RSS
Как создать эффективную систему информационной безопасности
Создание корпоративной информационной системы (КИС) предприятия всегда связано с удовлетворением требований четко очерченной нормативно-правовой базы, жестко прописанной в проектных документах по ее созданию. Часто первым документом заказчика, определяющим пути создания или развития КИС, является Концепция информатизации (автоматизации) его организационно-штатной структуры. Она может быть создана как заказчиком, так и любым предприятием, выигравшим соответствующий конкурс. На основании этого документа может быть написано подробное техническое задание (ТЗ), выполнение которого и является обязанностью системного или проектного интегратора. Порядок утверждения и согласования ТЗ на информационную систему и ее подсистемы установлен в ГОСТ 34.602-89, который является неотъемлемой частью упомянутой нормативно-правовой базы.
Как видно, вопрос о том, как создавать КИС, достаточно изучен и даже стандартизован. Это относится прежде всего к ее функциональному наполнению и к работе прикладных процессов.
Однако не менее важным моментом в решении вопроса функционирования будущей КИС является проблема обеспечения ее информационной безопасности. Создание защищенной информационной системы заключается в выполнении совокупности мероприятий, направленных на разработку и/или практическое применение таких информационных технологий, которые бы реализовали функции по защите информации в соответствии с требованиями стандартов и нормативных документов, как во вновь создаваемых, так и в действующих системах. Процесс создания такой КИС должен начинаться также с реализации научного подхода к построению подсистемы информационной безопасности, т.е. с разработки Концепции информационной безопасности, являющейся наряду с Концепцией автоматизации вторым основополагающим документом.
Концепция информационной безопасности
Любая КИС создается с учетом уже имеющейся или планируемой информационной инфраструктуры, включающей как телекоммуникационную составляющую, так и информационную часть, что вместе составляет инфокоммуникационную среду для будущей системы. Зачастую никто, даже сам заказчик - владелец ресурса, не имеет полного представления о том, чем же он владеет. Поэтому первым этапом на пути разработки Концепции является обследование объекта защиты или аудит, который проводится специалистами по информационной безопасности на всех или на выделенных типовых объектах заказчика. Смысл этой непростой и довольно длительной работы заключается в выявлении состава информационной инфраструктуры, на которую и будет опираться (или уже опирается) система.
Дальнейшие действия заказчика просты: необходимо определить, "что защищаем" и "от чего", т.е. составить реестр защищаемых ресурсов (серверов, файлов, папок, данных и пр.) и определить, какого класса защита должна быть установлена и настроена в информационной системе. Например, сегодня наиболее актуальна защита персональных данных. С правовой точки зрения эти вопросы освещены в федеральных законах, подзаконных актах, приказах и разъяснениях федеральных органов, содержащих требования и рекомендации по составу средств защиты информации (СЗИ), которые должны быть включены в подсистему информационной безопасности. Этим и нужно руководствоваться при разработке Концепции.
Результатом дальнейшего развития подходов к созданию Концепции информационной безопасности является формирование раздела ТЗ, в котором будут изложены требования к защите информации в КИС, либо будет сформировано частное техническое задание (ЧТЗ) на подсистему защиты информации:
определение защищаемых ресурсов системы;
исключение или существенное затруднение получения доступа к защищаемой информации злоумышленником не только о системе, но и об обрабатываемой в ней или являющейся ее продукцией;
исключение или существенное затруднение несанкционированного и/или непреднамеренного воздействия на защищаемую информацию и ее носители.
Основные принципы и положения по созданию и функционированию защищенных систем изложены в требованиях ГОСТ 29339, ГОСТ Р 50543, ГОСТ Р 50739-95, ГОСТ Р 50972, ГОСТ Р 51275, ГОСТ РВ 50797 и других нормативных документах. Здесь имеется также ряд ограничений, сужающий круг предприятий, имеющих возможность работать в них. Кооперация исполнителей или единственный проектный интегратор должен иметь лицензии на осуществление работ в области защиты информации и использование средств защиты информации (СЗИ) в своей деятельности.
Работы по созданию, производству и эксплуатации информационной системы с использованием криптографических (шифровальных) средств для защиты информации ограниченного доступа ведутся согласно положениям нормативных актов Российской Федерации, определяющих порядок разработки, изготовления и обеспечения эксплуатации шифровальных средств на основании соответствующих лицензий ФСБ России. Если в системе обрабатывается информация, относящаяся к государственной тайне Российской Федерации, то необходимо наличие лицензии, подтверждающей возможность работы предприятия с этими сведениями.
Кроме того, ограничения касаются выбора разнообразных технических средств. Для создания КИС могут применяться как серийно выпускаемые, так и вновь разработанные программные, программно-аппаратные, технические, криптографические СЗИ, которые должны иметь сертификаты соответствия требованиям по защите информации, полученные в соответствующих системах сертификации по требованиям безопасности информации (ФСТЭК России, ФСБ России, Минобороны России). Именно эти средства и должны обсуждаться в Концепции информационной безопасности. Существенной частью в этом документе является также сформированная для конкретной системы модель нарушителя (угроз), которой должна быть противопоставлена модель защиты, а также проведено формальное доказательство ее полноты и непротиворечивости. Часто к Концепции предъявляются дополнительные требования по согласованию ее с органами, осуществляющими контроль в этой области.
Таким образом, вопросы информационной безопасности находятся под постоянным контролем и регулированием как со стороны государства, так и со стороны структур управления предприятий. Нормативно-методологической базой для решения вопросов безопасности в информационных системах являются в первую очередь требования российского законодательства, определяющие обязательность защиты информации ограниченного доступа, в том числе и персональных данных граждан, всеми субъектами информационных отношений на всей территории Российской Федерации. Эти требования определяются в законах, детализируются и уточняются в руководящих документах Федеральной службы по техническому и экспортному контролю Российской Федерации, ФСБ России и других государственных учреждений, имеющих отношение к обеспечению безопасности информации и безопасному использованию информационных технологий. Они определяют мероприятия и виды технических и программных средств базового уровня безопасности, обязательного для безоговорочного выполнения всеми субъектами информационных отношений, которые используют информационные системы, обрабатывающие соответствующие виды информации ограниченного доступа.
Ответственность за несоблюдение указанных требований несет прежде всего руководитель распределенной структуры. Она определена в таких российских законодательных актах, как Конституция Российской Федерации, Гражданский кодекс Российской Федерации, Уголовный кодекс Российской Федерации, Федеральные законы "О безопасности", "О государственной тайне", "Об информации, информатизации и защите информации", "О коммерческой тайне", "О связи", "Об участии в международном информационном обмене", "О техническом регулировании", "Об электронной цифровой подписи", "Об информации, информационных технологиях и о защите информации", указы Президента Российской Федерации, постановления Правительства Российской Федерации, Доктрина информационной безопасности Российской Федерации, международные договоры и соглашения, заключенные или признанные Российской Федерацией, а также в других нормативных правовых актах.
Подсистемы, входящие в систему комплексной защиты информации КИС
Исходя из общих соображений можно определить ряд подсистем, которые должны входить в систему комплексной защиты информации КИС и практически обязательны к проектированию.
Подсистема авторизации. Данная подсистема обеспечивает доступ пользователя информационной системы (в том числе удаленного) к защищаемым ресурсам на основе анализа предъявляемых им своих учетных данных с использованием средств идентификации и аутентификации. Она строится на принципах реализации мандатного и дискреционного методов доступа, имеет возможность отказать пользователю в доступе, если его данные будут признаны неподлинными, сигнализировать об этом администратору безопасности и зарегистрировать неудачную попытку доступа для проведения расследования коллизий информационной безопасности.
Подсистема контроля целостности. Эта подсистема обеспечивает надлежащее функционирование прикладных процессов в информационной системе и неизменность программной среды на основе контроля за идентичностью необходимых файлов операционных систем, функционального и специального программного обеспечения. Кроме того, она позволяет контролировать целостность данных при их передаче по каналам связи посредством применения криптографических СЗИ (симметричное и несимметричное шифрование).
Подсистема межсетевого экранирования. С помощью этой подсистемы можно осуществлять защиту объектов от несанкционированного доступа и сетевых воздействий (атак) с целью вывода из строя отдельных функций защиты информации, узлов сети или нарушения функционирования информационной системы в целом. Она используется также для разграничения доступа по сети к защищаемой информации системы как на уровне адресов отдельных узлов, так и на уровне приложений.
Подсистема антивирусной защиты. Данная подсистема осуществляет защиту информационной системы при взаимодействии со смежными информационными комплексами и системами от вредоносных программ (вирусов, троянских коней, spyware и пр.).
Подсистема контентного анализа и защиты от нежелательной почты (спама). В подсистеме предусмотрена защита информационной системы при взаимодействии со смежными информационными комплексами и системами от нежелательной (рекламной) информации.
Подсистема обнаружения вторжений. Эта подсистема позволяет производить анализ сетевого трафика и передавать сообщения о возможном нападении на централизованную консоль управления, а также уведомлять администратора безопасности о несанкционированной сетевой активности, регистрировать эти сведения и блокировать доступ нежелательных источников к защищаемой информации в информационной системе.
Подсистема мониторинга уязвимостей и аудита информационной безопасности. Подсистема обеспечивает анализ настроек и оценку эффективности функционирования СЗИ, предоставляя администратору безопасности информацию о сбоях в работе СЗИ и наличии узких мест, которые могут быть использованы потенциальным злоумышленником для получения несанкционированного доступа к данным.
Подсистема управления информационной безопасностью. Подсистема предоставляет возможность централизованного управления конфигурацией всех служб и сервисов комплексной системы защиты КИС. Управление конфигурацией СЗИ позволяет администратору безопасности получать полный доступ к настройкам средств безопасности серверов, рабочих мест, баз данных и средств межсетевого экранирования с использованием защищенных протоколов передачи данных, методами, устойчивыми к пассивному и активному прослушиванию. Кроме того, система обеспечивает обнаружение и устранение причин неисправностей и ошибок авторизации и доступа к данным.
В любом случае интегратору и заказчику необходимо сформировать и утвердить обоснованную, интегрированную систему взглядов на вопросы обеспечения информационной безопасности на этапах проектирования, создания, ввода в действие, промышленной эксплуатации и модернизации КИС для реализации единой политики в этой области и выработки взаимосвязанных и согласованных мер организационного и инженерно-технического характера по созданию инфраструктуры информационной безопасности системы. Тогда можно говорить о создании защищенной информационной системы, когда в основе принятого технологического решения лежит полное и непротиворечивое решение всех вопросов информационной безопасности, которая является ее неотъемлемой функцией.
Вопросы реализации информационной безопасности в КИС станут неотъемлемыми ее частями, если будет решен главный вопрос - об архитектуре системы, т.е. о выборе того или иного технологического решения для ее построения. Разнородные СЗИ очень плохо сопрягаемы, управлять ими сложно, их эксплуатация связана с высокими издержками, поэтому внедрение комплексной защиты информации как в организационном, так и в техническом смысле считается распределенной по времени задачей, когда подсистемы могут внедряться постепенно - от насущных (антивирусная защита, межсетевое экранирование) к менее важным - аудит, спам и пр.
Для функционального обеспечения КИС особое значение имеет решение о единой архитектуре, в которую указанные подсистемы уже встроены. Практическая деятельность в течение многих лет доказательно убеждает, что только трехуровневая архитектура построения информационной системы с применением продуктов класса middleware в состоянии решить комплексную задачу информационной безопасности в описываемом здесь понимании. На наш взгляд, сегодня такой архитектурный подход является наиболее перспективным, обеспечивающим совместное функционирование разнородных подсистем, в том числе с точки зрения защиты информации. Он может явиться основой для построения КИС произвольной функциональной направленности, которая позволяет использовать в процессе ее создания различные сертифицированные средства, в том числе зарубежного производства. Используя технологию интеграции для любого общего, прикладного программного обеспечения и СЗИ, появляется возможность "правильного построения" защищенной информационной системы для решения задач информационной безопасности на произвольной территориально распределенной инфраструктуре заказчика.
В.Андреев
К. ф.-м. н., заместитель директора по науке и развитию ЗАО ИВК
Как видно, вопрос о том, как создавать КИС, достаточно изучен и даже стандартизован. Это относится прежде всего к ее функциональному наполнению и к работе прикладных процессов.
Однако не менее важным моментом в решении вопроса функционирования будущей КИС является проблема обеспечения ее информационной безопасности. Создание защищенной информационной системы заключается в выполнении совокупности мероприятий, направленных на разработку и/или практическое применение таких информационных технологий, которые бы реализовали функции по защите информации в соответствии с требованиями стандартов и нормативных документов, как во вновь создаваемых, так и в действующих системах. Процесс создания такой КИС должен начинаться также с реализации научного подхода к построению подсистемы информационной безопасности, т.е. с разработки Концепции информационной безопасности, являющейся наряду с Концепцией автоматизации вторым основополагающим документом.
Концепция информационной безопасности
Любая КИС создается с учетом уже имеющейся или планируемой информационной инфраструктуры, включающей как телекоммуникационную составляющую, так и информационную часть, что вместе составляет инфокоммуникационную среду для будущей системы. Зачастую никто, даже сам заказчик - владелец ресурса, не имеет полного представления о том, чем же он владеет. Поэтому первым этапом на пути разработки Концепции является обследование объекта защиты или аудит, который проводится специалистами по информационной безопасности на всех или на выделенных типовых объектах заказчика. Смысл этой непростой и довольно длительной работы заключается в выявлении состава информационной инфраструктуры, на которую и будет опираться (или уже опирается) система.
Дальнейшие действия заказчика просты: необходимо определить, "что защищаем" и "от чего", т.е. составить реестр защищаемых ресурсов (серверов, файлов, папок, данных и пр.) и определить, какого класса защита должна быть установлена и настроена в информационной системе. Например, сегодня наиболее актуальна защита персональных данных. С правовой точки зрения эти вопросы освещены в федеральных законах, подзаконных актах, приказах и разъяснениях федеральных органов, содержащих требования и рекомендации по составу средств защиты информации (СЗИ), которые должны быть включены в подсистему информационной безопасности. Этим и нужно руководствоваться при разработке Концепции.
Результатом дальнейшего развития подходов к созданию Концепции информационной безопасности является формирование раздела ТЗ, в котором будут изложены требования к защите информации в КИС, либо будет сформировано частное техническое задание (ЧТЗ) на подсистему защиты информации:
определение защищаемых ресурсов системы;
исключение или существенное затруднение получения доступа к защищаемой информации злоумышленником не только о системе, но и об обрабатываемой в ней или являющейся ее продукцией;
исключение или существенное затруднение несанкционированного и/или непреднамеренного воздействия на защищаемую информацию и ее носители.
Основные принципы и положения по созданию и функционированию защищенных систем изложены в требованиях ГОСТ 29339, ГОСТ Р 50543, ГОСТ Р 50739-95, ГОСТ Р 50972, ГОСТ Р 51275, ГОСТ РВ 50797 и других нормативных документах. Здесь имеется также ряд ограничений, сужающий круг предприятий, имеющих возможность работать в них. Кооперация исполнителей или единственный проектный интегратор должен иметь лицензии на осуществление работ в области защиты информации и использование средств защиты информации (СЗИ) в своей деятельности.
Работы по созданию, производству и эксплуатации информационной системы с использованием криптографических (шифровальных) средств для защиты информации ограниченного доступа ведутся согласно положениям нормативных актов Российской Федерации, определяющих порядок разработки, изготовления и обеспечения эксплуатации шифровальных средств на основании соответствующих лицензий ФСБ России. Если в системе обрабатывается информация, относящаяся к государственной тайне Российской Федерации, то необходимо наличие лицензии, подтверждающей возможность работы предприятия с этими сведениями.
Кроме того, ограничения касаются выбора разнообразных технических средств. Для создания КИС могут применяться как серийно выпускаемые, так и вновь разработанные программные, программно-аппаратные, технические, криптографические СЗИ, которые должны иметь сертификаты соответствия требованиям по защите информации, полученные в соответствующих системах сертификации по требованиям безопасности информации (ФСТЭК России, ФСБ России, Минобороны России). Именно эти средства и должны обсуждаться в Концепции информационной безопасности. Существенной частью в этом документе является также сформированная для конкретной системы модель нарушителя (угроз), которой должна быть противопоставлена модель защиты, а также проведено формальное доказательство ее полноты и непротиворечивости. Часто к Концепции предъявляются дополнительные требования по согласованию ее с органами, осуществляющими контроль в этой области.
Таким образом, вопросы информационной безопасности находятся под постоянным контролем и регулированием как со стороны государства, так и со стороны структур управления предприятий. Нормативно-методологической базой для решения вопросов безопасности в информационных системах являются в первую очередь требования российского законодательства, определяющие обязательность защиты информации ограниченного доступа, в том числе и персональных данных граждан, всеми субъектами информационных отношений на всей территории Российской Федерации. Эти требования определяются в законах, детализируются и уточняются в руководящих документах Федеральной службы по техническому и экспортному контролю Российской Федерации, ФСБ России и других государственных учреждений, имеющих отношение к обеспечению безопасности информации и безопасному использованию информационных технологий. Они определяют мероприятия и виды технических и программных средств базового уровня безопасности, обязательного для безоговорочного выполнения всеми субъектами информационных отношений, которые используют информационные системы, обрабатывающие соответствующие виды информации ограниченного доступа.
Ответственность за несоблюдение указанных требований несет прежде всего руководитель распределенной структуры. Она определена в таких российских законодательных актах, как Конституция Российской Федерации, Гражданский кодекс Российской Федерации, Уголовный кодекс Российской Федерации, Федеральные законы "О безопасности", "О государственной тайне", "Об информации, информатизации и защите информации", "О коммерческой тайне", "О связи", "Об участии в международном информационном обмене", "О техническом регулировании", "Об электронной цифровой подписи", "Об информации, информационных технологиях и о защите информации", указы Президента Российской Федерации, постановления Правительства Российской Федерации, Доктрина информационной безопасности Российской Федерации, международные договоры и соглашения, заключенные или признанные Российской Федерацией, а также в других нормативных правовых актах.
Подсистемы, входящие в систему комплексной защиты информации КИС
Исходя из общих соображений можно определить ряд подсистем, которые должны входить в систему комплексной защиты информации КИС и практически обязательны к проектированию.
Подсистема авторизации. Данная подсистема обеспечивает доступ пользователя информационной системы (в том числе удаленного) к защищаемым ресурсам на основе анализа предъявляемых им своих учетных данных с использованием средств идентификации и аутентификации. Она строится на принципах реализации мандатного и дискреционного методов доступа, имеет возможность отказать пользователю в доступе, если его данные будут признаны неподлинными, сигнализировать об этом администратору безопасности и зарегистрировать неудачную попытку доступа для проведения расследования коллизий информационной безопасности.
Подсистема контроля целостности. Эта подсистема обеспечивает надлежащее функционирование прикладных процессов в информационной системе и неизменность программной среды на основе контроля за идентичностью необходимых файлов операционных систем, функционального и специального программного обеспечения. Кроме того, она позволяет контролировать целостность данных при их передаче по каналам связи посредством применения криптографических СЗИ (симметричное и несимметричное шифрование).
Подсистема межсетевого экранирования. С помощью этой подсистемы можно осуществлять защиту объектов от несанкционированного доступа и сетевых воздействий (атак) с целью вывода из строя отдельных функций защиты информации, узлов сети или нарушения функционирования информационной системы в целом. Она используется также для разграничения доступа по сети к защищаемой информации системы как на уровне адресов отдельных узлов, так и на уровне приложений.
Подсистема антивирусной защиты. Данная подсистема осуществляет защиту информационной системы при взаимодействии со смежными информационными комплексами и системами от вредоносных программ (вирусов, троянских коней, spyware и пр.).
Подсистема контентного анализа и защиты от нежелательной почты (спама). В подсистеме предусмотрена защита информационной системы при взаимодействии со смежными информационными комплексами и системами от нежелательной (рекламной) информации.
Подсистема обнаружения вторжений. Эта подсистема позволяет производить анализ сетевого трафика и передавать сообщения о возможном нападении на централизованную консоль управления, а также уведомлять администратора безопасности о несанкционированной сетевой активности, регистрировать эти сведения и блокировать доступ нежелательных источников к защищаемой информации в информационной системе.
Подсистема мониторинга уязвимостей и аудита информационной безопасности. Подсистема обеспечивает анализ настроек и оценку эффективности функционирования СЗИ, предоставляя администратору безопасности информацию о сбоях в работе СЗИ и наличии узких мест, которые могут быть использованы потенциальным злоумышленником для получения несанкционированного доступа к данным.
Подсистема управления информационной безопасностью. Подсистема предоставляет возможность централизованного управления конфигурацией всех служб и сервисов комплексной системы защиты КИС. Управление конфигурацией СЗИ позволяет администратору безопасности получать полный доступ к настройкам средств безопасности серверов, рабочих мест, баз данных и средств межсетевого экранирования с использованием защищенных протоколов передачи данных, методами, устойчивыми к пассивному и активному прослушиванию. Кроме того, система обеспечивает обнаружение и устранение причин неисправностей и ошибок авторизации и доступа к данным.
В любом случае интегратору и заказчику необходимо сформировать и утвердить обоснованную, интегрированную систему взглядов на вопросы обеспечения информационной безопасности на этапах проектирования, создания, ввода в действие, промышленной эксплуатации и модернизации КИС для реализации единой политики в этой области и выработки взаимосвязанных и согласованных мер организационного и инженерно-технического характера по созданию инфраструктуры информационной безопасности системы. Тогда можно говорить о создании защищенной информационной системы, когда в основе принятого технологического решения лежит полное и непротиворечивое решение всех вопросов информационной безопасности, которая является ее неотъемлемой функцией.
Вопросы реализации информационной безопасности в КИС станут неотъемлемыми ее частями, если будет решен главный вопрос - об архитектуре системы, т.е. о выборе того или иного технологического решения для ее построения. Разнородные СЗИ очень плохо сопрягаемы, управлять ими сложно, их эксплуатация связана с высокими издержками, поэтому внедрение комплексной защиты информации как в организационном, так и в техническом смысле считается распределенной по времени задачей, когда подсистемы могут внедряться постепенно - от насущных (антивирусная защита, межсетевое экранирование) к менее важным - аудит, спам и пр.
Для функционального обеспечения КИС особое значение имеет решение о единой архитектуре, в которую указанные подсистемы уже встроены. Практическая деятельность в течение многих лет доказательно убеждает, что только трехуровневая архитектура построения информационной системы с применением продуктов класса middleware в состоянии решить комплексную задачу информационной безопасности в описываемом здесь понимании. На наш взгляд, сегодня такой архитектурный подход является наиболее перспективным, обеспечивающим совместное функционирование разнородных подсистем, в том числе с точки зрения защиты информации. Он может явиться основой для построения КИС произвольной функциональной направленности, которая позволяет использовать в процессе ее создания различные сертифицированные средства, в том числе зарубежного производства. Используя технологию интеграции для любого общего, прикладного программного обеспечения и СЗИ, появляется возможность "правильного построения" защищенной информационной системы для решения задач информационной безопасности на произвольной территориально распределенной инфраструктуре заказчика.
В.Андреев
К. ф.-м. н., заместитель директора по науке и развитию ЗАО ИВК
Другие новости по теме:
FAQ: аудит информационной безопасности Комплексная информационная защита персональных данных DIRECTUM BEL аккредетивал Оперативно-аналитический центр при Президенте Рес ... Oracle Identity and Access Management Suite 11g получил допуск от ФСТЭК Рос ... Стандарты Банка России в области информационной безопасности Особенности регулирования персональных данных для банков и страховщиков