Progress28.ru

IT Новости
1 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Контроль защиты информации

Контроль состояния ТКЗИ

17.1. Основные задачи контроля состояния ТКЗИ

В «Планирование работ по ТКЗИ» был рассмотрен цикл эффективного управления процессом — PDCA, одним из составляющих которого является контроль (C — англ. Check ). Контроль является механизмом, позволяющим собрать информацию, которая в дальнейшем может быть использована для улучшения процесса, в том числе процесса обеспечения информационной безопасности.

Эффективность защиты информации — степень соответствия результатов защиты информации цели защиты информации.

Контроль состояния защиты информации — проверка соответствия организации и эффективности защиты информации установленным требованиям и/или нормам в области защиты информации [127].

В соответствии с СТР-К методическое руководство и контроль за эффективностью предусмотренных мер защиты информации возлагается на руководителей подразделений по защите информации организации.

Контроль состояния защиты информации должен осуществляться не реже одного раза в год с целью своевременного выявления и предотвращения утечки информации по техническим каналам, исключения или существенного затруднения НСД и предотвращения специальных программно-технических воздействий, вызывающих нарушение целостности информации или работоспособность технических средств в учреждении (на предприятии).

Контроль осуществляется службой безопасности организации, а также отраслевыми и федеральными органами контроля (для информации, режим защиты которой определяет государство) и заключается в оценке:

  • соблюдения нормативных и методических документов ФСТЭК России;
  • работоспособности применяемых средств защиты информации в соответствии с их эксплуатационной документацией;
  • знаний и выполнения персоналом своих функциональных обязанностей в части защиты информации.

Для контроля может быть привлечена внешняя организация, имеющая лицензию ФСТЭК на осуществление деятельности по технической защите конфиденциальной информации.

Для объектов информатизации, требующих обязательной аттестации, контроль является частью аттестационных испытаний.

17.2. Классификация видов контроля состояния ТКЗИ. Организационный и технический контроль состояния ТЗКИ

Контроль состояния ТЗИ включает:

  • контроль организации ТЗИ;
  • контроль эффективности ТЗИ.

Контроль организации защиты информации — проверка соответствия состояния организации, наличия и содержания документов требованиям правовых, организационно-распорядительных и нормативных документов по защите информации.

Контроль эффективности защиты информации — проверка соответствия эффективности мероприятий по защите информации установленным требованиям или нормам эффективности защиты информации.

В ГОСТ Р Р 50922-96 определены следующие виды контроля эффективности защиты информации:

Организационный контроль эффективности защиты информации — проверка полноты и обоснованности мероприятий по защите информации требованиям нормативных документов по защите информации.

Технический контроль эффективности защиты информации — контроль эффективности защиты информации, проводимой с использованием средств контроля.

Средство контроля эффективности защиты информации — техническое, программное средство, вещество и/или материал, предназначенные или используемые для контроля эффективности защиты информации[127].

Под методом контроля понимают порядок и правила применения расчетных и измерительных операций при решении задач контроля эффективности защиты.

В зависимости от вида выполняемых операций методы технического контроля делятся на:

  • инструментальные, когда контролируемые показатели определяются непосредственно по результатам измерения контрольно-измерительной аппаратурой;
  • инструментально-расчетные, при которых контролируемые показатели определяются частично расчетным путем, частично измерением значений некоторых параметров физических полей аппаратными средствами;
  • расчетные, при которых контролируемые показатели рассчитываются по методикам, содержащимся в руководящей литературе.

17.3. Система документов по контролю состояния ТЗКИ

Аттестационный технический контроль защиты информации от утечки по ТКУИ осуществляется в соответствии со специально разработанными программами и методиками контроля ФСТЭК. Существует «Сборник временных методик оценки защищенности конфиденциальной информации от утечки по техническим каналам», он носит гриф «Для Служебного Пользования». В его состав входят следующие документы:

  1. Временная методика оценки защищенности основных технических средств и систем, предназначенных для обработки, хранения и (или) передачи по линиям связи конфиденциальной информации. Утверждена первым заместителем председателя Гостехкомиссии России 08.11.2001.
  2. Временная методика оценки защищённости конфиденциальной информации, обрабатываемой основными техническими средствами и системами, от утечки за счёт наводок на вспомогательные технические средства и системы и их коммуникации. Утверждена первым заместителем председателя Гостехкомиссии России 08.11.2001.
  3. Временная методика оценки защищенности помещений от утечки речевой конфиденциальной информации по акустическому и виброакустическому каналам. Утверждена первым заместителем председателя Гостехкомиссии России 08.11.2001.
  4. Временная методика оценки помещений от утечки речевой конфиденциальной информации по каналам электроакустических преобразований во вспомогательных технических средствах и системах. Утверждена первым заместителем председателя Гостехкомиссии России 08.11.2001.

Следует отметить, что ни СТР-К, ни приказ ФСТЭК России №21 не устанавливают форму оценки эффективности, формы и содержание документов, разрабатываемых в результате оценки. Таким образом, решение по данному вопросу возлагается на руководителя организации и (или) по соглашению с лицом, привлекаемым для проведения оценки эффективности реализованных мер по обеспечению безопасности информации.

В информационном сообщении от 15 июля 2013 г. № 240/22/2637 ФСТЭК говорит о том, что оценка эффективности реализованных мер может быть проведена в рамках работ по аттестации информационной системы персональных данных в соответствии с национальным стандартом ГОСТ РО 0043-003-2012 » Защита информации . Аттестация объектов информатизации. Общие положения». Если же речь идет о ГИС, в которых обрабатываются персональные данные , оценка эффективности принимаемых мер по обеспечению безопасности персональных данных проводится в рамках обязательной аттестации государственной информационной системы по требованиям защиты информации в соответствии с Требованиями, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. № 17, национальными стандартами ГОСТ РО 0043-003-2012 и ГОСТ РО 0043-004-2013 » Защита информации . Аттестация объектов информатизации. Программа и методики аттестационных испытаний».

Читать еще:  Очистка компьютера от вирусов и мусора

ГОСТ РО 0043-003-2012 » Аттестация объектов информатизации. Общие положения» и ГОСТ РО 0043-004-2013 » Защита информации . Аттестация объектов информатизации. Программа и методики аттестационных испытаний» носят гриф «Для Служебного Пользования». Получить их можно, например, в ФГУП «Стандартинформ» или ФГУП «Рособоронстандарт». При этом необходимо иметь нотариально заверенную копию лицензии ФСТЭК на ТКЗИ.

17.4. Вопросы, подлежащие проверке при контроле состояния ТКЗИ в организации

Периодический контроль эффективности защиты информации предусматривает:

Контроль защищенности

Контроль защищенности

Контроль защищенности

С.А. ЯСЬКО
к.т.н., начальник отдела ООО «Газинформсервис»

После создания системы защиты информации всегда встает два вопроса:

1.Насколько эффективно работает система защиты информации и какова реальная защищенность АС?

2.Можно ли считать построенную систему защиты комплексной?

Для ответа на первый вопрос служат системы контроля защищенности и средства контроля эффективности защиты информации. До ввода в действие ГОСТ Р 51583-2000 они не рассматривались как обязательные составляющие систем защиты информации. Примечательно, что необходимость их использования обусловлена одной причиной — высокой динамикой развития современных информационных технологий вообще и каждой конкретной АС в частности.

Действительно, постоянно появляются новые решения в области информационных технологий, обнаруживаются новые уязвимости программных и аппаратных платформ, появляются новые вирусы и т.д. В современных АС ежедневно возникают новые задачи, вынуждающие создавать новые программные, аппаратные и интеллектуальные ресурсы, отвечающие требованиям времени.

По данным журнала Cnews, динамика обнаруженных уязвимостей в 1995-2005 гг. имеет вид, представленный на рис. 1.

В такой ситуации невозможно говорить об организации статической системы защиты информации «раз и навсегда». Возможность гибкого реагирования на изменяющуюся среду функционирования реализуется в современных условиях за счет использования систем обнаружения вторжений и сканеров безопасности.

Вообще на основе анализа опыта работы в этой области развитие методов защиты информации можно условно разбить на три этапа.

1этап. Защита «вручную»:

  • использование встроенных средств защиты информации ОС, СУБД;
  • устранение уязвимостей путем корректной настройки ПО;
  • ручная установка «заплаток» на используемое ПО.

2этап. Автоматизированное обнаружение уязвимостей:

  • использование внешних средств защиты информации;
  • автоматизированное обнаружение уязвимостей с использованием сканеров различного типа;
  • ручная установка «заплаток» на используемое ПО.

3этап. Динамическая защита:

  • комплекс средств защиты информации;
  • автоматическое обнаружение или прогнозирование уязвимостей;
  • автоматические блокирование атак.

В настоящее время методы защиты информации фактически находятся в самом начале третьего этапа развития, а выявление уязвимостей и оценка рисков проводится с использованием систем анализа защищенности (сканеров безопасности различных типов).

Таким образом, основные задачи, для решения которых используются системы контроля защищенности, — это автоматическое тестирование и диагностика АС в целом и отдельных ее элементов с целью оценки соответствия существующего уровня защищенности АС требованиям политики безопасности.

Одними из основных средств контроля защищенности являются сканеры безопасности и системы обнаружения вторжений.

Основные задачи, для решения которых используются сканеры безопасности, — это тестирование и диагностика корпоративных информационных систем в целом и отдельных ее элементов с целью выявления уязвимостей и потенциальных угроз безопасности ресурсов, оценивание рисков, выдача рекомендаций по устранению обнаруженных уязвимостей и нейтрализации угроз, представление соответствующих отчетов для специалистов различного уровня.

Для решения этих задач сканеры безопасности осуществляют:

  • контроль состояния защищенности АС;
  • тестирование и диагностику компонентов АС на различных уровнях архитектуры (как правило, это уровни сетевых сервисов, системного ПО, прикладного ПО, СУБД) путем сравнения ее характеристик (настроек) с некоторыми эталонами;
  • представление результатов проверки с рекомендациями по устранению выявленных уязвимостей и нейтрализации имеющихся угроз;
  • формирование отчетов, характеризующих общие уровни защищенности (например, перед тестированием и после устранения выявленных недостатков или отчет по обнаруженным уязвимостям, появившимся с последнего сканирования);
  • регулярное обновление базы признаков уязвимостей (в том числе и в автоматическом режиме).

В качестве одной из наиболее ценных функциональных возможностей сканеров является обнаружение ими установленных на рабочих местах пользователей модемов, которые используются для несанкционированного выхода в сеть Интернет.

Системы обнаружения вторжений

Основные задачи, для решения которых используются системы обнаружения вторжений (СОВ), — это обнаружение атак в реальном масштабе времени, их блокировка, извещение должностных лиц, устранение последствий нанесенного ущерба и принятие мер, исключающих компьютерные инциденты в будущем.

Для решения этих задач современные СОВ осуществляют:

  • обнаружение информационных вторжений и злоупотреблений в сети;
  • реагирование на вторжение (реконфигурация средств защиты, сбор доказательств враждебной деятельности, идентификация нарушителя);
  • предоставление отчетов о результатах работы.

Интегральная эффективность СОВ определяется прежде всего их способностью в реальном масштабе времени обнаруживать и соответствующим образом реагировать на процессы, которые могут нанести существенный ущерб защищаемой корпоративной информационной системе.

В качестве наиболее интересного примера применения СОВ можно привести реализацию с ее помощью технологии «виртуальных заплаток» (оперативное устранение выявленных уязвимостей).

По данным исследования компании Forrester Research (февраль 2006 г.), которая проанализировала средние «дни риска» (время от публичного сообщения об уязвимости — предполагается, что атаки на нее начнутся только после этого, -до выпуска «заплатки» поставщиком ПО, рис. 3), время неизбежного риска до того, как администратор сможет получить «заплатку» и решить проблему, для разных операционных систем составляет от 10 дней до 1-2 месяцев.

Читать еще:  Коллаж день защитника отечества

По опыту работы среднее время установки «заплатки» составляет от 30 минут до 3 часов на один сервер и 25-30 минут на рабочую станцию. Для большой сети получаются огромные трудозатраты. Но перед тем, как принять решение об установке этой «заплатки», нужно еще провести тестирование на ее совместимость с другим программным обеспечением, чтобы не вызвать остановку всей АС. Таким образом, время между обнаружением уязвимости и реальной установкой «заплатки» может увеличиться еще в несколько раз!

В этом случае и приходит на помощь технология «виртуальных заплаток» (рис. 3). Процесс работы этой технологии выглядит следующим образом.

Эксперты компании-разработчика системы обнаружения вторжений постоянно получают информацию и занимаются поиском новых уязвимостей и атак, а также методов защиты от них. Еще до официального опубликования информации об обнаруженных уязвимостях они готовят специальные модули обновления. Эти обновления распределяются по пользователям систем обнаружения и предотвращения вторжений.

После получения таких обновлений с помощью сканеров безопасности проводится сканирование всех защищаемых ресурсов. В случае обнаружения уязвимости на каком-либо из узлов сети (будь то сервер, рабочая станция или сетевое устройство) выдается управляющее воздействие системам обнаружения и предотвращения атак, установленным на периметре сети или на критичных серверах, блокировать соответствующую сетевую активность. Таким образом предотвращается использование выявленной уязвимости даже в случае отсутствия соответствующей «заплатки». Уже после выпуска производителем требующейся «заплатки» администратор может в спокойной обстановке реализовать процесс ее распространения и установки. Даже если эта «заплатка» оказывается каким-либо образом несовместима с другим используемым программным обеспечением, нарушитель не может воспользоваться уязвимостью, так как СОВ автоматически предотвращает эту атаку и информирует администратора о данном событии.

Таким образом, получен ответ на вопрос, можно ли считать систему защиты комплексной без использования полноценных средств контроля защищенности — он очевиден: нет!

Комментарий эксперта

А.В. Алексеев
начальник управления НИОКР ЗАО «НИЕНШАНЦ»

ТЕМА, поднятая в статье С.А. Ясько, как никогда актуальна. Большое разнообразие имеющихся на рынке СЗИ ставит перед проектировщиками комплексных систем защиты информации (КСЗИ), компаниями-интеграторами и перед самими заказчиками вопрос: какова реальная защищенность разрабатываемых систем? Что такое «хорошо» и что такое «плохо» при обеспечении информационной безопасности автоматизированных систем? Очевидно, что оценка эффективности КСЗИ должна быть многокритериальной, но подтвердить ее расчетными выражениями, к сожалению, далеко не простая задача. И главная причина здесь заключается в участии в процессе информационного противоборства нарушителя-человека, чьи действия не могут быть описаны в рамках теории вероятностей. Именно поэтому система «защиты гибкого реагирования», которую предлагает автор, должна иметь «подсистему контроля защищенности». В сочетании с «подсистемой антивирусного контроля» и подобными они должны образовывать в целом подсистему мониторинга-анализа-контроля (а в перспективе — и прогнозирования) эффективности функционирования КСЗИ.

Контроль функционирования КСЗИ на предприятии

Контроль в общем виде является одной из основных функций управления, вызванной необходимостью обратной связи между субъектом и объектами управления, для достижения поставленной цели.

Процесс контроля можно разбить на этапы:

  1. формулирование цели
  2. формирование стандартов
  3. разработка критериев оценки
  4. разработка систем показателей
  5. проведение процедуры сравнительного анализа
  6. обобщение полученной информации и корректировка деятельности.

Основные требования к контролю:

• стандартизация; • простота; • базирование на реальных целях и объективной информации;

• доступность; • гибкость; • комплексность; • своевременность; • экономичность.

Цели, виды, задачи контроля

Общие цели контроля:

  • уменьшение отклонений от норм и стандартов;
  • уменьшение неопределенной деятельности &bbll; предотвращение кризиса.

    Современные виды контроля:

  • мониторинг – непрерывное поступление информации;
  • контроллинг – оценка экономичности;
  • бенчмаркинг (управленческая процедура, в практику работы организации внедрять технологии, стандарты и методы деятельности лучших организаций – аналогов).

    Контроль функционирования КСЗИ можно разделить на 2 вида – внешний и внутренний.

    Внешний контроль функц. КСЗИ осуществляется гос. органами, или аудиторскими организациями.

    Внутренний контроль осуществляется СБ предприятия и подразделением ЗИ предприятия.

    Целью контроля является установление степени соответствия принимаемых мер по ЗИ требованиям законодательных и иных нормативных правовых актов, стандартов, норм, правил и инструкций, выявление возможных каналов утечки и НСД, рекомендаций по закрытию этих каналов.

    Основные задачи контроля:

  • оценка деятельности органов управления по методическому руководству и координации работ в области ЗИ в подчиненных подразделениях;
  • выявление каналов утечки информации об объектах защиты и НСД , анализ и оценка возможностей злоумышленников по ее получению;
  • выявление работ с ЗИ, выполняемых с нарушением установленных норм и требований по ЗИ, и пресечение выявленных нарушений;
  • анализ причин нарушений и недостатков в организации и обеспечении защиты информации, выработка рекомендаций по их устранению;
  • анализ состояния ЗИ в подразделениях, информирование руководства, предложения по совершенствованию ЗИ;
  • предупреждение нарушений по ЗИ и ее носителями.

    Направлениями контроля состояния ЗИ являются:

  • контроль деятельности и состояния работ по противодействию ИТР и технической защите;
  • контроль с применением технических средств эффективности мер защиты объектов, информационных &bbll; систем, средств и систем связи и управления на всех стадиях их жизненного цикла;
  • контроль эффективности защиты АС обработки информации от НСД, от специальных воздействий на средства ее обработки с целью разрушения, уничтожения, искажения и блокирования инфы;
  • контроль эффективности мероприятий по ЗИ в системах связи, автоматизированного управления;
  • контроль за соблюдением установленного порядка передачи служебных сообщений должностными лицами D uis non lectus sit amet est imperdiet cursus elementum vitae eros. Cras quis odio in risus euismod suscipit. Fusce viverra ligula vel justo bibendum semper. Nulla facilisi. Donec interdum, enim in dignissim lacinia, lectus nisl viverra lorem, ac pulvinar nunc ante.

    Читать еще:  Защита информационных ресурсов от несанкционированного доступа

    Elsewhere

    Pellentesque consectetur lectus quis enim mollis ut convallis urna malesuada. Sed tincidunt interdum sapien vel gravida. Nulla a tellus lectus.

    Виды и методы контроля состояния ТЗИ

    Нормативно-методическое обеспечение контроля

    Контроль состояния ТЗИ включает:

    — контроль организации ТЗИ;

    — контроль эффективности ТЗИ.

    Контроль организации ТЗИ заключается в проверке наличия подразделений ТЗИ, включения задач ТЗИ в положения о подразделениях и функциональные обязанности должностных лиц, наличия и содержания внутренних организационно-распорядительных документов (приказов, руководств, положений, инструкций) на соответствие требованиям нормативных правовых и нормативно-методических документов в области ТЗИ, порядка и своевременности их доведения до исполнителей и подведомственных организаций, наличия и полноты планов работ по ТЗИ и контролю эффективности мер защиты, а также состояния их выполнения.

    Контроль эффективности ТЗИ заключается в проверке соответствия качественных и количественных показателей эффективности мероприятий по ТЗИ требованиям или нормам эффективности ТЗИ.

    Контроль эффективности ТЗИ включает:

    — организационный контроль эффективности ТЗИ – проверка соответствия полноты и обоснованности мероприятий по ТЗИ требованиям руководящих и нормативно-методических документов в области ТЗИ;

    технический контроль эффективности ТЗИ – контроль эффективности ТЗИ, проводимый с использованием технических средств контроля.

    В зависимости от целей и задач контроля, а также особенностей проверяемых объектов технический контроль эффективности ТЗИ может быть:

    комплексным, когда проводится проверка организации и состояния ТЗИ от утечки по всем возможным техническим каналам, характерным для контролируемого технического средства (объекта информатизации), от несанкционированного доступа к информации или специальных воздействий на нее;

    целевым, когда проверка проводится по одному из возможных технических каналов утечки информации, характерному для контролируемого технического средства, которое имеет защищаемые параметры или в котором циркулирует защищаемая информация;

    выборочным, когда из всего состава технических средств на объекте выбираются те из них, которые по результатам предварительной оценки с наибольшей вероятностью имеют технические каналы утечки защищаемой информации.

    В зависимости от конкретных условий проведения технического контроля контроль эффективности может осуществляться следующими методами:

    инструментальным методом, когда в ходе контроля используются технические измерительные средства и моделируются реальные условия работы технического средства разведки;

    инструментально-расчетным методом, когда измерения проводятся в непосредственной близости от объекта контроля, а затем результаты измерений пересчитываются к месту (условиям) предполагаемого места нахождения технического средства разведки;

    расчетным методом, когда эффективность ТЗИ оценивается путем расчета, исходя из реальных условий размещения и возможностей технического средства разведки и известных характеристик объекта контроля.

    Существо мероприятий технического контроля состоит в осуществлении инструментальных (инструментально-расчетных) проверок эффективности защиты информации от утечки по техническим каналам, возникающим за счет:

    побочных электромагнитных излучений (ПЭМИ) при работе основных технических средств и систем (ОТСС) объекта информатизации;

    паразитной генерации отдельных элементов ОТСС, а также модуляции информационным сигналом излучений различных генераторов, входящих в состав объекта вспомогательных технических средств и систем (ВТСС);

    наводок информационного сигнала на соединительных линиях ВТСС, расположенных в зоне действия ПЭМИ ОТСС;

    неравномерности потребления тока в сети электропитания ОТСС;

    линейного высокочастотного навязывания и электроакустических преобразований как способов перехвата речевой информации через ВТСС, установленные в выделенных помещениях.

    Инструментальный контроль осуществляется по типовым программам и типовым методикам, утвержденным органами по аттестации и сертификации. Вся измерительная аппаратура аттестуется метрологическими органами в установленном порядке.

    Основными нормативно-методическими документами, регламентирующими деятельность по техническому контролю рассматриваемых объектов, являются:

    Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К). Рекомендованы для временного применения. Решение Коллегии Гостехкомиссии России №7.2 от 2.03.2001 г.;

    ГОСТ 29339-92. Информационная технология. Защита информации от утечки за счет побочных электромагнитных излучений и наводок при ее обработке средствами вычислительной техники. Общие технические требования;

    Нормы эффективности защиты автоматизированных систем управления и электронно-вычислительной техники от утечки за счет побочных электромагнитных излучений и наводок. Решение Гостехкомиссии СССР от 26.09.77 г.№13;

    Нормы эффективности защиты средств передачи речевой информации от утечки за счет побочных электромагнитных излучений и наводок. Решение Гостехкомиссии СССР от 26.09.77 г. №13;

    Нормы эффективности защиты технических средств передачи телеграфной и телекодовой информации от утечки за счет побочных электромагнитных излучений и наводок. Решение Гостехкомиссии СССР от 26.09.77 г. №13;

    Сборник норм защиты информации от утечки за счет побочных электромагнитных излучений и наводок. Гостехкомиссия России, 1998 г.;

    Сборник методических документов по контролю защищаемой информации, обрабатываемой средствами вычислительной техники, от утечки за счет электромагнитных излучений и наводок (ПЭМИН). Утв. приказом Гостехкомиссии России от 19.11.02 г. №391.

    Акт проверки состояния ТЗИ должен содержать следующие разделы:

    1. Общие сведения об объекте контроля;

    2. Общие вопросы организации ТЗИ на объекте;

    3. Организация и состояние защиты объектов информатизации;

    4. Полнота и качество проведения лицензиатами ФСТЭК России работ по защите и аттестации объектов информатизации;

  • Ссылка на основную публикацию
    Adblock
    detector