ЛЕКЦИЯ
«Организационные мероприятия по технической защите информации на объектах информационной деятельности»
Вопросы:
1.ОБЩИЕ ПОЛОЖЕНИЯ
2.ОРГАНИЗАЦИЯ ПРОВЕДЕНИЯ ОБСЛЕДОВАНИЯ
3.ОРГАНИЗАЦИЯ РАЗРАБОТКИ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ
4. РЕАЛИЗАЦИЯ ОРГАНИЗАЦОННЫХ МЕР ЗАЩИТЫ
1.ОБЩИЕ ПОЛОЖЕНИЯ
Информация с ограниченным доступом (ИсОД) в процессе информационной деятельности (ИД), основными видами которой является получение, использование, распространение и хранение ИсОД, может подвергаться воздействию угроз ее безопасности (далее — угроза), в результате чего может произойти ее утечка или нарушение целостности информации.
Подверженность ИсОД воздействию угроз определяет ее уязвимость.
Способность системы защиты информации противостоять воздействию угроз определяет защищенность ИсОД.
Возможны следующие варианты защиты информации:
- достижение необходимого уровня защиты ИсОД при минимальных затратах и допустимом уровне ограничений видов ИД;
- достижение необходимого уровня защиты ИсОД при допустимых затратах и заданном уровне ограничений видов ИД;
- достижение максимального уровня защиты ИсОД при необходимых затратах и минимальном уровне ограничений видов ИД.
Защита информации, не являющейся государственной тайной, обеспечивается, как правило, использованием первого или второго варианта.
Защита информации, составляющей государственную тайну, обеспечивается, как правило, использованием третьего варианта.
Содержание и последовательность работ по противодействию угрозам или их нейтрализации должны соответствовать указанным в ДСТУ 3396.0-96 этапам функционирования системы защиты информации и заключаться в:
- проведении обследования предприятия, учреждения, организации (далее - предприятие);
- разработке и реализации организационных, первичных технических, основных технических мер с использованием средств обеспечения ТЗИ (приложение А);
- приемке работ по ТЗИ;
- аттестации средств (систем) обеспечения информационной деятельности на соответствие требованиям нормативных документов по ТЗИ.
Порядок проведения работ по ТЗИ или отдельных их этапов устанавливается приказом (распоряжением) руководителя предприятия.
Работы должны выполняться силами предприятия под руководством специалистов по ТЗИ.
Для участия в работах, оказания методической помощи, оценки полноты и качества реализации мер защиты могут привлекаться специалисты по ТЗИ других организаций, имеющих лицензию органа, уполномоченного Кабинетом Министров Украины.
2. ОРГАНИЗАЦИЯ ПРОВЕДЕНИЯ ОБСЛЕДОВАНИЯ
Целью обследования предприятия является изучение его ИД, определение объектов защиты - ИсОД, выявление угроз, их анализ и построение частной модели угроз.
Обследование должно быть проведено комиссией, состав которой определяется ответственным за ТЗИ лицом и утверждается приказом руководителя предприятия.
В ходе обследования необходимо:
- провести анализ условий функционирования предприятия, его расположения на местности (ситуационного плана) для определения возможных источников угроз;
- исследовать средства обеспечения ИД, имеющие выход за пределы контролируемой территории;
- изучить схемы средств и систем жизнеобеспечения предприятия (электропитания, заземления, автоматизации, пожарной и охранной сигнализации), а также инженерных коммуникаций и металлоконструкций;
- исследовать информационные потоки, технологические процессы передачи, получения, использования, распространения и хранения (далее - обработка) информации и провести необходимые измерения;
- определить наличие и техническое состояние средств обеспечения ТЗИ;
- проверить наличие на предприятии нормативных документов, обеспечивающих функционирование системы защиты информации, организацию проектирования строительных работ с учетом требований по ТЗИ, а также нормативной и эксплуатационной документации, обеспечивающей ИД;
- выявить наличие транзитных, незадействованных (воздушных, настенных, наружных и заложенных в канализацию) кабелей, цепей и проводов;
- определить технические средства и системы, применение которых не обосновано служебной или производственной необходимостью и которые подлежат демонтажу;
- определить технические средства, требующие переоборудования (перемонтажа) и установки средств ТЗИ.
По результатам обследования следует составить акт, который должен быть утвержден руководителем предприятия.
Материалы обследования необходимо использовать при разработке частной модели угроз, которая должна включать:
- генеральный и ситуационный планы предприятия, схемы расположения средств и систем обеспечения ИД, а также инженерных коммуникаций, выходящих за пределы контролируемой территории;
- схемы и описания каналов утечки информации, каналов специального воздействия и путей несанкционированного доступа к ИсОД;
- оценку предполагаемого ущерба от реализации угроз.
3. ОРГАНИЗАЦИЯ РАЗРАБОТКИ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ
На основании материалов обследования и частной модели угроз необходимо определить главные задачи защиты информации и составить техническое задание (ТЗ) на разработку системы защиты информации.
ТЗ должно включать основные разделы:
- требования к системе защиты информации;
- требования к составу проектной и эксплуатационной документации;
- этапы выполнения работ;
- порядок внесения изменений и дополнений к разделам ТЗ;
- требования к порядку проведения испытаний системы защиты.
Основой функционирования системы защиты информации является план ТЗИ, который должен включать следующие документы:
- перечень распорядительных, организационно-методических, нормативных документов по ТЗИ и указания по их применению;
- инструкции о порядке реализации организационных, первичных технических и основных технических мер защиты;
- инструкции, устанавливающие обязанности, права и ответственность персонала;
- календарный план ТЗИ.
ТЗ и план ТЗИ разрабатывают специалисты по ТЗИ, согласуют с заинтересованными подразделениями (организациями). Утверждает их руководитель предприятия.
4. РЕАЛИЗАЦИЯ ОРГАНИЗАЦОННЫХ МЕР ЗАЩИТЫ
Организационные меры защиты информации - комплекс административных и ограничительных мер, направленных на оперативное решение задач защиты путем регламентации деятельности персонала и порядка функционирования средств (систем) обеспечения ИД и средств (систем) обеспечения ТЗИ.
В процессе разработки и реализации организационных мер необходимо:
- определить частные задачи защиты ИсОД;
- обосновать структуру и технологию функционирования системы защиты информации;
- разработать и внедрить правила реализации мер ТЗИ;
- определить и установить права и обязанности подразделений и лиц, участвующих в обработке ИсОД;
- приобрести средства обеспечения ТЗИ и нормативные документы и обеспечить ими предприятие;
- установить порядок внедрения защищенных средств обработки информации, программных и технических средств защиты информации, а также средств контроля ТЗИ;
- установить порядок контроля функционирования системы защиты информации и ее качественных характеристик;
- определить зоны безопасности информации;
- установить порядок проведения аттестации системы технической защиты информации, ее элементов и разработать программы аттестационных испытаний;
- обеспечить управление системой защиты информации.
Оперативное решение задач ТЗИ достигается организацией управления системой защиты информации, для чего необходимо:
- изучать и анализировать технологию прохождения ИсОД в процессе ИД;
- оценивать подверженность ИсОД воздействию угроз в конкретный момент времени;
- оценивать ожидаемую эффективность применения средств обеспечения ТЗИ;
- определять (при необходимости) дополнительную потребность в средствах обеспечения ТЗИ;
- осуществлять сбор, обработку и регистрацию данных, относящихся к ТЗИ;
- разрабатывать и реализовывать предложения по корректировке плана ТЗИ в целом или отдельных его элементов.
ВИСНОВОК:
На етапі проведення організаційних заходів потрібно:
- визначити перелік відомостей з обмеженим доступом, що підлягають технічному захисту (визначає власник інформації згідно з чинним законодавством України);
- обгрунтувати необхідність розроблення і реалізації захисних заходів з урахуванням матеріальної або іншої шкоди, яка може бути завдана внаслідок можливого порушення цілісності ІзОД чи її витоку технічними каналами;
- установити перелік виділених приміщень, в яких не допускається реалізація загроз та витік інформації з обмеженим доступом;
- визначити перелік технічних засобів, що повинні використовуватися як ОТЗ;
- визначити технічні засоби, застосування яких не обгрунтовано службовою та виробничою необхідністю та які підлягають демонтажу;
- визначити наявність задіяних і незадіяних повітряних, наземних, настінних та закладених у приховану каналізацію кабелів, кіл і проводів, що виходять за межі виділених приміщень;
- визначити системи, що підлягають демонтажу, потребують переобладнання кабельних мереж, кіл живлення, заземлення або установлення в них захисних пристроїв.
За результатами обстеження складається акт довільної форми з переліком виконаних заходів і прикладанням (за необхідністю):
- переліку ОТЗ, розміщених у виділених приміщеннях;
- плану виділених приміщень із зазначенням місць установлення ОТЗ, а також схем прокладання кабелів, проводів, кіл;
- переліку технічних засобів, кабелів, кіл, проводів, що підлягають демонтажу.
Акт підписується виконавцем робіт і затверджується керівником організації (підприємства).