7.1. Меры обеспечения безопасности
7.1. Меры обеспечения безопасности 
Все меры обеспечения безопасности компьютерных систем подразделяются на:
- правовые (законодательные);
- морально-этические;
- организационные (административные);
- физические;
- технические (аппаратные и программные).
Правовые (законодательные) меры защиты
К правовым мерам защиты относятся действующие в стране законы, указы и нормативные правовые и правовые акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений в процессе ее обработки и использования, а также устанавливающие ответственность за нарушения этих правил, препятствуя тем самым неправомерному использованию информации, и являющиеся сдерживающим фактором для потенциальных нарушителей. Правовые меры защиты носят в основном предупреждающий, профилактический характер и требуют постоянной разъяснительной работы с пользователями и обслуживающим персоналом системы.
Морально-этические меры защиты
К морально-этическим мерам относятся нормы поведения, которые традиционно сложились или складываются по мере распространения ЭВМ в стране или обществе. Эти нормы большей частью не являются обязательными, как, например, утвержденные нормативные правовые акты, однако их несоблюдение ведет обычно к падению авторитета, престижа человека, группы лиц или организации. Морально-этические нормы бывают как неписаные (например, общепризнанные нормы честности, патриотизма и т.п.), так и писаные, то есть оформленные в некоторый свод (устав) правил или предписаний. Морально-этические меры защиты являются профилактическими и требуют постоянной работы по созданию здорового морального климата в коллективах структурных подразделений.
Организационные (административные) меры защиты
Организационные (административные) меры защиты - это меры организационного характера, регламентирующие процессы функционирования системы обработки данных, использование ее ресурсов, деятельность обслуживающего персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности или снизить размер потерь в случае их реализации.
Формирование политики безопасности
Главная цель административных мер, предпринимаемых на высшем управленческом уровне, - сформировать политику в области обеспечения ИБ (отражающую подходы к ЗИ) и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.
С практической точки зрения политику в области обеспечения ИБ в ИИВС Росрыболовства целесообразно разбить на два уровня. К верхнему уровню относятся решения руководства, затрагивающие деятельность Росрыболовства в целом. Примером таких решений могут быть:
- принятие решения о формировании или пересмотре комплексной программы обеспечения ИБ Росрыболовства, определение ответственных за ее реализацию;
- формулирование целей, постановка задач, определение направлений деятельности в области ИБ;
- принятие решений по вопросам реализации программы ИБ, которые рассматриваются на уровне организации в целом;
- обеспечение нормативной правовой базы вопросов ИБ и т.п.
Политика верхнего уровня должна четко очертить сферу влияния и ограничения при определении целей ИБ, определить, какими ресурсами (материальные, персонал) они будут достигнуты, и найти разумный компромисс между приемлемым уровнем безопасности и функциональностью ИИВС Росрыболовства.
Политика нижнего уровня определяет процедуры и правила достижения целей и решения задач ИБ и детализирует (регламентирует) эти правила:
- какова область применения политики ИБ;
- каковы роли и обязанности должностных лиц, отвечающих за проведение политики ИБ;
- кто имеет права доступа к информации ограниченного распространения;
- кто и при каких условиях может читать и модифицировать информацию и т.д.
Политика нижнего уровня должна:
- предусматривать регламент информационных отношений, исключающих возможность произвольных, монопольных или несанкционированных действий в отношении конфиденциальных ИР;
- определять иерархические принципы, методы разделения информации по типу и разграничение доступа к информации ограниченного распространения;
- выбирать программно-математические и технические (аппаратные) средства криптозащиты, противодействия НСД, аутентификации, авторизации, идентификации и другие защитные механизмы, обеспечивающие гарантии реализации прав и ответственности субъектов информационных отношений.
Регламентация доступа в помещения ИИВС Росрыболовства
Эксплуатация защищенных АРМ и серверов ИИВС Росрыболовства должна осуществляться в помещениях, оборудованных надежными автоматическими замками, средствами сигнализации и постоянно находящихся под охраной или наблюдением, исключающих возможность бесконтрольного проникновения в помещения посторонних лиц и обеспечивающих физическую сохранность находящихся в помещении защищаемых ИР (АРМ, документов, реквизитов доступа и т.п.). Размещение и установка технических средств ПЭВМ таких АРМ должна исключать возможность визуального просмотра вводимой (выводимой) информации лицами, не имеющими к ней отношения. Уборка помещений с установленными в них ПЭВМ должна производиться в присутствии ответственного, за которым закреплены данные технические средства, или дежурного по подразделению с соблюдением мер, исключающих доступ посторонних лиц к защищаемым ресурсам.
В помещениях во время обработки и отображения на ПЭВМ информации ограниченного распространения должен присутствовать только персонал, допущенный к работе с данной информацией. Запрещается прием посетителей в помещениях, когда осуществляется обработка защищаемой информации.
По окончании рабочего дня помещения с установленными защищенными АРМ должны сдаваться под охрану с включением сигнализации и с отметкой в книге приема и сдачи служебных помещений.
Для хранения служебных документов и носителей с защищаемой информацией помещения снабжаются сейфами и металлическими шкафами.
Помещения должны быть обеспечены средствами уничтожения документов.
В случае применения для обработки информации СВТ, пропускной и внутриобъектовый режим объекта СВТ должен удовлетворять требованиям, предъявляемым к режимным объектам.
Регламентация допуска сотрудников к использованию ресурсов ИИВС Росрыболовства
В рамках разрешительной системы допуска устанавливается: кто, кому, какую информацию и для какого вида доступа может предоставить и при каких условиях; система разграничения доступа, которая предполагает определение для всех пользователей автоматизированной информационной системы информационных и программных ресурсов, доступных им для конкретных операций (чтение, запись, модификация, удаление, выполнение) с помощью заданных программно-технических средств доступа.
Допуск сотрудников подразделений Росрыболовства к работе с автоматизированной системой и доступ к ее ресурсам должен быть строго регламентирован. Любые изменения состава и полномочий пользователей подсистем ИИВС Росрыболовства должны производиться установленным порядком согласно "Инструкции по внесению изменений в списки пользователей ИИВС и наделению их полномочиями доступа к ресурсам системы". Основными пользователями информации в ИИВС Росрыболовства являются сотрудники структурных подразделений Росрыболовства. Уровень полномочий каждого пользователя определяется индивидуально с соблюдением следующих требований:
- открытая, конфиденциальная информация размещается по возможности на различных серверах (это упрощает обеспечение защиты);
- каждый сотрудник пользуется только предписанными ему правами по отношению к информации, с которой ему необходимо работать в соответствии с должностными обязанностями;
- начальник имеет права на просмотр информации своих подчиненных только в установленных пределах в соответствии со своими должностными обязанностями;
- наиболее ответственные технологические операции должны производиться по правилу "в две руки" - правильность введенной информации подтверждается другим должностным лицом, не имеющим права ввода информации.
Все сотрудники Росрыболовства, допущенные к работе (пользователи), и обслуживающий персонал ИИВС Росрыболовства должны нести персональную ответственность за нарушения установленного порядка автоматизированной обработки информации, правил хранения, использования и передачи находящихся в их распоряжении защищаемых ресурсов системы. Каждый сотрудник (при приеме на работу) должен подписывать Соглашение-обязательство о соблюдении и ответственности за нарушение установленных требований по сохранению служебной тайны, если такая работа предусматривается, а также правил работы с защищаемой информацией в ИИВС Росрыболовства.
Обработка защищаемой информации в подсистемах ИИВС Росрыболовства должна производиться в соответствии с утвержденными технологическими инструкциями (техническими порядками) для данных подсистем.
Для пользователей защищенных АРМ (то есть АРМ, на которых обрабатывается защищаемая информация или решаются подлежащие защите задачи и на которых установлены соответствующие средства защиты) должны быть разработаны необходимые технологические инструкции, включающие требования по обеспечению ИБ в Росрыболовстве.
Регламентация процессов ведения баз данных и осуществления модификации информационных ресурсов
Все операции по ведению БД Росрыболовства и допуск сотрудников структурных подразделений (а также сотрудников сторонних организаций, например компаний-интеграторов) к работе с этими базами данных должны быть строго регламентированы (должны производиться в соответствии с утвержденными технологическими инструкциями). Любые изменения состава и полномочий пользователей БД ИИВС Росрыболовства должны производиться установленным порядком.
Распределение имен, генерация паролей, сопровождение правил разграничения доступа к базам данных возлагается на специальных пользователей - администраторов конкретных БД и системных администраторов. При этом могут использоваться как только штатные, так и дополнительные средства защиты СУБД и операционных систем (ОС).
Регламентация процессов обслуживания и осуществления модификации аппаратных и программных ресурсов ИИВС Росрыболовства
Все аппаратные и программные ресурсы ИИВС Росрыболовства должны быть установленным порядком категорированы (для каждого ресурса должен быть определен требуемый уровень защищенности). Подлежащие защите ресурсы системы (задачи, программы, АРМ) подлежат строгому учету (на основе использования соответствующих формуляров или специализированных баз данных).
Аппаратно-программная конфигурация автоматизированных рабочих мест, на которых обрабатывается защищаемая информация (с которых возможен доступ к защищаемым ресурсам), должна соответствовать кругу возложенных на пользователей данного АРМ функциональных обязанностей. Все неиспользуемые в работе (лишние) устройства ввода-вывода информации (COM, LPT порты, дисководы НГМД, CD, USB и другие носители информации) на таких АРМ должны быть отключены (удалены), не нужные для работы программные средства и данные с дисков АРМ также должны быть удалены или запрещены к использованию.
Для упрощения сопровождения, обслуживания и организации защиты АРМ должны оснащаться программными средствами и конфигурироваться унифицировано (в соответствии с установленными правилами).
Ввод в эксплуатацию новых АРМ и все изменения в конфигурации технических и программных средств существующих АРМ в ИИВС Росрыболовства должны осуществляться только установленным порядком.
Все программное обеспечение (разработанное специалистами отделов программирования компаний-интеграторов Росрыболовства, полученное централизованно или приобретенное у фирм-производителей) должно установленным порядком проходить испытания и передаваться в отдел ИТ Административного управления Росрыболовства. В подсистемах ИИВС Росрыболовства должны устанавливаться и использоваться только полученные установленным порядком из отдела ИТ программные средства. Использование в ИИВС Росрыболовства ПО, не учтенного (и не проанализированного на пригодность к рабочему процессу Росрыболовства) в отделе ИТ Административного управления Росрыболовства должно быть запрещено.
Разработка ПО задач (комплексов задач), проведение испытаний разработанного и приобретенного ПО, передача ПО в эксплуатацию должны осуществляться в соответствии с установленным порядком разработки, проведения испытаний и передачи задач (комплексов задач) в эксплуатацию.
Обеспечение и контроль физической целостности (неизменности конфигурации) аппаратных ресурсов ИИВС Росрыболовства
На всех АРМ, подлежащих защите, должны быть установлены необходимые технические средства защиты (соответствующие категории данных АРМ).
Узлы и блоки оборудования СВТ ИИВС, к которым доступ обслуживающего персонала в процессе эксплуатации не требуется, после наладочных, ремонтных и иных работ, связанных с доступом к их монтажным схемам, должны закрываться и опечатываться (пломбироваться) сотрудниками службы технического контроля Росрыболовства. О вскрытии (опечатывании) блоков ПЭВМ делается запись в "Журнале учета нештатных ситуаций, фактов вскрытия и опечатывания блоков ПЭВМ, выполнения профилактических работ, установки и модификации аппаратных и программных средств АРМ подразделения".
Повседневный и периодический контроль за целостностью и соответствием печатей (пломб) на системных блоках ПЭВМ должен осуществляться пользователями АРМ и администраторами ИБ (ответственными за ИБ подразделений Росрыболовства).
Кадровая работа (подбор и подготовка персонала, обучение пользователей)
До начала этапа эксплуатации автоматизированной системы ее пользователи, а также необходимый руководящий и обслуживающий персонал должны быть ознакомлены с перечнем сведений, подлежащих засекречиванию и защите, в части, их касающейся, и своим уровнем полномочий, а также организационно-распорядительной, нормативной, технической и эксплуатационной документацией, определяющей требования и порядок обработки информации ограниченного распространения.
ЗИ по всем перечисленным направлениям возможна только после выработки у пользователей определенной дисциплины, т.е. норм, обязательных для исполнения всеми, кто работает с ИИВС Росрыболовства. К таким нормам можно отнести запрещение любых умышленных или неумышленных действий, которые нарушают нормальную работу ИИВС Росрыболовства, вызывают дополнительные затраты ресурсов, нарушают целостность хранимой и обрабатываемой информации, нарушают интересы законных пользователей.
Все сотрудники Росрыболовства, использующие при работе конкретные подсистемы ИИВС, должны быть ознакомлены с организационно-распорядительными документами по защите ИИВС Росрыболовства в части, их касающейся, должны знать и неукоснительно выполнять технологические инструкции и общие обязанности по обеспечению безопасности информации при использовании ИИВС Росрыболовства. Доведение требований указанных документов до лиц, допущенных к обработке защищаемой информации, должно осуществляться начальниками подразделений под роспись.
Подразделения технической защиты информации (или ответственные сотрудники за информационную безопасность)
Для непосредственной организации (построения) и эффективного функционирования системы ЗИ в Росрыболовстве должна быть создана специальная служба технической ЗИ или назначены ответственные лица из состава отдела ИТ Административного управления Росрыболовства.
Служба (или ответственные лица) технической ЗИ должна представлять собой систему штатных или нештатных подразделений, ответственных сотрудников, предназначенных для организации квалифицированной разработки (совершенствования) системы ЗИ и организационного (административного) обеспечения ее функционирования во всех подразделениях Росрыболовства.
На эти подразделения (или ответственных сотрудников за ИБ) целесообразно возложить решение следующих основных задач:
- проведение в жизнь политики обеспечения ИБ, определение требований к системе ЗИ;
- организация мероприятий и координация работ всех подразделений Росрыболовства по комплексной ЗИ;
- контроль и оценка эффективности принятых мер и применяемых средств ЗИ.
Основные функции подразделения ИБ (или сотрудников, ответственных за ИБ) заключаются в следующем:
- формирование требований к системе защиты в процессе создания (развития) ИИВС Росрыболовства;
- участие в проектировании системы защиты, ее испытаниях и приемке в эксплуатацию;
- планирование, организация и обеспечение функционирования системы ЗИ в процессе функционирования ИИВС Росрыболовства;
- распределение между пользователями необходимых реквизитов защиты;
- наблюдение за функционированием системы защиты и ее элементов;
- организация проверок надежности функционирования системы защиты;
- обучение пользователей и персонала ИИВС Росрыболовства правилам безопасной обработки информации;
- регламентация действий и контроль за администраторами БД, серверов и сетевых устройств (за сотрудниками, обеспечивающими правильность применения имеющихся в составе ОС, СУБД и т.п. средств разграничения доступа и других средств ЗИ);
- взаимодействие с ответственными за ИБ в подразделениях Росрыболовства;
- контроль за соблюдением пользователями и персоналом ИИВС установленных правил обращения с защищаемой информацией в процессе ее автоматизированной обработки;
- принятие мер при попытках НСД к информации и при нарушениях правил функционирования системы защиты.
Организационно-правовой статус подразделения ИБ или ответственных сотрудников за ИБ определяется следующим образом:
- численность ответственных сотрудников за ИБ должна быть достаточной для выполнения всех перечисленных выше функций;
- подразделение ИБ (или ответственные сотрудники за ИБ) должно подчиняться лицу, которое несет персональную ответственность за соблюдение правил обращения с защищаемой информацией;
- персонал (или ответственные сотрудники за ИБ) службы защиты не должен иметь других обязанностей, связанных с функционированием ИИВС Росрыболовства (или такие обязанности должны быть сведены к минимуму);
- ответственные сотрудники за ИБ должны иметь право доступа во все помещения, где установлена аппаратура ИИВС Росрыболовства, и право прекращать автоматизированную обработку информации при наличии непосредственной угрозы для защищаемой информации;
- руководителю подразделения ИБ (или ответственному сотруднику за ИБ) должно быть предоставлено право запрещать включение в число действующих новых элементов ИИВС Росрыболовства, если они не отвечают требованиям ЗИ и это может привести к серьезным последствиям в случае реализации значимых угроз ИБ;
- подразделение ИБ (или ответственный сотрудник за ИБ) должно обеспечиваться всеми условиями, необходимыми для выполнения своих функций.
Для решения задач, возложенных на подразделение ИБ, его сотрудники должны иметь следующие права:
- определять необходимость и разрабатывать правовые документы, касающиеся вопросов обеспечения ИБ, включая документы, регламентирующие деятельность сотрудников структурных подразделений Росрыболовства, его территориальных органов и подведомственных организаций;
- получать информацию от сотрудников структурных подразделений Росрыболовства, его территориальных органов и подведомственных организаций по вопросам применения информационных технологий и эксплуатации ИИВС;
- участвовать в проработке технических решений по вопросам обеспечения ИБ при проектировании и разработке комплексов задач;
- участвовать в испытаниях разработанных комплексов задач по вопросам оценки качества реализации требований по обеспечению ИБ;
- контролировать деятельность сотрудников подразделений Росрыболовства, его территориальных органов и подведомственных организаций по вопросам обеспечения ИБ.
В состав подразделения ИБ (или уполномоченных сотрудников по ИБ) ЗИ должны входить следующие специалисты:
- ответственные за администрирование средств защиты от НСД (выбор, установка, настройка, снятие средств защиты, просмотр журналов регистрации событий, оперативный контроль за работой пользователей и реагирование на события НСД и т.п.);
- ответственные за администрирование криптографических средств защиты (установка, настройка, снятие СКЗИ, генерация и распределение ключей и т.д.);
- ответственные за решение вопросов ЗИ в разрабатываемых программистами и внедряемых прикладных программах (участие в разработке технических заданий по вопросам ЗИ, выбор средств и методов защиты, участие в испытаниях новых прикладных программ с целью проверки выполнения требований по ЗИ и т.д.);
- специалисты по защите от утечки информации по техническим каналам.
Ответственность за нарушения установленного порядка использования ИИВС Росрыболовства. Расследование нарушений
Любое грубое нарушение порядка и правил работы в ИИВС Росрыболовства сотрудниками структурных подразделений Росрыболовства, его территориальных органов и подведомственных организаций, а также других ведомств должно расследоваться. К виновным должны применяться адекватные меры воздействия. Мера ответственности персонала за действия, совершенные в нарушение установленных правил обеспечения безопасной автоматизированной обработки информации, должна определяться нанесенным ущербом, наличием злого умысла и другими факторами, указывающими на обстоятельства нарушения.
Для реализации принципа персональной ответственности пользователей за свои действия необходимы:
- индивидуальная идентификация пользователей и инициированных ими процессов, т.е. установление за ними идентификатора, на базе которого будет осуществляться разграничение доступа в соответствии с принципом обоснованности доступа;
- проверка подлинности пользователей (аутентификация) на основе паролей, ключей на различной физической основе, биометрических характеристик личности и т.п.;
- регистрация (протоколирование) работы механизмов контроля доступа к ресурсам информационных систем с указанием даты и времени, идентификаторов запрашивающего и запрашиваемых ресурсов, вида взаимодействия и его результата;
- реакция на попытки НСД (сигнализация, блокировка и т.д.).
