|
Расширенный поиск
Приказ Федерального агентства по рыболовству от 06.03.2013 № 154ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО РЫБОЛОВСТВУ (Росрыболовство) П Р И К А З 6 марта 2013 года Москва N 154 Об утверждении Концепции информационной безопасности Росрыболовства В соответствии со Стратегией развития рыбохозяйственного комплекса Российской Федерации на период до 2020 года, утвержденной приказом Федерального агентства по рыболовству от 30 марта 2009 г. N 246, Концепцией внедрения и использования информационных технологий в деятельности Росрыболовства, утвержденной приказом Федерального агентства по рыболовству от 12 октября 2009 г. N 896, а также в целях реализации статей 14 и 16 Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" п р и к а з ы в а ю : 1. Утвердить прилагаемую Концепцию информационной безопасности Федерального агентства по рыболовству. 2. Структурным подразделениям Федерального агентства по рыболовству руководствоваться утвержденной Концепцией информационной безопасности Федерального агентства по рыболовству. 3. Административному управлению (О.В. Баранник) разместить Концепцию информационной безопасности Федерального агентства по рыболовству на официальном сайте Федерального агентства по рыболовству. 4. Административному управлению (О.В. Баранник) совместно с советником руководителя А.В. Ваховским в развитие Концепции информационной безопасности Росрыболовства разработать Политику информационной безопасности Росрыболовства и регламенты на ее основе. 5. Контроль за исполнением настоящего приказа оставляю за собой. Руководитель А.А. Крайний ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО РЫБОЛОВСТВУ УТВЕРЖДАЮ Руководитель Федерального агентства по рыболовству А.А. Крайний "___"____________ 2013 г. КОНЦЕПЦИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ РОСРЫБОЛОВСТВА 107996, г. Москва, Рождественский бульвар, д. 12 2013 ВВЕДЕНИЕ Концепция, или концепт, (от лат. conceptio - понимание, система) - генеральный замысел, руководящая идея. Концепция определяет стратегию действий, вектор развития. Информационная безопасность (далее - ИБ) - состояние (качество) определенного объекта (в качестве объекта может выступать информация, данные, ресурсы автоматизированной системы, автоматизированная система, информационная система предприятия, общества, государства и т. п.). (Национальный стандарт РФ "Защита информации. Основные термины и определения. ГОСТ Р 50922-2006"). ИБ - это также деятельность, направленная на обеспечение защищенного состояния объекта и состояние защищенности информации, при котором обеспечиваются такие ее характеристики, как конфиденциальность, целостность и доступность. (Национальный стандарт РФ "Информационная технология. Практические правила управления информационной безопасностью. ГОСТ Р ИСО/МЭК 17799-2005"). Беспрецедентные темпы развития и распространения информационных технологий (далее - ИТ), обострение конкурентной борьбы и криминогенной обстановки требуют создания целостной системы ИБ, взаимоувязывающей правовые, оперативные, технологические, организационные, технические и физические меры защиты информации (далее - ЗИ). Исходя из возрастающей роли информационных ресурсов (далее - ИР) в развитии рыболовства, основная цель информационной политики по отношению к ИР может быть сформулирована как создание условий и механизмов формирования, развития и эффективного использования ИР, принадлежащих Федеральному агентству по рыболовству (далее - Росрыболовство), его территориальным органам и подведомственным ему организациям. Настоящая Концепция определяет систему взглядов на проблему обеспечения ИБ в единой интегрированной информационно-вычислительной системе (далее - ИИВС) Росрыболовства и представляет собой систематизированное изложение целей и задач защиты, а также основных принципов и способов достижения требуемого уровня ИБ в ИИВС Росрыболовства. Правовой базой для разработки настоящей Концепции служат требования действующих в России законодательных и нормативных документов, перечень которых приведен в Приложении 1. Концепция является методологической основой для формирования и проведения в Росрыболовстве единой политики в области обеспечения ИБ, для принятия управленческих решений и разработки практических мер по ее воплощению, в частности для разработки Политики по ИБ ИИВС Росрыболовства. Концепция направлена на достижение следующих основных целей обеспечения ИБ: - обеспечение приемлемого уровня рисков экономического и других видов ущерба при нарушении ИБ (конфиденциальности, целостности, доступности); - обеспечение своевременного и надежного доступа к соответствующим категориям информации и ИР ИИВС Росрыболовства и его территориальных органов и подведомственных организаций; - принятие мер к предотвращению, минимизации ущерба при наступлении инцидентов ИБ. Настоящая Концепция определяет: - основные цели, задачи, общие принципы и направления обеспечения ИБ, в структурных подразделениях Росрыболовства и его территориальных органов и подведомственных организаций; - порядок осуществления контроля выполнения положений настоящей Концепции. Список основных использованных в настоящей Концепции сокращений приведен в Приложении 2. Перечень использованных специальных терминов и определений в Приложении 3. 1. ОБЩИЕ ПОЛОЖЕНИЯ 1.1. Назначение и правовая основа документа Настоящая "Концепция ИБ ИИВС Росрыболовства" (далее - Концепция) определяет систему взглядов на проблему обеспечения ИБ в ИИВС Росрыболовства и представляет собой систематизированное изложение целей и задач защиты, основных принципов построения, организационных, технологических и процедурных аспектов обеспечения ИБ в ИИВС Росрыболовства. Законодательной основой настоящей Концепции являются Конституция Российской Федерации, Гражданский и Уголовный кодексы, законы, указы, постановления, другие нормативные правовые и правовые акты законодательства Российской Федерации, документы Государственной технической комиссии при Президенте Российской Федерации (Гостехкомиссии России), Федерального агентства правительственной связи и информации при Президенте Российской Федерации (ФАПСИ), Федеральной службы по техническому и экспортному контролю (ФСТЭК), а также нормативно-методические материалы и организационно-распорядительными документы Росрыболовства, отражающие вопросы обеспечения ИБ в ИИВС Росрыболовства. Концепция учитывает современное состояние и ближайшие перспективы развития ИИВС Росрыболовства, цели, задачи и правовые основы ее создания и эксплуатации, режимы функционирования данной системы, а также общий анализ угроз безопасности для ИР ИИВС Росрыболовства. Основные положения и требования Концепции распространяются на все структурные подразделения Росрыболовства, в которых осуществляется автоматизированная обработка информации, содержащей сведения, составляющие банковскую, коммерческую, служебную тайну или персональные данные, а также на подразделения, осуществляющие сопровождение, обслуживание и обеспечение нормального функционирования ИИВС Росрыболовства. Концепция является методологической основой для: - формирования и проведения единой политики в области обеспечения ИБ в ИИВС Росрыболовства и подведомственных территориальных организациях; - принятия управленческих решений и разработки практических мер по воплощению политики ИБ и выработки комплекса согласованных мер нормативно-правового, технологического и организационно-технического характера, направленных на выявление, отражение и ликвидацию последствий реализации различных видов угроз ИБ; - координации деятельности структурных подразделений Росрыболовства при проведении работ по созданию, развитию и эксплуатации ИИВС Росрыболовства с соблюдением требований обеспечения ИБ; - разработки предложений по совершенствованию правового, нормативного, методического, технического и организационного обеспечения ИБ ИИВС Росрыболовства. Требования настоящей Концепции распространяются только на обеспечение ИБ, не составляющей государственную тайну. Концепция не регламентирует вопросы охраны помещений и обеспечения сохранности и физической целостности компонентов ИИВС Росрыболовства, защиты от стихийных бедствий, сбоев в системе энергоснабжения, а также меры по обеспечению личной безопасности персонала и клиентов Росрыболовства. Однако предполагает построение системы ИБ на тех же концептуальных основах, что и система безопасности Росрыболовства в целом (имущественная, физическая и проч.). Это позволяет не только принципиально, но и практически сопрягать их, оптимизируя затраты на построение такой системы. Научно-методической основой Концепции является системный подход, предполагающий проведение исследований, разработку системы ЗИ и процессов ее обработки в ИИВС Росрыболовства с единых методологических позиций с учетом всех факторов, оказывающих влияние на ЗИ, и с позиции комплексного применения различных мер и средств защиты. При разработке Концепции учитывались основные принципы создания комплексных систем ИБ, характеристики и возможности организационно-технических методов и современных аппаратно-программных средств защиты и противодействия угрозам ИБ, а также текущее состояние и перспективы развития ИТ. Основные положения Концепции базируются на качественном осмыслении вопросов ИБ и не концентрируют внимание на экономическом (количественном) анализе рисков и обосновании необходимых затрат на ЗИ. Информационная безопасность Росрыболовства достигается в результате обеспечения целостности, доступности и конфиденциальности в рамках ИИВС. Целостность достигается путем разработки и внедрения технологий контроля и восстановления целостности ИР, средствами разграничения полномочий, средствами защиты от НСД к ИР и каналам связи, физической охраной технических средств ИИВС Росрыболовства и носителей информации и другими организационно-техническими мерами, регламентирующими доступ к ИР ИИВС Росрыболовства, входящими в Регламент обеспечения ИБ в ИИВС Росрыболовства, который должен быть разработан и утвержден в соответствии с настоящей Концепцией. Доступность достигается путем защиты от НСД к ИИВС Росрыболовства, резервирования программно-технических средств, защиты от перегрузки оборудования, дублирования каналов передачи данных в сети, а также организационно-технологическими мерами, входящими в Регламент обеспечения ИБ в ИИВС Росрыболовства. Конфиденциальность достигается путем применения сертифицированных средств ЗИ от НСД (в том числе криптографических), реализацией правил разграничения доступа к ИР, а также организационными мерами и мерами дисциплинарного, административного и иного воздействия в соответствии с законодательством Российской Федерации по предотвращению разглашения информации конфиденциального характера и неправомерных действий со стороны лиц, имеющих право доступа к информации конфиденциального характера. Ответственность Ответственность за реализацию и соблюдение требований, изложенных в настоящей Концепции, возлагается: - на начальников управлений (подразделений, самостоятельных отделов) Росрыболовства, территориальных управлений Росрыболовства и его подведомственных организаций; - на все категории пользователей ИИВС Росрыболовства. Контроль над реализацией, а также координацию работ по подготовке Концепции ИБ, пересмотр и дополнение положений возлагается на подразделение, отвечающее за обеспечение ИБ в соответствии с его функциональными обязанностями и полномочиями, определенными нормативными актами Росрыболовства. Корректировка Концепции производится по мере необходимости в соответствии с установленным порядком. 2. ОБЪЕКТЫ ЗАЩИТЫ Основными объектами ИБ в Росрыболовстве являются: - ИР с ограниченным доступом, иные чувствительные по отношению к случайным и несанкционированным воздействиям и нарушению их безопасности ИР, в том числе открытая (общедоступная) информация, представленные в виде документов и массивов информации, независимо от формы и вида их представления; - процессы обработки информации в ИИВС Росрыболовства - информационные технологии, регламенты и процедуры сбора, обработки, хранения и передачи информации, научно-технический персонал разработчиков и пользователей системы и ее обслуживающий персонал; - информационная инфраструктура, включающая системы обработки и анализа информации, технические и программные средства ее обработки, передачи и отображения, в том числе каналы информационного обмена и телекоммуникации, системы и средства защиты информации, объекты и помещения, в которых размещены компоненты ИИВС Росрыболовства. 2.1. Назначение, цели создания и эксплуатации ИИВС Росрыболовства как объекта информатизации ИИВС Росрыболовства предназначена для автоматизации деятельности должностных лиц (сотрудников) Росрыболовства. Создание и применение ИИВС преследует следующие цели: - повышение качества управления производственными процессами; - повышение качества контроля за движением материальных и финансовых ресурсов Росрыболовства; - повышение оперативности и достоверности процедур сбора данных о состоянии материальных и финансовых ресурсов Росрыболовства; - сокращение финансовых и временных затрат на поддержку внутреннего и внешнего документооборота; - повышение оперативности и обоснованности прогнозирования деятельности Росрыболовства; - повышение оперативности и обоснованности планирования расходов финансовых ресурсов Росрыболовства; - интегрирование обработки информации, формирования и ведения специализированных баз данных (далее БД); - взаимодействие с клиентами Росрыболовства и другими внешними организациями; - информационно-справочное обслуживание структурных подразделений Росрыболовства; - своевременный анализ и прогнозирование деятельности Росрыболовства, обоснования принятия управленческих решений. 2.2. Структура, состав и размещение основных элементов ИИВС Росрыболовства, информационные связи с другими объектами ИИВС Росрыболовства является распределенной системой, объединяющей автоматизированные системы (подсистемы) центральных и территориальных подразделений Росрыболовства в единую вычислительную (информационно-телекоммуникационную) сеть. В ИИВС Росрыболовства циркулирует информация разных категорий. Защищаемая информация может быть совместно использована различными пользователями из различных подсетей единой вычислительной сети. В ряде подсистем ИИВС Росрыболовства предусмотрено взаимодействие с внешними (государственными и коммерческими, российскими и зарубежными) организациями по коммутируемым и выделенным каналам с использованием специальных средств передачи информации. Комплекс технических средств ИИВС Росрыболовства включает средства обработки данных (ПЭВМ, сервера БД, почтовые, файловые сервера и другие ИР), средства обмена данными в ЛВС с возможностью выхода в глобальные сети (кабельная система, мосты, шлюзы, модемы и другие средства связи), а также средства хранения и резервирования данных. К основным особенностям функционирования ИИВС Росрыболовства, относятся: - большая территориальная распределенность системы; - объединение в единую систему большого количества разнообразных технических средств обработки и передачи информации; - большое разнообразие решаемых задач и типов обрабатываемых сведений (данных), сложные режимы автоматизированной обработки информации с широким совмещением выполнения информационных запросов различных пользователей; - объединение в единых БД информации различного назначения, принадлежности и уровней конфиденциальности; - непосредственный доступ к вычислительным и ИР большого числа различных категорий пользователей (источников и потребителей информации) и обслуживающего персонала; - наличие большого числа каналов взаимодействия с внешними источниками и потребителями информации; - непрерывность функционирования ИИВС Росрыболовства; - высокая интенсивность информационных потоков в ИИВС Росрыболовства; - наличие в ИИВС Росрыболовства ярко выраженных функциональных подсистем с различными требованиями по уровням защищенности (физически объединенных в единую сеть); - разнообразие категорий пользователей и обслуживающего персонала системы. Общая структурная и функциональная организация ИИВС Росрыболовства определяется организационно-штатной структурой органов Росрыболовства и задачами, решаемыми его структурными подразделениями с применением средств автоматизации. В самом общем виде, единая ИИВС Росрыболовства представляет собой совокупность локальных вычислительных сетей (далее - ЛВС) Росрыболовства, объединенных средствами телекоммуникации. Каждая ЛВС в ИИВС Росрыболовства объединяет ряд взаимосвязанных и взаимодействующих автоматизированных подсистем (технологических участков), обеспечивающих решение задач отдельными структурными подразделениями Росрыболовства. Объекты информатизации ИИВС Росрыболовства включают: - технологическое оборудование (средства вычислительной техники, сетевое и кабельное оборудование); - ИР, содержащие сведения ограниченного доступа и представленные в виде документов или записей на носителях магнитной, оптической и другой основе, информационных физических полях, массивах и БД; - программные средства (операционные системы, системы управления БД, другое общесистемное и прикладное программное обеспечение); - автоматизированные системы связи и передачи данных (средства телекоммуникации); - каналы связи, по которым передается информация (в том числе ограниченного распространения); - служебные помещения, в которых циркулирует информация ограниченного распространения; - технические средства (звукозаписи, звукоусиления, звуковоспроизведения, изготовления, тиражирования документов, переговорные и телевизионные устройства и другие технические средства обработки графической, смысловой и буквенно-цифровой информации), используемые для обработки информации; - технические средства и системы, не обрабатывающие информацию (вспомогательные технические средства и системы - далее ВТСС), размещенные в помещениях, где обрабатывается (циркулирует) информация, содержащая сведения ограниченного (служебного) распространения. Обеспечение функционирования и эксплуатация ИИВС Росрыболовства осуществляется Административным управлением Росрыболовства, начальниками территориальных управлений и руководителями подведомственных организаций на основании требований организационно-распорядительных актов руководства Росрыболовства. 2.2.1. Общая характеристика ИИВС Росрыболовства Инфраструктура ИИВС предназначена для предоставления вычислительной платформы различным информационным системам Росрыболовства и обеспечения возможности взаимодействия различных категорий пользователей с ИР. ИИВС Росрыболовства характеризуется разветвленной инфраструктурой территориально распределенных на территории России объектов и подразделений Росрыболовства, объединенных открытой телекоммуникационной сетью связи. Основная инфраструктура ИИВС Росрыболовства сосредоточена в центральном аппарате Росрыболовства и расположена в зданиях по адресам: Москва, Рождественский бульвар, д. 12/8 стр. 1 и стр. 2, дома 14 и 15. Объекты "дом 15" и "Дом 12/14" соединены между собой волоконно-оптическими линиями связи по схеме "звезда" с центром на объекте "Дом 15" где размещается центр обработки данных (ЦОД) и телекоммуникационное ядро ИИВС. В ЦОД находятся основные вычислительные мощности ИИВС Росрыболовства, обеспечивающие функционирование большинства информационных сервисов Федерального агентства по рыболовству. Также имеются здания 20 территориальных управлений Федерального агентства по рыболовству и около трехсот отделов, расположенных по всей территории Российской Федерации, объединяемых в единую инфраструктуру с помощью информационно-телекоммуникационной сети общего пользования (сеть Интернет). Общая структура объектов Росрыболовства показана на рис. 1 /--------------------------------------------------------------\ | | | Федеральное агентство по рыболовству | | (г. Москва) | | ---------- | | ----------| | Рождественский бул. 12/14 | | | | | Административное здание | | | | | | | | |---------- | | ----------- :: | | :: | | :: | | ----------- | | | | Рождественский бул. 15 | | | |------ ЦОД | | | | | | | | | ----------| | | | | | | ^^ | | | | | | ^^ ------- | \----------|------^^----\----\---------------------------------/ . . . ^^ . \ . \ . . | . . .^^. . \ .\. . . ^^ \ \ . . | ^^ \ \. /-\ Удаленные . Сеть ^^ Интернет\ .\ | | пользователи . | ^^ \. \ /---\ . . . ^^ /\ \ \ | | . . . . | . ^^ / .\. .\ ----- . . ^^. . / \ \ | ^^ / \ \ /-----------------^^--\ \ /---------------------\ | Территориальное ^^ |--\ \ | Отделы ФАР | | управление ФАР ^^ | | \| |--\ | ^^ | | | ------- | |--\ | --------- | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | ------- | | | | --------- | | | | | | | | | \---------------------/ | | \---------------------/ | | | | | | \--------------------/ | \----------------------/ | | \---------------------/ :: Оптоволоконный канал связи - - Каналы связи общего доступа с использованием сети Интернет ^^ VPN туннели * ФАР - Федеральное агентство по рыболовству Рис.1 Структура объектов Росрыболовства 2.2.2 Структура ИИВС Росрыболовства Инфраструктура ИИВС Росрыболовства центрального аппарата (далее - ЦА) представляет собой локально-вычислительную сеть, объединяющую рабочие места пользователей и серверные платформы с выделением различных сегментов. Общая структура ИИВС центрального аппарата Росрыболовства приведена на Рис. 2 /----------------------\ /--------------------------------------\ | Сегмент "Интернет" | | Сегмент "Агентство" | | | | | | /------------------\ | | /-----\ | | | Сегмент "Интернет" | | | | АРМ | /--\ | | | (АП) | | | /---------\ \-----/ | УЦ | | | \------------------/ | | | Терминалы |\ | \--/ | | | | | \---------/ \ | | | | | | | \ | | | | / \ | | /----------\ \ / \ /-------\ | | / \ | | | Внутренний |___ / \____| Внешний | | | \ / | | | контур | \ / | контур | | | \ / | | \----------/ \ / \-------/ | | | | | | | | | | | | | | /------------------\ | | | | | | Сегмент "Интернет" | | | /----------------\ /---\ | | | (Proxy) | | | | Удаленный доступ | | ДМЗ | | | \------------------/ | | \----------------/ \---/ | | | | | | | | \-----------|----------/ \--------------------|-------------|---/ | . | | | / \ | | |__________/ \_____________________|_____________| \ / \ / | /-----\ Компоненты располагаются | | | в административных / \ \-----/ зданиях | | \ / | /-----\ Компоненты располагаются | | | в ЦОД / \ \-----/ / \ . . / \ . . . ./ \. . . . . . . ISP 1 . . ISP 2 . . . . . . . . . . . . . Рис. 2 Структура ИИВС ЦА Росрыболовства Сегмент "Агентство" является основным сегментом, в котором размещаются рабочие станции пользователей и все ИР Росрыболовства. В сегменте выделяются "внутренний контур" с ИР конфиденциального характера, не содержащими сведения, составляющие государственную тайну и "внешний контур" - с открытыми ИР, не содержащими служебной информации ограниченного распространения. Доступ пользователей во "внутренний контур" осуществляется посредством терминального доступа. Также имеются сегменты защищенных демилитаризованных зон (далее - ДМЗ), в которых размещаются ресурсы, доступ к которым разрешен со стороны внешних пользователей и "Удаленный доступ", который предназначен для организации удаленного доступа к внутренним ресурсам Росрыболовства со стороны территориальных управлений и мобильных пользователей. Сегмент "Интернет" предназначен для предоставления пользователям Росрыболовства доступа к ресурсам международной сети Интернет и представляет собой отдельный контур, физически отделенный от контура "Агентство". Общая структура ИИВС территориального управления Росрыболовства (далее - ТУ) приведена на Рис. 3 /------------------\ | Серверный сегмент | \------------------/ | | /-------------\ / \ /------------------\ | Сегмент АРМ |________/ \_____| Удаленный доступ | \-------------/ \ / \------------------/ \ / | | / \ | | \ / | | .|. . . . . . ISP . . . . . . . Рис. 3 Структура ТУ Архитектура серверной площадки центра обработки данных (далее - ЦОД) основана на использовании виртуализированной среды, в которую помещаются компоненты ИС. Общая архитектура виртуализированной среды ЦОД приведена на Рис. 4 /----------------------------------------------------------------------------------\ | ЦОД | | / - \ vSphere Client | | | | | | |\ _ /| Файлы VM на . . . ------ | | | | разделах VMFS . . | | | | | СХД | . LAN ЦОД .___| | | | | | . . \-----\ | | \ _ / . . . . \-----\ | | | . | | | . | . . | АРМ Администратора | | . . . | ЦОД | | . SAN . . | | | . . . . | | | . . . . . | | | | . . | | | / \ . . / \ | | / \ . . / \ | | / \ . . / \ | | / Server\ . . / Server\ | | |\ ESX(i)/| . .|\ ESX(i)/| | | | \ / | | \ / | | | \ \ / / \ \ / / | | \ \ / / \ \ / / | |/----- \ | /----------------------------------\ / -\ | / - - - - - - - - - - - - \| || \|/ || \|/ || || ______ . . . | ______ . . . | ||| | . . ||| | . . || |||vmware| . vLAN .------------------ | |vmware| . vLAN . | |||______| / . . \ | |||______| /. . \ || || / | . . . | \ | | / | . . . | \ | || / | | \ | || / | | \ || || / | | \ | | / | | \ | ||/-----\ /-----\ /-----\ /---\-\ /---------\||/-----\ /-----\ /-----\ /-----\ || ||| VM| | VM| | VM| | VM| | VM|| | VM| | VM| | VM| | VM| | ||||---|| ||---|| ||---|| ||---|| ||-------||||||---|| ||---|| ||---|| ||---|| || ||||OS || ||OS || ||OS || ||OS || ||vCenter||| ||OS || ||OS || ||OS || ||OS || | ||||---|| ||---|| ||---|| ||---|| || Server||||||---|| ||---|| ||---|| ||---|| || ||||App|| ||App|| ||App|| ||App|| || ||| ||App|| ||App|| ||App|| ||App|| | ||||---|| ||---|| ||---|| ||---|| ||-------||||||---|| ||---|| ||---|| ||---|| || ||\-----/ \-----/ \-----/ \-----/ \---------/| \-----/ \-----/ \-----/ \-----/ | || АИС 2 АИС 1 || АИС 2 АИС 1 || |\---------------------------------------------/ \ - - - - - - - - - - - - - - - -/| \----------------------------------------------------------------------------------/ Рис. 4 Виртуализированная среда ЦОД В качестве основной аппаратной платформы используются высокопроизводительные серверы, на которых устанавливается программное обеспечение гипервизора. Все серверы подключены к сетевой системе хранения данных, на которой физически размещаются файлы создаваемых виртуальных машин. Запуск виртуальных машин осуществляется при помощи гипервизора, который выделяет для виртуальной машины необходимые аппаратные ресурсы и управляет ее работой. На одном сервере можно запустить одновременно несколько виртуальных машин. Виртуальная машина представляет собой аналог физического сервера или рабочей станции и включает в себя необходимую операционную систему, прикладное ПО. Для размещения в виртуальной среде информационной системы создается необходимый набор виртуальных машин. Для сетевого взаимодействия различных виртуальных машин в среде гипервизора создаются виртуальные коммутаторы, обеспечивающие создание виртуальной ЛВС. Виртуальные коммутаторы поддерживают технологию "VLAN" и позволяют разделить виртуальную сеть на различные изолированные сегменты. Все виртуальных машин запущенные на одном гипервизоре взаимодействуют в рамках созданной виртуальной сети. При взаимодействии с виртуальных машин, запущенными на другом гипервизоре, или сетевыми узлами, не входящими в виртуальную среду, используются физические сетевые карты серверов и физические коммутаторы ЦОД. Создание и управление виртуальной инфраструктурой осуществляется при помощи специального сервера управления, который представляет собой отдельную виртуальную машину, запущенную на одном из серверов. 2.3. Категории информационных ресурсов Росрыболовства, подлежащих защите В подсистемах ИИВС Росрыболовства циркулирует информация различных уровней конфиденциальности, содержащих сведения ограниченного распространения (служебная информация, персональные данные и т.п.) и открытые сведения. В документообороте ИИВС Росрыболовства присутствуют: - платежные поручения и другие расчетно-денежные документы; - различного рода отчеты (финансовые, аналитические и другие); - сведения о лицевых счетах; - обобщенная информация, документы ограниченного распространения; - служебная переписка. Защите подлежит вся информация, циркулирующая в ИИВС Росрыболовства и содержащая: - общие открытые сведения; - сведения ограниченного распространения; - сведения, составляющие служебную и коммерческую тайну, доступ к которым ограничен собственником информации (Росрыболовством) в соответствии с Федеральным законодательством; - сведения о частной жизни граждан (персональные данные), доступ к которым ограничен в соответствии с Федеральным законодательством. 2.4. Категории пользователей ИИВС Росрыболовства, режимы использования и уровни доступа к информации В Росрыболовстве имеется большое число категорий пользователей и обслуживающего персонала, которые должны иметь различные полномочия по доступу к информационным, программным и другим ресурсам ИИВС: - пользователи (конечные пользователи, пользователи БД, сотрудники подразделений Росрыболовства); - ответственные за ведение БД (ввод, корректировка, удаление данных); - администраторы серверов (файловых серверов, серверов приложений, серверов БД) и ЛВС; - системные программисты из компаний интеграторов Росрыболовства (ответственные за сопровождение общего программного обеспечения) на серверах и рабочих станциях пользователей; - специалисты по обслуживанию технических средств вычислительной техники; - администраторы ИБ (специальных средств защиты). 2.5. Уязвимость основных компонентов ИИВС Росрыболовства Наиболее доступными и уязвимыми компонентами ИИВС Росрыболовства являются сетевые рабочие станции (автоматизированные рабочие места - (далее АРМ) сотрудников подразделений Росрыболовства). Именно с них могут быть предприняты наиболее многочисленные попытки несанкционированного доступа к информации (далее - НСД) в сети и попытки совершения несанкционированных действий (непреднамеренных и умышленных). С АРМ осуществляется управление процессами обработки информации (в том числе на серверах), запуск программ, ввод и корректировка данных, на дисках рабочих станций могут размещаться важные данные и программы обработки. На мониторы и печатающие устройства АРМ выводится информация при работе пользователей (операторов), выполняющих различные функции и имеющих разные полномочия по доступу к данным и другим ресурсам системы. Нарушения конфигурации аппаратно-программных средств АРМ и неправомерное вмешательство в процессы их функционирования могут приводить к блокированию информации, невозможности своевременного решения важных задач и выходу из строя отдельных АРМ и подсистем. В особой защите нуждаются такие привлекательные для злоумышленников элементы сетей как выделенные файловые серверы, серверы БД и серверы приложений. Здесь злоумышленники, прежде всего, могут искать возможности получения доступа к защищаемой информации и оказания влияния на работу различных подсистем серверов, используя недостатки протоколов обмена и средств разграничения удаленного доступа к ресурсам серверов. При этом могут предприниматься попытки как удаленного (со станций сети), так и непосредственного (с консоли сервера) воздействия на работу серверов и их средств защиты. Мосты, шлюзы, маршрутизаторы, коммутаторы и другие сетевые устройства, каналы и средства связи также нуждаются в защите. Они могут быть использованы нарушителями для реструктуризации и дезорганизации работы сети, перехвата передаваемой информации, анализа трафика и реализации других способов вмешательства в процессы обмена данными. 3. ЦЕЛИ И ЗАДАЧИ ОБЕСПЕЧЕНИЯ ИБ 3.1. Интересы затрагиваемых при эксплуатации ИИВС Росрыболовства субъектов информационных отношений Субъектами правоотношений при использовании ИИВС Росрыболовства и обеспечении ИБ являются: - Росрыболовство как собственник ИР; - подразделения управлений и отделений Росрыболовства, обеспечивающие эксплуатацию системы автоматизированной обработки информации; - должностные лица и сотрудники структурных подразделений Росрыболовства как пользователи и поставщики информации в ИИВС в соответствии с возложенными на них функциями; - юридические и физические лица, сведения о которых накапливаются, хранятся и обрабатываются в ИИВС Росрыболовства; - другие юридические и физические лица, задействованные в процессе создания и функционирования ИИВС Росрыболовства (разработчики компонент ИИВС из компаний интеграторов, обслуживающий персонал, организации, привлекаемые для оказания услуг в области ИБ). Перечисленные субъекты информационных отношений заинтересованы в обеспечении: - конфиденциальности (сохранения в тайне) определенной части информации; - достоверности (полноты, точности, адекватности, целостности) информации; - защиты от навязывания им ложной (недостоверной, искаженной) информации (то есть от дезинформации); - своевременного доступа (за приемлемое для них время) к необходимой им информации; - разграничения ответственности за нарушения законных прав (интересов) других субъектов информационных отношений и установленных правил обращения с информацией; - возможности осуществления непрерывного контроля и управления процессами обработки и передачи информации; - защиты части информации от незаконного ее тиражирования (защиты авторских прав, прав собственника информации и т.п.). 3.2. Цели защиты Основной целью, на достижение которой направлены все положения настоящей Концепции, является защита субъектов информационных отношений (интересы которых затрагиваются при создании и функционировании ИИВС Росрыболовства) от возможного нанесения им любого ущерба посредством случайного или преднамеренного несанкционированного вмешательства в процесс функционирования ИИВС Росрыболовства или несанкционированного доступа к циркулирующей в ней информации и ее незаконного использования. Указанная цель достигается посредством обеспечения и постоянного поддержания следующих свойств информации и автоматизированной системы ее обработки: - доступности обрабатываемой информации для зарегистрированных пользователей (устойчивого функционирования ИИВС Росрыболовства, при котором пользователи имеют возможность получения необходимой информации и результатов решения задач за приемлемое для них время); - сохранения в тайне (обеспечения конфиденциальности) определенной части информации, хранимой, обрабатываемой ИИВС Росрыболовства и передаваемой по каналам связи; - целостности и аутентичности (подтверждение авторства) информации, хранимой и обрабатываемой в ИИВС Росрыболовства и передаваемой по каналам связи. 3.3. Основные задачи системы обеспечения информационной безопасности ИИВС Росрыболовства Для достижения основной цели защиты и обеспечения указанных свойств информации и системы ее обработки система безопасности ИИВС Росрыболовства должна обеспечивать эффективное решение следующих задач: - защиту от вмешательства в процесс функционирования ИИВС Росрыболовства посторонних лиц (возможность использования автоматизированной системы и доступ к ее ресурсам должны иметь только зарегистрированные в установленном порядке пользователи - сотрудники структурных подразделений Росрыболовства); - разграничение доступа зарегистрированных пользователей к аппаратным, программным и ИР ИИВС Росрыболовства (возможность доступа только к тем ресурсам и выполнению только тех операций с ними, которые необходимы конкретным пользователям ИИВС Росрыболовства для выполнения своих служебных обязанностей), то есть защиту от НСД: - к информации, циркулирующей в ИИВС; - средствам вычислительной техники ИИВС; - аппаратным, программным и криптографическим средствам защиты, используемым в ИИВС; - регистрацию действий пользователей при использовании защищаемых ресурсов ИИВС Росрыболовства в системных журналах и периодический контроль корректности действий пользователей системы путем анализа содержимого этих журналов ответственными сотрудниками, отвечающими за ИБ; - контроль целостности (обеспечение неизменности) среды исполнения программ и ее восстановление в случае нарушения; - защиту от несанкционированной модификации и контроль целостности используемых в ИИВС Росрыболовства программных средств, а также защиту системы от внедрения несанкционированных программ, включая компьютерные вирусы; - ЗИ ограниченного распространения от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи; - ЗИ ограниченного распространения, хранимой, обрабатываемой и передаваемой по каналам связи, от несанкционированного разглашения или искажения; - обеспечение аутентификации пользователей, участвующих в информационном обмене (подтверждение подлинности отправителя и получателя информации); - обеспечение живучести криптографических средств ЗИ при компрометации части ключевой системы; - своевременное выявление источников угроз ИБ, причин и условий, способствующих нанесению ущерба заинтересованным субъектам информационных отношений, создание механизма оперативного реагирования на угрозы ИБ и негативные тенденции; - создание условий для минимизации и локализации наносимого ущерба неправомерными действиями физических и юридических лиц, ослабление негативного влияния и ликвидация последствий нарушения ИБ. 3.4. Основные пути достижения целей защиты (решения задач системы защиты) Поставленные основные цели защиты и решение перечисленных выше задач достигаются: - строгим учетом всех подлежащих защите ресурсов системы (информации, задач, каналов связи, серверов и АРМ); - регламентацией процессов обработки информации, подлежащей защите с применением средств автоматизации и действий сотрудников структурных подразделений Росрыболовства, использующих ИИВС, а также действий персонала, осуществляющего обслуживание и модификацию программных и технических средств ИИВС Росрыболовства, на основе утвержденных руководством Росрыболовства организационно-распорядительных документов по вопросам обеспечения ИБ; - полнотой, реальной выполнимостью и непротиворечивостью требований организационно-распорядительных документов Росрыболовства по вопросам обеспечения ИБ; - назначением и подготовкой должностных лиц (сотрудников), ответственных за организацию и осуществление практических мероприятий по обеспечению ИБ и процессов ее обработки; - наделением каждого сотрудника (пользователя) минимально необходимыми для выполнения им своих функциональных обязанностей полномочиями по доступу к ресурсам ИИВС Росрыболовства; - четким знанием и строгим соблюдением всеми сотрудниками, использующими и обслуживающими аппаратные и программные средства ИИВС Росрыболовства, требований организационно-распорядительных документов по вопросам обеспечения ИБ в Росрыболовстве; - персональной ответственностью за свои действия каждого сотрудника, участвующего в рамках своих функциональных обязанностей, в процессах автоматизированной обработки информации и имеющего доступ к ресурсам ИИВС Росрыболовства; - реализацией технологических процессов обработки информации с использованием комплексов организационно-технических мер защиты программного обеспечения, технических средств и данных; - принятием эффективных мер обеспечения физической целостности технических средств и непрерывным поддержанием необходимого уровня защищенности компонентов ИИВС Росрыболовства; - применением физических и технических (программно-аппаратных) средств защиты ресурсов системы и непрерывной административной поддержкой их использования; - разграничением потоков информации, предусматривающим предупреждение попадания информации более высокого уровня конфиденциальности на носители и в файлы с более низким уровнем конфиденциальности, а также запрещением передачи информации ограниченного распространения по незащищенным каналам связи; - эффективным контролем за соблюдением сотрудниками подразделений Росрыболовства - пользователями ИИВС, требований по обеспечению ИБ; юридической защитой интересов Росрыболовства при взаимодействии его подразделений с внешними организациями (связанном с обменом информацией) от противоправных действий, как со стороны этих организаций, так и от НСД обслуживающего персонала и третьих лиц; - проведением постоянного анализа эффективности и достаточности принятых мер и применяемых средств ЗИ, разработкой и реализацией предложений по совершенствованию системы ЗИ в ИИВС Росрыболовства. 4. ОСНОВНЫЕ УГРОЗЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В ИИВС РОСРЫБОЛОВСТВА 4.1. Угрозы информационной безопасности и их источники Наиболее опасными (значимыми) угрозами ИБ ИИВС Росрыболовства (способами нанесения ущерба субъектам информационных отношений) являются: - нарушение конфиденциальности (разглашение, утечка) сведений, составляющих служебную информацию ограниченного распространения, а также персональных данных; - нарушение работоспособности (дезорганизация работы) ИИВС Росрыболовства, блокирование информации, нарушение технологических процессов, срыв своевременного решения задач; - нарушение целостности (искажение, подмена, уничтожение) информационных, программных и других ресурсов ИИВС Росрыболовства, а также фальсификация (подделка) документов. Основными источниками угроз информационной безопасности в ИИВС Росрыболовства являются: - непреднамеренные (ошибочные, случайные, необдуманные, без злого умысла и корыстных целей) нарушения установленных регламентов сбора, обработки и передачи информации, а также требований ИБ и другие действия сотрудников (в том числе администраторов средств защиты) структурных подразделений Росрыболовства при эксплуатации ИИВС, приводящие к непроизводительным затратам времени и ресурсов, разглашению сведений ограниченного распространения, потере ценной информации или нарушению работоспособности отдельных рабочих станций (АРМ), подсистем или ИИВС Росрыболовства в целом; - преднамеренные (в корыстных целях, по принуждению третьими лицами, со злым умыслом) действия сотрудников подразделений Росрыболовства, допущенных к работе с ИИВС Росрыболовства, а также сотрудников подразделений, отвечающих за обслуживание, администрирование программного и аппаратного обеспечения, средств защиты и обеспечения ИБ; - воздействия из других логических и физических сегментов ИИВС Росрыболовства со стороны сотрудников других подразделений Росрыболовства, в том числе программистов-разработчиков прикладных задач (из компаний интеграторов Росрыболовства), а также удаленное несанкционированное вмешательство посторонних лиц из телекоммуникационной сети Росрыболовства и внешних сетей общего назначения (прежде всего Internet) через легальные и несанкционированные каналы подключения сети Росрыболовства к таким сетям, используя недостатки протоколов обмена, средств защиты и разграничения удаленного доступа к ресурсам ИИВС Росрыболовства; - деятельность международных и отечественных преступных групп и формирований, политических и экономических структур, а также отдельных лиц по добыванию информации, навязыванию ложной информации, нарушению работоспособности системы в целом и ее отдельных компонент; - деятельность иностранных разведывательных и специальных служб, направленная против интересов Росрыболовства и РФ в целом; - ошибки, допущенные при проектировании ИИВС Росрыболовства и ее системы защиты, ошибки в программном обеспечении, отказы и сбои технических средств (в том числе средств ЗИ и контроля эффективности защиты) ИИВС Росрыболовства; - пожары, аварии, стихийные бедствия и другие случаи форс-мажорных обстоятельств. 4.2. Пути реализации непреднамеренных искусственных (субъективных) угроз информационной безопасности в ИИВС Росрыболовства Пользователи, операторы, системные администраторы и сотрудники Росрыболовства, обслуживающие систему, являются внутренними источниками случайных воздействий, т.к. имеют непосредственный доступ к процессам обработки информации и могут совершать непреднамеренные ошибки и нарушения действующих правил, инструкций и процедур. Основные пути реализации непреднамеренных искусственных (субъективных) угроз ИИВС Росрыболовства (действия, совершаемые людьми случайно, по незнанию, невнимательности или халатности, из любопытства, но без злого умысла) и меры по нейтрализации соответствующих угроз и снижению возможного наносимого ими ущерба приведены в Таблице 4.2.1. Таблица 4.2.1. ---------------------------------------------------------------------- Основные пути реализации | Меры по нейтрализации угроз и непреднамеренных искусственных | снижению возможного наносимого (субъективных) угроз ИИВС | ущерба ----------------------------------|----------------------------------- Действия сотрудников | 1. Организационные меры Росрыболовства, приводящие к | (регламентация действий, введение частичному или полному отказу | запретов). системы или нарушению | 2. Применение физических средств, работоспособности аппаратных или | препятствующих неумышленному программных средств; отключению | совершению нарушения. оборудования или изменению режимов| 3. Применение технических работы устройств и программ; | (аппаратно-программных) средств разрушению ИР системы | разграничения доступа к ресурсам. (неумышленная порча оборудования, | 4. Резервирование критичных удаление, искажение программ или | ресурсов. файлов с важной информацией, в том| числе системных, повреждение | каналов связи, неумышленная порча | носителей информации и подобное) | ----------------------------------|----------------------------------- Несанкционированный запуск | 1. Организационные меры (удаление технологических программ, | всех потенциально опасных программ способных при некомпетентном | с дисков АРМ). использовании вызывать потерю | 2. Применение технических работоспособности системы | (аппаратно-программных) средств (зависания или зацикливания) или | разграничения доступа к осуществляющих необратимые | технологическим и инструментальным изменения в системе | программам на дисках АРМ. (форматирование или | реструктуризацию носителей | информации, удаление данных и | подобное) | ----------------------------------|----------------------------------- Несанкционированное внедрение и | 1. Организационные меры (введение использование неучтенных программ | запретов). (игровых, обучающих, | 2. Применение технических технологических и других, не | (аппаратно-программных) средств, являющихся необходимыми для | препятствующих выполнения сотрудниками своих | несанкционированному служебных обязанностей) с | внедрению и использованию последующим необоснованным | неучтенных программ. расходованием ресурсов | (процессорного времени, | оперативной памяти, памяти на | внешних носителях и подобное) | ----------------------------------|----------------------------------- Непреднамеренное заражение | 1. Организационные меры компьютера вирусами | (регламентация действий, введение | запретов). | 2. Технологические меры | (применение специальных программ | обнаружения и уничтожения | вирусов). | 3. Применение | аппаратно-программных средств, | препятствующих заражению | компьютеров компьютерными | вирусами. ----------------------------------|----------------------------------- Разглашение, передача или утрата | 1. Организационные меры атрибутов разграничения доступа | (регламентация действий, введение (паролей, ключей шифрования или | запретов, усиление ключей ЭЦ, идентификационных | ответственности). карточек, пропусков) | 2. Применение физических средств | обеспечения сохранности указанных | реквизитов. ----------------------------------|----------------------------------- Игнорирование организационных | 1. Организационные меры (усиление ограничений (установленных правил)| ответственности и контроля). при работе в системе | 2. Использование дополнительных | физических и технических средств | защиты. ----------------------------------|----------------------------------- Некомпетентное использование, | Организационные меры настройка или неправомерное | (обучение персонала, усиление отключение средств защиты | ответственности и контроля). персоналом, ответственным за ИБ | ----------------------------------|----------------------------------- Ввод ошибочных данных | 1. Организационные меры (усиление | ответственности и контроля). | 2. Технологические меры контроля | за ошибками операторов ввода | данных. ---------------------------------------------------------------------- 4.3. Умышленные действия сторонних лиц, зарегистрированных пользователей и обслуживающего персонала Основные возможные пути умышленной дезорганизации работы, вывода ИИВС Росрыболовства из строя, проникновения в систему и несанкционированного доступа к информации (с корыстными целями, по принуждению, из желания отомстить и т.п.) и меры по нейтрализации соответствующих угроз и снижению возможного наносимого ими ущерба приведены в Таблице 4.3.1. Таблица 4.3.1 ---------------------------------------------------------------------- Основные возможные пути умышленной | дезорганизации работы, вывода ИИВС | Меры по нейтрализации угроз и из строя, проникновения в систему | снижению возможного наносимого и НСД к информации (с корыстными | ущерба целями, по принуждению, из желания | отомстить и т.п.) | -----------------------------------|---------------------------------- Физическое разрушение или вывод из | 1. Организационные меры строя всех или отдельных наиболее | (регламентация действий, введение важных компонентов | запретов). автоматизированной системы | 2. Применение физических средств, (устройств, носителей важной | препятствующих неумышленному системной информации, лиц из числа | совершению нарушения. персонала и т.п.), отключение или | 3. Резервирование критичных вывод из строя подсистем | ресурсов. обеспечения функционирования | 4. Обеспечение личной вычислительных систем | безопасности сотрудников. (электропитания, линий связи и | т.п.) | -----------------------------------|---------------------------------- Внедрение агентов в число | Организационные меры персонала системы (в том числе, | (подбор, расстановка и работа с возможно, и в административную | кадрами, усиление контроля и группу, отвечающую за | ответственности). Автоматическая безопасность), вербовка (путем | регистрация действий персонала. подкупа, шантажа, угроз и т.п.) | пользователей, имеющих | определенные полномочия по доступу | к защищаемым ресурсам | -----------------------------------|---------------------------------- Хищение носителей информации | Организационные меры (организация (распечаток, магнитных дисков, |хранения и использования носителей лент, микросхем памяти, | с защищаемой информацией). запоминающих устройств и целых | ПЭВМ), хищение производственных | отходов (распечаток, записей, | списанных носителей информации и | т.п.) | -----------------------------------|---------------------------------- Несанкционированное копирование | 1. Организационные меры носителей информации, чтение | (организация хранения и остаточной информации из | использования носителей с оперативной памяти и с внешних | защищаемой информацией). запоминающих устройств | 2. Применение технических средств |разграничения доступа к защищаемым | ресурсам и автоматической | регистрации получения твердых | копий документов. -----------------------------------|---------------------------------- Незаконное получение паролей и | 1. Организационные меры других реквизитов разграничения | (регламентация действий, введение доступа (агентурным путем, | запретов, работа с кадрами). используя халатность | 2. Применение технических средств пользователей, путем подбора, | препятствующих внедрению программ путем имитации интерфейса системы | перехвата паролей, ключей и программными закладками и т.д.) с | других реквизитов. последующей маскировкой под | зарегистрированного пользователя | -----------------------------------|---------------------------------- Несанкционированное использование | 1. Организационные меры (строгая АРМ пользователей, имеющих | регламентация доступа в помещения уникальные физические | и допуска к работам на данных характеристики, такие как номер | АРМ). рабочей станции в сети, физический | 2. Применение физических и адрес, адрес в системе связи, | технических средств разграничения аппаратный блок кодирования и т.п. | доступа. -----------------------------------|---------------------------------- Несанкционированная модификация | 1. Организационные меры (строгая программного обеспечения - | регламентация допуска к работам). внедрение программных "закладок" и | 2. Применение физических и "вирусов" ("троянских коней" и | технических средств разграничения "жучков"), то есть таких участков | доступа и препятствующих программ, которые не нужны для | несанкционированной модификации осуществления заявленных функций, | аппаратно-программной но позволяющих преодолевать | конфигурации АРМ. систему защиты, скрытно и | 3. Применение средств контроля незаконно осуществлять доступ к | системным ресурсам с целью | регистрации и передачи защищаемой | информации или дезорганизации | функционирования системы | -----------------------------------|---------------------------------- Перехват данных, передаваемых по | 1. Физическая защита каналов каналам связи, и их анализ с целью | связи. получения конфиденциальной | 2. Применение средств информации и выяснения протоколов | криптографической защиты обмена, правил вхождения в связь и | передаваемой информации. авторизации пользователей и | 3. Применение средств электронной последующих попыток их имитации | подписи (ЭП) для проникновения в систему | -----------------------------------|---------------------------------- Вмешательство в процесс | 1. Организационные меры функционирования ИИВС из сетей | (регламентация подключения и общего пользования с целью | работы в сетях общего несанкционированной модификации | пользования). данных, доступа к конфиденциальной | 2. Применение специальных информации, дезорганизации работы | технических средств защиты подсистем и т.п. | (межсетевых экранов, средств | контроля защищенности и | обнаружения атак на ресурсы | системы и т.п.). ---------------------------------------------------------------------- 4.4. Утечка информации по техническим каналам При проведении мероприятий и эксплуатации технических средств Росрыболовства возможны следующие каналы утечки или нарушения целостности информации, нарушения работоспособности технических средств: - побочные электромагнитные излучения информативного сигнала от технических средств ИИВС Росрыболовства и линий передачи информации; - наводки информативного сигнала, обрабатываемого ИИВС Росрыболовства, на провода и линии, выходящие за пределы контролируемой зоны, в т.ч. на цепи заземления и электропитания; - изменения тока потребления, обусловленные обрабатываемыми ИИВС Росрыболовства информативными сигналами; - радиоизлучения, модулированные информативным сигналом, возникающие при работе различных генераторов, входящих в состав ИИВС Росрыболовства, или при наличии паразитной генерации в узлах (элементах) ИИВС; - электрические сигналы или радиоизлучения, обусловленные воздействием на ИИВС Росрыболовства высокочастотных сигналов, создаваемых с помощью разведывательной аппаратуры, по эфиру и проводам, либо сигналов промышленных радиотехнических устройств (радиовещательные, радиолокационные станции, средства радиосвязи и т.п.), и модуляцией их информативным сигналом (облучение, "навязывание"); - радиоизлучения или электрические сигналы от внедренных в ИИВС Росрыболовства и выделенные помещения специальных электронных устройств перехвата информации ("закладок"), модулированные информативным сигналом; - радиоизлучения или электрические сигналы от электронных устройств перехвата информации, подключенных к каналам связи или техническим средствам обработки информации; - акустическое излучение информативного речевого сигнала или сигнала, обусловленного функционированием технических средств обработки информации (телеграф, телетайп, принтер, пишущая машинка и т.п.); - электрические сигналы, возникающие посредством преобразования информативного сигнала из акустического в электрический за счет микрофонного эффекта и распространяющиеся по проводам и линиям передачи информации; - вибрационные сигналы, возникающие посредством преобразования информативного акустического сигнала при воздействии его на строительные конструкции и инженерно-технические коммуникации выделенных помещений; - просмотр информации с экранов дисплеев и других средств ее отображения с помощью оптических средств; - воздействие на технические или программные средства в целях нарушения целостности (уничтожения, искажения) информации, работоспособности технических средств, средств ЗИ, адресности и своевременности информационного обмена, в том числе электромагнитное, через специально внедренные электронные и программные средства ("закладки"). Перехват информации ограниченного распространения или воздействие на нее с использованием технических средств может вестись непосредственно из зданий, расположенных в непосредственной близости от объектов ИИВС Росрыболовства, мест временного пребывания заинтересованных в перехвате информации или воздействии на нее лиц при посещении ими подразделений Росрыболовства, а также с помощью скрытно устанавливаемой в районах важнейших объектов и на их территориях автономной автоматической аппаратуры. В качестве аппаратуры разведок или воздействия на информацию и технические средства могут использоваться: - космические средства разведки для перехвата радиоизлучений от средств радиосвязи, радиорелейных станций, и приема сигнала от автономных автоматических средств разведки и электронных устройств перехвата информации ("закладок"); - стационарные средства, размещаемые в зданиях; - портативные возимые и носимые средства, размещаемые в зданиях, в транспортных средствах, а также носимые лицами, ведущими разведку; - автономные автоматические средства, скрытно устанавливаемые на объектах защиты или поблизости от них. Стационарные средства обладают наибольшими энергетическими, техническими и функциональными возможностями. В то же время они, как правило, удалены от объектов защиты и не имеют возможности подключения к линиям, коммуникациям и сооружениям. Портативные средства могут использоваться непосредственно на объектах защиты или поблизости от них и могут подключаться к линиям и коммуникациям, выходящим за пределы контролируемой территории. Кроме перехвата информации техническими средствами разведки возможно непреднамеренное попадание защищаемой информации к лицам, не допущенным к ней, но находящимся в пределах контролируемой зоны. Такого рода утечка информации возможна вследствие: - непреднамеренного прослушивания без использования технических средств разговоров, ведущихся в выделенном помещении, из-за недостаточной звукоизоляции его ограждающих конструкций, систем вентиляции и кондиционирования воздуха; - случайного прослушивания телефонных переговоров при проведении профилактических работ на АТС, кроссах, кабельных коммуникациях с помощью контрольной аппаратуры; - просмотра информации с экранов дисплеев и других средств ее отображения. 4.5. Неформальная модель возможных нарушителей Полная модель нарушителя и угроз ИИВС Росрыболовства должна быть разработана и утверждена отдельным документом, который должен войти в Регламент обеспечения ИБ в виде приложения. НАРУШИТЕЛЬ - это лицо (субъект), которое предприняло (пыталось предпринять) попытку несанкционированного доступа к ресурсам системы (попытку выполнения запрещенных ему действий с данным ресурсом) по ошибке, незнанию или осознанно со злым умыслом (из корыстных интересов) или без такового (ради игры или с целью самоутверждения и т.п.) и использовавшее для этого различные возможности, методы и средства (чисто агентурные методы получения сведений, технические средства перехвата без модификации компонентов системы, штатные средства и недостатки систем защиты, подключение к каналам передачи данных, внедрение программных закладок и использование специальных инструментальных и технологических программ и подобное). Система защиты ИИВС Росрыболовства должна строиться исходя из предположений о следующих возможных типах нарушителей в системе (с учетом категории лиц, мотивации, квалификации, наличия специальных средств и др.): 1) "Неопытный (невнимательный) пользователь" - сотрудник Росрыболовства (или подразделения другого ведомства, зарегистрированный как пользователь системы), который может предпринимать попытки выполнения запрещенных операций, доступа к защищаемым ресурсам ИИВС Росрыболовства с превышением своих полномочий, ввода некорректных данных и подобные действия по ошибке, некомпетентности или халатности без злого умысла и использующий при этом только штатные (доступные ему) аппаратные и программные средства. 2) "Любитель" - сотрудник Росрыболовства (или подразделения другого ведомства, зарегистрированный как пользователь системы), пытающийся преодолеть систему защиты без корыстных целей и злого умысла, для самоутверждения или из "спортивного интереса". Для преодоления системы защиты и совершения запрещенных действий он может использовать различные методы получения дополнительных полномочий доступа к ресурсам (имен, паролей, средств доступа других пользователей), недостатки в построении системы защиты и доступные ему штатные (установленные на рабочей станции) программы (несанкционированные действия посредством превышения своих полномочий на использование разрешенных средств). Помимо этого он может пытаться использовать дополнительно нештатные инструментальные и технологические программные средства (отладчики, служебные утилиты), самостоятельно разработанные программы или стандартные дополнительные технические средства. 3) "Мошенник" - сотрудник Росрыболовства (или подразделения другого ведомства, зарегистрированный как пользователь системы), который может предпринимать попытки выполнения незаконных технологических операций, ввода подложных данных и тому подобные действия в корыстных целях, по принуждению или из злого умысла, но использующий при этом только штатные (установленные на рабочей станции и доступные ему) аппаратные и программные средства от своего имени или от имени другого сотрудника (зная его имя и пароль, используя его кратковременное отсутствие на рабочем месте и т.п.). 4) "Внешний нарушитель (злоумышленник)" - постороннее лицо или сотрудник Росрыболовства (или подразделения другого ведомства, зарегистрированный как пользователь системы), действующий целенаправленно из корыстных интересов, из мести или из любопытства, возможно в сговоре с другими лицами. Он может использовать весь набор радиоэлектронных способов нарушения ИБ, методов и средств взлома систем защиты, характерных для сетей общего пользования (в особенности сетей на основе IP-протокола), включая удаленное внедрение программных закладок и использование специальных инструментальных и технологических программ, используя имеющиеся слабости протоколов обмена и системы защиты узлов сети ИИВС Росрыболовства. 5) "Внутренний злоумышленник" - сотрудник структурного подразделения Росрыболовства, зарегистрированный как пользователь системы, действующий целенаправленно из корыстных интересов или мести за нанесенную обиду, возможно в сговоре с лицами, не являющимися сотрудниками Росрыболовства. Он может использовать весь набор методов и средств взлома системы защиты, включая агентурные методы получения реквизитов доступа, пассивные средства (технические средства перехвата без модификации компонентов системы), методы и средства активного воздействия (модификация технических средств, подключение к каналам передачи данных, внедрение программных закладок и использование специальных инструментальных и технологических программ), а также комбинации воздействий как изнутри, так и извне - из сетей общего пользования. Внутренним нарушителем может быть лицо из следующих категорий персонала Росрыболовства: - зарегистрированные конечные пользователи ИИВС Росрыболовства (сотрудники структурных подразделений); - сотрудники структурных подразделений, не допущенные к работе с ИИВС Росрыболовства (обслуживающий персонал, в том числе водители, техники); - персонал, обслуживающий технические средства ИИВС Росрыболовства (инженеры, техники); - сотрудники отделов разработки и сопровождения ПО (прикладные и системные программисты из компаний интеграторов); - технический персонал, обслуживающий здания (уборщицы, электрики, сантехники и другие сотрудники, имеющие доступ в здания и помещения, где расположены компоненты ИИВС Росрыболовства); - сотрудники службы ИБ ИИВС Росрыболовства; - руководители различных уровней. Категории лиц, которые могут быть внешними нарушителями: - уволенные сотрудники Росрыболовства; - представители организаций, взаимодействующих по вопросам обеспечения жизнедеятельности Росрыболовства (энерго-, водо-, теплоснабжения и т.п.); - посетители (приглашенные представители организаций, граждане) представители фирм, поставляющих технику, программное обеспечение, услуги и т.п.; - члены преступных организаций, сотрудники спецслужб или лица, действующие по их заданию; - лица, случайно или умышленно проникшие в сети ИИВС Росрыболовства из внешних (по отношению к Росрыболовству) сетей телекоммуникации (хакеры). Пользователи и обслуживающий персонал из числа сотрудников Росрыболовства имеют наиболее широкие возможности по осуществлению несанкционированных действий, вследствие наличия у них определенных полномочий по доступу к ресурсам и хорошего знания технологии обработки информации и защитных мер. Действия этой группы лиц напрямую связано с нарушением действующих правил и инструкций. Особую опасность эта группа нарушителей представляет при взаимодействии с криминальными структурами или спецслужбами. Уволенные сотрудники могут использовать для достижения целей свои знания о технологии работы, защитных мерах и правах доступа. Полученные в Росрыболовстве знания и опыт выделяют их среди других источников внешних угроз. Криминальные структуры представляют наиболее агрессивный источник внешних угроз. Для осуществления своих замыслов эти структуры могут идти на открытое нарушение закона и вовлекать в свою деятельность сотрудников Росрыболовства всеми доступными им силами и средствами. Профессиональные хакеры имеют наиболее высокую техническую квалификацию и знания о слабостях программных средств, используемых в ИИВС. Наибольшую угрозу представляют при взаимодействии с работающими и уволенными сотрудниками Росрыболовства и криминальными структурами. Организации, занимающиеся разработкой, поставкой и ремонтом оборудования, информационных систем, представляют внешнюю угрозу в силу того, что эпизодически имеют непосредственный доступ к ИР. Криминальные структуры и спецслужбы могут использовать эти организации для временного устройства на работу своих членов с целью доступа к защищаемой информации в ИИВС Росрыболовства. Принимаются следующие ограничения и предположения о характере действий возможных нарушителей: - работа по подбору кадров и специальные мероприятия исключают возможность создания коалиций нарушителей, т.е. объединения (сговора) и целенаправленных действий двух и более нарушителей - сотрудников Росрыболовства по преодолению системы защиты; - нарушитель скрывает свои несанкционированные действия от других сотрудников; - несанкционированные действия могут быть следствием ошибок пользователей, администраторов безопасности, эксплуатирующего и обслуживающего персонала, а также недостатков принятой технологии обработки, хранения и передачи информации; - в своей противоправной деятельности вероятный нарушитель может использовать любое имеющееся средство перехвата информации, воздействия на информацию и информационные системы, адекватные финансовые средства для подкупа персонала, шантаж и другие средства и методы для достижения стоящих перед ним целей. 5. ОСНОВНЫЕ ПОЛОЖЕНИЯ ТЕХНИЧЕСКОЙ ПОЛИТИКИ В ОБЛАСТИ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ИИВС РОСРЫБОЛОВСТВА 5.1. Техническая политика в области обеспечения информационной безопасности Реализация технической политики в области обеспечения ИБ Росрыболовства должна исходить из предпосылки, что невозможно обеспечить требуемый уровень защищенности информации не только с помощью одного отдельного средства (мероприятия), но и с помощью их простой совокупности. Необходимо их системное согласование между собой (комплексное применение), а отдельные разрабатываемые элементы информационной системы должны рассматриваться как часть единой информационной системы в защищенном исполнении при оптимальном соотношении технических (аппаратных, программных) средств и организационных мероприятий. Основными направлениями реализации технической политики обеспечения ИБ ИИВС Росрыболовства являются: - обеспечение ЗИ ИР от хищения, утраты, утечки, уничтожения, искажения или подделки за счет НД и специальных воздействий; - обеспечение ЗИ от утечки по техническим каналам при ее обработке, хранении и при передаче по каналам связи. Система обеспечения ИБ ИИВС Росрыболовства должна предусматривать комплекс организационных, программных и технических средств и мер по ЗИ в процессе ее обработки и хранения, при передаче информации по каналам связи, при ведении конфиденциальных переговоров, раскрывающих сведения с ограниченным доступом, при использовании импортных технических и программных средств. В рамках указанных направлений технической политики обеспечения ИБ осуществляются: - реализация разрешительной системы допуска исполнителей (пользователей, обслуживающего персонала) к работам, документам и информации конфиденциального характера; - реализация системы инженерно-технических и организационных мер охраны, предусматривающей многорубежность и равнопрочность построения охраны (территории, здания, помещения) с комплексным применением современных технических средств охраны, обнаружения, наблюдения, сбора и обработки информации, обеспечивающих достоверное отображение и объективное документирование событий; - ограничение доступа исполнителей и посторонних лиц в здания и помещения, где проводятся работы конфиденциального характера и размещены средства информатизации и коммуникации, на которых обрабатывается (хранится, передается) информация конфиденциального характера, непосредственно к самим средствам информатизации и коммуникациям; - разграничение доступа пользователей и обслуживающего персонала к ИР, программным средствам обработки (передачи) и ЗИ в подсистемах различного уровня и назначения, входящих в ИИВС Росрыболовства; - учет документов, информационных массивов, регистрация действий пользователей и обслуживающего персонала, контроль за НСД и действиями пользователей, обслуживающего персонала и посторонних лиц; - предотвращение внедрения в автоматизированные подсистемы программ-вирусов, программных закладок; - криптографическое преобразование информации, обрабатываемой и передаваемой средствами вычислительной техники и связи; - надежное хранение традиционных и машинных носителей информации, ключей (ключевой документации) и их обращение, исключающее хищение, подмену и уничтожение; - необходимое резервирование технических средств и дублирование массивов и носителей информации; - снижение уровня и информативности побочных электромагнитных излучений и наводок (далее - ПЭМИН), создаваемых различными элементами автоматизированных подсистем; - обеспечение акустической защиты помещений, в которых обсуждается информация конфиденциального или служебного характера; - электрическая развязка цепей питания, заземления и других цепей объектов информатизации, выходящих за пределы контролируемой зоны; - активное зашумление в различных диапазонах; - противодействие оптическим и лазерным средствам наблюдения. 5.2. Формирование режима информационной безопасности С учетом выявленных угроз ИБ ИИВС Росрыболовства режим защиты должен формироваться как совокупность способов и мер защиты циркулирующей в автоматизированной системе информации и поддерживающей ее инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, влекущих за собой нанесение ущерба владельцам или пользователям информации и поддерживающей инфраструктуры. Комплекс мер по формированию режима ИБ включает: - установление в Росрыболовстве организационно-правового режима ИБ (нормативные документы, работа с персоналом, делопроизводство); - выполнение организационно-технических мероприятий по ЗИ ограниченного распространения от утечки по техническим каналам (аттестация и сертификация объектов информатизации и ИИВС Росрыболовства в целом); - организационные и программно-технические мероприятия по предупреждению НСД к ИР ИИВС; - комплекс мероприятий по контролю функционирования средств и систем защиты ИР ограниченного распространения после случайных или преднамеренных воздействий; - комплекс оперативных мероприятий ИБ по предотвращению (выявлению) проникновения в Росрыболовство информаторов, связанных с преступными группировками. Организационно-правовой режим предусматривает создание и поддержание правовой базы информационной безопасности и разработку (введение в действие) следующих организационно-распорядительных документов: - Политика (Положение) об ИБ Росрыболовства; - Регламент о сохранности информации ограниченного распространения. Указанный Регламент определяет организацию, порядок работы со сведениями ограниченного распространения, обязанности и ответственность сотрудников, допущенных к этим сведениям, порядок передачи материалов, содержащих сведения ограниченного распространения, государственным (коммерческим) учреждениям и организациям; - Регламент УЦ; - Перечень сведений, составляющих служебную информацию, а также перечень документов ограниченного распространения (далее - перечень). Перечень определяет сведения, отнесенные к категориям конфиденциальных ("ДСП", ограниченного распространения, персональные данные), уровень и сроки обеспечения ограничений по доступу к защищаемой информации; - Приказы и распоряжения по установлению режима ИБ в Росрыболовстве: - о создании комиссии по формированию Перечня сведений составляющих служебную тайну; - о назначении постоянно действующей технической комиссии; - о вводе в эксплуатацию объектов информатизации ИИВС Росрыболовства; - о назначении выделенных помещений; - о допуске сотрудников к работе с информацией ограниченного распространения; - о назначении лиц, ответственных за обеспечение сохранности информации ограниченного распространения в ИИВС Росрыболовства; - инструкции и функциональные обязанности сотрудникам: - по организации охранно-пропускного режима; - по организации делопроизводства; - по организации работы с информацией на магнитных, оптических и других носителях; - о ЗИ ограниченного распространения в ИИВС Росрыболовства; - по организации модификаций аппаратно-программных конфигураций АРМ; Организационно-технические мероприятия по защите информации ограниченного распространения от утечки по техническим каналам предусматривают: - комплекс мер и соответствующих технических средств, ослабляющих утечку речевой и сигнальной информации - пассивная защита (защита); - комплекс мер и соответствующих технических средств, создающих помехи при съеме информации - активная защита (противодействие); - комплекс мер и соответствующих технических средств, позволяющих выявлять каналы утечки информации - поиск (обнаружение). Физическая охрана объектов информатизации (компонентов компьютерных систем) включает: - организацию системы охранно-пропускного режима и системы контроля допуска на объект; - введение дополнительных ограничений по доступу в помещения, предназначенные для хранения закрытой информации (кодовые и электронные замки, карточки допуска и т.д.); - визуальный и технический контроль контролируемой зоны объекта защиты; - применение систем охранной и пожарной сигнализации и т.д. Выполнение режимных требований при работе с информацией ограниченного распространения предполагает: - разграничение допуска к ИР Росрыболовства ограниченного распространения; - разграничение допуска к программно-аппаратным ресурсам ИИВС Росрыболовства; - ведение учета ознакомления сотрудников с информацией ограниченного распространения; - включение в функциональные обязанности сотрудников обязательства о неразглашении и сохранности сведений ограниченного распространения; - организация уничтожения информационных отходов (бумажных, магнитных и т.д.); - оборудование служебных помещений сейфами, шкафами для хранения бумажных и магнитных носителей информации и т.д. Мероприятия технического контроля предусматривают: - контроль за проведением технического обслуживания, ремонта носителей информации и средств ИИВС Росрыболовства; - проверки поступающего оборудования, предназначенного для обработки закрытой информации, на наличие специально внедренных закладных устройств; - инструментальный контроль технических средств на наличие побочных электромагнитных излучений и наводок; - оборудование систем информатизации устройствами защиты от сбоев электропитания и помех в линиях связи; - защита выделенных помещений при проведении закрытых работ (переговоров), создание акустических, виброакустических и электромагнитных помех для затруднения съема информации; - постоянное обновление технических и программных средств защиты от НСД в соответствие с меняющейся оперативной обстановкой. 5.3. Оснащение техническими средствами хранения и обработки информации Организация хранения конфиденциальных документов и носителей информации, а также оборудование режимных помещений осуществляется в соответствии с установленными в Росрыболовстве требованиями. В случае оснащения помещений средствами охранной сигнализации, а также автоматизированной системой приема и регистрации сигналов от этих средств, прием-сдача таких помещений под охрану осуществляется на основании специально разрабатываемой по согласованию с Административным управлением инструкции, утверждаемой руководством Росрыболовства. В Административном управлении Росрыболовства на случай пожара, аварии или стихийного бедствия разрабатывается инструкция, утверждаемая руководством Росрыболовства, в которой предусматривается порядок вызова должностных лиц, вскрытия режимных помещений, очередность и порядок спасения документов и технических изделий и дальнейшего их хранения. Инструкция должна находиться в подразделении охраны, независимо от его ведомственной принадлежности. Подразделения Росрыболовства, в которых обрабатывается информация, имеющая статус ограниченного распространения, должны быть обеспечены средствами уничтожения документов. В случае применения для обработки информации ограниченного распространения средств вычислительной техники, создается система защиты информации (далее - СЗИ), которая направлена на обеспечение сохранности информации во время разработки, монтажа, эксплуатации, ремонта и списания средств вычислительной техники (далее - СВТ) путем предотвращения случаев НСД, ее утечки за счет побочных электромагнитных излучений, наводок и разрушения. Применяемая СЗИ должна проходить обязательную сертификацию (аттестацию или сертификацию) на соответствие требованиям законодательства Российской Федерации в области ИБ. Обработка конфиденциальной информации на СВТ разрешается только после завершения работ по созданию СЗИ, проверки ее функционирования и аттестации. Работы по обеспечению ИБ, обрабатываемой с помощью ИИВС Росрыболовства, можно условно разделить на следующие группы: - обеспечение физической безопасности компонентов ИИВС Росрыболовства (специально внедренные закладные устройства, побочные электромагнитные излучения и наводки, повреждения, сбои питания, кражи и т.п.); - обеспечение логической безопасности ИИВС Росрыболовства (защита от НСД, от ошибок в действиях пользователей и программ и т.д.); - обеспечение социальной безопасности ИИВС Росрыболовства (разработка организационных, соответствующих законодательным нормам документов, регулирующих применение компьютерных технологий, порядок расследования и наказания за компьютерные преступления, контроль и предотвращение неправильного использования информации в случае, когда она хранится или обрабатывается с помощью компьютерных систем). 6. ОСНОВНЫЕ ПРИНЦИПЫ ПОСТРОЕНИЯ СИСТЕМЫ КОМПЛЕКСНОЙ ЗАЩИТЫ ИНФОРМАЦИИ В РОСРЫБОЛОВСТВЕ Построение системы обеспечения ИБ в ИИВС Росрыболовства и ее функционирование должны осуществляться в соответствии со следующими основными принципами: - законность; - системность; - комплексность; - непрерывность; - своевременность; - преемственность и непрерывность совершенствования; - разумная достаточность; - персональная ответственность; - минимизация полномочий; - взаимодействие и сотрудничество; - гибкость системы защиты; - открытость алгоритмов и механизмов защиты; - простота применения средств защиты; - научная обоснованность и техническая реализуемость; - специализация и профессионализм; - обязательность контроля. Законность Предполагает осуществление защитных мероприятий и разработку системы ИБ ИИВС Росрыболовства в соответствии с действующим законодательством в области информации, информатизации и ЗИ, других нормативных актов по ИБ, утвержденных органами государственной власти и управления в пределах их компетенции, с применением всех дозволенных методов обнаружения и пресечения правонарушений при работе с информацией. Принятые меры безопасности информации не должны препятствовать доступу правоохранительных органов в предусмотренных законодательством случаях к информации конкретных систем. Пользователи и обслуживающий персонал ИИВС Росрыболовства должны иметь представление об ответственности за правонарушения в области систем автоматизированной обработки информации (статьи 272, 273, 274 Уголовного кодекса РФ и т.п.). Системность Системный подход к построению системы ЗИ в ИИВС Росрыболовства предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения проблемы обеспечения ИБ ИИВС Росрыболовства. При создании системы защиты должны учитываться все слабые и наиболее уязвимые места системы обработки информации, а также характер, возможные объекты и направления атак на систему со стороны нарушителей (особенно высококвалифицированных злоумышленников), пути проникновения в распределенные системы и НСД к информации. Система защиты должна строиться с учетом не только всех известных каналов проникновения и НСД к информации, но и с учетом возможности появления принципиально новых путей реализации угроз безопасности. Комплексность Комплексное использование методов и средств защиты компьютерных систем предполагает согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существенные (значимые) каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов. Защита должна строиться эшелонировано. Внешняя защита должна обеспечиваться физическими средствами, организационными и правовыми мерами. Одним из наиболее укрепленных рубежей призваны быть средства защиты, реализованные на уровне операционных систем (далее - ОС) СВТ в силу того, что ОС - это та часть компьютерной системы, которая управляет использованием всех ее ресурсов. Прикладной уровень защиты, учитывающий особенности предметной области, представляет внутренний рубеж защиты. Непрерывность защиты ЗИ - не разовое мероприятие и не простая совокупность проведенных мероприятий и установленных средств защиты, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла ИИВС, начиная с самых ранних стадий проектирования, а не только на этапе ее эксплуатации. Большинству физических и технических средств защиты для эффективного выполнения своих функций необходима постоянная организационная (административная) поддержка (своевременная смена и обеспечение правильного хранения и применения имен, паролей, ключей шифрования, переопределение полномочий и т.п.). Перерывы в работе средств защиты могут быть использованы злоумышленниками для анализа применяемых методов и средств защиты, для внедрения специальных программных и аппаратных "закладок" и других средств преодоления системы защиты после восстановления ее функционирования. Своевременность Предполагает упреждающий характер мер обеспечения ИБ, то есть постановку задач по комплексной защите ИИВС Росрыболовства и реализацию мер обеспечения ИБ на ранних стадиях разработки ИИВС Росрыболовства в целом и ее системы ЗИ, в частности. Разработка системы защиты должна вестись параллельно с разработкой и развитием самой защищаемой системы. Это позволит учесть требования ИБ при проектировании архитектуры и, в конечном счете, создать более эффективные (как по затратам ресурсов, так и по стойкости) защищенные системы. Преемственность и совершенствование Предполагают постоянное совершенствование мер и средств ЗИ на основе преемственности организационных и технических решений, кадрового состава, анализа функционирования ИИВС Росрыболовства и ее системы защиты с учетом изменений в методах и средствах перехвата информации, нормативных требований по защите, достигнутого отечественного и зарубежного опыта в этой области. Разумная достаточность (экономическая целесообразность, сопоставимость возможного ущерба и затрат) Предполагает соответствие уровня затрат на обеспечение безопасности информации ценности ИР и величине возможного ущерба от их разглашения, утраты, утечки, уничтожения и искажения. Используемые меры и средства ИБ ИР не должны заметно ухудшать эргономические показатели работы ИИВС Росрыболовства, в которой эта информация циркулирует. Излишние меры безопасности, помимо экономической неэффективности, приводят к утомлению и раздражению персонала. Создать абсолютно непреодолимую систему защиты - принципиально невозможно. Пока информация находится в обращении, принимаемые меры могут только снизить вероятность негативных воздействий или ущерб от них, но не исключить их полностью. При достаточном количестве времени и средств - возможно преодолеть любую защиту. Поэтому имеет смысл рассматривать некоторый приемлемый уровень обеспечения безопасности. Высокоэффективная система защиты стоит дорого, использует при работе существенную часть ресурсов компьютерной системы и может создавать ощутимые дополнительные неудобства пользователям. Важно правильно выбрать тот достаточный уровень защиты, при котором затраты, риск и размер возможного ущерба были бы приемлемыми (задача анализа риска). Персональная ответственность Предполагает возложение ответственности за обеспечение ИБ и системы ее обработки на каждого сотрудника в пределах его полномочий. В соответствии с этим принципом распределение прав и обязанностей сотрудников строится таким образом, чтобы в случае любого нарушения круг виновников был четко известен или сведен к минимуму. Принцип минимизации полномочий Означает предоставление пользователям минимальных прав доступа в соответствии с производственной необходимостью. Доступ к информации должен предоставляться только в том случае и объеме, если это необходимо сотруднику для выполнения его должностных обязанностей. Особенно это касается предоставления доступа к внешним источникам информации, в частности сети Internet. Взаимодействие и сотрудничество Предполагает создание благоприятной атмосферы в коллективах подразделений Росрыболовства. В такой обстановке сотрудники должны осознанно соблюдать установленные правила и оказывать содействие в деятельности подразделений технической ЗИ. Гибкость системы защиты Принятые меры и установленные средства защиты, особенно в начальный период их эксплуатации, могут обеспечивать как чрезмерный, так и недостаточный уровень защиты. Для обеспечения возможности варьирования уровнем защищенности, средства защиты должны обладать определенной гибкостью. Особенно важным это свойство является в тех случаях, когда установку средств защиты необходимо осуществлять на работающую систему, не нарушая процесса ее нормального функционирования. Кроме того, внешние условия и требования с течением времени меняются. В таких ситуациях свойство гибкости системы защиты избавляет владельцев ИИВС от необходимости принятия кардинальных мер по полной замене средств защиты на новые. Открытость алгоритмов и механизмов защиты Суть принципа открытости алгоритмов и механизмов защиты состоит в том, что защита не должна обеспечиваться только за счет секретности структурной организации и алгоритмов функционирования ее подсистем. Знание алгоритмов работы системы защиты не должно давать возможности ее преодоления (даже авторам). Это не означает, что информация о конкретной системе защиты должна быть общедоступна. Простота применения средств защиты Механизмы защиты должны быть интуитивно понятны и просты в использовании. Применение средств защиты не должно быть связано со знанием специальных языков или с выполнением действий, требующих значительных дополнительных трудозатрат, чем при обычной работе зарегистрированных установленным порядком пользователей, а также не должно требовать от пользователя выполнения рутинных малопонятных ему операций (ввод нескольких паролей и имен и т.д.). Научная обоснованность и техническая реализуемость Информационные технологии, технические и программные средства, средства и меры ЗИ должны быть реализованы на современном уровне развития науки и техники, научно обоснованы с точки зрения достижения заданного уровня ИБ и должны соответствовать установленным нормам и требованиям по ИБ. Специализация и профессионализм Предполагает привлечение к разработке средств и реализации мер ЗИ специализированных организаций, наиболее подготовленных к конкретному виду деятельности по обеспечению ИБ ИР, имеющих опыт практической работы и государственную лицензию на право оказания услуг в этой области, в соответствии с заключаемым государственным контрактом на обслуживание, техническую поддержку или другой вид обеспечения поддержки. Реализация административных мер и эксплуатация средств защиты должна осуществляться профессионально подготовленными специалистами (специалистами подразделения технической ЗИ). Обязательность контроля Предполагает обязательность и своевременность выявления и пресечения попыток нарушения установленных правил обеспечения ИБ на основе используемых систем и средств ЗИ при совершенствовании критериев и методов оценки эффективности этих систем и средств. Контроль за деятельностью любого пользователя, каждого средства защиты и в отношении любого объекта защиты должен осуществляться на основе применения средств оперативного контроля и регистрации и должен охватывать как несанкционированные, так и санкционированные действия пользователей. 7. МЕРЫ, МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ ТРЕБУЕМОГО УРОВНЯ ЗАЩИЩЕННОСТИ ИНФОРМАЦИОННЫХ РЕСУРСОВ 7.1. Меры обеспечения безопасности Все меры обеспечения безопасности компьютерных систем подразделяются на: - правовые (законодательные); - морально-этические; - организационные (административные); - физические; - технические (аппаратные и программные). Правовые (законодательные) меры защиты К правовым мерам защиты относятся действующие в стране законы, указы и нормативные правовые и правовые акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений в процессе ее обработки и использования, а также устанавливающие ответственность за нарушения этих правил, препятствуя тем самым неправомерному использованию информации и являющиеся сдерживающим фактором для потенциальных нарушителей. Правовые меры защиты носят в основном предупреждающий, профилактический характер и требуют постоянной разъяснительной работы с пользователями и обслуживающим персоналом системы. Морально-этические меры защиты К морально-этическим мерам относятся нормы поведения, которые традиционно сложились или складываются по мере распространения ЭВМ в стране или обществе. Эти нормы большей частью не являются обязательными, как, например, утвержденные нормативные правовые акты, однако, их несоблюдение ведет обычно к падению авторитета, престижа человека, группы лиц или организации. Морально-этические нормы бывают как неписаные (например, общепризнанные нормы честности, патриотизма и т.п.), так и писаные, то есть оформленные в некоторый свод (устав) правил или предписаний. Морально-этические меры защиты являются профилактическими и требуют постоянной работы по созданию здорового морального климата в коллективах структурных подразделений. Организационные (административные) меры защиты Организационные (административные) меры защиты - это меры организационного характера, регламентирующие процессы функционирования системы обработки данных, использование ее ресурсов, деятельность обслуживающего персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности или снизить размер потерь в случае их реализации. Формирование политики безопасности Главная цель административных мер, предпринимаемых на высшем управленческом уровне - сформировать политику в области обеспечения ИБ (отражающую подходы к ЗИ) и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел. С практической точки зрения политику в области обеспечения ИБ в ИИВС Росрыболовства целесообразно разбить на два уровня. К верхнему уровню относятся решения руководства, затрагивающие деятельность Росрыболовства в целом. Примером таких решений могут быть: - принятие решения о формировании или пересмотре комплексной программы обеспечения ИБ Росрыболовства, определение ответственных за ее реализацию; - формулирование целей, постановка задач, определение направлений деятельности в области ИБ; - принятие решений по вопросам реализации программы ИБ, которые рассматриваются на уровне организации в целом; - обеспечение нормативной правовой базы вопросов ИБ и т.п. Политика верхнего уровня должна четко очертить сферу влияния и ограничения при определении целей ИБ, определить какими ресурсами (материальные, персонал) они будут достигнуты и найти разумный компромисс между приемлемым уровнем безопасности и функциональностью ИИВС Росрыболовства. Политика нижнего уровня определяет процедуры и правила достижения целей и решения задач ИБ и детализирует (регламентирует) эти правила: - какова область применения политики ИБ; - каковы роли и обязанности должностных лиц, отвечающих за проведение политики ИБ; - кто имеет права доступа к информации ограниченного распространения; - кто и при каких условиях может читать и модифицировать информацию и т.д. Политика нижнего уровня должна: - предусматривать регламент информационных отношений, исключающих возможность произвольных, монопольных или несанкционированных действий в отношении конфиденциальных ИР; - определять иерархические принципы, методы разделения информации по типу и разграничение доступа к информации ограниченного распространения; - выбирать программно-математические и технические (аппаратные) средства криптозащиты, противодействия НСД, аутентификации, авторизации, идентификации и других защитных механизмов, обеспечивающих гарантии реализации прав и ответственности субъектов информационных отношений. Регламентация доступа в помещения ИИВС Росрыболовства Эксплуатация защищенных АРМ и серверов ИИВС Росрыболовства должна осуществляться в помещениях, оборудованных надежными автоматическими замками, средствами сигнализации и постоянно находящимися под охраной или наблюдением, исключающих возможность бесконтрольного проникновения в помещения посторонних лиц и обеспечивающим физическую сохранность находящихся в помещении защищаемых ИР (АРМ, документов, реквизитов доступа и т.п.). Размещение и установка технических средств ПЭВМ таких АРМ должна исключать возможность визуального просмотра вводимой (выводимой) информации лицами, не имеющими к ней отношения. Уборка помещений с установленными в них ПЭВМ должна производиться в присутствии ответственного, за которым закреплены данные технические средства, или дежурного по подразделению с соблюдением мер, исключающих доступ посторонних лиц к защищаемым ресурсам. Информация по документуЧитайте также
Изменен протокол лечения ковида23 февраля 2022 г. МедицинаГермания может полностью остановить «Северный поток – 2»23 февраля 2022 г. ЭкономикаБогатые уже не такие богатые23 февраля 2022 г. ОбществоОтныне иностранцы смогут найти на портале госуслуг полезную для себя информацию23 февраля 2022 г. ОбществоВакцина «Спутник М» прошла регистрацию в Казахстане22 февраля 2022 г. МедицинаМТС попала в переплет в связи с повышением тарифов22 февраля 2022 г. ГосударствоРегулятор откорректировал прогноз по инфляции22 февраля 2022 г. ЭкономикаСтоимость нефти Brent взяла курс на повышение22 февраля 2022 г. ЭкономикаКурсы иностранных валют снова выросли21 февраля 2022 г. Финансовые рынки |
Архив статей
2024 Май
|
