Правовые и организационные основы комплексных систем защиты информации

В настоящее время все без исключения организации используют информационные системы для передачи, хранения и обработки информации. Это делает значительной вероятность утечки конфиденциальных данных. Проще говоря, кража важной информации, халатность сотрудников, саботаж, атаки хакеров могут нанести очень существенный удар по финансам и имиджу любой компании.

Комплексные системы защиты информации (КСЗИ) объединяют организационные и инженерно-технические мероприятия, которые направлены на обеспечение защиты информации от разглашения, утечки и несанкционированного доступа.

Организационные мероприятия обеспечивают управление, документальное закрепление положений по информационной безопасности (регламент, политика, правила, процедуры, инструкции), а также определяют ответственность за нарушение установленного режима информационной безопасности в организации.

Инженерно-технические мероприятия обеспечивают установленный в организации режим безопасности информации, циркулирующей в автоматизированной системе, инженерными и техническими средствами защиты.

ПРАВОВЫЕ ОСНОВЫ

Правовой основой, регламентирующей деятельность субъектов при создании и эксплуатации КСЗИ, являются следующие нормативные документы: Закон Украины «Про информацию»; Закон Украины «Про защиту информации в информационно-телекоммуникационных системах»; Закон Украины «Про государственную тайну», постановление Кабинета Министров Украины № 373 «Правила обеспечения защиты информации в информационных, телекоммуникационных и информационно-телекоммуникационных системах», а также нормативные документы Государственной службы специальной связи и защиты информации Украины (ГСССЗИУ) (до 2007 года Департамент специальных телекоммуникационных систем и защиты информации Службы безопасности Украины).

Рассмотрим деление информации по режиму доступа к ней.

В соответствии с Законом Украины «Про информацию» информация может быть открытой или с ограниченным доступом (статья 28), информация с ограниченным доступом, в свою очередь, делится на конфиденциальную информацию и государственную тайну (статья 30). Согласно этой же статье конфиденциальная информация может находиться во владении физических или юридических лиц либо принадлежать государству.

Режим доступа к информации определяет необходимый уровень ее защиты.

«Правила обеспечения защиты информации в информационных, телекоммуникационных и информационно-телекоммуникационных системах» (статья 4) определяют, какая именно информация с ограниченным доступом подлежит защите: конфиденциальная информация, которая принадлежит государству (в том числе конфиденциальная информация о физическом лице), и государственная тайна.

В статье 8 Закона Украины «Про защиту информации в информационно-телекоммуникационных системах» сказано, что информация, принадлежащая государству, или информация с ограниченным доступом должна обрабатываться в системе с использованием КСЗИ с подтвержденным соответствием.

Подтверждение соответствия — независимый анализ соответствия КСЗИ требованиям, изложенным в документе «Техническое задание на создание КСЗИ», нормативной документации по технической защите информации. По результатам государственной экспертизы КСЗИ ГСССЗИУ выдает документ «Аттестат соответствия», подтверждающий качество и надежность построенной системы защиты информации.

Работы по созданию КСЗИ являются лицензированным видом деятельности, т. е. для проведения работ по созданию таких систем необходимо иметь лицензию на проведение работ в сфере технической защиты информации.

Для проведения государственной экспертизы организация должна быть внесена в Реестр Организаторов экспертизы и иметь квалифицированных сотрудников-экспертов. Данный Реестр ведет ГСССЗИУ.

Согласно НД ТЗИ 2.5-005-99 «Классификация автоматизированных систем и стандартные функциональные профили защищенности обрабатываемой информации от несанкционированного доступа» автоматизированная система (АС) представляет собой организационно-техническую систему, которая объединяет вычислительную систему, физическую среду, персонал и обрабатываемую информацию. В указанном документе описано деление АС на классы:

  • Класс 1 — одномашинный однопользовательский комплекс, который обрабатывает информацию одной или нескольких категорий конфиденциальности. Пример — автономная персональная ЭВМ, доступ к которой контролируется с использованием организационных мероприятий.
  • Класс 2 — локализированный многомашинный многопользовательский комплекс, обрабатывающий информацию разных категорий конфиденциальности. Пример — локальная вычислительная сеть.
  • Класс 3 — распределенный многомашинный многопользовательский комплекс, который обрабатывает информацию разных категорий конфиденциальности. Пример — глобальная вычислительная сеть.

Далее рассмотрим более подробно каждый класс АС.

КСЗИ РЕЖИМНО-СЕКРЕТНОГО ОРГАНА

Режимно-секретный орган (РСО) — это отдел или подразделение, в котором создается, обрабатывается и хранится информация с ограниченным доступом, а именно: конфиденциальная информация, принадлежащая государству, и информация, содержащая государственную тайну. В большинстве случаев такая информация обрабатывается с использованием АС класса 1. Особенности АС класса 1 следующие:

  • в каждый момент времени с комплексом может работать только один пользователь, хотя в общем случае лиц, которые имеют доступ к комплексу, может быть несколько, но все должны иметь одинаковые полномочия (права) относительно доступа к обрабатываемой информации;
  • технические средства (носители информации и средства ввода / вывода) с точки зрения защищенности относятся к одной категории и все могут использоваться для хранения и/ или ввода/ вывода всей информации.

Для проведения работ, связанных с построением КСЗИ РСО, специалистам организацииисполнителя должен быть оформлен допуск к государственной тайне.

При создании КСЗИ РСО используются только те технические средства защиты информации, которые имеют экспертное заключение или сертификат соответствия ГСССЗИУ, применение других технических средств защиты информации запрещено.

Методика проведения работ по построению КСЗИ АС класса 1:

  • Объект защиты — рабочая станция.
  • Защита информации от утечки по техническим каналам осуществляется за счет использования рабочей станции в защищенном исполнении или специальных средств.
  • Защита от несанкционированного доступа к информации осуществляется специальными программными или аппаратно-программными средствами защиты от несанкционированного доступа.
  • Защита компьютера от вирусов, троянских и шпионских программ — антивирусное программное обеспечение.

Если технические средства на момент проектирования КСЗИ не имеют сертификатов соответствия или экспертных заключений, принимается решение о проведении оценки на соответствие требованиям НД ТЗИ средств защиты на стадии государственной экспертизы.

Основными потребителями КСЗИ РСО являются органы государственной власти, а также предприятия, работа которых связана с информацией, содержащей государственную тайну.

КСЗИ АС КЛАССА 2 И КЛАССА 3

В основном в АС класса 2 и класса 3 обрабатывается конфиденциальная или открытая информация, которая принадлежит государству и к которой выдвигаются требования по обеспечению целостности и доступности.

Особенности АС класса 2:

  • наличие пользователей с разными полномочиями по доступу и / или технических средств, которые могут одновременно осуществлять обработку информации разных категорий конфиденциальности.

Особенности АС класса 3:

  • необходимость передачи информации через незащищенную среду или, в общем случае, наличие узлов, которые реализуют разную политику безопасности.

АС класса 3 отличается от АС класса 2 наличием канала доступа в Интернет.

Так же, как и для создания КСЗИ РСО, для создания КСЗИ АС класса 2 и класса 3 организацияисполнитель должна:

  • иметь лицензию на проведение работ в сфере технической защиты информации;
  • использовать сертифицированные технические средства защиты информации.

Методика проведения работ по построению КСЗИ АС класса 2 (3):

  • Объектами защиты являются рабочие станции, каналы передачи данных, вебсерверы, периметр информационной системы и т. д.
  • Защита от несанкционированного доступа осуществляется с помощью базовых средств операционной системы или с использованием специальных программных, аппаратно-программных средств.
  • Защита каналов передачи данных через незащищенную среду — аппаратные, программные, аппаратно-программные средства шифрования информации.
  • Защита периметра — программные, аппаратные межсетевые экраны, системы обнаружения атак.
  • Защита компьютера (сети) от вирусов, троянских и шпионских программ — антивирусное программное обеспечение.

Защита электронного документооборота и электронной почты — использование средств электронной цифровой подписи.

Потребителями КСЗИ АС класса 2 и класса 3 являются органы государственной власти, а также предприятия, деятельность которых связана с обработкой конфиденциальной информации, принадлежащей государству.

СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Системы информационной безопасности (СИБ) представляют собой решение, направленное на обеспечение защиты критичной информации организации от разглашения, утечки и несанкционированного доступа. Как и КСЗИ, СИБ объединяет в себе комплекс организационных мероприятий и технических средств защиты информации.

СИБ в основном предназначены для защиты информации в АС класса 2 и класса 3. Однако между КСЗИ и СИБ есть принципиальные отличия.

Первое отличие заключается в том, что при построении СИБ нет необходимости выполнять требования нормативных документов в сфере технической защиты информации, так как основными потребителями СИБ являются коммерческие организации, которые не обрабатывают информацию, принадлежащую государству. Вторым принципиальным отличием является отсутствие Контролирующего органа, и, как следствие, спроектированная СИБ не требует проведения государственной экспертизы. Еще одно отличие от КСЗИ — свободный выбор технических средств, возможно применение любых аппаратных и программных средств защиты информации.

СИБ можно рекомендовать коммерческим организациям, которые заботятся о сохранности своей коммерческой (критичной) информации или собираются принимать меры по обеспечению безопасности своих информационных активов.

Для определения необходимости построения СИБ и направления работ по защите информации, а также для оценки реального состояния информационной безопасности организации необходимо проведение аудита информационной безопасности. Применительно к КСЗИ РСО и КСЗИ АС класса 2 и класса 3 проведение такого аудита тоже является первым этапом работ. Такие работы называются обследованием информационной инфраструктуры организации.

Важным моментом, который касается эксплуатации как КСЗИ АС класса 2 и класса 3, так и СИБ, является тот факт, что недостаточно просто построить и эксплуатировать эти системы защиты, необходимо постоянно их совершенствовать так же, как совершенствуются способы несанкционированного доступа, методы взлома и хакерские атаки.

Особенности КСЗИ РСО КСЗИ АС класса 2 (3) СИБ
Отличия
Потребители услуг Органы государственной власти, ком-
мерческие организации
Органы государственной власти,
коммерческие организации
Коммерческие
организации
Обрабатываемая
информация
Конфиденциальная информация,
которая принадлежит государству,
или информация, которая содержит
государственную тайну
Конфиденциальная информация,
которая принадлежит государству
(физическому лицу), или открытая
информация, которая принадлежит
государству
Критическая информация органи-
зации (персональная, финансовая,
договорная информация, информа-
ция о заказчиках)
Субъекты Заказчик
Исполнитель
Контролирующий орган
Заказчик
Исполнитель
Контролирующий орган
Заказчик
Исполнитель
Наличие лицензии на проведение
работ по построению
Лицензия на проведение работ по тех-
нической защите информации
Лицензия на проведение работ по тех-
нической защите информации
Не требуется
Проведение
государственной экспертизы
Обязательно Обязательно Не требуется
Технические средства защиты
информации
Только сертифицированные средства
защиты информации
Только сертифицированные средства
защиты информации
Любые средства защиты информации
Выполнение требований
нормативной базы
Обязательно Обязательно Не требуется

Сравнительная таблица КСЗИ РСО, КСЗИ АС класса 2 и класса 3, СИБ

Сравнительный анализ всех перечисленных систем защиты информации представлен в таблице.

Как мы видим, более жесткие требования выдвинуты к процессу построения КСЗИ и исполнителю этих работ по сравнению с требованиями к построению СИБ.

ПРАКТИЧЕСКАЯ РЕАЛИЗАЦИЯ

Компания «Арт-мастер» работает на ИТ-рынке Украины более восьми лет. В 2005 г. компания получила сертификат соответствия системы менеджмента качества требованиям международного стандарта ISO 9001: 2000, а в 2006 г., впервые в Украине, система менеджмента информационной безопасности компании была сертифицирована на соответствие требованиям международного стандарта ISO / IEC 27001: 2005 «Информационные технологии. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования». В данное время компания «Арт-мастер» остается единственной компанией в Украине, которая сертифицирована на соответствие требованиям ISO / IEC 27001: 2005. Представительства компании есть во всех регионах Украины, что дает возможность качественно и в короткие сроки предоставлять услуги по информационной безопасности на всей территории страны.

Компания «Арт-мастер» имеет лицензии Контролирующего органа на проведение деятельности в сфере технической защиты информации, в том числе государственной тайны, и криптографической защиты информации, в том числе конфиденциальной информации, которая принадлежит государству. Компания «Арт-мастер» имеет специальное разрешение на осуществление деятельности, связанной с государственной тайной.

Одним из основных направлений деятельности компании «Арт-мастер» является обеспечение информационной безопасности, в рамках этого направления предоставляются услуги по построению КСЗИ всех классов и СИБ любой сложности.

На данный момент в компании «Арт-мастер» построены и эксплуатируются защищенные АС класса 1 (РСО) и АС класса 3 (Центр сертификации ключей «MASTERKEY»), которые имеют «Аттестат соответствия».

Компания «Арт-мастер» занимается построением СИБ любой сложности с использованием передовых технологий и средств в сфере информационной безопасности: аппаратные межсетевые экраны, средства разграничения прав доступа к информационным ресурсам на основе инфраструктуры открытых ключей, защищенные системы электронного документооборота с использованием электронной цифровой подписи, системы резервного копирования информации, создание резервных площадок для обеспечения высокого уровня отказоустойчивости систем обработки информации.

В качестве инструмента, обеспечивающего работоспособность этих систем, компания «Арт-мастер» предлагает воспользоваться услугами своего аккредитованного центра сертификации ключей «MASTERKEY». В структуру центра входят удаленные пункты регистрации абонентов, которые находятся в 25 городах Украины. В 2007 г. аккредитованный центр сертификации ключей «MASTERKEY» стал победителем Всеукраинского конкурса-выставки «Лучший товар 2007 года», а бренд «MASTERKEY» стал победителем в номинации «Безупречная репутация».

Максим НечаевМаксим Нечаев
руководитель отдела
технической и криптографической
защиты информации
компании «Арт-мастер»

2008.04.14
19.03.2009
В IV квартале 2008 г. украинский рынок серверов по сравнению с аналогичным периодом прошлого года сократился в денежном выражении на 34% – до $30 млн (в ценах для конечных пользователей), а за весь календарный год – более чем на 5%, до 132 млн долл.


12.03.2009
4 марта в Киеве компания Telco провела конференцию "Инновационные телекоммуникации", посвященную новым эффективным телекоммуникационным технологиям для решения задач современного бизнеса.


05.03.2009
25 февраля в Киеве компания IBM, при информационной поддержке "1С" и Canonical, провела конференцию "Как сохранить деньги в условиях кризиса?"


26.02.2009
18-19 февраля в Киеве прошел юбилейный съезд ИТ-директоров Украины. Участниками данного мероприятия стали ИТ-директора, ИТ-менеджеры, поставщики ИТ-решений из Киева, Николаева, Днепропетровска, Чернигова и других городов Украины...


19.02.2009
10 февраля в Киеве состоялась пресс-конференция, посвященная итогам деятельности компании "DiaWest – Комп’ютерний світ" в 2008 году.


12.02.2009
С 5 февраля 2009 г. в Киеве начали работу учебные курсы по использованию услуг "электронного предприятия/ учреждения" на базе сети информационно-маркетинговых центров (ИМЦ).


04.02.2009
29 января 2009 года в редакции еженедельника "Computer World/Украина" состоялось награждение победителей акции "Оформи подписку – получи приз!".


29.01.2009
22 января в Киеве компания "МУК" и представительство компании Cisco в Украине провели семинар для партнеров "Обзор продуктов и решений Cisco Small Business"

 

 
 
Copyright © 1997-2008 ИД "Комиздат".