги до рівнів реалізації кожної з них, рівень гарантій реалізації послуг. У разі обробки в ІТС таємної інформації для кожного компонента і ІТС в цілому визначаються загальні підходи та рішення щодо захисту інформації від витоку технічними каналами.

Найважливішу частину політики безпеки складає розділ щодо ПРД, які є певним абстрактним механізмом, який виступає посередником при будь-яких взаємодіях об’єктів ІТС.

З урахуванням того, що в ІТС визначено такі ієрархічні ролі як адміністратор та користувач, загальні ПРД можуть бути такими:

1. Кожний користувач має персональні атрибути: логін і пароль. Видача атрибутів здійснюється адміністратором тільки після документальної реєстрації особи як користувача. Користувачу забороняється передавати свої персональні атрибути іншому користувачу. Персональні атрибути для адміністраторів надає адміністратор безпеки ІТС.

2. Атрибути користувачів періодично змінюються, а ті, що скомпрометовані або не використовуються, видаляються.

3. Користувачі проходять процедуру автентифікації для отримання доступу до ресурсів ІТС.

4. Усі користувачі повинні знати «Настанову користувачу» (пройти відповідний курс навчання та скласти іспит).

5. Кожне автоматизоване робоче місце (далі - АРМ) повинно мати свого адміністратора, який несе відповідальність за його працездатність та за дотримання всіх вимог і процедур, пов'язаних з обробкою інформації та її захистом. Таку роль може виконувати уповноважений користувач. Цей користувач повинен бути забезпечений відповідними інструкціями і навчений всім вимогам і процедурам.

6. Для попередження неавторизованого доступу до даних, ПЗ, інших ресурсів ІТС, керування механізмами захисту здійснюється адміністратором безпеки ІТС.

7. Для попередження поширення комп'ютерних вірусів відповідальність за дотримання правил використання ПЗ несуть: на АРМ - його адміністратор, в ІТС - адміністратор безпеки ІТС. Використовуватись повинно тільки ПЗ, яке дозволено політикою безпеки (ліцензійне, яке має відповідні сертифікати, експертні висновки тощо).

8. За всі зміни ПЗ, створення резервних і архівних копій несе відповідальність адміністратор безпеки ІТС. Такі роботи виконуються за його дозволом.

9. Адміністратор безпеки ІТС і адміністратори повсякденно здійснюють перевірку працездатності засобів захисту інформації, ведуть облік критичних з точки зору безпеки подій і  готують звіти щодо цього.

10. Процедури використання активного мережевого обладнання, а також окремих видів ПЗ, яке може суттєво впливати на безпеку (аналізатори трафіку, аналізатори безпеки мереж, засоби адміністрування тощо), авторизовані і здійснюються під контролем адміністратора безпеки ІТС.

Загальні ПРД мають бути конкретизовані на рівні вибору необхідних послуг безпеки та впровадження організаційних заходів захисту інформації.

У розділі щодо ПРД викладаються вимоги до забезпечення:
- керування доступом (довірче або адміністративне);
- безперервності захисту;
- набору атрибутів доступу та правил їх використання;
- реєстрації будь-яких дій користувачів.

Правила розмежування інформаційних потоків формулюються на основі аналізу області (границі) існування, спрямованості (вхідні чи вихідні), джерел і приймачів, функціонального призначення потоків, вимог із забезпечення конфіденційності, цілісності, доступності та спостереженості.

ПРД повинні визначати, де і на яких рівнях взаємодії систем повинне здійснюватися розмежування інформаційних потоків і з використанням яких атрибутів і механізмів (ідентифікаторів безпеки, мережевих портів, ключів автентифікації, ключів напрямків і мережевих ключів шифрування). Правила повинні також визначати умови й обмеження з ініціювання та завершення процесів інформаційного обміну, наприклад, у вигляді асоціації безпеки.

ПРД користувачів і процесів до пасивних об'єктів визначають склад осіб, яким дозволений доступ до ресурсів ІТС, порядок правильного використання ресурсів ІТС, статус, права та привілеї адміністратора безпеки, статус і права користувачів.

У розділі «Порядок проведення відновлювальних робіт і забезпечення безперервного функціонування ІТС», повинні бути описані підходи щодо планування і порядку виконання відновлювальних робіт після збоїв, аварій, інших надзвичайних ситуацій (далі - НС) з метою забезпечення безперервного функціонування ІТС в захищеному режимі.

Під час планування цих робіт визначаються такі питання щодо ІТС:
- критичні з точки зору безпеки процеси у роботі ІТС;
- можливий негативний вплив НС на роботу ІТС.

Під час планування також визначаються такі питання щодо персоналу ІТС:
- обов'язки та порядок дій під час НС;
- порядок підготовки до НС.

У розділі визначаються заходи щодо улагодження інцидента, резервування та відновлення, що включають в себе опис:
- типових НС, які потенційно найбільш ймовірні в ІТС внаслідок наявності вразливостей, або які реально вже мали місце під час роботи;
- процедур негайного реагування на НС, спрямованих на локалізацію та нейтралізацію інциденту, що може призвести до порушення політики безпеки;
- процедур тимчасового переводу ІТС або окремих її компонентів на аварійний режим роботи;
- процедур відновлення нормального функціонування ІТС або окремих її компонентів;
- порядку проведення тренувань персоналу в умовах імітації НС.

Розділ підлягає перегляду у разі виникнення таких змін в ІТС:
- встановлення нового обладнання або модернізація існуючого, включення до складу АС нових компонентів;
- встановлення нових систем життєзабезпечення ІТС (сигналізації, пожежогасіння, кондиціювання тощо);
- проведення будівельно-ремонтних робіт;
- організаційні зміни у структурі ІТС, виробничих процесах, процедурах обслуговування ІТС;
- зміни у технології обробки інформації;
- зміни у програмному забезпеченні;
- будь-які зміни у складі і функціях КСЗІ.

У разі незначногу обсягу даних Політика безпеки як окремий документ не складається, а оформлюється як розділ Плану захисту.

На підставі Плану захисту складається «Календарний план робіт із захисту інформації в ІТС», який містить такі заходи:
- організаційні;
- контрольно-профілактичні;
- інженерно-технічні;
- кадрові.

Організаційні заходи - це комплекс адміністративних та обмежувальних заходів, спрямованих на оперативне вирішення завдань захисту інформації шляхом регламентації діяльності персоналу і порядку функціонування засобів (систем) забезпечення інформаційної діяльності та засобів (систем) забезпечення захисту інформації.

До плану можуть включатись заходи щодо:
- розробки документів (інструкцій, методик, правил, розпоряджень тощо) з різних напрямів захисту інформації в АС;
- внесення змін та доповнень до чинних в АС документів з урахуванням зміни умов (обставин);
- розробки та впровадження нових організаційних заходів з захисту інформації;
- обгрунтування необхідності застосування та впровадження нових  засобів захисту інформації;
- координації робіт та взаємодії з іншими підрозділами організації або зовнішніми організаціями на всіх етапах життєвого циклу ІТС;
- розгляду результатів виконання затверджених заходів та робіт з захисту інформації;
- інші.

До контрольно-правових заходів можуть бути віднесені:
- контроль за виконанням персоналом (користувачами) вимог відповідних інструкцій, розпоряджень, наказів;
- контроль за виконанням заходів, розроблених за результатами попередніх перевірок;
- контроль за станом зберігання та використання носіїв інформації на робочих місцях;
- інші.

До профілактичних слід відносити заходи, спрямовані на формування у персоналу (користувачів) мотивів поведінки, які спонукають їх до безумовного виконання у повному обсязі вимог режиму, правил проведення робіт тощо, а також на формування відповідного морально-етичного стану в колективі.

До інженерно-технічних слід відносити заходи, спрямовані на налагодження, випробування і введення в експлуатацію, супроводження і технічне обслуговування КЗЗ від НСД, засобів захисту інформації від загроз її витоку технічними каналами, інженерне обладнання споруд і приміщень, в яких розміщуються засоби обробки інформації, у тому числі в процесі капітального будівництва тощо.

Планування роботи з кадрами включає заходи з підбору та навчання персоналу (користувачів) встановленим правилам безпеки інформації, новим методам захисту інформації, підвищення їхньої кваліфікації. Навчання персоналу (користувачів) може здійснюватись власними силами, з залученням спеціалістів зовнішніх організацій або в інших організаціях.

Навчання повинно здійснюватися за програмою, затвердженою керівництвом організації. Навчальні програми повинні мати теоретичний і практичний курси. Доцільність і необхідність включення до програм окремих розділів визначається особливостями ІТС і технологіями захисту інформації, що  використовуються в ній, функціональними завданнями спеціалістів, що входять до складу навчальних груп та іншими чинниками.

Приклад календарного плану робіт із захисту інформації в ІТС

1. Організаційні заходи

Заходи

Виконавець

Регламент робіт

Термін/період

Розробка ТЗ на КСЗІ

Служба захисту
Адміністратори

Згідно НД ТЗІ 3.7-001-99

Після складання Плану захисту

Проектування КСЗІ

Розробник КСЗІ

Згідно НД ТЗІ 3.7-003-05 і НД ТЗІ 2.5-004-99

Після погодження ТЗ з Держспецзв’язку

Попередні випробування КСЗІ

Розробник КСЗІ

Згідно ДСТУ 2853-94 і «Програми та методики попередніх випробувань»

Після пуско-налагоджувальних робіт КСЗІ

Підготовка впровадження КСЗІ

Адміністратори

Призначення відповідальних осіб і підготовка відповідних розпоряджень щодо КСЗІ

Під час попередніх випробувань КСЗІ

Дослідна експлуатація КСЗІ

Служба захисту
Адміністратори

Відпрацювання технологій оброблення інформації, проведення навчання персоналу

Після завершення попередніх випробувань

Державна експертиза КСЗІ

Адміністрація Держспецзв’язку

Згідно «Положення про державну експертизу»

Після завершення дослідної експлуатації

Введення в промислову експлуатацію

Служба захисту
Адміністратори

Згідно «Інструкції з експлуатації ІТС в частині забезпечення захисту інформації»

Після отримання Атестату відповідності

Реєстрація МНІ і користувачів

Адміністратори

Заведення журналів обліку Реєстрація користувачів і МНІ в системі та журналах

Після наказу про введення ІТС в експлуатацію

Коригування політики безпеки

Служба захисту
Адміністратори

Коригування окремих положень Розробка додаткових інструкцій як складових політики безпеки

у разі змін умов функціонування ІТС

Перегляд Плану захисту

Служба захисту
Адміністратори

Розробка нових підходів до планування заходів захисту

щорічно

Супровід та модернізація КСЗІ

Служба захисту
Адміністратори

Розробка технічних завдань на модернізацію КСЗІ згідно НД ТЗІ 3.7-001-99

згідно плану розвитку та вдосконалення КСЗІ

Чергове категоріювання

Комісія установи

Згідно НД ТЗІ 1.6-005-2013

через 5 років після первинного

Чергова державна експертиза

Адміністрація ДССЗЗІ

Згідно вимог «Положення про державну експертизу»

через 5 років після первинної

         

2. Контрольно-профілактичні заходи

Заходи

Виконавець

Регламент робіт

Термін/період

Ознайомлення користувачів з порядком робіт та мірою відповідальності за дотримання вимог політики безпеки

Служба захисту

Оформлення допуску до роботи

після прийому на роботу

Адміністратор безпеки

Згідно «Інструкції користувачу»

під час їхньої реєстрації в ІТС

Проведення занять з персоналом ІТС щодо виконання вимог політики безпеки в установі

Служба захисту

Згідно «Плану навчання в установі»

щоквартально

Контрольні заходи

Системний адміністратор

Перевірка справності ОС і ПЗ ІТС

щодня

Адміністратор безпеки

Перевірка виконання вимог політики безпеки користувачами

щомісячно

Служба захисту

Перевірка виконання політики безпеки адміністраторами

щоквартально

Перевірка стану захисту інформації

Комісія установи

Згідно «Положення про захист інформації в ІТС»

щорічно

Перевірка наявності МНІ

Комісія установи

Згідно «Інструкції про організацію діловодства»

щорічно

3. Інженерно-технічні заходи

Заходи

Виконавець

Регламент робіт

Термін/період

Пуско-налагод-жувальні роботи

Розробник КСЗІ

Згідно технічного завдання на КСЗІ

Після затвердження проекту КСЗІ

Попередні випробування КСЗІ

Розробник КСЗІ

Згідно ДСТУ 2853-94 і «Програми та методики попередніх випробувань»

Після пуско-налагоджувальних робіт КСЗІ

Дослідна експлуатація КСЗІ

Служба захисту Адміністратори

Відпрацювання технологічних процесів в ІТС

Після завершення випробувань

Державна експертиза КСЗІ

Експерт, призначений
ДССЗЗІ

Згідно «Програми та методики експертних випробувань»

Після завершення дослідної експлуатації

Введення в промислову експлуатацію

Служба захисту
Адміністратори

Згідно «Інструкції з експлуатації ІТС в частині забезпечення захисту»

Після отримання Атестату відповідності

Супровід КСЗІ

Розробник КСЗІ

Гарантійне обслуговування

Гарантійний термін

Технічне обслуговування ІТС

Адміністратори

 

Згідно «Регламенту технічного обслуговування»

згідно термінів регламенту

Резервування баз даних і фондів

Адміністратор безпеки

Згідно «Інструкції з резервування баз даних»

щомісячно

Поновлення антивірусних баз

Адміністратор безпеки

Згідно «Інструкції з антивірусного захисту»

щодня

Перевірка МНІ і ІТС на наявність вірусів

Користувач (МНІ)

Згідно «Інструкції з антивірусного захисту»

щодня

Адміністратори (ІТС)

щотижня

Модернізація КСЗІ

Розробник КСЗІ

Заміна (додавання) окремих компонентів КСЗІ згідно НД ТЗІ 3.7-001-99

згідно плану розвитку та вдосконалення КСЗІ

4. Робота з кадрами

Заходи

Виконавець

Регламент робіт

Термін/період

Вступне ознайомлення з положеннями політики безпеки інформації (під розпис)

Служба захисту

Оформлення допуску до роботи

після прийому на роботу

Адміністратор безпеки

Згідно «Інструкції користувачу»

під час їхньої реєстрації в ІТС

Підготовка та впровадження в рамках трудової угоди розділу відповідальності за виконання вимог політики безпеки

Служба захисту

Згідно вимог трудового законодавства

за рішенням керівника установи

Інструктаж користувача щодо дій у випадку нештатної ситуації

Адміністратор безпеки

Згідно «Плану робіт у випадку нештатної ситуації»

щорічно

Проведення занять з професійної підготовки персоналу ІТС

Служба захисту
Адміністратори

Згідно «Плану професійної підготовки в установі»

щотижня

Направлення на курси підвищення кваліфікації

Служба захисту

 

Згідно «Плану підвищення кваліфікації в установі»

згідно термінів плану

----------------------------------------------------------------------------------------------------

Книга | Автор | Статьи | Фильмы | Фото | Ссылки | Отзывы

Контакт | Студентам | Ветеранам | Астрология | Карта сайта



Рейтинг@Mail.ru Яндекс.Метрика