- защита личности, общества и государства от негативного информационного воздействия.
Инструментальная комплексностьподразумевает интеграцию всех видов и направлений ИБ для достижения поставленных целей.
Современная система защиты информации должна включать структурную,функциональную и временную комплексность.
Структурная комплексностьпредполагает обеспечение требуемого уровня защиты во всех элементах системы обработки информации.
Функциональная комплексность означает, что методы защиты должны быть направлены на все выполняемые функции системы обработки информации.
Временная комплексностьпредполагает непрерывность осуществления мероприятий по защите информации, как в процессе непосредственной ее обработки, так и на всех этапах жизненного цикла объекта обработки информации.
Нормативным документом [4] предполагается деление АС на 3 класса:
Класс 1 — одномашинный однопользовательский комплекс, который обрабатывает информацию одной или нескольких категорий конфиденциальности. Пример — автономная персональная ЭВМ, доступ к которой контролируется с использованием организационных мероприятий.
Класс 2 — локализированный многомашинный многопользовательский комплекс, обрабатывающий информацию разных категорий конфиденциальности. Пример — локальная вычислительная сеть.
Класс 3 – распределенный многомашинный многопользовательский комплекс, который обрабатывает информацию разных категорий конфиденциальности. Пример — глобальная вычислительная сеть.
Информация с ограниченным доступом, а именно: конфиденциальная информация, принадлежащая государству, и информация, содержащая государственную тайну, создается, обрабатывается и хранится в режимно-секретном (РСО) органе. Такая информация, в большинстве случаев, обрабатывается с использованием АС класса 1,которые имеют следующие особенности:
- в каждый момент времени с комплексом может работать только один пользователь, хотя в общем случае лиц, которые имеют доступ к комплексу, может быть несколько, но все должны иметь одинаковые полномочия (права) относительно доступа к обрабатываемой информации;
- технические средства (носители информации и средства ввода / вывода), с точки зрения, защищенности относятся к одной категории и все они могут использоваться для хранения и/ или ввода/ вывода всей информации.
Для проведения работ, связанных с построением КСЗИ РСО, специалистам организации исполнителя должен быть оформлен допуск к государственной тайне.
При создании КСЗИ РСО используются только те технические средства защиты информации, которые имеют экспертное заключение или сертификат соответствия государственной службы специальной связи и защиты информации (ГСССЗИ) Украины, применение других технических средств защиты информации запрещено.
Методика проведения работ по построению КСЗИ АС класса 1базируется на следующих исходных данных:
- Объект защиты — рабочая станция.
- Защита информации от утечки по техническим каналам осуществляется за счет использования рабочей станции в защищенном исполнении или специальных средств.
- Защита от несанкционированного доступа к информации осуществляется специальными программными или аппаратно-программными средствами защиты от несанкционированного доступа.
- Защита компьютера от вирусов, троянских и шпионских программ — антивирусное программное обеспечение.
В основном в АС класса 2 и класса 3 обрабатывается конфиденциальная или открытая информация, которая принадлежит государству и к которой выдвигаются требования по обеспечению целостности и доступности.
Особенности АС класса 2: наличие пользователей с разными полномочиями по доступу и/или технических средств, которые могут одновременно осуществлять обработку информации разных категорий конфиденциальности.
Особенности АС класса 3: необходимость передачи информации через незащищенную среду или, в общем случае, наличие узлов, которые реализуют разную политику безопасности.
АС класса 3 отличается от АС класса 2 наличием канала доступа в Интернет.
Так же, как и для создания КСЗИ РСО, для создания КСЗИ АС класса 2 и класса 3 организация-исполнитель должна иметь лицензию на проведение работ в сфере технической защиты информации, а также использовать сертифицированные технические средства защиты информации.
Методика проведения работ по построению КСЗИ АС класса 2 (3) базируется на следующих исходных данных:
- Объектами защиты являются рабочие станции, каналы передачи данных, веб-серверы, периметр информационной системы и т. д.
- Защита от несанкционированного доступа осуществляется с помощью базовых средств операционной системы или с использованием специальных программных, аппаратно-программных средств.
- Защита каналов передачи данных через незащищенную среду — аппаратные, программные, аппаратно-программные средства шифрования информации.
- Защита периметра — программные, аппаратные межсетевые экраны, системы обнаружения атак.
- Защита компьютера (сети) от вирусов, троянских и шпионских программ — антивирусное программное обеспечение.
- Защита электронного документооборота и электронной почты — использование средств электронной цифровой подписи.
Потребителями КСЗИ АС класса 2 и класса 3 являются органы государственной власти, а также предприятия, деятельность которых связана с обработкой конфиденциальной информации, принадлежащей государству.
Выделяют еще один тип АС [9] – системы информационной безопасности (СИБ).
СИБ представляют собой решение, направленное на обеспечение защиты критичной информации организации от разглашения, утечки и несанкционированного доступа. Как и КСЗИ, СИБ объединяет в себе комплекс организационных мероприятий и технических средств защиты информации.
СИБ в основном предназначены для защиты информации в АС класса 2 и класса 3. Однако между КСЗИ и СИБ есть принципиальные отличия.
Первое отличие заключается в том, что при построении СИБ нет необходимости выполнять требования нормативных документов в сфере технической защиты информации, так как основными потребителями СИБ являются коммерческие организации, которые не обрабатывают информацию, принадлежащую государству. Вторым принципиальным отличием является отсутствие контролирующего органа, и, как следствие, спроектированная СИБ не требует проведения государственной экспертизы. Еще одно отличие от КСЗИ — свободный выбор технических средств, возможное применение любых аппаратных и программных средств защиты информации.
СИБ можно рекомендовать коммерческим организациям, которые заботятся о сохранности своей коммерческой (критичной) информации или собираются принимать меры по обеспечению безопасности своих информационных активов.
Для определения необходимости построения СИБ и направления работ по защите информации, а также для оценки реального состояния информационной безопасности организации необходимо проводить аудит информационной безопасности.
Применительно к КСЗИ РСО и КСЗИ АС класса 2 и класса 3 проведение такого аудита тоже является первым этапом работ. Такие работы называются обследованием информационной инфраструктуры организации.
Важным моментом, который касается эксплуатации как КСЗИ АС класса 2 и класса 3, так и СИБ, является тот факт, что недостаточно просто построить и эксплуатировать эти системы защиты, необходимо постоянно их совершенствовать так же, как совершенствуются способы несанкционированного доступа, методы взлома и хакерские атаки.
Сравнительный анализ всех перечисленных систем защиты информации представлен в таблице 1.
Как мы видим, более жесткие требования выдвинуты к процессу построения КСЗИ и исполнителю этих работ по сравнению с требованиями к построению СИБ.
В дальнейшем, при проектировании системы защиты будем брать за основу АС класса 1 и 2, так как именно эти системы обработки информации представляют наиболее огромный интерес у злоумышленника с точки зрения ее хищения.
Таблица 1.1 – Сравнительный анализ систем защиты информации
Особенности КСЗИ | РСО КСЗИ | АС класса 2 (3) | СИБ |
Потребители услуг | Органы государственной власти, коммерческие организации | Органы государственной власти, коммерческие организации | Коммерческиеорганизации |
Обрабатываемаяинформация | Конфиденциальная информация, которая принадлежит государству, или информация, которая содержит государственную тайну | Конфиденциальная информация, которая принадлежит государству (физическому лицу), или открытая информация, которая принадлежит государству | Критическая информация организации (персональная, финансовая, договорная информация, информация о заказчиках) |
Субъекты | ЗаказчикИсполнительКонтролирующий орган | ЗаказчикИсполнительКонтролирующий орган | ЗаказчикИсполнитель |
Наличие лицензии на проведение работ по построению | Лицензия на проведение работ по технической защите информации | Лицензия на проведение работ по технической защите информации | Не требуется |
Проведениегосударственной экспертизы | Обязательно | Обязательно | Не требуется |
Технические средства защитыинформации | Только сертифицированные средствазащиты информации | Только сертифицированные средствазащиты информации | Любые средства защиты информации |
Выполнение требованийнормативной базы | Обязательно | Обязательно | Не требуется |