Контакты
Подписка
МЕНЮ
Контакты
Подписка

Практика обеспечения информационной безопасности функционально опасного предприятия в составе СКБ

В рубрику "Охранная и охранно-пожарная сигнализация, периметральные системы" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Практика обеспечения информационной безопасности функционально опасного предприятия в составе СКБ

Обеспечение информационной безопасности функционально опасного предприятия рассматривается в статье не только с точки зрения необходимости формирования концепции данного предприятия, но и с точки зрения выбора функциональной структуры и состава подсистемы защиты информации для системы комплексной безопасности (СКБ) предприятия, которая могла бы обеспечить реализацию этой концепции

В.И. Василец
Руководитель службы информационной безопасности ОАО "ЗЭЛТА-ТВ"

Контуры проблемы

Информационная безопасность функционально опасного предприятия (ИБП) является одним из видов безопасности (по содержанию), которая обеспечивается с помощью организационно-технической подсистемы защиты информации (ПЗИ), входящей в состав СКБ предприятия. Информационная безопасность (по определению) -это состояние защищенности информационной среды предприятия от внешних и внутренних угроз, обеспечивающее ее формирование, использование и развитие в интересах как предприятия в отдельности, так и общества в целом.

Под обеспечением ИБП в статье подразумевается взаимосвязанное решение двуединой задачи: с одной стороны, защита информации от ее разрушения и несанкционированного обращения с нею, с другой - защита людей и информационно-управляющих систем от разрушающего воздействия информации.

Информация, по определению Федерального закона от 27.07.2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации" (далее - Закон об информации), -это "сведения (сообщения, данные) независимо от формы их представления".

На практике основное внимание в плане обеспечения ИБП уделяется преимущественно первой из упомянутых в начале составляющих проблем, то есть защите информации, квалифицируемой ее собственником (государством, юридическим лицом, группой физических лиц или отдельным физическим лицом) как объект защиты от внешних и внутренних угроз безопасности. В отдельных случаях к объекту защиты могут быть отнесены также носитель информации или информационные технологии.

Защиту информации Закон об информации (статья 16, пункт I) интерпретирует как "принятие правовых, организационных и технических мер, направленных на: 1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации; 2) соблюдение конфиденциальности информации ограниченного доступа; 3) реализацию права на доступ к информации".

Вторая составляющая проблемы обеспечения ИБП, то есть защита от информации, как правило, игнорируется ввиду отсутствия механизма защиты от информационного насилия над личностью и разрушающего воздействия информации на упомянутые выше системы.

Учитывая изложенное, смысл понятия "обеспечение ИБП" в статье истолковывается как осуществление комплекса организационных и технических мер по обеспечению режима конфиденциальности, предотвращению утечки и защите информации, а также по противодействию потенциальным источникам угроз информационной безопасности.

Утечка информации, подлежащей защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации, определяется по ГОСТ Р 50922-96 как неконтролируемое распространение информации в результате ее разглашения, несанкционированного доступа и получения неопределенным кругом лиц (в частном случае -субъектом с противоправными намерениями). Анализ содержания специальной литературы, посвященной рассматриваемой проблематике, убеждает в том, что:

  • утечка деловой информации, право на обладание, пользование, воспроизводство и распространение которой реализует предприятие, наносит вред стабильности его развития, нарушает намеченные предприятием планы;
  • бесконтрольное распространение информации о результатах осуществляемой предприятием интеллектуальной деятельности, применяемых технологиях и показателях качества создаваемых им изделий приводит к снижению конкурентоспособности выпускаемой предприятием продукции.

Отечественный опыт обеспечения ИБП подтверждает необходимость сосредоточения усилий предприятия на двух главных направлениях: с одной стороны, на формировании системы взглядов (концепции) на проблему обеспечения ИБП, с другой - на выборе функциональной структуры и состава подсистемы защиты информации для СКБ предприятия, обеспечивающей реализацию указанной концепции.

Обязательное условие решения проблемы обеспечения ИБП - централизованное управление, которое предусматривает:

  • координацию действий структурных подразделений предприятия по реализации намеченного плана обеспечения ИБП;
  • сосредоточение совокупности корпоративных ресурсов предприятия на решении задач, предусмотренных указанным планом;
  • контроль за своевременностью и полнотой выполнения плана.

СКБ: концепция, цель и задачи ИБП

Концепция обеспечения ИБП в составе СКБ предприятия определяет потенциальные источники угроз ИБП и меры противодействия им со стороны предприятия и, рассматривая информацию как объект защиты, устанавливает цель и задачи, которые необходимо решить для обеспечения ИБП.

В зависимости от организационно-правовой формы и формы собственности предприятия концепция обеспечения ИБП разрабатывается:

  • для государственных (бюджетных) и муниципальных предприятий - на основе директивных документов организаций, в сфере деятельности которых находятся указанные предприятия;
  • для негосударственных предприятий (акционерных обществ, обществ с ограниченной ответственностью, иных видов хозяйственного товарищества) - на основе представлений их руководителей о месте и роли предприятия в сложившейся системе хозяйственных связей.

Цель и задачи обеспечения ИБП

Обращаясь к принятому в статье определению информационной безопасности предприятия, под целью обеспечения ИБП в составе СКБ следует понимать ограждение предприятия от воздействия потенциальных источников угроз в интересах создания предпосылок для долгосрочного и устойчивого функционирования предприятия.

Перечень задач, подлежащих решению для обеспечения ИБП, можно определить следующим образом:

  • защита законных прав и интересов предприятия юридическими, инновационными и иными методами;
  • мониторинг состояния обстановки (внешнего окружения предприятия) на основе справочных, статистических и иных материалов, а также изучение партнеров и конкурентов предприятия;
  • идентификация потенциальных угроз ИБП и выработка превентивных мер по предупреждению информационных и иных рисков;
  • защита информации ограниченного доступа, а также информации, составляющей коммерческую, служебную, профессиональную и другие виды тайны;
  • охрана материальных носителей, содержащих защищаемую информацию, а также технических средств ее обработки и хранения;
  • профилактика и пресечение возможной противоправной деятельности персонала предприятия в ущерб ИБП;
  • подготовка и проведение акций, улучшающих имидж и повышающих деловую репутацию предприятия в глазах партнеров, органов государственной власти и местного самоуправления.

В зависимости от внешней обстановки и факторов, определяемых спецификой деятельности предприятия, указанный перечень задач может быть расширен или сужен.

Классификационные признаки защищаемой информации

Защищаемая информация (ЗИ) предприятия может быть классифицирована по нескольким признакам: 1 - форма представления; 2 - категория доступа; 3 - порядок распространения. Согласно признаку 1 возможны две формы представления ЗИ: в документированном и недокументированном виде. Первая определяется в Законе об информации (статья 2) как "зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель".

Под недокументированной ЗИ понимается речевая (акустическая) информация, содержащая сведения ограниченного доступа, а также опосредованная информация, источником которой могут быть технические демаскирующие признаки (ТДП) производственной деятельности предприятия. Указанные ТДП способны раскрывать с той или иной степенью полноты охраняемые параметры продукции, выпускаемой предприятием, или специфику применяемых им приоритетных технологий, не обеспеченных юридической защитой. Согласно признаку 2 защищаемая информация подразделяется на информацию, относящуюся к государственной тайне, и информацию, составляющую коммерческую, служебную и иные виды тайны, условия отнесения сведений к которым устанавливаются федеральными законами. Третий классификационный признак ЗИ (признак 3), касающийся порядка ее распространения, непосредственно следует из правовых норм Закона об информации. Согласно статье 5 (пункты 2 и 4) указанного закона, ЗИ может составлять "информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях" или "информацию, распространение которой в Российской Федерации ограничивается или запрещается".

Формирование конкретного перечня информации, относимой к объекту защиты, производится в общем случае с учетом как формального статуса информации, циркулирующей на предприятии, так и ее значимости (ценности) для предприятия. Для документированной информации, относимой к государственной тайне, это достигается путем присвоения документации соответствующего грифа секретности из числа установленных действующим законодательством. Оценка значимости информации, составляющей коммерческую и иные виды тайны, производится ее обладателем, исходя из его представлений о тяжести последствий за нарушение прав на эту информацию. Срок, в течение которого информация подлежит защите, определяется расчетными методами на основе дифференцированного подхода к учету ее конфиденциальности, ценности и корпоративных интересов обладателя информации.

Потенциальные источники угроз ИБП

В общем случае к потенциальным источникам угроз ИБП могут быть отнесены антропогенные, техногенные и стихийные носители угроз безопасности. Первая из указанных разновидностей носителей угроз объединяет субъектов, действия которых могут быть квалифицированы как противоправная деятельность в ущерб предприятию. Во вторую группу входят носители угроз, обусловленных спецификой производственной деятельности предприятия. Третья группа объединяет стихийные бедствия и обстоятельства, которые нельзя предусмотреть или предотвратить при современном уровне человеческих знаний и возможностей. Перечень потенциальных угроз ИБП приведен в таблице. Под каналами утечки видовой и сигнальной ЗИ понимается физический путь от соответствующего источника ЗИ до субъекта с противоправными намерениями (применяемым им техническим средством разведки), по которому может быть осуществлено несанкционированное получение ЗИ как в явном (оперативный канал утечки), так и в опосредованном (технический канал утечки) виде.

Под видовой ЗИ подразумеваются текстовые и штриховые документы, а также облик (внешний вид) изделий. Сигнальная ЗИ представляет собой ТДП различной физической природы, присущие изделиям и технологическим процессам их производства.

Существенно, что каждый из носителей угроз может стать реально опасным для предприятия только при стечении двух обстоятельств: вероятность реализации угрозы вполне реальна, а потенциал носителя угрозы, предопределяющий степень тяжести последствий ее реализации, является значимым. В частном случае, если указанные переменные являются количественными величинами, метрическая операция их умножения позволяет получить локальную оценку риска нарушения ИБП.

Исходными данными для оценки негативных последствий реализации угроз ИБП являются перечень идентифицированных источников угроз (определяется по результатам вербального анализа потенциально опасных угроз) и шкала для оценки параметров риска (выбирается из практических соображений).

Меры противодействия потенциальным источникам угроз ИБП

По современным представлениям противодействие потенциальным источникам угроз ИБП заключается в осуществлении комплекса правовых, организационных, технических, программно-аппаратных и иных мер по обеспечению режима конфиденциальности и технической защите информации, относимой к объекту защиты предприятия. Правовые меры защиты информации установлены Законом об информации, а также законодательными актами, действие которых распространяется на информацию ограниченного доступа.

Организационные меры защиты информации устанавливаются соответствующими организационно-распорядительными и нормативными документами уполномоченных органов государственной власти и управления, а также дополняющими их, применительно к специфике конкретного предприятия, распорядительными актами руководства предприятия. Указанные меры предусматривают порядок выдачи разрешений на доступ к ЗИ, регламентируют режим конфиденциальности при обращении с ЗИ, конкретизируют требования к защите информации на рабочих местах персонала предприятия.

Технические и инженерно-технические меры защиты информации, в том числе отражаемой ТДП изделий и технологических процессов, реализуются в виде специальных конструкторских (проектных) решений по блокированию потенциальных каналов утечки информации, а также в виде аппаратных технических средств, сопрягаемых с телекоммуникационной аппаратурой по стандартному интерфейсу (непосредственно встраиваемых в аппаратуру) или автономных устройств и систем (например, защищенных Интернет-технологий, систем радиационно-физической защиты, биометрических средств защиты информации). Основанием для применения на предприятии технических и инженерно-технических мер защиты информации могут быть только результаты профессионально проведенного комплексного обследования информационной безопасности предприятия.

Программно-аппаратные меры защиты информации представляют собой программное и аппаратное обеспечение, специально предназначенное для выполнения функций защиты информации.

Функциональная структура и облик подсистемы защиты информации

Подсистема защиты информации, входящая в состав СКБ предприятия, - это организационно-техническая структура, состоящая из специализированного подразделения по реализации мер противодействия источникам угроз ИБП и совокупности технических устройств (средств), предназначенных для защиты от утечки речевой (акустической), документированной (видовой) и опосредованной (сигнальной) информации, относимой к объекту защиты.

Учитывая специфику предприятия, определяемую структурой и видом информационного ресурса, ценностью информации, особенностями ее использования в процессе производственной деятельности и т.п., ПЗИ может состоять из множества относительно независимых технических устройств (средств), решающих свои специфические задачи.

Варианты функциональной структуры ПЗИ и ее оптимизация

В настоящее время находят применение два основных вида функциональной структуры ПЗИ: автономная структура (в выделенных помещениях предприятия) и сетевая структура (на предприятиях, имеющих значительное количество удаленных друг от друга выделенных помещений или производственных участков). По мнению разработчиков современных систем защиты информации, будущее функциональной структуры ПЗИ - за технологиями построения автоматизированных распределенных систем и решениями на их основе.

Приемлемый для предприятия вариант функциональной структуры ПЗИ может быть подобран с помощью оптимизационной модели, позволяющей исследовать взаимосвязь между ресурсами (затратами) на организацию защиты информации и эффективностью ее защиты. Возможны два подхода к использованию указанной модели: 1) обеспечить требуемый уровень защиты информации при минимальных затратах на ее осуществление - прямая постановка оптимизационной задачи; 2) обеспечить максимальный уровень защиты информации при ограниченных (заданных) ресурсах - обратная постановка оптимизационной задачи. Критерием эффективности решения задачи в случае прямой постановки является величина затрат на защиту информации, а обратной - максимальный уровень защищенности информации, обеспечиваемый анализируемой структурой. Комплексная оценка альтернативного варианта функциональной структуры подсистемы защиты информации может быть получена по результатам проведения технико-экономического анализа принятых к рассмотрению структур.

Сертификация и оценка качества технических устройств (средств) защиты информации

Эффективность защиты информации в условиях предприятия во многом предопределяется выбором технических устройств (средств), предназначенных для комплектования ПЗИ. Указанные устройства (средства) должны удовлетворять, согласно Федеральному закону от 27.12.2002 г. № 184-ФЗ "О техническом регулировании", двум группам требований:

  • во-первых, требованиям к безопасности по декларированным в законе видам безопасности (устанавливаются в соответствующих технических регламентах на конкретные виды устройств (средств);
  • во-вторых, требованиям по стойкости к внешним воздействиям, условиям и режимам эксплуатации, надежности, другим показателям качества (устанавливаются стандартами, техническими условиями или договорами).

Требования к безопасности технических устройств (средств) являются обязательными; все остальные требования к их качеству реализуются разработчиком и производителем на добровольной основе. Подтверждение соответствия технических устройств (средств) требованиям технических регламентов (иных нормативно-технических документов) производится по результатам сертификации устройств (средств) в порядке, установленном упомянутым выше законом. Документированным подтверждением положительных результатов сертификации является сертификат соответствия (при обязательном подтверждении соответствия) или знак соответствия системы добровольной сертификации (во всех остальных случаях).

Метрологическое обеспечение ПЗИ

Метрологическое обеспечение ПЗИ на стадии формирования ее облика предусматривает:

  • выбор контролируемых параметров (КП), характеризующих техническое состояние ПЗИ в целом или входящих в ее состав технических устройств (средств) защиты информации (далее - объекты контроля);
  • выбор технических средств и методов контроля для решения задач контроля и измерения КП объектов контроля.

Перечень КП технических устройств (средств) защиты информации определяется с учетом специфики объектов контроля, а также пригодности КП для отображения ими информации, на основании которой определяется соответствие состояния объектов контроля предъявляемым к ним требованиям и принимается решение о выполнении технического обслуживания или ремонта (замены) указанных объектов.

При выборе технических средств для контроля состояния устройств (средств) защиты информации предпочтение отдается автоматизированным средствам контроля (с частичным участием оператора), обеспечивающим проверку объектов контроля на функционирование (без количественной оценки) и проверку их работоспособности в заданных режимах работы (с измерением КП). Что касается совокупности методов контроля, то они должны базироваться на выборе соответствующего показателя эффек-тивности контроля, оценке значения этого показателя для типовых видов контроля и поиске глобального экстремума функции эффективности (то есть совместной оптимизации выбора средств контроля и последовательности их применения) или локальных экстремумов, обусловленных выбранной целевой функцией.

В зависимости от степени декомпозиции ПЗИ исходный перечень КП может быть уточнен на последующих стадиях разработки ПЗИ. В равной степени это относится также к выбору показателя достоверности результатов контроля и плана контроля работоспособного состояния технических устройств (средств) защиты информации.

Выводы

Информационная безопасность функционально опасного предприятия, обеспечиваемая подсистемой защиты информации в составе СКБ, достигается на основе осуществления следующего комплекса мероприятий:

  • формирование организационно-технической структуры ИБП, ориентированной на проведение правовых, организационных, технических и программно аппаратных мер защиты информации и прав на нее;
  • ориентация на предпочтительное использование современных методических подходов и технологических решений для защиты информации;
  • централизованная координация мер по совершенствованию структуры ИБП и последовательное сосредоточение усилий на их решении;
  • соблюдение принципов законности, разумной достаточности и адаптивности к изменениям обстановки.

Игнорирование по тем или иным конъюнктурным соображениям любого из указанных положений приводит к возрастанию вероятности того, что предприятие утратит чувство перспективы и не достигнет желаемых результатов в стабильности своего развития.

Опубликовано: Журнал "Системы безопасности" #6, 2006
Посещений: 19540

  Автор

Василец В. И.

Василец В. И.

Руководитель службы информационной безопасности ОАО "ЗЭЛТА-ТВ"

Всего статей:  5

В рубрику "Охранная и охранно-пожарная сигнализация, периметральные системы" | К списку рубрик  |  К списку авторов  |  К списку публикаций