Концепция безопасности ЛВС образовательного учреждения МВД РФ

2.1. Концепция безопасности ЛВС образовательного учреждения МВД РФ.

Рассмотрим локальную сеть, которой владеет образовательное учреждение МВД РФ, и ассоциированную с ней политику безопасности среднего уровня.

Информация, циркулирующая в рамках локальной сети, является критически важной. Локальная сеть позволяет пользователям разделять программы и данные, что увеличивает риск. Следовательно, каждый из компьютеров, входящих в сеть, нуждается в более сильной защите.

В учреждении должна быть разработана инструкция по обеспечению безопасности информации преследующая две главные цели - продемонстрировать сотрудникам важность защиты сетевой среды, описать их роль в обеспечении безопасности, а также распределить конкретные обязанности по защите информации, циркулирующей в сети, равно как и самой сети.

В сферу действия данной политики попадают все аппаратные, программные и информационные ресурсы, входящие в локальную сеть учреждения. Политика ориентирована также на людей, работающих с сетью, в том числе на пользователей, субподрядчиков и поставщиков.

Целью учреждения МВД РФ является обеспечение целостности, доступности и конфиденциальности данных, а также их полноты и актуальности. Более частными целями являются:

•Обеспечение уровня безопасности, соответствующего нормативным документам.

•Следование экономической целесообразности в выборе защитных мер (расходы на защиту не должны превосходить предполагаемый ущерб от нарушения информационной безопасности).

•Обеспечение безопасности в каждой функциональной области локальной сети.

•Обеспечение подотчетности всех действий пользователей с информацией и ресурсами.

•Обеспечение анализа регистрационной информации.

•Предоставление пользователям достаточной информации для сознательного поддержания режима безопасности.

•Выработка планов восстановления после аварий и иных критических ситуаций для всех функциональных областей с целью обеспечения непрерывности работы сети.

•Обеспечение соответствия с имеющимися законами и общеорганизационной политикой безопасности.

Перечисленные группы людей отвечают за реализацию сформулированных ранее целей.

•Руководители подразделений отвечают за доведение положений политики безопасности до пользователей и за контакты с ними.

•Администраторы локальной сети обеспечивают непрерывное функционирование сети и отвечают за реализацию технических мер, необходимых для проведения в жизнь политики безопасности.

•Администраторы сервисов отвечают за конкретные сервисы и, в частности, за то, чтобы защита была построена в соответствии с общей политикой безопасности.

•Пользователи обязаны работать с локальной сетью в соответствии с политикой безопасности, подчиняться распоряжениям лиц, отвечающих за отдельные аспекты безопасности, ставить в известность руководство обо всех подозрительных ситуациях.

Нарушение политики безопасности может подвергнуть локальную сеть и циркулирующую в ней информацию недопустимому риску. Случаи нарушения со стороны персонала должны рассматриваться руководством для принятия мер вплоть до увольнения.

Обеспечение безопасности при групповой обработке информации в службах и подразделениях института.

Для обеспечения защиты информации в институте должны быть разработаны и введены в действие инструкции для всех категории персонала, в которых должны найти отражение следующие задачи для каждой категории:

Руководители подразделений обязаны:

•Постоянно держать в поле зрения вопросы безопасности. Следить за тем, чтобы то же делали их подчиненные.

•Проводить анализ рисков, выявляя активы, требующие защиты, и уязвимые места систем, оценивая размер возможного ущерба от нарушения режима безопасности и выбирая эффективные средства защиты.

•Организовать обучение персонала мерам безопасности. Обратить особое внимание на вопросы, связанные с антивирусным контролем.

•Информировать администраторов локальной сети и администраторов сервисов об изменении статуса каждого из подчиненных (переход на другую работу, увольнение и т.п.).

•Обеспечить, чтобы каждый компьютер в их подразделениях имел хозяина или системного администратора, отвечающего за безопасность и имеющего достаточную квалификацию для выполнения этой роли.

Администраторы локальной сети обязаны:

•Информировать руководство об эффективности существующей политики безопасности и о технических мерах, которые могут улучшить защиту.

•Обеспечить защиту оборудования локальной сети, в том числе интерфейсов с другими сетями.

•Оперативно и эффективно реагировать на события, таящие угрозу. Информировать администраторов сервисов о попытках нарушения защиты. Оказывать помощь в отражении угрозы, выявлении нарушителей и предоставлении информации для их наказания.

•Использовать проверенные средства аудита и обнаружения подозрительных ситуаций.

•Ежедневно анализировать регистрационную информацию, относящуюся к сети в целом и к файловым серверам в особенности.

•Следить за новинками в области информационной безопасности, сообщать о них пользователям и руководству.

•Не злоупотреблять данными им большими полномочиями. Пользователи имеют право на тайну.

•Разработать процедуры и подготовить инструкции для защиты локальной сети от зловредного программного обеспечения. Оказывать помощь в обнаружении и ликвидации зловредного кода.

•Регулярно выполнять резервное копирование информации, хранящейся на файловых серверах.

•Выполнять все изменения сетевой аппаратно-программной конфигурации. •Гарантировать обязательность процедуры идентификации и аутентификации для доступа к сетевым ресурсам.

•Выделять пользователям входные имена и начальные пароли только после заполнения регистрационных форм.

•Периодически производить проверку надежности защиты локальной сети. Не допускать получения привилегий неавторизованными пользователями.

Администраторы сервисов обязаны:

•Управлять правами доступа пользователей к обслуживаемым объектам. •Оперативно и эффективно реагировать на события, таящие угрозу. Информировать администраторов локальной сети о попытках нарушения защиты. Оказывать помощь в отражении угрозы, выявлении нарушителей и предоставлении информации для их наказания.

•Регулярно выполнять резервное копирование информации, обрабатываемой сервисом.

•Выделять пользователям входные имена и начальные пароли только после заполнения регистрационных форм.

•Ежедневно анализировать регистрационную информацию, относящуюся к сервису.

•Регулярно контролировать сервис на предмет зловредного программного обеспечения.

•Периодически производить проверку надежности защиты сервиса. Не допускать получения привилегий неавторизованными пользователями.

Пользователи обязаны:

•Знать и соблюдать законы, правила, принятые в организации, политику безопасности, процедуры безопасности.

•Использовать доступные защитные механизмы для обеспечения конфиденциальности и целостности своей информации.

•Использовать механизм защиты файлов и должным образом задавать права доступа.

•Выбирать хорошие пароли, регулярно менять их. Не записывать пароли на бумаге, не сообщать их другим лицам.

•Помогать другим пользователям соблюдать меры безопасности. Указывать им на проявленные упущения.

•Информировать администраторов или руководство о нарушениях безопасности и иных подозрительных ситуациях.

•Не использовать слабости в защите сервисов и локальной сети в целом.

•Не совершать неавторизованной работы с данными, не создавать помех другим пользователям.

•Всегда сообщать корректную идентификационную и аутентификационную информацию, не пытаться работать от имени других пользователей.

•Обеспечивать резервное копирование информации с жесткого диска своего компьютера.

•Знать принципы работы зловредного программного обеспечения, пути его проникновения и распространения, слабости, которые при этом могут использоваться.

•Знать и соблюдать процедуры для предупреждения проникновения зловредного кода, для его обнаружения и уничтожения.

•Знать слабости, которые используются для неавторизованного доступа.

•Знать способы выявления ненормального поведения конкретных систем, последовательность дальнейших действий, точки контакта с ответственными лицами.

•Знать и соблюдать правила поведения в экстренных ситуациях, последовательность действий при ликвидации последствий аварий.

Реакция на нарушения режима безопасности

Программа безопасности, принятая учреждением, должна предусматривать набор оперативных мероприятий, направленных на обнаружение и нейтрализацию вторжений хакеров и зловредного кода. Важно, чтобы в подобных случаях последовательность действий была спланирована заранее, поскольку меры нужно принимать срочные и скоординированные. Реакция на нарушения режима безопасности преследует две главные цели:

•блокирование нарушителя и уменьшение наносимого вреда;

•недопущение повторных нарушений.

В учреждении должен быть человек, доступный 24 часа в сутки (лично, по телефону, пейджеру или электронной почте), отвечающий за реакцию на нарушения. Все должны знать координаты этого человека и обращаться к нему при первых признаках опасности.

Для недопущения повторных нарушений необходимо анализировать каждый инцидент, выявлять причины, накапливать статистику. Каковы источники зловредного кода? Какие пользователи имеют обыкновение выбирать слабые пароли? На подобные вопросы и должны дать ответ результаты анализа.

Очень важными являются программно-технические меры, которые образуют последний и самый важный рубеж информационной защиты. Основную часть ущерба наносят действия легальных пользователей, по отношению к которым операционные регуляторы не могут дать решающего эффекта. Главные враги - некомпетентность и неаккуратность при выполнении служебных обязанностей, и только программно-технические меры способны им противостоять.

Физическую защиту, целесообразно необходимости, поручить интегрированным компьютерным системам, что позволяет одновременно отслеживать перемещения сотрудников и по пространству предприятия, и по информационному пространству. Это вторая причина, объясняющая важность программно-технических мер.

В случае умышленного нарушения информационной безопасности выражающуюся в утере, хищении, уничтожении, модификации информации, внесении программ-вирусов, осуществлении действий, в результате которых наносится ущерб информационной целостности организации и раскрытие конфиденциальной информации сотрудники данного учреждения согласно Закону привлекаются к ответственности в зависимости от нанесенного ущерба от административной ответственности до лишения свободы сроком до 10 лет.

МЕТОДИКА ЗАЩИТЫ ИНФОРМАЦИИ В ЛОКАЛЬНЫХ

ВЫЧИСЛИТЕЛЬНЫХ СЕТЯХ ОБРАЗОВАТЕЛЬНОГО УЧРЕЖДЕНИЯ МВД РФ.

3.1.Политика безопасности КЮИ МВД РФ.

Под политикой безопасности понимается совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов.

Политика (стратегия) безопасности Краснодарского юридического института МВД РФ представляет собой официальную линию руководства института на реализацию комплекса мероприятий по основным направлениям обеспечения информационной безопасности института.

Главной целью стратегии безопасности института является четкое описание технологии обеспечения информационной безопасности в институте и реализация функций должностных лиц, ответственных за ее реализацию на всех уровнях.

Политику безопасности разделяется на три уровня. К верхнему уровню относятся решения, затрагивающие институт в целом. Они носят весьма общий характер и, как правило, исходят от руководства института. Список подобных решений включает в себя следующие элементы:

•формирование или пересмотр комплексной программы обеспечения информационной безопасности, определение ответственных за продвижение программы;

•формулировка целей, которые преследует институт в области информационной безопасности, определение общих направлений в достижении этих целей;

•обеспечение базы для соблюдения законов и правил;

•формулировка управленческих решений по тем вопросам реализации программы безопасности, которые должны рассматриваться на уровне организации в целом.

Для политики верхнего уровня цели института в области информационной безопасности формулируются в терминах целостности, доступности и конфиденциальности.

На верхний уровень выносится управление защитными ресурсами и координация использования этих ресурсов, выделение специального персонала для защиты критически важных систем, поддержание контактов с другими организациями, обеспечивающими или контролирующими режим безопасности. Политика верхнего уровня обязана четко очерчивать сферу своего влияния.

В политике должны определены обязанности должностных лиц по выработке программы безопасности и по проведению ее в жизнь. Политика верхнего уровня имеет дело с тремя аспектами законопослушности и исполнительской дисциплины. Во-первых, институт должен соблюдать существующие законы. Во-вторых, следует контролировать действия лиц, ответственных за выработку программы безопасности. Наконец, необходимо обеспечение определенной степени послушания персонала, а для этого выработана система поощрений и наказаний. На верхний уровень выносится минимум вопросов.

К среднему уровню относятся вопросы, касающиеся отдельных аспектов информационной безопасности, но важные для различных систем, эксплуатируемых организацией. Политика среднего уровня должна для каждого аспекта освещать следующие темы:

•описание аспекта. Например, если рассмотреть применение пользователями неофициального программного обеспечения, последнее можно определить как обеспечение, которое не было одобрено и/или закуплено на уровне института.

•область применения. Следует специфицировать, где, когда, как, по отношению к кому и чему применяется данная политика безопасности. Например, касается ли организаций-субподрядчиков политика отношения к неофициальному программному обеспечению? Затрагивает ли она работников, пользующихся портативными и домашними компьютерами и вынужденных переносить информацию на производственные машины?

•позиция института по данному аспекту. Продолжая пример с неофициальным программным обеспечением, можно представить себе позиции полного запрета, выработки процедуры приемки подобного обеспечения и т.п. Позиция может быть сформулирована и в гораздо более общем виде, как набор целей, которые преследует институт в данном аспекте.

•роли и обязанности. В "политический" документ необходимо включить информацию о должностных лицах, отвечающих за проведение политики безопасности в жизнь. Например, если для использования работником неофициального программного обеспечения нужно официальное разрешение, то должно быть известно, у кого и как его следует получать. Если должны проверяться дискеты, принесенные с других компьютеров, необходимо описать процедуру проверки. Если неофициальное программное обеспечение использовать нельзя, следует знать, кто следит за выполнением данного правила.

•законопослушность. Политика должна содержать общее описание запрещенных действий и наказаний за них.

•точки контакта. Должно быть известно, куда следует обращаться за разъяснениями, помощью и дополнительной информацией. Обычно "точкой контакта" служит должностное лицо, а не конкретный человек, занимающий в данный момент данный пост.

Политика безопасности нижнего уровня относится к конкретным сервисам. Она включает в себя два аспекта - цели и правила их достижения, поэтому ее порой трудно отделить от вопросов реализации. В отличие от двух верхних уровней, рассматриваемая политика должна быть гораздо детальнее. Есть много вещей, специфичных для отдельных сервисов, которые нельзя единым образом регламентировать в рамках всей организации. В то же время эти вещи настолько важны для обеспечения режима безопасности, что решения, относящиеся к ним, должны приниматься на управленческом, а не техническом уровне. Некоторые вопросы, на которые следует дать ответ при следовании политике безопасности нижнего уровня:

•кто имеет право доступа к объектам, поддерживаемым сервисом?

•при каких условиях можно читать и модифицировать данные?

•как организован удаленный доступ к сервису?

При формулировке целей политика нижнего уровня может исходить из соображений целостности, доступности и конфиденциальности, но она не должна на них останавливаться. Ее цели должны быть конкретнее. Например, если речь идет о системе расчета заработной платы, можно поставить цель, чтобы только работникам отдела кадров и бухгалтерии позволялось вводить и модифицировать информацию. В более общем случае цели должны связывать между собой объекты сервиса и осмысленные действия с ними.

Из целей выводятся правила безопасности, описывающие, кто, что и при каких условиях может делать. Чем детальнее правила, чем более формально они изложены, тем проще поддержать их выполнение программно-техническими мерами. С другой стороны, слишком жесткие правила могут мешать работе пользователей.

После завершения формирования политики безопасности, можно приступать к составлению программы ее реализации и собственно к реальному воплощению этой программы. Проведение политики безопасности в жизнь требует использования трех видов регуляторов - управленческих, операционных и программно-технических. Рассматривая основы информационной безопасности необходимо рассмотреть управленческий аспект реализации программы безопасности. Для того, чтобы реализовать любую программу, ее целесообразно структурировать по уровням, обычно в соответствии со структурой организации. В простейшем и самом распространенном случае достаточно двух уровней - верхнего, или центрального, который охватывает всю организацию, и нижнего, или сервисного, который относится к отдельным сервисам или группам однородных сервисов.

Уровни структуризации программы информационной безопасности.

Программу верхнего уровня возглавляет лицо, отвечающее за информационную безопасность организации. У этой программы следующие главные цели:

•управление рисками: оценка рисков, выбор эффективных средств защиты; •координация деятельности в области информационной безопасности, пополнение и распределение ресурсов;

•стратегическое планирование;

•контроль деятельности в области информационной безопасности.

Цель управленческого аспекта - "эффективность и экономия". Управление должно быть организовано так, чтобы исключить дублирование в деятельности сотрудников организации и в максимальной степени использовать знания каждого из них.

В рамках программы верхнего уровня принимаются стратегические решения по безопасности, оцениваются технологические новинки. Информационные технологии развиваются очень быстро, и необходимо иметь четкую политику отслеживания и внедрения новых средств.

Контроль деятельности в области безопасности имеет двоякую направленность. Во-первых, необходимо гарантировать, что действия организации не противоречат законам. Обязательны при этом контакты с внешними контролирующими организациями. Во-вторых, нужно постоянно отслеживать состояние безопасности внутри организации, реагировать на случаи нарушений, дорабатывать защитные меры с учетом изменения обстановки.

Программа верхнего уровня должна занимать четко определенное место в деятельности организации, она должна официально приниматься и поддерживаться руководством, у нее должны быть определенные штаты и бюджет. Без подобной поддержки распоряжения "офицеров безопасности" останутся пустым звуком.

Цель программы нижнего уровня - обеспечить надежную и экономичную защиту конкретного сервиса или группы однородных сервисов. На этом уровне решается, какие механизмы защиты использовать, закупаются и устанавливаются технические средства, выполняется повседневное администрирование, отслеживается состояние слабых мест и т.п. Обычно за программу нижнего уровня отвечают администраторы сервисов.

Управление рисками

Деятельность любой организации подвержена множеству рисков. Суть работы по управлению рисками состоит в том, чтобы оценить их размер, выработать меры по его уменьшению и затем убедиться, что риски заключены в приемлемые рамки. Таким образом, управление рисками включает в себя два вида деятельности:

•оценка рисков;

•выбор эффективных и экономичных защитных регуляторов.

Процесс управления рисками можно подразделить на следующие этапы:

0.выбор анализируемых объектов и степени детальности их рассмотрения;

a.выбор методологии оценки рисков;

b.идентификация активов;

c.анализ угроз и их последствий, определение слабостей в защите;

d.оценка рисков;

e.выбор защитных мер;

f.реализация и проверка выбранных мер;

g.оценка остаточного риска.

Этапы f и g относятся к выбору защитных регуляторов, остальные - к оценке рисков.

Управление рисками - процесс циклический. По существу, последний этап - это оператор конца цикла, предписывающий вернуться к началу. Риски нужно контролировать постоянно, периодически проводя их переоценку.

Выбор анализируемых объектов и степени детальности их рассмотрения - первый шаг в оценке рисков. Для небольшой организации допустимо рассматривать всю информационную инфраструктуру; однако если организации крупная, всеобъемлющая оценка может потребовать неприемлемых затрат времени и сил. В таком случае следует сосредоточиться на наиболее важных сервисах, заранее соглашаясь с приближенностью итоговой оценки. Если важных сервисов все еще много, то выбираются те из них, риски для которых заведомо велики или неизвестны.

Очень важно выбрать разумную методологию оценки рисков. Целью оценки является получение ответа на два вопроса: приемлемы ли существующие риски, и если нет, то какие защитные средства экономически выгодно использовать.

При идентификации активов - тех ценностей, которые организация пытается защитить, следует учитывать не только компоненты информационной системы, но и поддерживающую инфраструктуру, персонал, а также нематериальные ценности, в том числе репутацию компании. Тем не менее, одним из главных результатов процесса идентификации активов является получение детальной информационной структуры организации и способов ее использования.

Если информационной основой организации является локальная сеть, то в число аппаратных активов следует включить компьютеры, периферийные устройства, внешние интерфейсы, кабельное хозяйство и активное сетевое оборудование. К программным активам будут отнесены операционные системы (сетевая, серверные и клиентские), прикладное программное обеспечение, инструментальные средства, программы управления сетью и отдельными системами. Важно зафиксировать в каких узлах сети хранится программное обеспечение и из каких узлов используется. Третьим видом информационных активов являются данные, которые хранятся, обрабатываются и передаются по сети. Следует классифицировать данные по типам и степени конфиденциальности, выявить места их хранения и обработки, а также способы доступа к ним. Все это важно для оценки последствий нарушений информационной безопасности.

Первый шаг в анализе угроз - их идентификация.

Целесообразно выявлять не только сами угрозы, но и источники их возникновения - это поможет в выборе дополнительных средств защиты. Например, нелегальный вход в систему может стать следствием воспроизведения начального диалога, подбора пароля или подключения к сети неавторизованного оборудования. Для противодействия каждому из перечисленных способов нелегального входа нужны свои механизмы безопасности.

После идентификации угрозы необходимо оценить вероятность ее осуществления.

Кроме вероятности осуществления важен размер потенциального ущерба. Например, пожары бывают нечасто, но ущерб от каждого из них, как правило, велик. Оценивая тяжесть ущерба, необходимо иметь в виду не только непосредственные расходы на замену оборудования или восстановление информации, но и более отдаленные, в частности подрыв репутации, ослабление позиций на рынке и т.п.

Слабости обладают свойством притягивать к себе не только злоумышленников, но и относительно честных людей. Поэтому, оценивая вероятность осуществления угроз, целесообразно исходить не только из среднестатистических данных, но учитывать также специфику конкретных информационных систем.

Уничтожение информации называется санацией. Имеется три метода уничтожения: перезапись, размагничивание и разрушение носителя. Если речь идет о данных на магнитных носителях, то для санации вполне достаточно тройной перезаписи случайными последовательностями бит. После этого даже с помощью специальной аппаратуры прочитать первоначальную информацию невозможно.

Управление персоналом

Управление персоналом начинается с приема нового сотрудника на работу и даже раньше - с составления описания должности. Уже на этом этапе желательно привлечение специалиста по информационной безопасности для определения компьютерных привилегий, ассоциируемых с должностью. Существует два общих принципа, которые следует иметь в виду:

•разделение обязанностей,

•минимизация привилегий.

Принцип разделения обязанностей предписывает так распределять роли и ответственность, чтобы один человек не смог нарушить критически важный для организации процесс.

Принцип минимизации привилегий предписывает выделять пользователям только те права доступа, которые необходимы им для выполнения служебных обязанностей. Назначение этого принципа очевидно - уменьшить ущерб от случайных или умышленных некорректных действий пользователей.

Предварительное составление описания должности позволяет оценить ее критичность и спланировать процедуру проверки и отбора кандидатов. Чем критичнее должность, тем тщательнее нужно проверять.

С момента заведения системного счета начинается его администрирование, а также протоколирование и анализ действий пользователя. Постепенно изменяется окружение, в котором работает пользователь, его служебные обязанности и т.п. Все это требует соответствующего изменения привилегий. Определенную аккуратность следует соблюдать при выдаче новых постоянных полномочий, не забывая изымать старые права доступа.

Ликвидация системного счета пользователя, особенно в случае конфликта между сотрудником и организацией, должна производиться максимально оперативно - в идеале это должно происходить одновременно с извещением о наказании или увольнении. Возможно и физическое ограничение доступа к рабочему месту. Если сотрудник увольняется, у него нужно принять все его компьютерное хозяйство и, в частности, криптографические ключи, если использовались средства шифрования.

Проблема обучения - одна из центральных с точки зрения информационной безопасности. Если сотрудник не знаком с политикой безопасности своей организации, он не сможет стремиться к достижению сформулированных в ней целей. Если он не знает мер безопасности, он не будет их соблюдать. Напротив, если сотрудник знает, что его действия протоколируются, он, возможно, воздержится от нарушений.

Физическая защита

Безопасность компьютерной системы зависит от окружения, в котором она работает. Необходимо принять меры для защиты зданий и прилегающей территории, поддерживающей инфраструктуры и самих компьютеров.

Существуют следующие направления физической защиты:

•физическое управление доступом;

•противопожарные меры;

•защита поддерживающей инфраструктуры;

•защита от перехвата данных;

•защита мобильных систем;

Меры физического управления доступом позволяют контролировать и при необходимости ограничивать вход и выход сотрудников и посетителей. Контролироваться может все здание организации и, кроме того, отдельные помещения, например те, где расположены серверы, коммуникационная аппаратура и т.п. Средства физического управления доступом известны давно - это охрана, двери с замками, перегородки, телекамеры, датчики движения и многое другое.

Крайне необходимо установить противопожарную сигнализацию и автоматические средства пожаротушения.

К поддерживающей инфраструктуре можно отнести системы электро-, водо- и теплоснабжения, кондиционеры, средства коммуникаций. В принципе к ним применимы те же требования целостности и доступности, что и к информационным системам. Для обеспечения целостности нужно защищать оборудование от краж и повреждений. Для поддержания доступности целесообразно выбирать оборудование с максимальным временем наработки на отказ, дублировать ответственные узлы, всегда иметь под рукой запчасти.

Отдельную проблему составляют аварии водопровода. Они происходят нечасто, но чреваты серьезными материальными потерями. При размещении компьютеров разумно принять во внимание расположение водопроводных и канализационных труб и постараться держаться от них подальше. Сотрудники должны знать, куда следует обращаться при обнаружении протечек.

Перехват данных может осуществляться самыми разными способами: подсматриванием за экраном монитора, чтением пакетов, передаваемых по локальной сети, улавливанием стука иголок матричного принтера или кнопок на клавиатуре, анализом побочных электромагнитных излучений и наводок (ПЭМИН). Некоторые способы перехвата данных, например анализ ПЭМИН, относительно доступны и дешевы, а бороться с ними трудно и дорого.

Поддержание работоспособности

Нечаянные ошибки системных администраторов и пользователей грозят повреждением аппаратуры, разрушением программ и данных, а "в лучшем случае" облегчают реализацию угроз.

Недооценка факторов безопасности в повседневной работе - ахиллесова пята многих организаций. Дорогие средства безопасности теряют смысл, если они плохо документированы, конфликтуют с другим программным обеспечением, а пароль системного администратора не менялся с момента установки.

Можно выделить следующие направления повседневной деятельности:

•поддержка пользователей;

•поддержка программного обеспечения;

•конфигурационное управление;

•резервное копирование;

•управление носителями;

•документирование;

•регламентные работы.

Поддержка пользователей состоит прежде всего в консультировании и в оказании помощи при решении разного рода проблем. Очень важно в потоке вопросов уметь выявлять проблемы, связанные с информационной безопасностью. Целесообразно записывать вопросы пользователей, чтобы выявлять их типичные ошибки и выпускать памятки с рекомендациями для наиболее распространенных ситуаций.

Поддержка программного обеспечения - одно из важнейших средств обеспечения целостности информации. Прежде всего, необходимо контролировать, какое программное обеспечение выполняется на компьютерах. Если пользователи могут устанавливать программы по своему усмотрению, это чревато заражением вирусами, а также появлением утилит, действующих в обход защитных средств. Например, на любой персональный компьютер, подключенный к сети Ethernet, можно установить программу - сетевой анализатор, позволяющую отслеживать весь сетевой трафик. Обладатель такой программы может довольно быстро "выловить" пароли других пользователей и системных администраторов, получив тем самым по существу неограниченный доступ к сетевым ресурсам.

Второй аспект поддержки программного обеспечения - контроль за отсутствием неавторизованного изменения программ и прав доступа к ним. Сюда же можно отнести поддержание эталонных копий программных систем. Обычно контроль достигается комбинированием средств физического и логического управления доступом, а также использованием утилит проверки и поддержания целостности.

Конфигурационное управление позволяет контролировать и фиксировать изменения, вносимые в программную конфигурацию. Прежде всего, необходимо застраховаться от случайных или непродуманных модификаций, уметь как минимум возвращаться к прошлой, работающей версии. Далее, фиксация изменений позволит легко восстановить текущую версию после аварии.

Технологию конфигурационного управления необходимо применять и к изменениям в аппаратуре.

Резервное копирование необходимо для восстановления программ и данных после аварий. Здесь целесообразно автоматизировать работу, как минимум, сформировав компьютерное расписание выполнения полных и инкрементальных копий, а как максимум, воспользовавшись безлюдной технологией фирмы Hewlett-Packard. Необходимо также наладить размещение копий в безопасном месте, защищенном от пожаров и иных угроз.

Время от времени в тестовых целях следует проверять возможность восстановления информации с копий.

Управление носителями служит для обеспечения физической защиты и учета дискет, лент, печатных выдач и т.п. Управление носителями должно обеспечить конфиденциальность, целостность и доступность информации, хранящейся вне компьютерных систем. Под физической защитой здесь понимается не только отражение попыток несанкционированного доступа, но и предохранение от вредных влияний окружающей среды: жары, холода, влаги, магнетизма. Управление носителями должно охватывать весь жизненный цикл дискет и лент - от закупки до выведения из эксплуатации.

К управлению носителями можно отнести и контроль потоков данных, выдаваемых на печать. Необходимо сочетать различные механизмы информационной безопасности. Программные средства позволяют направить конфиденциальные данные на определенный принтер, но только меры физической защиты способны гарантировать отсутствие посторонних у этого принтера.

Документирование - неотъемлемая часть информационной безопасности. В виде документов оформляется почти все - от политики безопасности до журнала учета дискет. Важно, чтобы документация была актуальной, отражала текущее, а не прошлое состояние дел, причем отражала в непротиворечивом виде.

Регламентные работы - очень серьезная угроза безопасности. Лицо, осуществляющее регламентные работы, получает исключительный доступ к системе, и на практике очень трудно проконтролировать, какие именно действия совершаются. Здесь на первый план выходит степень доверия к тем, кто выполняет работы.

Методика реализации политики безопасности КЮИ МВД РФ.

Для реализации политики безопасности Краснодарского юридического института МВД РФ мной была предложена следующая схема действий (рис 7).

На первом этапе, в соответствии с организационно-штатной структурой учреждения, выявляются основные информационные потоки и узлы рациональной обработки информации, а так же объемы хранимой информации в них, степень ее секретности.

На втором этапе выявляются все уязвимые звенья в системе информационной безопасности института и каналы утечки информации при ее обработке на ПЭВМ. Тщательно проверяются кадры института, связанные с контролем за соблюдением режима секретности и интегрированной системой обработки данных. При необходимости на данную категорию лиц производится оформление допуска к секретным работам по соответствующим формам. По окончании данных мероприятий анализируются следующие каналы утечки информации:

несанкционированное чтение с экранов мониторов;

несанкционированный доступ к винчестеру;

просмотр текста при его печати;

возможность утечки информации по акустическому каналу с принтера и клавиатуры;

утечки по электромагнитному каналу и по линиям связи между ПЭВМ;

несанкционированное копирование дискет и прямое хищение магнитных носителей.

Осуществляется обследование объектов вычислительной техники института на предмет:

уровня электромагнитного излучения: - терминалов;

- сетей питания;

- линий связи;

- выходящих за пределы контроли руемой зоны цепей.

наличия радио, проводных, программных закладок.

На третьем этапе разрабатывается и утверждается политика (стратегия) безопасности института и на ее основе реализуются мероприятия по периодическому обследованию объектов вычислительной техники на предмет наличия закладок, защиты наиболее уязвимых звеньев в системе информационной безопасности института и разрабатывается технология по реализации обеспечения безопасности информации.

На четвертом этапе в ходе непрерывного анализа результатов выполнения комплекса мероприятий по обеспечению безопасности информации выявляются дополнительные уязвимые места в информационной безопасности института и неучтенные каналы утечки информации. Разрабатывается организационно-штатная структура группы (подразделения) по защите информации института. Осуществляются расчеты экономической целесообразности защиты информации и стоимости услуг по обследованию объектов вычислительной техники. В соответствии с расчетами решаются организационно-штатные вопросы по созданию службы безопасности института.

На заключительном, пятом, этапе реализации методики политики безопасности института разрабатывается «Инструкция по обеспечению безопасности информации, обрабатываемой на средствах вычислительной техники Краснодарского юридического института МВД РФ.»

Рис. 7. Схема методики реализации политики безопасности.

Заключение.

В ближайшее время прогресс в области развития средств вычислительной техники, программного обеспечения и сетевых технологий даст толчок к развитию средств обеспечения безопасности, что потребует во многом пересмотреть существующую научную парадигму информационной безопасности. Основными положениями нового взгляда на безопасность должны являться:

исследование и анализ причин нарушения безопасности компьютерных систем;

разработка эффективных моделей безопасности, адекватных современной степени развития программных и аппаратных средств, а также возможностям злоумышленников и РПС;

создание методов и средств корректного внедрения моделей безопасности в существующие ВС, с возможностью гибкого управления, безопасностью в зависимости от выдвигаемых требований, допустимого риска и расхода ресурсов;

необходимость разработки средств анализа безопасности компьютерных систем с помощью осуществления тестовых воздействий (атак).

В условиях современной суверенизации государств и субъектов Российской Федерации, продолжающихся военных конфликтов, попыток территориальных, экономических и др. притязаний государств друг к другу, растущей угрозы терроризма в отношении отдельных граждан и государственных структур особенно остро встали проблемы надежной защиты информации в особые периоды управления важными государственными объектами, включая ВС. Это требует дальнейшего развития теории и практики обеспечения информационной безопасности в системе МВД России, повышения надежности применения современных систем обработки конфиденциальной информации в условиях обострения информационной войны (борьбы).

Широкая информатизация обществ, внедрение компьютерной технологии в сферу управления объектами государственного значения, стремительный рост темпов научно-технического прогресса наряду с положительными достижениями в информационных технологиях, создают реальные предпосылки для утечки конфиденциальной информации.

В дипломной работе, основной целью которой являлось разработка общих рекомендаций по защите информации в системах обработки данных образовательных учреждений МВД РФ и разработка пакета руководящих документов по обеспечению безопасности информации, получены следующие результаты:

Рассмотрены основные пути защиты от несанкционированного доступа к информации циркулирующей в системах обработки данных.

Произведена классификация способов и средств защиты информации.

Детально осуществлен анализ методов ЗИ в системах обработки данных.

Рассмотрены основные направления защиты информации в СОД.

Разработаны концепция безопасности локальных вычислительных сетей образовательного учреждения МВД РФ и вопросы обеспечения безопасности при групповой обработке данных в службах и подразделениях института.

Осуществлена выработка политики безопасности конкретного образовательного учреждения и дана методика реализации этой политики.

Разработан пакет руководящих документов по обеспечению безопасности информации в Краснодарском юридическом институте.

В перспективе рассматривается возможность разработки общих рекомендаций по защите информации для всех образовательных учреждений МВД России, и создание типовой инструкции по обеспечению безопасности информации в системах обработки данных.

Литература:

В.Галатенко, Информационная безопасность, «Открытые системы», № 4, 1995.

В.Галатенко, Информационная безопасность, «Открытые системы», № 5, 1995.

В.Галатенко, Информационная безопасность, «Открытые системы», № 6, 1995.

Федеральный закон «Об информации, информатизации и защите информации».

Президент Российской Федерации. Указ от 3 апреля 1995 г. № 334 «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации».

В.Гайкович, А.Першин, Безопасность электронных банковских систем. - Москва, «Единая Европа», 1994.

В.Галатенко, Информационная безопасность, «Открытые системы», № 1, 1996.

В.Галатенко, Информационная безопасность, «Открытые системы», № 2, 1996.

В.Левин, Защита информации в информационно-вычислительных системах и сетях. - «Программирование», 1994.

Д.Сяо, Д.Кэрр, С.Медник, «Защита ЭВМ», - Москва, 1989.

В.Уолкер, Я.Блейк, «Безопасность ЭВМ и организация их защиты», - Москва, 1991.

Л.Хофман, «Современные методы защиты информации», - Москва, 1995.

«Зарубежная радиоэлектроника», № 12, 1989 г.

П.Зегжда, «Теория и практика. Обеспечение информационной безопасности». - Москва, 1996.

Гостехкомиссия России. «Руководящий документ: Защита от несанкционированного доступа к информации. Термины и определения», - Москва, 1992.

Журналы "Защита информации" №№ 1-8 изд. КОНФИДЕНТ, С-Пб.

Пособие фирмы KNOWLIDGE EXPRESS, INK. "Специальная защита, объектов. Организация проведения поисковых мероприятий".

Каталог фирмы KNOWLEDGE EXPRESS, INK. "Специальная техника систем
безопасности и защиты ".

Хисамов Ф.Г. «Теоретические и организационные-технические основы обеспечения информационной безопасности в системе специальной связи вооруженных сил России», Москва, Академия МВД РФ,-1997 г.

Приложение № 1.

«УТВЕРЖДАЮ»

Начальник Краснодарского

юридического института МВД РФ

генерал-майор милиции

Ю.А.Агафонов

« »________________1997 г.

И Н С Т Р У К Ц И Я

I. ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ИНФОРМАЦИИ, ОБРАБАТЫВАЕМОЙ НА СРЕДСТВАХ ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ КРАСНОДАРСКОГО ЮРИДИЧЕСКОГО ИИНСТИТУТА МВД РФ.

I.I. Общие положения

1. Настоящая инструкция устанавливает единый порядок обеспечения безопасности информации (ОБИ) при ее обработке на объектах вычислительной техники (ВТ) в КЮИ: отдел, каб. ,

2. Инструкция уточняет требования руководящих документов по ОБИ, при вводе и эксплуатации средств ВТ в институте:

- обязанности и ответственность должностных лиц по вопросам ОБИ;

- организацию учета, выдачи, хранения и обращения с магнитными носителями и документами;

- порядок допуска в помещения объектов ВТ, к средствам вычислительной техники и информации обрабатываемой в них;

- защиту программного (ПО) и информационного (ИО) обеспечения от воздействия программ-вирусов;

- организацию обращения со средствами разграничения доступа;

- требования к стиранию информации; - организацию технического обслуживания и ремонта средств ВТ.

I.II. Ответственность должностных лиц за обеспечение безопасности информации

3. Общее руководство использованием средств ВТ, а также ответственность за организацию, выполнение и контроль мероприятий по ОБИ на объектах ВТ института возлагается на начальника секретариата. Кроме того он координирует:

- планирование и контроль за осуществлением практических мероприятий по предотвращению несанкционированного доступа (НСД) к информации обрабатываемой на средствах ВТ института;

- определение функциональных обязанностей должностным лицам, использующих средства ВТ, с учетом их персональной ответственности за состояние ОБИ на объектах ЭВТ;

- организацию работы по выявлению возможных каналов НСД к информации на объектах ВТ института, принятие своевременных мер по их предотвращению;

- определение порядка формирования и использования информационного обеспечения, а также применения средств ВТ должностными лицами института;

- организацию проведения работы по внедрению средств защиты информации от НСД;

- организацию работы комиссии по разработке перечня защищаемых ресурсов объектов ВТ;

- планирование и проведение занятий с пользователями средств ВТ института, по правилам работы на средствах ВТ и по изучению ими руководящих документов, в части соблюдения требований по ОБИ;

- выполнение требований настоящей инструкции, при организации технического обслуживания средств ВТ, отправки в ремонт ПЭВМ с секретными накопителями на жестком магнитном диске (ЖМД);

- определение порядка учета, хранения и обращения со средствами программного и информационного обеспечения на объектах ВТ института, секретными машинными носителями информации и документами, в соответствии с требованиями приказа МВД РФ № 05-90 г. и № 030-93 г.;

- организацию работы внутри проверочной комиссии по проверке вопросов ОБИ в институте.

Вышеперечисленные работы включаются в годовой план практических мероприятий по ОБИ.

Непосредственное планирование и выполнение этих работ возлагается:

- на соответствующих начальников подразделений, которые кроме того обязаны:

- принимать участие в планировании практических мероприятий по ОБИ института;

- обеспечить выполнение требований по размещению, монтажу и охране подчиненных объектов ВТ, а также режиму секретности при обработке на средствах ВТ информации, проведению ремонта ВТ или уборки в помещениях ВТ;

- определить приказом начальника института ответственных за средства ВТ, программное и информационное обеспечение;

- определять ответственных за помещения подчиненных объектов ВТ и список пользователей имеющих право обрабатывать на данном объекте информацию;

- готовить приказ начальника института о вводе ПЭВМ в эксплуатацию, на основании акта спецпроверки.

4. Приказами начальника института назначаются:

- ответственный за ОБИ в институте;

- ответственные за эксплуатацию средств ВТ (ПЭВМ и дисплейные комплексы);

- ответственные за объекты ЭВТ;

- ответственные за программное и информационное обеспечение и прием в эксплуатацию программных средств;

- внутри проверочная комиссия по проверке состояния ОБИ в институте и его соответствия руководящим документам;

- комиссия по категорированию объектов ВТ и технических средств передачи информации (ТСПИ).

5. Ответственный за эксплуатацию средств ВТ отвечает за выполнение требований по обеспечению безопасности информации и защите ее от технических средств разведки при эксплуатации закрепленных средств ВТ и обязан:

- осуществлять контроль за доступом пользователей к закрепленным средствам ВТ в рабочее время;

- выдавать при необходимости пользователям для работы секретные и несекретные магнитные носители (МН) с программным и информационным обеспечением общего применения, а также чистые бумажные рулоны (листы) для печати, дискеты для хранения промежуточных результатов;

- сдавать закрепленные средства ВТ под охрану дежурной службе, установленным порядком;

- осуществлять все мероприятия по вводу закрепленных средств ВТ в эксплуатацию и выполнению всех работ по их специальной защите;

- контролировать стирание информации с закрепленных магнитных носителей общего пользования.

6. Ответственный за ОБИ в институте отвечает за осуществление контроля за выполнением требований руководящих документов по ОБИ и защите от ТСР, оказания помощи по этим вопросам ответственным за эксплуатацию средств ВТ. На ответственного за объект ЭВТ возлагается:

- разработка проектов инструкции и других руководящих документов по ОБИ на объектах ВТ института;

- настройка средств защиты информации от ТСР и контроль за их функционированием;

- разработка и представление на утверждение начальнику института годового плана практических мероприятий по ОБИ, с приложением к нему сводного перечня задач решаемых на объекте ВТ;

- осуществление анализа состояния защищенности информации, средств ее защиты на объекте и выработка предложений по их совершенствованию;

- осуществление постоянного контроля за работой пользователей на средствах ВТ в части обеспечения безопасности информации;

- составление заявок на должностных лиц допущенных к защищаемым ресурсам;

- ведение формуляра по ОБИ за объект ВТ;

- опечатывание блока ПЭВМ, в состав которой входит несъемный магнитный носитель информации (жесткий диск);

- хранение эталона антивирусных программ.

7. Непосредственная персональная ответственность за соблюдение требований руководящих документов по ОБИ во время обработки секретной информации возлагается на пользователей, которые обязаны:

- руководствоваться требованиями настоящей инструкции и другими основными руководящими документами по ОБИ, режиму секретности и противодействию иностранным техническим разведкам;

- своевременно учитывать в журнале оператора полученные машинные носители и документы;

- хранить свои магнитные носители информации в личных сейфах;

- сдавать при необходимости на хранение представителю секретариата в упаковке опечатанной личной печатью магнитные носители, за сохранность информации которых они несут персональную ответственность;

- передавать другим пользователям секретные машинные носители и документы, а также ПЭВМ, порядком определенным для секретных документов и изделий;

- производить стирание информации в оперативной памяти ПЭВМ, после окончания работы и передачи этой ПЭВМ другому пользователю, а также перед началом работы на ней, путем перезагрузки операционной системы нажатием клавиши "Reset" или одновременно клавиши "Ctrl-Alt-Del";

- включать перед началом обработки секретной информации активные средства защиты (типа "Гном");

- присваивать соответствующий гриф секретности входным (исходным) и выходным документам, машинным носителям информации;

- знать и соблюдать установленные требования по учету, хранению и пересылке машинных носителей и документов;

- предварительно учитывать в журнале учета выходных документов, у представителя секретного органа, формируемые на средствах ВТ документы с последующим проставлением программными средствами на каждом отпечатанном листе соответствующего учетного номера по этому журналу;

- уничтожать под две росписи с работником секретариата установленным порядком полученные при формировании выходных документов бракованные секретные листы (рулоны), а также копировальную бумагу и контрольные распечатки;

- производить стирание информации (с переформатированием) на магнитных носителях используемых для временного хранения информации, сразу после окончания работы;

- пользоваться магнитными носителями с общим, специальным и информационным обеспечением общего назначения физически защищенными от записи на них информации.

8. Пользователям средств вычислительной техники запрещается:

- обрабатывать информацию с грифом секретности, превышающим установленный актом категорирования;

- разрабатывать, отлаживать и решать задачи на ПЭВМ без оформленного разрешения;

- записывать, хранить и распечатывать секретную информацию на неучтенных машинных носителях, использовать гибкий магнитный диск с поврежденным чехлом (упаковкой) для решения задач;

- отключать (блокировать) средства защиты информации (генератором специальных сигналов, фильтры питания и т.п.);

- производить какие-либо изменения в электрических схемах, монтаже и размещении технических средств;

- изменять алгоритм функционирования технических и принятых в эксплуатацию программных средств ВТ;

- записывать секретную информацию на машинные носители с меньшим грифом секретности;

- использовать средства ВТ для обработки секретной информации до проведения всех мероприятий по организации специальной защиты от технических средств разведки (ТСР) и проведения специальной проверки с оформлением акта этой проверки;

- осуществлять обработку секретной информации в условиях позволяющих осуществлять ее просмотр лицами не имеющими к ней допуска, а также при несоблюдении требований предписания на эксплуатацию средств ВТ;

- использовать в составе ПЭВМ, не предусмотренных комплектацией данной ПЭВМ, нештатные кабели и средства не прошедшие специальных исследований;

- оставлять на хранение в ПЭВМ магнитные дискеты;

- использовать отдельные ПЭВМ или их технические средства для обработки секретной информации, степень секретности, которой превышает разрешенную для данной ПЭВМ;

- снижать гриф секретности машинных носителей информации при переносе на них секретной табличной информации с документов, без раскрытия названия граф и (или) столбцов таблиц этих документов.

- оставлять после окончания работы секретную информацию на жестком магнитном диске ПЭВМ в открытом виде (не зашифрованную средствами криптографической защиты данных "Криптон-3М").

9. Заместитель начальника секретариата по режиму секретности осуществляет учет и хранение машинных носителей информации, а также ведение Журналов учета машинных носителей информации. Он является ответственным за ведение указанного журнала учета и правильность регистрации в нем формируемых документов.

Заместитель начальника секретариата по режиму секретности обязан:

- формировать все получаемые чистые системные и пользовательские дискеты и своевременно учитывать их в отдельных секретных и несекретных журналах учета магнитных носителей информации;

- выдавать пользователям под роспись машинные носители информации;

- предварительно регистрировать пользователям, формируемые на устройствах печати ВТ секретные документы, с использованием бумажных рулонов, листов;

- проводить ежемесячную сверку правильности учета сформированных выходных документов, зарегистрированных в журнале их предварительного учета, с данными книг и журналов секретного делопроизводства;

- хранить вместе с формулярами на эталонные магнитные носители с программным обеспечением, в упаковках опечатанных ответственными, за которыми закреплены данные программные изделия, и выдавать их только по указанию начальника института или его заместителя по учебной работе;

Ответственные за объекты ЭВТ в отделах ведут только учет формируемых выходных документов, установленным порядком, за свои объекты ВТ, по заведенным для этого журналам, а также контроль за их наличием и правильностью учета в книгах и журналах секретного делопроизводства института.

I.III. Учет, выдача, хранение и обращение с секретными

машинными носителями информации и документами