Организационно-правовые аспекты защиты информации

С нормативно-правовой точки зрения использование СОА для защиты от атак должно подкрепляться соответствующими документами, определяющими необходимость и возможность применения данного средства защиты в АС. Данный вопрос особенно актуален для предприятий государственного сектора экономики.

На сегодняшний день существует большое количество различных документов, регламентирующих вопросы информационной безопасности. В общем случае они могут быть сгруппированы в следующие категории (рис. 1):

федеральные правовые документы, которые включают в себя кодексы и законы, указы и распоряжения Президента РФ, а также постановления Правительства РФ; отраслевые нормативные документы, включающие в себя российские и международные стандарты, а также специальные требования Федеральной службы по техническому и экспортному контролю (ФСТЭК) и ФСБ, касающиеся вопросов защиты информации; локальные организационно-распорядительные документы, которые действуют в рамках отдельно взятой организации, например, должностные инструкции, приказы, распоряжения и другие документы, касающиеся вопросов информационной безопасности.

В данной лекции будут рассмотрены базовые отечественные и международные стандарты в области информационной безопасности, а также описаны аспекты их применения в отношении СОА.

Структура документов, составляющих основу информационной безопасности АС


увеличить изображение
Рис. 1.  Структура документов, составляющих основу информационной безопасности АС

Обзор российского законодательства в области информационной безопасности

Требования российского законодательства, определяющие обязательность защиты информации ограниченного доступа, изложены в Федеральных иконах и уточнены в документах Федеральной службы по техническому и экспортному контролю Российской Федерации (Гостехкомиссии России), ФСБ (ФАПСИ) и других государственных учреждений, имеющих отношение к обеспечению безопасности информации. Реализация и контроль этих требований осуществляется при помощи соответствующих государственных систем сертификации средств защиты и аттестации объектов автоматизации.

Правовую основу информационной безопасности обеспечивают: Конституция Российской Федерации, Гражданский и Уголовный Кодекс, Федеральные законы "О безопасности" ( от 01.01.2001), "О Государственной тайне" ( от 01.01.2001), "Об информации, информатизации и защите информации" ( от 01.01.2001), "Об участии в международном информационном обмене" ( от 01.01.2001), "О коммерческой тайне" (№98-ФЗ от 01.01.2001), "О персональных данных" ( от 01.01.2001), "О техническом регулировании" ( от 01.01.2001), Доктрина информационной безопасности, Указы Президента и другие нормативные правовые акты Российской Федерации.

Соблюдение правовых норм, установленных законодательными актами Российской Федерации, должно являться одним из основополагающих принципов при создании любой комплексной системы защиты от информационных атак.

Общие правовые основы обеспечения безопасности личности, общества и государства определены в Федеральном законе "О безопасности". Этим же законом определено понятие системы безопасности и ее функций, установлен порядок организации и финансирования органов обеспечения безопасности и правила контроля и надзора за законностью их деятельности.

Основные положения государственной политики в сфере обеспечения безопасности изложены в Доктрине информационной безопасности Российской Федерации. В Доктрине определены следующие основные задачи, которые необходимо учитывать при реализации комплекса мер по информационной безопасности:

    обеспечение конституционных прав и свобод человека и гражданина на личную и семейную тайны, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, на защиту своей чести и своего доброго имени; укрепление механизмов правового регулирования отношений в области охраны интеллектуальной собственности, создание условий для соблюдения установленных федеральным законодательством ограничений на доступ к конфиденциальной информации; запрещение сбора, хранения, использования и распространения информации о частной жизни лица без его согласия и другой информации, доступ к которой ограничен федеральным законодательством; защита информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем, как уже развернутых, так и создаваемых на территории России; обеспечение защиты сведений, составляющих государственную тайну.

В соответствии с Конституцией Российской Федерации (ст. 23, 24) мероприятия по защите данных от возможных информационных атак не должны нарушать тайну переписки, осуществлять сбор сведений о частной жизни сотрудников, а также ознакомление с их перепиской.

В Гражданском кодексе Российской Федерации (ст. 139) определены характерные признаки информации, которая может составлять служебную или коммерческую тайну. Кроме этого в гражданском кодексе установлена ответственность, которую несут лица, за незаконные методы получения такой информации.

Уголовным Кодексом Российской Федерации предусматривается ответственность в случае преднамеренного использования вредоносного программного обеспечения с целью:

    сбора или распространения сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия (ст. 137); незаконного получения или разглашения сведений, составляющих коммерческую или банковскую тайну (ст. 183); неправомерного доступа к охраняемой законом компьютерной информации (ст. 272); нарушения правил эксплуатации ЭВМ, системы ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ (ст. 274); нарушения тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений, с использованием специальных технических средств, предназначенных для негласного получения информации (ст. 138).

Уголовная ответственность распространяется также на лиц, совершивших действия по созданию, использованию и распространению вредоносных программ для ЭВМ (ст. 273). При этом необходимо отметить, что в качестве вредоносного ПО могут выступать не только вирусы, программы типа "Троянский конь", но и программы, предназначенные для проведения информационных атак.

Регулирование отношений, связанных с созданием, правовой охраной, а также использованием программ для ЭВМ и баз данных, осуществляется при помощи законов "О правовой охране программ для электронных вычислительных машин и баз данных" и "Об авторском праве и смежных правах".

Федеральный закон "Об участии в международном информационном обмене" также определяет понятие информационной безопасности и направлен на создание условий для эффективного участия России в международном информационном обмене в рамках единого мирового информационного пространства. Требования данного нормативного документа необходимо учитывать при взаимодействии с зарубежными информационными ресурсами, например, через сеть Интернет. Отношения, возникающие при формировании и использовании информационных ресурсов

на основе создания, сбора, обработки, накопления и предоставления потребителю документированной информации, регулируются Федеральным законом "Об информации, информатизации и защите информации". Данный закон определяет понятие конфиденциальной информации, цели и задачи по ее защите, а также права и обязанности субъектов в области защиты информации. В 2006 г. эти два закона были заменены Федеральным законом "Об информации, информационных технологиях и о защите информации", в соответствии с которым защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

    обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации; соблюдение конфиденциальности информации ограниченного доступа; реализацию права на доступ к информации.

Более подробно информация конфиденциального характера определена в Указе Президента Российской Федерации № 000 от 01.01.2001 г. "Об утверждении перечня сведений конфиденциального характера". В соответствии с данным Указом к подобным сведениям отнесены:

    сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные); служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна); сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна); сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.

Более подробные сведения об информации, составляющей коммерческую тайну, изложены в Федеральном законе "О коммерческой тайне". Данный Закон регулирует отношения, связанные с отнесением информации к коммерческой тайне, передачей такой информации, охраной ее конфиденциальности в целях обеспечения баланса интересов обладателей информации и других участников регулируемых отношений на рынке товаров, работ, услуг и предупреждения недобросовестной конкуренции, а также определяет сведения, которые не могут составлять коммерческую тайну.

Вопросы защиты персональных данных подробно описаны в Федеральном законе "О персональных данных". В соответствии с этим документом при обработке персональных данных необходимо принимать организационные и технические меры, в том числе криптографические средства для защиты информации от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. Далее этот закон будет рассмотрен более подробно ввиду его большой актуальности (информационные системы должны быть приведены в соответствие с требованиями Федерального закона уже к 01.01.2010).

Вопросы отнесения информации к государственной тайне, а также порядок работы и защиты таких данных определены в Федеральном законе "О государственной тайне". Статьи закона являются обязательными для исполнения для всех без исключения юридических и физических лиц, для государственных и территориальных органов власти. Закон определяет понятия государственной тайны, грифа секретности, средства защиты информации и др. Этот же закон устанавливает права и обязанности органов государственной власти по защите государственной тайны, а также определяет базовый перечень сведений, которые могут быть отнесены к государственной тайне. Более подробный перечень утвержден Указом Президента "О перечне сведений, отнесенных к государственной тайне" №61 от 01.01.2001 г. Данные нормативные документы должны учитываться при формировании системы защиты информации, составляющей государственную тайну.

Федеральный закон "О техническом регулировании" регулирует отношения, возникающие при разработке, принятии, применении и исполнении требований к процессам производства, эксплуатации, хранения, перевозки, реализации и утилизации продукции, в том числе средств обнаружения атак. На основе данного закона в ближайшее время будет разработан технический регламент, который будет определять требования к информационной безопасности.

Нормативно-методическую базу, определяющую требования и рекомендации к программно-техническим методам защиты информации в автоматизированных системах, составляют руководящие документы Федеральной службы по техническому и экспортному контролю Российской Федерации (ФСТЭК) и государственные стандарты. Так, например, оценка защищенности автоматизированных систем, обрабатывающих информацию ограниченного доступа, осуществляется на основании руководящего документа (РД) ФСТЭК "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации". При разработке и модернизации средств вычислительной техники необходимо принимать во внимание требования РД ФСТЭК "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" и ГОСТ Р "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования". Данные нормативные документы необходимо учитывать в процессе реализации комплексной системы защиты от информационных атак для того, чтобы не нарушить установленные в них требования к автоматизированным системам и средствам вычислительной техники соответствующих классов.

Еще одним нормативным документом ФСТЭК, который может применяться по отношению к средствам защиты от информационных атак, является РД "Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей (НДВ)". Данный РД устанавливает классификацию ПО средств защиты информации по уровню контроля отсутствия в нем НДВ. Необходимо отметить, что под НДВ понимают функциональные возможности ПО, не описанные в документации, при использовании которых возможно нарушение конфиденциальности, целостности или доступности обрабатываемой информации.

При использовании персональных и корпоративных межсетевых экранов для защиты от информационных атак необходимо учитывать требования РД ФСТЭК "Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа. Показатели защищенности от несанкционированного доступа к информации", а также "требования ФСБ к устройствам типа межсетевые экраны". Данные нормативные документы классифицируют межсетевые экраны на пять различных классов в зависимости от категории информации, для защиты которой они предназначены. При этом каждый класс экранов характеризуется своим набором функциональных требований по защите информации.

Порядок организации работ с государственной конфиденциальной информацией определяется в нормативно-методическом документе ФСТЭК "Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)". Документ расширяет и дополняет существующие РД посредством уточнения требований и рекомендаций по обеспечению технической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну. В этом документе приводятся рекомендации по практическому применению различных средств защиты, в том числе и систем обнаружения атак.

РД ФСТЭК "Безопасность информационных технологий. Критерии оценки безопасности информационных технологий" и ГОСТ Р ИСО/МЭК "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий" определяют критерии, которые должны использоваться в качестве основы для оценки функций безопасности продуктов и автоматизированных систем. Процедура оценки осуществляется на основе требований профилей защиты и заданий по безопасности, которые разрабатываются на основе ГОСТ Р ИСО/МЭК . В настоящее время ФСТЭК разработаны профили защиты для межсетевых экранов, удостоверяющих центров, средств построения виртуальных частных сетей и средств защиты от несанкционированного доступа. Полная версия стандарта доступна на Интернет-сайте ФСТЭК67.

Обеспечение информационной безопасности при подключении к глобальным сетям общего пользования регламентируется решением ФСТЭК "О защите информации при вхождении России в международную информационную систему "Интернет"" от 01.01.01 г. №61 и указом Президента Российской Федерации "О мерах по обеспечению информационной безопасности Российской Федерации в сфере международного информационного обмена" от 01.01.01 г. № 000. Согласно этим документам субъектам международного информационного обмена в Российской Федерации запрещается подключение к сети Интернет автоматизированных систем, сетей связи и автономных персональных компьютеров, в которых обрабатывается конфиденциальная информация, а также данные, содержащие сведения, составляющие государственную тайну. При этом владельцам открытых и общедоступных государственных информационных ресурсов разрешается осуществлять их включение в состав сетей связи общего пользования только при использовании сертифицированных средств защиты информации, обеспечивающих ее целостность и доступность. К таким сертифицированным средствам относятся, в том числе и системы обнаружения атак.

В России также было принято несколько государственных стандартов (ГОСТ), включающих термины и определения к ним, а также общие положения в области информационной безопасности. К таким стандартам относятся ГОСТ Р "Защита информации. Основные термины и определения" и ГОСТ Р ИСО "Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Архитектура защиты информации".

Обзор международных стандартов в области информационной безопасности

Международные стандарты позволяют дополнить отечественное законодательство в тех областях, которые не затрагиваются российскими нормативно-правовыми документами. Примерами таких областей является аудит информационной безопасности, интеграция различных средств обеспечения безопасности, управление системами защиты и др. В отличие от положений российского законодательства, требования международных стандартов носят рекомендательный характер.

В настоящее время на территории России наибольшее распространение получили следующие международные стандарты:

    стандарт ISO/IEC 17799 "Информационная технология. Система менеджмента информационной безопасности. Требования"; стандарт ISO/IEC 27001 "Информационная технология. Методы обеспечения безопасности. Руководство по управлению информационной безопасностью". стандарт CobiT (Control Objectives for Information and related Technology, "Контрольные Объекты для Информационной и смежных Технологий"); стандарт ITIL (Information Technologies Infrastructure Library, "Библиотека инфраструктуры информационных технологий"); методика проведения аудита информационной безопасности OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation, "Методика оценки критических угроз, информационных активов и уязвимостей").

Международный стандарт ISO/IEC 17799 представляет собой набор рекомендаций по применению организационно-технических мер безопасности для эффективной защиты автоматизированных систем. В 2007 г. планируется принятие ISO/IEC 17799 в качестве ГОСТа. Стандарт состоит из одиннадцати разделов, каждый из которых описывает одну из областей информационной безопасности. Краткое описание разделов стандарта ISO/IEC 17799 приведено в табл. 1.

Таблица 1. Краткое описание разделов стандарта ISO/IEC 17799

Раздел стандарта

Описание раздела

1

"Политика информационной безопасности"

Раздел стандарта определяет требования к структуре политики информационной безопасности организации, а также к правилам ее последующего анализа и пересмотра. В соответствии с рекомендациями стандарта политика должна включать в себя описание мер защиты от информационных атак злоумышленников

2

"Организационные меры защиты"

Раздел содержит рекомендации в части проведения внутренних совещаний по вопросам информационной безопасности, аутсорсинга консалтинговых услуг по безопасности, а также рекомендации по соблюдению мер защиты при предоставлении доступа сторонним организациям к ресурсам автоматизированной системы

3

"Безопасность персонала"

Раздел включает в себя рекомендации по мерам безопасности, которые необходимо предпринять при приеме сотрудников на работу, а также рекомендации по обучению сотрудников вопросам безопасности и способам регистрации сведений о выявленных инцидентах. При этом в качестве возможных инцидентов в рамках стандарта рассматриваются события, связанные в том числе с выявлением информационных атак

4

"Классифи

ация и управление информационными ресурсами"

В разделе определены типы ресурсов и операций над ними, которые должны подлежать обязательной инвентаризации и последующей классификации по требуемому уровню защиты

5

"Физическая безопасность"

В разделе описаны рекомендации по защите физического периметра организации, а также помещений, оборудования и каналов связи

6

"Управление коммуникациями и информационными процессами"

В разделе приведены рекомендации: по составлению должностных инструкций персонала, ответственного за обеспечение безопасности; по анализу инцидентов, связанных с нарушением информационной безопасности; по защите от вирусов и другого вредоносного программного обеспечения; по резервному копированию информационных ресурсов; по защите сетевого взаимодействия между узлами системы; по обеспечению безопасности съемных носителей информации

7

"Контроль доступа"

Раздел содержит рекомендации по управлению правами доступа пользователей к информационным, программным и аппаратным ресурсам организации. Приведены также рекомендации по мониторингу операций доступа к информационным ресурсам

8

"Разработка, сопровождение и приобретение автоматизированной системы"

В разделе описаны рекомендации по применению различных средств защиты на технологическом и эксплуатационном этапе жизненного цикла автоматизированной системы. Так, например, данный раздел включает в себя рекомендации по защите от информационных атак злоумышленников. В отличие от предыдущей версии стандарта в редакции 2005 г. определены требования безопасности, которые необходимо соблюдать не только при разработке, но и в случае приобретения готовой информационной системы

9

"Управление инцидентами в области информационной безопасности"

Раздел содержит требования по правилу сбора и обработки информации о событиях, связанных с возможным нарушением информационной безопасности компании. В разделе также определены требования к сбору доказательной базы, необходимой для расследования возможных инцидентов

10

"Управление непрерывностью ведения бизнеса"

Раздел включает в себя рекомендации по созданию и реализации плана обеспечения непрерывности бизнес-процесса. Данный план описывает те действия, которые должны проводиться в организации в случае возникновения нештатных или аварийных ситуаций

11

"Соответствие требованиям и стандартам"

В разделе приводятся рекомендации по соблюдению авторских прав на использование программного обеспечения, а также местного законодательства в области защиты информации

Модель процесса управления информационной безопасностью


Рис. 2.  Модель процесса управления информационной безопасностью

Международный стандарт ISO/IEC 27001 описывает требования к системе управления информационной безопасностью ISMS (information security management system). Стандарт базируется на процессном подходе, предполагающем непрерывность выполнения работ по поддержанию должного уровня информационной безопасности. ISO/IEC 27001 базируется на модели PDCA (Plan Do Check Act), предусматривающей внедрение процесса управления, состоящего из четырех базовых этапов (рис. 2):

Этап планирования, на котором проводится анализ и оценка рисков информационной безопасности компании. Этап реализации, в рамках которого осуществляется разработка плана минимизации рисков, реализуются программы по обучению и осведомленности персонала, создаются необходимые документы и др. Этап проверки, на котором проводится мониторинг и контроль работы средств защиты АС, проводится аудит информационной безопасности, а также повторная оценка рисков. На данном этапе осуществляется разработка рекомендаций по совершенствованию системы мер защиты информации. Этап совершенствования, предполагающего внесение изменений в существующие меры по защиты информации с целью повышения их эффективности.

Стандарт CobiT разработан международной ассоциацией ISACA и предназначен для обеспечения эффективного управления информационными технологиями (ИТ) с точки зрения целей и задач бизнес-процессов компании. Согласно CobiT повышение эффективности управления ИТ позволяет увеличить отдачу от инвестиций в инфокоммуникационные системы, а также повысить конкурентоспособность предприятия. В соответствии с этим стандартом все ИТ-ресурсы компании должны эффективно управляться определенными ИТ-процессами, что позволит обеспечить своевременное предоставление информации, необходимой организации для достижения ее бизнес-целей. В стандарте CobiT определено тридцать четыре ИТ-процесса, сгруппированных в четыре домена: "планирование и организация", "проектирование и внедрение", "эксплуатация и сопровождение", и "мониторинг". Каждый из этих процессов описывается совокупностью показателей, на основе которых осуществляется оценка эффективности существующих механизмов управления ИТ-ресурсами.

Оценка осуществляется по шестибалльной шкале, где каждый уровень соответствует определенной степени "зрелости" процессов управления ИТ.

В соответствии с CobiT ИТ-ресурсы могут включать в себя: данные, приложения, технологии, оборудование и людские ресурсы. Стандарт CobiT определяет следующие критерии, по которым возможно проведение оценки информационных ресурсов, участвующих в бизнес-процессах организации:

    эффективность - актуальность информации, гарантирующая своевременное получение корректных данных, необходимых для бизнес-процессов компании; продуктивность - обеспечение доступности информации с помощью оптимального использования имеющихся ИТ-ресурсов; конфиденциальность - обеспечение защиты информации от несанкционированного доступа; целостность - точность, полнота и достоверность информации в соответствии с требованиями бизнеса; доступность - обеспечение своевременного доступа к информации в соответствии с требованиями бизнес-процессов; согласованность - соответствие информационных ресурсов законодательству, а также существующим договорным обязательствам; надежность - обеспечение доступа руководства организации к соответствующей информации, необходимой и достаточной для адекватного выполнения бизнес-процессов, создания объективных финансовых отчетов и т. д.

Один из ИТ-процессов, определенных в домене как "эксплуатация и сопровождение", направлен на обеспечение комплексной информационной безопасности. В рамках этого процесса, в качестве одной из обязательных мер защиты, определена необходимость применения организационных и программно-технических средств информационной безопасности.

Стандарт ITIL представляет собой набор рекомендаций по управлению ИТ, разработанных Отделом Правительственной Торговли Великобритании (United Kingdom's Office Of Government Commerce, OGC). Стандарт рассматривает информационные технологии в виде сервисов, которые предоставляются внутри организации. Стандарт состоит из следующих семи основных частей, каждая из которых описывает один из аспектов управления ИТ-сервисами: "Предоставление и поддержка ИТ-сервисов" (Service support and delivery), "Планирование внедрения процесса управления ИТ-услугами" (Planning to implement service management), "Управление приложениями" (Application management), "Управление инфраструктурой" (Infrastructure management), "Управление безопасностью" (Security management) и "Бизнес-перспектива" (The business perspective).

Практическое внедрение стандарта ITIL направлено на достижение следующих целей:

    увеличение качества предоставления ИТ-сервисов потребителям; снижение затрат на разработку и внедрение ИТ-сервисов внутри организации; улучшение взаимодействия и обмена информацией между пользователями и подразделениями организации, отвечающими за информационные технологии и безопасность; формализация процесса управления информационными ресурсами компании; обеспечение оптимального использования навыков и опыта, имеющегося у технических специалистов компании.

Раздел ITIL "Управление безопасностью" включает в себя рекомендации по созданию комплексной системы защиты предприятия. Согласно стандарту ITIL такая система должна сочетать в себе организационные и технические меры защиты информации. При этом в стандарте указывается, что в состав системы обеспечения информационной безопасности должны входить средства обнаружения и предотвращения атак.

Стандарт ITIL дополняет CobiT, поскольку он в большей мере ориентирован на технических специалистов и содержит больше информации по фактической реализации на практике положений этого стандарта.

Методика проведения аудита информационной безопасности OCTAVE разработана координационным центром немедленного реагирования CERT (Computer Emergency Response Team) и предназначена для анализа уровня защищенности автоматизированных систем посредством оценки рисков. Согласно этой методике процедура оценки рисков безопасности включает в себя три фазы. В процессе реализации первой фазы формируется множество защищаемых ресурсов, в число которых может входить аппаратное и программное обеспечение, а также информационные ресурсы. Далее для каждого из защищаемых ресурсов создается профиль угроз, который описывает возможные сценарии проведения атаки. Профиль предусматривает следующие типы источников атаки:

    несанкционированные действия внутренних или внешних пользователей АС; системные проблемы, связанные с дефектами аппаратного обеспечения или сбоями программного обеспечения; физические процессы или стихийные бедствия, например, землетрясения или наводнения.

В профиле также указывается тип возможного последствия, к которому может привести успешная реализация атаки - искажение ресурса, уничтожение ресурса, блокирование доступа к ресурсу или нарушение конфиденциальности ресурса.

Первая фаза оценки рисков проводится посредством интервьюирования административного и технического персонала организации, в введении которой находится обследуемая автоматизированная система. В процессе интервьюирования сотрудникам компании задается ряд вопросов, на основе которых рабочая группа, проводящая оценку рисков, составляет перечень защищаемых ресурсов и профили атак. Вместо интервьюирования может быть проведен анализ существующей организационно-технической документации, касающейся вопросов информационной безопасности.

Согласно методике OCTAVE в процессе реализации второй фазы определяется список программно-аппаратного обеспечения, которое применяется для хранения или обработки защищаемой информации. Далее проводится анализ защищенности этого программно-аппаратного комплекса с целью выявления имеющихся уязвимостей. Данная процедура реализуется при помощи специализированного программного обеспечения, позволяющего автоматизировать процесс сбора и анализа информации, необходимой для выявления уязвимостей.

В рамках третьей фазы дается фактическая оценка риска безопасности на основе ущерба, который может быть нанесен организации в случае успешной реализации каждого из сценариев, определенных в профилях атак. Для оценки риска используется качественная шкала с тремя возможными уровнями - низкий, средний и высокий. По результатам анализа рисков разрабатываются рекомендации, направленные на их минимизацию. В процессе управления рисками могут предприниматься следующие типы действий:

    уменьшение риска за счет использования организационных и технических средств защиты, позволяющих снизить вероятность проведения атаки или уменьшить возможный ущерб от атаки; уклонение от риска путем изменения архитектуры или схемы информационных потоков автоматизированной системы, что позволяет исключить возможность проведения той или иной атаки; изменение характера риска в результате принятия мер по страхованию; принятие риска в том случае, если он уменьшен до того уровня, на котором он не представляет опасности для автоматизированной системы.

Защита персональных данных в соответствии с требованиями Федерального закона "О персональных данных"

В настоящее время проблема защиты персональных данных является одной из наиболее актуальных для многих российских организаций, как государственных, так и коммерческих. Это обусловлено тем, что 26 января 2007 года вступил в силу Федеральный закон "О персональных данных", в котором сформулированы требования по защите персональных данных. Необходимо отметить, что требования данного закона являются обязательными как для коммерческих, так и государственных организаций. При этом согласно статье 25, информационные системы должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года.

Далее в лекции рассматриваются основные положения закона "О персональных данных", а также подходы к приведению информационных систем в соответствии с требованиями по защите персональных данных.

Процесс создания системы защиты персональных данных

Для создания и внедрения системы защиты персональных данных необходимо реализовать комплекс мероприятий, который, как правило, включает в себя следующие основные этапы работ:

    проведение обследования с целью определения степени оценки соответствия компании требованиям Федерального закона "О персональных данных"; классификация информационных систем, обрабатывающие персональные данные; разработка модели угроз безопасности персональных данных и модели нарушителя; проектирование системы защиты в составе информационной системы, обрабатывающей персональные данные; разработка пакета организационно-распорядительной документации; внедрение системы защиты персональных данных; аттестация информационной системы, обрабатывающей персональных данных.

Процедура обследования информационных систем, обрабатывающих персональные данные (ИСПДн) включает следующие работы:

    анализ внутренних нормативных документов, регламентирующих порядок обработки и защиты персональные данные (ПДн); определение используемых средств защиты ПДн, и оценка их соответствия требованиям нормативных документов РФ; определение перечня ПДн, подлежащих защите; определение перечня ИСПДн, обрабатывающих ПДн; определение степени участия персонала в обработке ПДн, характера взаимодействия персонала между собой.

По результатам обследования формируется отчет, в котором содержится описание текущего состояния защиты ПДн, а также рекомендации по устранению выявленных недостатков и нарушений.

На втором этапе работ на основе информации, собранной на этапе обследования, проведена классификация ИСПДн. Классификация проводится в соответствии с порядком проведения классификации, описанным в приказе Федеральной службы по техническому и экспортному контролю (ФСТЭК), Федеральной службы безопасности (ФСБ) и Министерства информационных технологий и связи РФ от 01.01.01 г. № 55/86/20. Результаты классификации ИСПДн оформляются соответствующим актом подписываемым руководителем предприятия.

Информационные системы, обрабатывающие персональные данные, классифицируются по уровням защищенности в зависимости от важности обрабатываемых ПДн, которая зависит от вида и степени ущерба субъекту ПДн, возникающего вследствие реализации угроз безопасности. ИСПДн могут относиться к классу типовых или специальных. К типовым ИСПДн относятся системы, в которых требуется обеспечение только конфиденциальности персональных данных. Специальные ИСПДн - системы, в которых вне зависимости от необходимости обеспечения конфиденциальности требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий). Для типовых ИСПДн определёно четыре возможных класса: К1, К2, К3 и К4. В зависимости от класса типовой ИСПДн определяются соответствующие требования по защите персональных данных.

На следующем этапе разрабатывается модель угроз безопасности ПДн в ИСПДн организации. Модель угроз безопасности определяется на основе перечня угроз безопасности персональных данных при их обработке в ИСПДн, который содержится в "Базовой модели угроз безопасности ПДн при их обработке в ИСПДн", определённой ФСТЭК. При необходимости применения средств криптографических защиты разрабатывается Модель нарушителя в соответствии с нормативными документами ФСБ России. Именно модель угроз и модель нарушителя являются базовыми документами для дальнейшего проектирования системы защиты персональных данных (СЗПДн).

В рамках проектирования СЗПДн выполняются следующие работы: разработка технического задания, макетирование и стендовые испытания средств защиты информации, а также создание технического проекта.

Техническое задание, как правило, содержит следующие разделы:

    обоснование разработки СЗПДн; исходные данные создаваемой ИСПДн в техническом, программном, информационном и организационном аспектах; класс ИСПДн; ссылку на нормативные документы, с учетом которых будет разрабатываться СЗПДн и приниматься в эксплуатацию ИСПДн; мероприятия и требования к СЗПДн, которые определяются в соответствии с классом и типом ИСПДн на основе методических документов ФСТЭК России; перечень предполагаемых к использованию сертифицированных средств защиты информации; состав, содержание и сроки проведения работ по этапам разработки и внедрения СЗПДн.

Далее с учетом исходных данных, полученных на этапе обследования ИСПДн, а также требований, определенных Техническим заданием, проводится анализ применимости, совместимости и внедряемости средств защиты информации в ИСПДн организации. В результате определяется состав средств защиты, удовлетворяющий требованиям по защите ПДн, а также позволяющий реализовать мероприятия по созданию СЗПДн.

На основе технического задания и результатов стендовых испытаний средств защиты информации осуществляется разработка технического проекта, которые содержит детальное описание конкретных программно-технических решений, которые будут использоваться для создания СЗПДн.

В процессе проектирования также осуществляется разработка пакета эксплуатационной и организационно-распорядительной документации, регламентирующей порядок обеспечения безопасности ПДн в организации.

На завершающем этапе проводится разработка проектов документов, необходимых для выполнения аттестационных испытаний. В рамках этапа также осуществляется проведение самих испытаний, а также оформление Аттестата соответствия. Необходимо отметить, что аттестация требуется только для систем класса К1 и К2.

Работы по созданию системы защиты персональных данных могут выполняться силами кредитно-финансовой организации, либо при помощи компаний, специализирующихся на оказании такого рода услуг. В соответствии с положениями Федерального закона от 8 августа 2001 г. № 000 "О лицензировании отдельных видов деятельности" и требованиями постановления Правительства Российской Федерации от 01.01.01 г. № 000 "О лицензировании деятельности по технической защите конфиденциальной информации" организации для проведения мероприятий по обеспечению безопасности ПДн при их обработке в ИСПДн классов К1 и К2 и в распределенных информационных системах класса К3 должны получить лицензию ФСТЭК на осуществление деятельности по технической защите конфиденциальной информации.

Что такое сертифицированный продукт?

Продукты Майкрософт, сертифицированные во ФСТЭК, с точки зрения программного кода ничем не отличаются от обычных лицензионных легальных продуктов Майкрософт. Программная реализация продуктов Майкрософт позволила получить соответствующие сертификаты ФСТЭК без изменений программного кода. Однако в соответствии с законодательством России сертифицированные продукты ФСТЭК имеют ряд других важных отличий от несертифицированных продуктов. Так как в соответствии с законодательством государство проверяет каждый экземпляр сертифицированного продукта на его идентичность экземпляру, прошедшему сертификацию, с выдачей соответствующих документов, и ведет поэкземплярный учет каждой копии сертифицированного продукта, то :

    Каждый экземпляр сертифицированнго продукта имеет пакет документов государственного образца о том, что данный продукт является сертифицированным, включая голографический знак соответствия ФСТЭК с уникальным номером, которая идентифицирует данный экземпляр в системе государственного учета сертифицированных продуктов.

Дополнительно к этому каждая организация, купившая сертифицированный продукт, имеет защищенный доступ к персональной для этой организации странице на специализированном сайте, откуда данная организация будет получать сертифицированные обновления.

Продукты Майкрософт, сертифицированные в ФСБ, кроме обычного лицензионного продукта Майкрософт содержат дополнительное программное обеспечение, разработанное российскими организациями для того, чтобы данные продукты Майкрософт могли удовлетворять требованиям, предъявляемым ФСБ к программным продуктам. Дополнительные программые продукты называются "Service Pack Rus для Windows XP", "Service Pack Rus для Windows Server" и "Service Pack Rus для Удостоверяющего центра" соответственно. Эти дополнительные программные продукты содержат и крипто-сервис провайдеры компании Крипто-Про, которые позволяют зашифровывать информацию и подписывать документы электронной цифровой подписью с использованием российских криптографических алгоритмов.

Таким образом, сертифицированные в ФСБ продукты состоят из:

    Обычного лицензионного продукта Майкрософт, и Дополнительного "Service Pack Rus" для этого продукта.

Почему надо использовать сертифицированные продукты

Для ряда организаций использование сертифицированных продуктов является необходимым. К таким организациям относятся государственные организации, негосударственные организации, работающие с так называемой "служебной информацией государственных органов", а также ряд других организаций в соответствии с российским законодательством (например, организации, подпадающие под соответствующие требования "Закона о персональных данных").

Ниже приведены выдержки из законодательных и регулирующих документов, из которых в совокупности следует необходимость применения сертифицированных средств защиты информации:

В Федеральном законе 149 (ФЗ) ст.14 п.8 сказано о том, что "…технические средства, предназначенные для обработки информации, содержащейся в государственных информационных системах, в том числе программно-технические средства и средства защиты информации, должны соответствовать требованиям законодательства Российской Федерации о техническом регулировании" В ФЗ 184 "О техническом регулировании" в ст.4 . "федеральные органы исполнительной власти наделены правом издавать в сфере технического регулирования акты обязательного характера, в случаях, установленных статьей 5" Статья 5 ФЗ 184 касается, в том числе, и продукции, используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации к информации ограниченного доступа (в том числе "служебная информация госорганов") Уполномоченным органом, наделенным правом устанавливать обязательные требования по защите информации, в соотв. со ст.15 ФЗ 149 является ФСТЭК России В частности, в нормативном документе СТР-К (Специальные требования по защите конфиденциальной информации) ФСТЭК России утверждается
    п.2.3. "Требования и рекомендации настоящего документа распространяются на защиту государственных информационных ресурсов некриптографическими методами, направленными на предотвращение утечки защищаемой информации по техническим каналам, от несанкционированного доступа к ней и от специальных воздействий на информацию в целях ее уничтожения, искажения и блокирования". п. 2.16. " Для защиты конфиденциальной информации используются сертифицированные по требованиям безопасности информации средства защиты информации. Порядок сертификации определяется законодательством Российской Федерации". п.2.17. "Объекты информатизации должны быть аттестованы по требованиям безопасности информации в соответствии нормативными документами ФСТЭК России и требованиями настоящего документа".
Закон РФ N 5485-1 от 01.01.01 г. ("Закон о государственной тайне") определяет средства защиты информации, как "составную часть информационных систем или продуктов". Из этого следует, что, например, Windows содержит средства защиты информации, хотя само не является таковым средством

В соответствии с приведенными законами соответствующие организации (в частности, государственные) обязаны использовать программные и аппаратные средства с сертифицированными средствами защиты информации.

Предоставление исходных кодов

В 2002 году Майкрософт разработала программу Government Security Program (GSP), в рамках которой организациям, участвующим в государственных проектах по совершенствованию защищенных информационных систем, предоставляет доступ к исходным кодам продуктов Майкрософт. Россия является первой страной в мире, подписавшей с Майкрософт Соглашение GSP. Это Соглашение было подписано в 2002 году между Майкрософт и "Атлас" и согласовано с ФАПСИ. После преобразования ФАПСИ Соглашение было переподписано с "Атлас" и согласовано с ФСБ. Соглашение действует и по настоящее время. Структура Соглашения позволяет иметь доступ к исходным кодам продуктов Майкрософт не только ФСБ, но и ФСТЭК, Министерству обороны, Министерству атомной промышленности, и другими организациями, работающим в государственных проектах по совершенствованию защищенных информационных систем.

"Атлас" является Центром по предоставлению доступа к исходным кодам продуктов Майкрософт. В нем организованы специальные помещения, где специалисты проводят анализ исходных кодов не только для целей сертификации продуктов Майкрософт на соответствие российским требования по безопасности информации, но и для решения других государственных задач. Майкрософт активно поддерживает эти работы, постоянно расширяя список доступных для исследования исходных кодов, и предоствляя необходимую технологическую и консультационную поддержку по вопросам функционирования подуктов.

Текущие результаты сертификации

В настоящее время во ФСТЭК (бывшая Гостехкомиссия России) сертифицированы следующие продукты Microsoft:

    клиентская операционная система Windows XP Professional русская версия (включая ОЕМ производство) клиентская операционная система Windows Vista (Business, Enterprise, Ultimate) русская версия (включая ОЕМ производство) серверная операционная система Windows Server 2003 (Standard Edition и Enterprise Edition) русские версии серверная операционная система Windows Server 2003 R2 (Standard Edition и Enterprise Edition) русские версии система управления базами данных SQL Server 2000 (Standard Edition и Enterprise Edition) английские версии система управления базами данных SQL Server 2005 (Standard Edition и Enterprise Edition) русские версии платформа приложений Office 2003 Professional русская версия, включая встроенную технологию управления цифровыми правами документов IRM, работающую с серверной технологией RMS, встроенную в Windows Server 2003 платформа приложений Office 2007 Professional русская версия, включая встроенную технологию управления цифровыми правами документов IRM, работающую с серверной технологией RMS, встроенную в Windows Server 2003 межсетевой экран ISA Server 2006 (Standard Edition) русская версия - сертификаты получены как на соответствие Общим Критериям, так и на соответствие Руководящим документам "СВТ. Межсетевые экраны…" - по третьему классу защищенности линейка антивирусных продуктов Forefront для серверов и рабочих станций (Forefront для Exchange Server, Forefront для SharePoint Server, и Forefront Client) сервер управления почтовыми сообщениями Exchange Server 2007 сервер для документооборота Office SharePoint Server 2007 сервер для управления бизнес-процессами BizTalk Server 2006 R2.

В соответствии с полученными сертификатами ФСТЭК указанные сертифицированные продукты позволяют строить автоматизированные системы до класса защищенности включительно. В настоящее время в России организовано массовое производство всех сертифицированных версий продуктов Майкрософт. Это позволяет заказчикам приобретать любые количества сертифицированных продуктов. Непрерывная сертификация выходящих ежемесячно новых патчей к продуктам позволяет покупателям иметь сертифицированную версию не только с самыми последними обновлениями системы безопасности, но и соответствующую при этом требованиям законодательства.

В настоящее время в ФСБ сертифицированы следующие продукты Microsoft:

    клиентская операционная система Windows XP Professional русская версия серверная операционная система Windows Server 2003Enterprise Edition русская версия

Сертификаты ФСБ удостоверяют, что указанные продукты соответствуют требованиям ФСБ России к защите информации, не содержащей сведений, составляющих государственную тайну, от несанкционированного доступа в автоматизированных информационных системах класса АК2.

В ФСБ также получено положительное заключение экспертной организации по результатам сертификационных испытаний Удостоверяющего центра, входящего в состав Windows Server 2003, на соответствие его уровню КС2 в соответствии с требованиями ФСБ.