Меры обеспечения информационной безопасности Система мер обеспечения информационной безопасности объектов финансовой системы базируется на моделях их защиты.
Модель защиты должна описывать процессы, связанные с уязвимостями объекта информационной безопасности, формированием элементов обороны ОИБ (структуры, функций, алгоритмов действия), выбора необходимых средств защиты и механизмов обратной связи МОИБ.
Модель защиты не должна противоречить принципам, на которых в последствии будет строиться система защиты, включая принципы системности; непрерывности защиты; разумной достаточности; гибкости управления и применения; открытости алгоритмов и механизмов защиты; простоты применения защитных мер и средств.
С позиций больших систем процессы составления модели защиты должны включать описание структурного представления и функционирования защиты в виде системы защиты информации (СЗИ) в соответствии с установленными требованиями ИБ.
В состав СЗИ информационных комплексов финансовой системы должны входить следующие программно-технические компоненты:
управления доступом;
регистрации и учета;
криптографической защиты;
обеспечения целостности;
антивирусной защиты;
сохранности (резервного копирования и восстановления) данных;
мониторинга событий информационной безопасности;
анализа защищенности информационных систем и ресурсов;
обнаружения несанкционированной активности;
управления информационной безопасности.
К компонентам (модулям) СЗИ предъявляются следующие требования.
А). Требования по управлению доступом:
должны осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю условно-постоянного действия длинной не менее шести буквенно-цифровых символов;
должна осуществляться идентификация терминалов, ЭВМ, узлов сети ЭВМ, каналов связи, внешних устройств ЭВМ по логическим именам;
должна осуществляться идентификация программ, томов, каталогов, файлов, записей, полей записей по именам;
должен осуществляться контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа.
Набор атрибутов объектов и субъектов доступа, необходимый для предоставления доступа к каждому отдельному инфраструктурному или информационному ресурсу, определяется на стадии технического проектирования защиты информации и, как минимум, должен включать в себя идентификаторы вида: логическое имя, пароль, цифровой сертификат и атрибуты доступа (чтение, запись, исполнение и др.). Передача идентификационных параметров должна осуществляться по защищенному каналу связи.
Б). Требования по регистрации и учету:
Б1) - должна осуществляться регистрация входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения ИС.
Примечание: В параметрах регистрации указываются:
- дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы;
- результат попытки входа: успешная или неуспешная - несанкционированная;
- идентификатор (код или фамилия) субъекта, предъявленный при попытке доступа;
- код или пароль, предъявленный при неуспешной попытке.
Б2) - должна осуществляться регистрация выдачи печатных (графических) документов на "твердую" копию.
Примечание: В параметрах регистрации указываются:
дата и время выдачи ( обращения к подсистеме вывода);
спецификация устройства выдачи [логическое имя (номер) внешнего устройства];
краткое содержание (наименование, вид, шифр, код) и уровень конфиденциальности документа;
идентификатор субъекта доступа, запросившего документ.
Б3) - должна осуществляться регистрация запуска (завершения) программ и процессов (заданий, задач), предназначенных для обработки защищаемых файлов.
Примечание: В параметрах регистрации указываются:
дата и время запуска;
имя (идентификатор) программы (процесса, задания);
идентификатор субъекта доступа, запросившего программу (процесс, задание);
результат запуска (успешный, неуспешный - несанкционированный).
Б4) - должна осуществляться регистрация попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам.
Примечание: В параметрах регистрации указываются:
дата и время попытки доступа к защищаемому файлу с указанием ее результата: успешная, неуспешная - несанкционированная;
идентификатор субъекта доступа;
спецификация защищаемого файла.
Б5) - должна осуществляться регистрация попыток доступа программных средств к следующим дополнительным защищаемым объектам доступа: терминалам, ЭВМ, узлам сети ЭВМ, линиям (каналам) связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей.
Примечание: В параметрах регистрации указываются:
дата и время попытки доступа к защищаемому объекту с указанием ее результата: успешная, неуспешная - несанкционированная;
идентификатор субъекта доступа;
спецификация защищаемого объекта [логическое имя (номер)].
Б6) - должен проводиться учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных в журнал (учетную карточку);
учет защищаемых носителей должен проводиться в журнале (картотеке) с регистрацией их выдачи (приема).
Б7) - должна осуществляться очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей. Очистка осуществляется однократной произвольной записью в освобождаемую область памяти, ранее использованную для хранения защищаемых данных (файлов).
В). Требования по криптографической защите:
- обеспечение шифрования и дешифрования потоков информационного взаимодействия объектов ИС;
- реализация заданной политики безопасности для защищенных соединений;
- обеспечение возможности загрузки ключевой информации со специальных носителей;
- возможность функционирования в прозрачном для пользователей и прикладных систем режиме.
Средства криптографической защиты должны удовлетворять требованиям нормативных документов системы уполномоченных удостоверяющих центров.
Г). Требования по обеспечению целостности:
должна быть обеспечена целостность программных средств объекта защиты, а также неизменность программной среды; при этом целостность объекта защиты проверяется при загрузке системы по контролируемым суммам компонент защиты;
целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ в процессе обработки и (или) хранения защищаемой информации;
должна осуществляться физическая охрана ОИБ (устройств и носителей информации), предусматривающая контроль доступа в помещения ИС посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения ИС и хранилище носителей информации, особенно в нерабочее время;
должно проводиться периодическое тестирование функций защиты объекта защиты при изменении программной среды и персонала ИС с помощью тест-программ, имитирующих попытки НСД;
должны быть в наличии средства восстановления объекта защиты, предусматривающие ведение двух копий программных средств защиты от НСД и их периодическое обновление и контроль работоспособности.
Д). Требования по антивирусной защите:
должны применяться только официально приобретенные средства антивирусной защиты. Установка и регулярное обновление средств антивирусной защиты на автоматизированных рабочих местах и серверах ИС должны осуществляться администраторами ИС;
должны быть разработаны и введены в действие инструкции по антивирусной защите, учитывающие особенности технологических процессов обработки информации комплексов городского хозяйства и территориального управления. Особое внимание должно быть уделено антивирусной фильтрации трафика электронного почтового обмена.
Лучшей практикой является построение эшелонированной централизованной системы антивирусной защиты, предусматривающей использование средств антивирусной защиты различных производителей и их раздельную установку на рабочих станциях, почтовых серверах и межсетевых экранах;
отключение или не обновление антивирусных средств не допускается. Установка и обновление антивирусных средств в организации должны контролироваться представителями подразделений (лицами) в организации, ответственными за обеспечение ИБ.
Е). Требования по сохранности данных:
- выполнять резервное копирование и оперативное восстановление информации баз данных ИС и Р;
- создавать сценарии резервного копирования и восстановления баз данных ИС и Р;
-·вести журнал транзакций, документирование и архивирование информации по работе средств сохранности;
- процедуры резервного копирования, восстановления должны основываться на ведении циклически перезаписываемых нескольких (не менее трёх типов) наборов копий, в т.ч. территориально разнесенных (при обосновании).
Временные характеристики резервного копирования, восстановления с обеспечением возможности создания как минимум ежедневно одного из видов набора копий, обоснование территориального разнесения и порядка использования резервных (страховочных) копий проводится на этапе проектирования ИС и Р.
Ж) Требования по анализу защищенности информационных систем и ресурсов:
выявлять уязвимости на основе имеющихся в базе данных сигнатур;
реализовать регламент сканирования, включающего периодичность сканирования, использование правил и параметров сканирования, режимов;
формировать подробные рекомендации по устранению найденных уязвимостей;
формировать оценки степени критичности выявленных уязвимостей.
З). Требования по обнаружению несанкционированной активности:
осуществлять обнаружение несанкционированной активности на сетевом, системном и прикладном уровнях;
обнаружение атак на информационные ресурсы на основе сравнения текущего состояния систем (сетевой активности, системных и прикладных журналов аудита и др.) с сигнатурами атак;
возможность прекращения несанкционированной активности;
регистрировать зафиксированные несанкционированные действия, в том числе дата и время события, тип события, идентификатор субъекта, приоритет события;
удаленное обновление базы данных сигнатур атак;
обеспечение доступа к базе данных зафиксированных событий, включая возможность поиска, сортировки, упорядочения записей протоколов, основанный на заданных критериях;
обеспечение уведомления администратора о фактах несанкционированной сетевой активности (локально и удаленно);
разграничение прав доступа операторов и администраторов к различным компонентам системы.
И). Требования по управлению информационной безопасностью:
определять порядок организации и выполнения работ по защите информации;
определять должностные обязанности, права и степень ответственности сотрудников подразделения информационной безопасности;
- формировать профили пользователей на основе нормативного и организационного обеспечения базового уровня ИБ;
должна определять порядок физической защиты технических средств.
При планировании мероприятий следует учитывать характер мер защиты, которые можно разделить на превентивные и восстановительные. Превентивные меры противодействия угрозам безопасности на объектах финансовой системы должны осуществляться на основе эффективного применения комплекса организационных, технических и технологических мероприятий, а также методов и средств обеспечения функциональной устойчивости и безопасной работы информационных систем.
Требования по формированию восстановительных мер определяются системой документов, разрабатываемых с учетом специфики организации – владельца объекта информационной безопасности и ее возможности по заблаговременной подготовке к возможным нарушениям, угрожающим штатному функционирования системы, имеющиеся средства для восстановления работоспособности объекта безопасности.
В Таблице 6 приведен состав мер противодействия значимым угрозам, характерным для многих объектов информационной безопасности финансовой системы.
Таблица 6. Состав превентивных и восстановительных мер нейтрализации значимых угроз типового объекта ИБ
| Угрозы, связанные с применением технических средств автоматизации
| | Физическое повреждение аппаратных средств
| Превентивные меры:
обеспечение охраны аппаратных средств;
обеспечение адекватного резерва критичных аппаратных средств;
обеспечение периодического копирования информации;
Восстановительные меры:
замена поврежденных аппаратных средств;
восстановление программного обеспечения (если необходимо);
восстановление информационного обеспечения (если необходимо);
восстановление вычислительного процесса (если необходимо);
| | Физическое повреждение линий связи
| Превентивные меры:
дублирование линий связи;
наличие альтернативных линий связи;
обеспечение охраны линий связи;
Восстановительные меры:
замена поврежденных линий связи;
| | Перебои в системе электропитания
| Превентивные меры:
использование блоков бесперебойного питания;
использование резервного автономного источника питания;
Восстановительные меры:
Восстановление вычислительного процесса (если необходимо);
| | Отказы аппаратных средств
| Превентивные меры:
“горячее” и “холодное” резервирование аппаратных средств;
регулярное проведение регламентных работ;
наличие соответствующих средств диагностики;
ежедневное тестирование аппаратных средств;
Восстановительные меры:
обнаружение и устранение неисправностей;
| | Установка непроверенных аппаратных средств или замена вышедших из строя аппаратных компонент системы на не идентичные компоненты
| Превентивные меры:
организационно-технические мероприятия, направленные на регламентирование процедур включения, замены и модификации технических средств в системе, а также при их закупке, проверке работоспособности, хранении на складе;
Восстановительные меры:
обнаружение и устранение неисправностей;
| | Отсутствие контроля за снятыми с системы (не уничтоженными) вышедшими из строя долговременными запоминающими устройствами (ЖМД) с записанной на них конфиденциальной и/или ключевой информацией
| Превентивные меры:
регламентация хранения, списания и уничтожения носителей информации, содержащих критичную информацию;
хранение ключевой и прикладной информации в защищенном (зашифрованном) виде;
| | Угрозы, связанные с использованием программного обеспечения
| | Ошибки в программном обеспечении
| Превентивные меры:
тестирование программного обеспечения разработчиками;
тестирование программного обеспечения независимыми экспертами;
наличие периода опытной эксплуатации системы;
сертификация программного обеспечения на соответствие техническим условиям и на отсутствие недекларированных возможностей;
получение и хранение эталонных исходных текстов и загрузочных модулей;
получение и хранение конструкторской и эксплуатационной документации на программное изделие;
регламентирование процедур ввода в эксплуатацию, модификации и замены программного обеспечения в действующую систему;
контроль целостности файлов;
отслеживание выхода новых "патчей" и обновление ПО;
Восстановительные меры:
обнаружение и исправление ошибки;
модификация ПО системы;
тестирование модифицированного ПО и системы в целом;
| | Анализ и модификация программного обеспечения
| Превентивные меры:
контроль целостности системы;
ограничение доступа к репозитарию программного обеспечения (исходным текстам программ и загрузочным модулям);
контроль НСД;
удаление из действующей системы всех средств отладки и любых других программ, которые могут использоваться как инструментарий для анализа ПО. Разделение вычислительных сетей, предназначенных для разработки ПО и сетей действующей АС;
регламентация установки, модификации и замены ПО в действующей АС;
анализ журналов регистрации;
| | Наличие в программном обеспечении “закладок” и “троянских коней”, “задних дверей”
| Превентивные меры:
контроль целостности системы;
проверка благонадежности программистов-разработчиков;
организация надлежащего хранения и контроля допуска к исходным текстам программ, средствам программирования и отладки;
тестирование ПО независимыми экспертами;
проведение опытной эксплуатации
сертификация программного обеспечения на соответствие техническим условиям и на отсутствие недекларированных возможностей;
постоянный антивирусный контроль;
использование сканеров безопасности;
закрытие лишних портов;
анализ журналов регистрации;
| | Атаки программных вирусов
| Превентивные меры:
создание закрытой среды функционирования ПО системы;
контроль целостности ПО;
контроль наличия в ОП неизвестных программ;
контроль доступа к системе;
регулярное тестирование ПО антивирусными программами;
использование лицензионного программного обеспечения;
Восстановительные меры:
наличие дистрибутивов системного ПО для восстановления системы;
наличие резервных копий информационного обеспечения системы для восстановления;
переформатирование магнитных носителей;
| | Угрозы, связанные с нарушением технологического процесса обмена данными
| | Отказ от авторства сообщения
| Превентивные меры:
аутентификация пользователей и электронных сообщений;
использование криптографических механизмов электронной цифровой подписи;
регистрация и архивация входящих и исходящих сообщений;
использование механизмов автоматического квитирования получения сообщений и документов;
закрытие системы от использования внешних программ, позволяющих модифицировать полученные сообщения;
создание группы разбора конфликтных ситуаций и регламентация процедуры установления и доказательства авторства;
| | Отказ от факта получения сообщения
| - " -
| | Подмена принятого сообщения
| - " - плюс шифрование сообщения
| | Имитация принятого сообщения
| - " - плюс шифрование сообщения
| | Подмена передаваемого сообщения
| - " - плюс шифрование сообщения
| | Имитация передаваемого сообщения
| - " - плюс шифрование сообщения
| | Нарушение целостности потока сообщений
| Превентивные меры:
организация нумерации сообщений и контроль непрерывности номеров;
регистрация и архивация входящих и исходящих сообщений;
| | Угрозы безопасности со стороны персонала
| | Несанкционированное получение и использование привилегий
| Превентивные меры:
контроль НСД;
активный аудит;
регистрация всех действий пользователей;
анализ журналов регистрации работы системы;
контроль сотрудниками службы безопасности соответствия установленных полномочий и их использования;
закрепление за разными категориями пользователей конкретных рабочих мест;
строгая регламентация функций назначения, внесения и изменения полномочий;
Восстановительные меры:
восстановление настроек средств защиты;
изменение паролей и ключей;
| | Несанкционированный доступ к наборам данных других участников
| - " -
| | Несанкционированный доступ к базам данных, архивам
| - " -
| | Выполнение действий одним участником от имени другого
| - " -
| | Прерывание процесса передачи и обработки информации
| Превентивные меры:
“горячее” и “холодное” резервирование технических средств и каналов связи;
реализация возможности автоотката для восстановления вычислительного процесса;
дублирование входящей в систему информации и результатов промежуточных расчетов;
Восстановительные меры:
восстановление неисправных технических средств или подключение резервных;
восстановление информации и вычислительного процесса;
| | Разглашение реализации программной защиты
| Превентивные меры:
организация надлежащего хранения и доступа к технической документации и программным средствам защиты;
периодическое изменение паролей и ключей;
Восстановительные меры:
изменение всех возможных настраиваемых параметров защиты;
изменение ключей, паролей, регистрационных номеров;
внесение новых элементов в систему защиты;
усиление контроля за работой системы защиты;
| | Раскрытие, перехват, хищение кодов, ключей, паролей
| Превентивные меры:
контроль НСД;
аутентификация;
анализ журналов регистрации;
Восстановительные меры:
изменение паролей и ключей;
| | Чтение остаточной информации в оперативной памяти и на магнитных носителях
| Превентивные меры:
ограничение доступа по работе с техническими средствами и магнитными носителями;
ограничения на использование программных средств, не входящих в состав системы;
регистрация и контроль действий пользователей при работе в системе;
| | Ошибочный ввод данных
| Превентивные меры:
автоматический контроль ввода критичных данных;
необходимость подтверждения ввода тех параметров сообщений, которые значительно отличаются от среднестатистических или не попадают в список разрешенных значений или разрешенный диапазон;
| | Умышленная порча аппаратного и программного обеспечения
| Превентивные меры:
организация пропускного режима, видеонаблюдения и охраны доступа к системе;
организация работы обслуживающего персонала по наблюдению за правильным использованием программных и технических средств;
| | Хищение носителей информации, производственных отходов
| Превентивные меры:
организация пропускного режима и охраны системы;
регламентация учета, хранения и выдачи носителей информации;
| | Угрозы, связанные с попытками "взлома" системы безопасности
| | Взлом программной защиты
| Превентивные меры:
ограничение доступа к технической и эксплуатационной документации на средства защиты информации;
использование административных мер защиты;
постоянное совершенствование и модификация средств защиты;
ограничение количества попыток подключения к системе при неправильном вводе пароля;
регистрация “неудачных” попыток подключения к системе и анализ регистрационных журналов;
постоянный контроль и анализ работы системы защиты;
периодическое изменение паролей и ключей;
Восстановительные меры
ликвидация последствий несанкционированных действий;
изменение всех возможных настраиваемых параметров защиты;
изменение паролей, ключей, регистрационных номеров;
внесение новых элементов в систему защиты;
усиление контроля за работой системы защиты;
вычисление и отстранение от работы с системой “взломщика” защиты;
| | Наблюдение за работой системы
| Превентивные меры:
ограничение доступа к системе;
ограничение на использование программ, не входящих в состав системы;
административные меры защиты;
| | Использование сетевых анализаторов
| Превентивные меры:
административные меры защиты;
использование сканеров безопасности;
использование средств отражения атак в реальном масштабе времени;
использование закрытого трафика сети;
шифрование передаваемой информации;
использование межсетевых экранов;
| | Перехват информации на линиях связи
| Превентивные меры:
шифрование передаваемой информации
| | Угрозы, связанные с естественными и природными факторами
| | Пожар и другие стихийные бедствия
| Превентивные меры:
организация противопожарной защиты;
обучение персонала действиям в чрезвычайных ситуациях;
| | Кража оборудования
| Превентивные меры:
организация охраны объектов;
установка противокражного оборудования;
административные меры;
| | Диверсии
| Превентивные меры:
организация пропускного режима и охраны объектов;
установка систем контроля проноса на объекты оружия, взрывчатых, химических, биологических, отравляющих и радиационных веществ;
административные меры.
|
Организация работ по обеспечению информационной безопасности финансовой системы должна возлагаться на руководителя организации, эксплуатирующей соответствующий информационный объект, а методическое руководство и контроль - на руководителя подразделения по информационной безопасности.
Заключение
Информационно-аналитическое обеспечение финансовых расследований – это особый вид целенаправленной правоохранительной деятельности. Основная задача ИАР заключается в том, чтобы в результате информационно-аналитического мониторинга своевременно выявлять и оценивать проблемные ситуации, связанные с отклонениями состояния финансового расследования от целевых установок и вырабатывать варианты версий для принятия соответствующих решений следователем или оперативным работником.
Предметом ИАР как составной части эффективного управления финансовыми расследованиями являются процессы выработки сигналов, версий и обоснование вариантов оперативно-розыскных и уголовно-процессуальных решений.
Для организованных форм преступной деятельности в финансовой сфере характерны многоэпизодность и сочетание преступлений с различными квалификациями, включая «отмывание» и сокрытие доходов от налогообложения; разнесение событий преступлений по месту, времени и участникам; конспиративность намерений и действий; организация сложных и скрытых схем перемещения денежных средств незаконного происхождения; транснациональность и трансграничность. Поэтому для решения задач выявления, предупреждения и пресечения финансовых преступлений особое значение имеет использование метода связных информационных структур, который позволяет синтезировать отдельные, разрозненные «следы» организации сокрытия доходов от налогообложения, незаконного вывоза капитала, отмывания преступных доходов и др. в структуры взаимосвязанных событий. В результате их анализа часто удается вскрывать организацию сложных преступлений или их фрагменты и эпизоды, выдвигать обоснованные оперативные версии.
В учебном пособии изложена методика информационно-аналитической работы по формированию и анализу структур связей лиц, причастных к финансовым преступлениям, которая направлена на решение следующих основных задач:
1. Выявление ранее неизвестных лиц, организаций, предметов и средств (например, телефонов, банковских карт, счетов, квартир и автомобилей), которые могут использоваться для организации финансовых преступлений.
2. Выявление или уточнение ролей и способов действий отдельных участников (соучастников) преступлений.
3. Графическое отображение структур связей.
4. Построение различных вариантов схем организации теневого преступного бизнеса сфере финансов.
На основе данной методики разработаны методические рекомендации по применению метода СИС для выявления схем финансовых преступлений, совершаемых с использованием оффшорных юрисдикций. В связи с особой значимостью рассмотрены вопросы информационно-аналитического обеспечения информационной безопасности финансовой системы Российской Федерации.
Список литературы
Нормативные правовые акты
1. Конституция Российской Федерации.
2. Бюджетный кодекс Российской Федерации.
3. Доктрина информационной безопасности Российской Федерации.
4. Кодекс об административных правонарушениях Российской Федерации.
5. Налоговый кодекс Российской Федерации.
6. Таможенный кодекс Российской Федерации.
7. Уголовный кодекс Российской Федерации.
8. Уголовно-процессуальный кодекс Российской Федерации.
9. Федеральный закон «О безопасности».
|