Техническое обеспечение информационной безопасности Техническое обеспечение ИБ включает технологии, механизмы и средства, позволяющие реализовать заданный уровень информационной безопасности каждой конкретной сети, информационной системы, ресурса, автоматизированного рабочего места компонентов информационной инфраструктуры путем выполнения комплекса организационно-технических мероприятий.
При выполнении мероприятий по обеспечению ИБ должны быть реализованы требования ИБ к информационно-технологическим процессам обработки информации с учетом специфики конкретных информационных комплексов, к технологии создания и применения систем защиты объектов ИБ (на основе модели жизненного цикла информационной системы), а также требования ИБ к механизмам и средствам защиты.
Требующие защиты технологические процессы обработки информации должны быть однозначно определены в нормативно-методических документах соответствующей организации финансовой системы.
Результаты технологических операций по обработке информации защищаемых технологических процессов должны быть контролируемы и удостоверены уполномоченными лицами. Лица, осуществляющие обработку критичной информации и контроль (проверку) результатов обработки, должны быть независимы друг от друга.
ИБ должна обеспечиваться на всех стадиях жизненного цикла информационных систем, автоматизирующих технологические процессы обработки финансовой информации.
При заказе информационной системы (ИС) стадии, этапы работ и процессы, относящиеся к жизненным циклам, рекомендуется определять в соответствии с ГОСТ. Владелец ИС в процессе ее жизненного цикла должен обеспечить выполнение мероприятий в области защиты информации с учетом установленных требований.
На стадиях, связанных с разработкой ИС (определение требований заинтересованных сторон, анализ требований, архитектурное проектирование, реализация, интеграция и верификация, поставка, ввод в действие), разработчиком должны применяться технологии разработки, позволяющие избежать:
неверной формулировки требований к ИС;
выбора неадекватной модели жизненного цикла ИС, в том числе неадекватного выбора процессов создания, эксплуатации ИС и вовлеченных в них участников;
принятия неверных проектных решений;
внесения разработчиком дефектов на уровне архитектурных решений;
внесения разработчиком недокументированных возможностей в ИС;
неадекватной (неполной, противоречивой, некорректной и пр.) реализации требований к ИС;
разработки некачественной документации;
приемки ИС, не отвечающей требованиям заказчика.
На стадии эксплуатации в соответствии с документом ISO TR 13569 должна быть обеспечена защита от следующих угроз:
умышленное несанкционированное раскрытие, модификация или уничтожение информации;
неумышленная модификация или уничтожение информации;
недоставка или ошибочная доставка информации;
отказ в обслуживании или ухудшение обслуживания.
Кроме этого, актуальной является угроза отказа от авторства сообщения.
На всех стадиях жизненного цикла ИС должен быть организован авторский надзор и сопровождение ИС. В процессе сопровождения ИС должна быть обеспечена защита от угроз:
внесения изменений в ИС, приводящих к нарушению ее функциональности либо к появлению недокументированных возможностей;
невнесения разработчиком/поставщиком изменений, необходимых для поддержки правильного функционирования и правильного состояния ИС, если это не противоречит требованиям системы сертификации.
Эксплуатация ИС должна осуществляться в соответствии с утвержденной организационно-распорядительной и эксплуатационной документацией. В единой информационной среде и на объектах защиты в процессе эксплуатации необходимо вести мониторинг и контроль состояния защищенности, проводить необходимые доработки и модернизация ИС.
На стадии снятия с эксплуатации должно быть обеспечено удаление из всех технических средств (из устройств долговременной памяти) информации, несанкционированное использование которой может нанести ущерб деятельности организации. С внешних носителей информация удаляется в соответствии со сроками ее хранения.
Состав и содержание работ, проектной, проектно-сметной и эксплуатационной документации на каждой из стадий жизненного цикла ИС определяются действующими нормативно-техническими документами и договорами на выполнение работ. Требования ИБ должны включаться во все договора и контракты (технические задания) на проведение работ или оказание услуг на всех стадиях жизненного цикла ИС.
В соответствии с задачами обеспечения ИБ открытых и конфиденциальных информационных ресурсов требования ИБ применительно к ИС и ресурсам могут классифицироваться следующим образом:
требования к технологиям защиты информации;
требования к функциям систем защиты информации;
требования к управлению функциями защиты информации;
требования к аудиту систем защиты информации;
требования к организации систем защиты информации.
Для технического обеспечения базового уровня информационной безопасности финансовых информационных комплексов должны быть реализованы следующие требования:
- по управлению доступом, регистрации и учету, обеспечению целостности на средствах защиты общесистемного программного обеспечения (операционных систем и систем управления базами данных), дополняемые специальными программно-техническими средствами цифровых сертификатов;
- по антивирусной защите и по криптозащите на средствах специального программного обеспечения защиты;
- по резервному копированию и восстановлению данных, по контролю и управлению защитой на специальных программно-технических средствах защиты.
Требования ИБ к изделию информационных технологий (ИТ), именуемые также как Профиль защиты, должны представлять собой документ, разрабатываемый в соответствии с ГОСТ Р ИСО/МЭК 15408. Профиль защиты должен представлять собой совокупность требований безопасности для некоторой категории изделий ИТ, не зависящих от конкретной реализации. Для базового уровня ИБ квалификационный минимум технического обеспечения ИБ должен включать следующие документы:
общие технические требования информационной безопасности;
технические требования базового уровня общесистемного программного обеспечения;
технические требования базового уровня систем управления базами данных;
технические требования базового уровня локальных вычислительных сетей;
технические требования базового уровня при взаимодействии с внешними сетями;
технические требования базового уровня интернет порталов;
технические требования базового уровня систем электронного документооборота, а также техническую документацию на средства защиты информации (СЗИ), разрабатываемую по требованиям госстандартов.
На основании технических требований для реализации минимального набора требований ИБ по защите информации в ИС, содержащей сведения конфиденциального характера, должно быть выполнено:
выделение информации с ограниченным доступом, подлежащей защите на основе перечней сведений конфиденциального характера, разрабатываемых органами власти, на предприятиях и в организациях с учетом особенностей автоматизированной обработки информации, а также определение порядка отнесения информации к категории конфиденциальной;
реализация разрешительной системы допуска исполнителей (пользователей, обслуживающего персонала) к работам, документам и информации с ограниченным доступом;
ограничение доступа персонала и посторонних лиц в помещения, где размещены средства информатизации и коммуникации, на которых обрабатывается (хранится, передается) информация с ограниченным доступом, непосредственно к самим средствам информатизации и коммуникациям;
разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;
учет документов, информационных массивов, регистрация действий пользователей ИС и обслуживающего персонала, контроль за санкционированным и несанкционированным доступом и действиями пользователей, обслуживающего персонала и посторонних лиц;
надежное хранение традиционных и машинных носителей информации, ключей (ключевой документации) и их обращение, исключающее их хищение, подмену и уничтожение;
необходимое резервирование технических средств и дублирование массивов и носителей информации;
использование сертифицированных средств защиты информации при обработке конфиденциальной информации;
использование технических средств, удовлетворяющих требованиям стандартов по электромагнитной совместимости;
физическая защита помещений и собственно технических средств ИС с помощью сил охраны и технических средств, предотвращающих или существенно затрудняющих проникновение в здания, помещения посторонних лиц, хищение документов и информационных носителей;
криптографическое преобразование информации, обрабатываемой и передаваемой средствами вычислительной техники и связи (при необходимости, определяемой особенностями функционирования конкретных ИС);
предотвращение внедрения в автоматизированные системы программ-вирусов, программных закладок;
использование волоконно-оптических линий связи для передачи информации с ограниченным доступом;
использование защищенных каналов связи;
использование средств мониторинга событий ИБ и катастрофоустойчивости данных, функционирующих в составе инфраструктуры комплекса средств информационной безопасности (КСИБ) под управлением центра мониторинга и центра защищенного резервного хранения данных.
Рассмотренные требования составляют необходимый квалификационный минимум требований технического обеспечения ИБ при формировании базового уровня любой информационной системы и ресурса, содержащих открытую и конфиденциальную информацию.
|