метод указ до самост работы
TRANSCRIPT
МІНІСТЕРСТВО ОСВІТИ УКРАЇНИ
ХАРКІВСЬКИЙ НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ РАДІОЕЛЕКТРОНІКИ
МЕТОДИЧНІ ВКАЗІВКИдо самостійної роботи з дисципліни
"СЕРТИФІКАЦІЯ І ЛІЦЕНЗУВАННЯ ІНФОРМАЦІЙНИХ СИСТЕМ "
Харків 2010
МІНІСТЕРСТВО ОСВІТИ УКРАЇНИ
ХАРКІВСЬКИЙ НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ РАДІОЕЛЕКТРОНІКИ
МЕТОДИЧНІ ВКАЗІВКИдо самостійної роботи з дисципліни
"СЕРТИФІКАЦІЯ І ЛІЦЕНЗУВАННЯ ІНФОРМАЦІЙНИХ СИСТЕМ"
для студентів усіх форм навчання напряму "Управління інформаційною безпекою"
ЗАТВЕРДЖЕНО кафедрою "ТКС"протокол № від . .2010р.
Харків 2010
2
Методичні вказівки до самостійної роботи з дисципліни "Сертифікація і ліцензування інформаційних систем" для студентів усіх форм навчання напряму "Управління інформаційною безпекою" / Упоряд.: Л.О. Токар - Харків: ХНУРЕ, 2010. – 79 c.
Упорядники: Л.О. Токар
3
ЗМІСТ
Вступ 51 Мета і задачі дисципліни 62 Робоча програма з дисципліни 73 Характеристика підручників і навчальних посібників 114 Методичні вказівки з вивчення дисципліни 114.1 Деякі аспекти правового статусу інформації з обмеженим доступом 114.2 Аудит безпеки інформаційних систем 154.3 Інформаційна безпека україни 334.4 Міжмережеві екрани, як засіб від нсд із загальнодоступних мереж 414.5 Ліцензування і сертифікація в області технічного захисту інформації в україні 484.6 Як побудувати і сертифікувати систему управління інформаційною безпекою? 534.7 Закон україни "про захист інформації в інформаційно-телекомунікаційних системах" 594.8 Життєвий цикл інформаційної системи 634.9 Порядок створення комплексної системи захисту інформації в інформаційно-телекомунікаційних системах 675 Рекомендації 3 використання обчислювальної техніки 786 Основні рекомендації 3 організації самостійної роботи 78
4
ВСТУП
Інструктивно-методичні матеріали адресовані студентам, які самостійно вивчають дисципліну "Ліцензування і сертифікація інформаційних систем" згідно з робочою програмою спеціальності: 8.170103 - !Управління інформаційною безпекою".
B цілому дисципліна "Ліцензування і сертифікація інформаційних систем" є фундаментальною дисципліною, характерними особливостями якої системний підхід, залучення наукових творчих колективів фахівців різноманітних прикладних галузей до методів дослідження сучасних складних інформаційних систем.
У дисципліні розглядаються основи проектування інформаційних систем, дослідження інформаційних процесів та їх захист, питання проектування систем захисту інформаційних ресурсів, атестування, сертифікації елементів систем та ліцензування ІС. Особливу увагу приділено вивченню вимог нормативних документів з питань технічного захисту інформації.
Враховуючи перехід на модульний метод вивчення дисциплін, коли матеріал окремої дисципліни засвоюється окремими блоками, і пов'язану з цим зміну у робочих програмах, в яких обсяги аудиторних і позааудиторних занять стають паритетними, а самостійне навчання стає все вагомішим, з урахуванням великого обсягу даного курсу, з'явилась необхідність розробки методичних матеріалів до самостійного вивчення окремих розділів.
Відповідно до цього, дані методичні вказівки присвячені самостійному вивченню окремих розділів дисципліни "Ліцензування і сертифікація інформаційних систем", у повному обсязі яких, за вказаних вище причин, у межах аудиторного часу вивчати немає можливості.
Дисципліна "Ліцензування і сертифікація інформаційних систем" базується на знанні дисциплін : "Основи теорії систем", "Правове забезпечення інформаційної безпеки", "Основи управління інформаційною безпекою", "Захист служб телекомунікаційних систем", "Методи і засоби програмного захисту інформації", та "Методи і засоби технічного захисту інформації" тощо.
5
1 МЕТА І ЗАДАЧІ ДИСЦИПЛІНИ
1.1 Мета дисципліни "Сертифікація і ліцензування інформаційних систем"
Мета викладання дисципліни "Сертифікація і ліцензування інформаційних систем" - вивчення основ організації, архітектури і принципів побудови і функціонування корпоративних інформаційних систем; методів і принципів організації захисту інформації в інформаційних системах різного призначення й підпорядкування; державної системи захисту інформації, сертифікації та ліцензування інформаційних систем в Україні.
1.2 Завдання дисципліни
За результатом вивчання дисципліни студенти повинні :ЗНАТИ: - основи побудови і функціональні можливості інформаційних систем;- етапи, процеси, стандарти і моделі життєвого циклу інформаційних
систем;- правила, методи і засоби підготовки технічної документації;- основи організації і функціонування ЕОМ, обчислювальних систем і
мереж;- методи оцінки ефективності впровадження інформаційних систем;- методи і принципи забезпечення надійності і безпеки корпоративних
інформаційних систем;- методи, принципи і стандарти проектування інформаційних систем;- призначення, склад і принципи функціонування інформаційних
ресурсів організації;- національні, галузеві стандарти і стандарти підприємства відносно
інформаційних систем;- архітектуру і принципи побудови і функціонування інформаційних
систем;- методи аналізу надійності і якості інформаційних систем, сертифікації
і атестації інформаційних систем і їх компонентів, державні і міжнародні стандарти;
- методи і засоби тестування і випробувань комп'ютерних систем;- методи визначення, оцінки і управління ризиками;- принципи, моделі, засоби опису інформаційних систем і їх елементів,
засоби специфікації функціональних завдань і проектних рішень;- принципи побудови, архітектуру і функціональні особливості
корпоративних інформаційних систем;- методи пошуку і аналізу інформації;- методи, принципи і процеси формування, розробки і управління
проектами по впровадженню інформаційних систем.
6
ВОЛОДІТИ НАВИЧКАМИ І ВМІТИ: - визначати склад і функціональні характеристики інформаційних
систем;- обирати методи і розробляти схеми тестування і випробування
інформаційних систем;- оцінювати ризики, виявляти збої в процесах виконання проектів і
розробляти схему реагування на збої і ризики;- розробляти методи і схеми тестування й випробування інформаційних
систем;- тестувати інформаційні системи в ручному і автоматичному режимі,
аналізувати і обробляти результати тестування і готувати звіти про результати тестування;
- впроваджувати заходи щодо забезпечення інформаційної безпеки корпоративних інформаційних систем;
- документувати і аналізувати проблеми, пов'язані з функціонуванням систем і варіанти їх рішення;
- здійснювати моніторинг проблем, пов'язаних з використанням інформаційних систем на рівні підрозділу;
- розробляти технічну документацію;- інсталювати і супроводжувати системне і прикладне програмне
забезпечення;- здійснювати технічну підтримку користувачів систем;- розробляти документацію по роботі з інформаційною системою;- формулювати вимоги до проектованих інформаційних систем;- організовувати і координувати роботу по експлуатації і супроводу
інформаційних систем;- організовувати сертифікацію і перепідготовку технічних фахівців.
2 РОБОЧА ПРОГРАМА З ДИСЦИПЛІНИ2.1 Лекційні заняття
Номер теми
Назва розділу або темиДенна форма навчання
Обсяг (год.) Семестр1 2 3 4
1Вступ. Інформація і інформаційні системи. Основні поняття
2 7
2Класифікація інформаційних систем
2 7
3
Категоріювання інформації і інформаційних систем. Забезпечення базового рівня інформаційної безпеки
2 7
4
Нормативно - правові засади функціонування системи сертифікації і ліцензування в Україні
2 7
5 Основні завдання стандартизації, 2 7
7
сертифікації і ліцензування в галузі інформатизації
6Сертифікація ІС і її компонентів за вимогами інформаційної безпеки
2 7
7Сертифікація засобів забезпечення технічного захисту інформації загального призначення
2 7
8Порядок видачі ліцензії на провадження діяльності з технічного захисту інформації
2 7
9
Ліцензійні умови провадження господарської діяльності з розробки, виробництва, впровадження, обслуговування, дослідження ефективності систем і засобів
2 7
2.2 Розділи програми для самостійного вивчення
Номер теми
Назва розділу або темиДенна форма навчання
Обсяг (год.) Обсяг (год.)1 2 3 4
1Деякі аспекти правового статусу інформації з обмеженим доступом
2 7
2Аудит безпеки інформаційних систем
2 7
3 Інформаційна безпека України 2 7
4Міжмережеві екрани, як засіб від НСД із загальнодоступних мереж
2 7
5Ліцензування і сертифікація в області технічного захисту інформації в україне
2 7
6Як побудувати і сертифікувати систему управління інформаційною безпекою?
2 7
7Закон України "Про захист інформації в інформаційно-телекомунікаційних системах"
2 7
8Життєвий цикл інформаційної системи
2 7
9
Порядок створення комплексної системи захисту інформації в інформаційно-телекомунікаційних системах
2 7
8
2.3 Практичні заняття
Номер Теми занятьДенна форма навчання
Обсяг (год.) Обсяг (год.)1 2 3 4
1Робота з командним рядком. Дослідження мережевої активності
2 7
2Визначення присутності на комп'ютері шкідливих програм
2 7
3Управління правами користувачів в операційній системі Windows XP
2 7
4Захист від несанкціонованого доступу і мережевих хакерських атак
2 7
5 Робота з антивірусом Касперського 2 7
6Дослідження аналізатора мережевих протоколів Wireshark
2 7
2.4 Рекомендована література
2.4.1 Основна література1. Щербаков А. Ю. Современная компьютерная безопасность.
Теоретические основы. Практические аспекты. [Текст] — М.: Книжный мир, 2009. — 352 с. — ISBN 978-5-8041-0378-2.
2. Галатенко В. А. Стандарты информационной безопасности. [Текст] — М.: Интернет-университет информационных технологий, 2006. — 264 с. — ISBN 5-9556-0053-1.
3. Бармен Скотт. Разработка правил информационной безопасности. [Текст] - М.: Вильямс, 2002. — 208 с. — ISBN 5-8459-0323-8, ISBN 1-5787-0264-X.
4. ДСТУ 3396.0-96. Захист інформації. Технічний захист інформації. Основні положення. [Текст]
5. ДСТУ 3396.1-96. Захист інформації. Технічний захист інформації. Порядок проведення робіт. [Текст]
6. ДСТУ 3396.2-97. Захист інформації. Технічний захист інформації. Терміни та визначення. [Текст]
7. ДСТУ 2462-94 Сертифікація. Основні поняття [Текст] 8. Ліцензійні умови провадження господарської діяльності з
розроблення, виробництва, впровадження, обслуговування, дослідження ефективності систем і засобів технічного захисту інформації, надання послуг у галузі технічного захисту інформації. [Текст] - Наказ Державного комітету України з питань регуляторної політики та підприємництва та
9
Адміністрації Державної служби спеціального зв’язку та захисту інформації України 20.01.2009 № 5/9
9. Закон України "Про інформацію" [Текст] 10. Закон України "Про державну таємницю" [Текст] 11. Закон України "Про ліцензування певних видів господарської
діяльності" [Текст] 12. Закон України "Про телекомунікації" [Текст] 13. Закон України "Про електронні документи та електронний
документообіг" [Текст] 14. Закон України "Про захист інформації в інформаційно-
телекомунікаційних системах" [Текст] 15. Закон України "Про наукову і науково-технічну експертизу" [Текст] 16. Положення про державну експертизу в сфері технічного захисту
інформацій. [Текст] Затверджено наказом ДСТСЗІ СБ України від 29.12.99 № 62.
17. Про затвердження Порядку оцінки стану захищеності державних інформаційних ресурсів в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах. [Текст] Наказ адміністрації Державної служби спеціального зв'язку та захисту інформації України 04.07.2008 № 112
2.4.2 Додаткова література
1. Фридман А.Л. Основы объектно-ориентированной разработки программных систем [Текст] – М: Финансы и статистика, 2000.
2. Компьютерные технологии обработки информации [Текст] /Под. ред. С.В. Назарова. – М.: Финансы и статистика, 1995.
3. Домарев В.В. Защита информации и безопасность компьютерных систем. [Текст] – Киев., Издательство "Ди- аСофт". 1999. 480с.
4. ISO 17799: Code of Practice for Information Security Management (Практические правила управления информационной безопасностью) [Текст]
5. ISO 15408: Common Criteria for Information Technology Security Evaluation (Общие критерии оценки безопасности информационных технологий) [Текст]
6. Котов С.Л., Палюх Б.В., Федченко С.Л. Разработка, стандартизация и сертификация программных средств и информационных технологий и систем [Текст] : Учеб. пособие. 1-е изд. Тверь: ТГТУ, 2006. 104 с.
7. Microsoft Corporation "Принципы проектирования и разработки программного обеспечения" [Текст] : Учебный курс MCSD / Пер.с англ.- 2-е изд.Москва «Русская Редакция», 2002.
2.4.3 Методичні посібники та вказівки
1. Методичні вказівки до практичних занять з курсу "Сертифікація і ліцензування інформаційних систем для студентів усіх форм навчання напрямку "Телекомунікації".
10
2. Методичні вказівки до самостійної роботи з курсу "Сертифікація і ліцензування інформаційних систем для студентів усіх форм навчання напрямку "Телекомунікації".
2.5 Програмне забезпечення з дисципліни
Системне та прикладне (офісне) програмне забезпечення мережі кафедри ТКС, а також спеціалізовані програми:
Wireshark (аналізатор трафіка), Spector Pro 2009 (мониторінг дій користувачів ПК і Інтернет), Outpost Firewall FREE (брандмауер), XSpider 7 (сканер вразливостей).
3 ХАРАКТЕРИСТИКА ПІДРУЧНИКІВ І НАВЧАЛЬНИХ ПОСІБНИКІВ
До дисципліни "Сертифікація і ліцензування інформаційних систем" видано достатню кількість зарубіжних та вітчизняних монографій, навчальних посібників, що були надруковані в різні роки і в яких розглядаються різноманітні аспекти цієї дисципліни. Дамо стислу характеристику рекомендованій літературі.
Навчальні посібники основної літератури [2,8,17] розкривають фундаментальні засади сертифікації засобів захисту інформації та інформаційних систем, вимоги стандартів з забезпечення інформаційної безпеки в Україні.
У додатковій літературі [3,4,6] наведено системний підхід до процесів сертифікації і ліцензування сучасних інформаційних систем.
У методичній літературі викладено інструктивно-методичні вказівки до практичних занять з даної дисципліни.
4 МЕТОДИЧНІ ВКАЗІВКИ З ВИВЧЕННЯ ДИСЦИПЛІНИУ даному розділі відповідно до п. 2.2 робочої програми, шо викладена
вище, розглядаються відповідні теми та їх практичне спрямування. Вивчення цього розділу пропонусться здійснювати за окремими темами, що доцільно з точки зору кращого засвоєння матеріалу.
4.1 ДЕЯКІ АСПЕКТИ ПРАВОВОГО СТАТУСУ ІНФОРМАЦІЇ З ОБМЕЖЕНИМ ДОСТУПОМ
(Комерційна таємниця в правовому полі України)Кожен суб'єкт суспільних стосунків, як правило, має інформацію, вільне
розповсюдження якої він вважає за недоцільне. У держави це - государственая таємниця і конфіденційна інформація, яка є його власністю, у фізичної особи - персональна інформація про нього, про його приватне життя, у юридичних осіб - комерційна таємниця, секрети виробництва (ноу-хау). Якщо у зв'язку зі своїми професійними обов'язками кому-небудь стала відома інформація про
11
іншого суб'єкта правовідносин, набирають чинності механізми захисту такої інформації від доступу третіх осіб (банківська, лікарська, адвокатська і інші види таємниць).
На сьогодні існує цілий ряд положень законодавчих і підзаконних актів, регулюючих механізм захисту інформації, складовій комерційну таємницю. Проте відсутність системності в законодавчому регулюванні статусу такої інформації негативно впливає на вирішення проблеми в цілому. Так, багато норм чинного законодавства в цій сфері мають декларативний характер. Постійні відсилання до інших нормативних актів ускладнюють рішення питання про визначення механізму реалізації і захисту права на комерційну таємницю. Крім того, в нормативно-правових актах, що відносяться до визначення поняття комерційної таємниці, міститься ряд суперечностей.
Розгледимо один з прикладів. Відповідно до пункту 2 статті 14 Закону України «Про Національну депозитарну систему і особливості електронного обороту цінних паперів на Україні» від 10 грудня 1997 року, учасники Національної депозитарної системи гарантують конфіденційність інформації про рахунки в цінних паперах і обороті цінних паперів. Стаття 1 цього Закону до учасників Національної депозитарної системи відносить і емітентів. Згідно Закону України «Про державне регулювання ринку цінних паперів на Україні» від 30 жовтня 1996 року, під поняття «Оборот цінних паперів» підпадають зміна складу засновників закритого акціонерного суспільства і зміна кількості акцій, що належать ним.
Відповідно до норм Ухвали Кабінету Міністрів України «Про перелік відомостей, які не є комерційною таємницею» № 611 від 9 серпня 1993 року, статутні документи не є комерційною таємницею підприємства. Проте статті 4, 7, 37 Закону України «Про господарські суспільства» вимагають обов'язкового внесення емітентами до статутних документів ЗАТ змін, пов'язаних із зміною засновників і із зміною загальної кількості акцій, що належать засновникам ЗАТ. Виходить, що норми різних законодавчих актів по-різному трактують статус інформації однієї категорії. Згідно нормам статей 88, 154 нові Цивільні кодекси, аналогічна вимога до змісту статуту АТ не передбачена.
Наявність декількох нормативних актів, в яких проблема комерційної таємниці вирішується лише як додаткова, не дозволяє встановити правовий статус цього виду інформації з обмеженим доступом. Хоча справедливості ради слід зазначити, що в більшості країн світу відсутній єдиний законодавчий акт, регулюючий статус інформації, складовій комерційну таємницю. Для дозволу цієї проблеми в грудні 1999 року на розгляд Верховної Ради України народними депутатами України А. Деркачем і А. Волковим був поданий проект Закону «Про комерційну таємницю» (далі - проект Закону), який, на жаль, до цих пір не прийнятий. Багато в чому він дублює аналогічний проект Федерального закону Російської Федерації. який спіткала та ж доля.
Чинне законодавство не дає чіткого визначення терміну «комерційна таємниця». Під «комерційною таємницею підприємства», згідно статті 30 Закону України «Про підприємства на Україні», маються на увазі відомості, пов'язані з виробництвом, технологічною інформацією, управлінням, фінансами і іншою діяльністю підприємства, які не відносяться до державної
12
таємниці і розголошування (передача, витік) яких може завдати збитку його інтересам. Проте в цій нормі не підкреслена необхідність правових, організаційних, технічних і інших мерів захисту такої інформації, тобто не визначається режим комерційної таємниці. Первинний проект Господарського (комерційного) кодексу України також не вирішував проблеми, оскільки в нім дублювалися положення чинного законодавства.
Суть поняття комерційної таємниці найчіткіше сформульована в Законі США «Про комерційну таємницю» від 1979 року, згідно якому комерційною таємницею є інформація (що містить відомості про склади, формули, комбінації, програми, прилади, методи, техніку або процеси), що має економічну цінність; ця інформація не є загальновідомою або доступною особам, які можуть використовувати її з комерційною метою, і вона виступає як об'єкт розумних зусиль по її захисту.
Згідно проекту Закону, комерційна таємниця - це науково-технічна, комерційна, організаційна або інша використовувана в підприємницькій діяльності інформація, яка: володіє реальною або потенційною економічною цінністю внаслідок того, що вона не є загальновідомою і не може бути легко отримана законним чином іншими особами, які могли б отримати економічну вигоду від її розголошування або використання; і є предметом адекватних правових, організаційних, технічних і інших мерів по охороні інформації (режим комерційної таємниці). Фізична або юридична особа, що володіє на законній підставі комерційною таємницею, має наступні права:
а) змінювати і відміняти режим комерційної таємниці відповідно до справжнього закону;
б) використовувати комерційну таємницю в економічній діяльності, включаючи її використання у виробництві, передачу іншим особам на підставі договорів, а також інші способи включення цієї інформації в господарський оборот;
в) на захист в адміністративному порядку і на судовий захист від дій, що порушують встановлений режим комерційної таємниці або що створюють загрозу порушення такого режиму;
г) вимагати дотримання режиму комерційної таємниці особами, що дістали доступ до комерційної таємниці в результаті випадковості або помилки, зокрема вимагати судового примусу до дотримання режиму комерційної таємниці цими особами з виплатою ним грошовій компенсації за зобов'язання не розголошувати комерційну таємницю;
д) на грошову компенсацію за використання комерційної таємниці третьою особою в своїх інтересах.
Суб'єктами прав на комерційну таємницю є володар комерційної таємниці і конфіденти комерційної таємниці.
Для встановлення режиму комерційної таємниці не потрібна подача заявки в органи державної влади, офіційній реєстрації або виконання інших формальностей. Особа, що встановлює режим комерційної таємниці, самостійно визначає перелік відомостей, які складають або можуть складати його комерційну таємницю; критерії віднесення знов отримуваних відомостей (інформації) до комерційної таємниці; термін дії і сукупність мерів, необхідних
13
для забезпечення режиму комерційної таємниці відносно вже отриманої і отримуваної інформації, включаючи встановлення і зняття грифа комерційної таємниці; порядок доступу до комерційної таємниці.
У число заходів по захисту комерційної таємниці можуть входити: встановлення спеціального порядку доступу до відомостей, включених у вищезазначений перелік; проставляння спеціальних грифів на документах, що містять вказані відомості; обмеження круга фізичних осіб, що мають доступ до цих відомостей, і висновок з кожною з цих осіб спеціальної угоди про конфіденційність або трудового або цивільно-правового договору, що включає умови конфіденційності відносно цих відомостей; а також інші заходи, що обмежують доступ до комерційної таємниці.
Встановлення режиму комерційної таємниці дозволить визначити можливі порушення, пов'язані із збором, використанням або розголошуванням інформації цього роду, оскільки практично всі протиправні дії, передбачені Кримінальним кодексом і Законом України «Про захист від недобросовісної конкуренції», пов'язані з порушенням цього режиму. У первинному варіанті проекту Цивільного кодексу України серед об'єктів цивільних прав були вказані службова і комерційна таємниця (стаття 161 проекту Кодексу). При цьому особлива увага приділялася таким якостям комерційної таємниці, як відсутність вільного доступу до неї на законних підставах, і тому, що власник такої інформації приймає заходи по захисту її конфіденційності.
Знов прийняті Цивільний і Господарський кодекси України не вирішують всі вищевикладені проблеми. У новому Цивільному кодексі України об'єктом цивільних прав виступає не лише конфіденційна інформація, але інформація взагалі. що є абсолютно закономірним. Розділ 46 ГК України передбачає право інтелектуальної власності на комерційну таємницю. Під комерційною таємницею розуміється інформація, яка є секретною в тому розумінні, що вона в цілому або в певній формі і в сукупності її складових не є загальнодоступною для осіб, які зазвичай мають справу з цим видом інформації, у зв'язку з чим ця інформація має комерційну цінність і є предметом адекватних мерів по збереженню її секретності, що робляться особою, яка законно контролює цю інформацію.
Само по собі віднесення комерційної таємниці до об'єктів прав інтелектуальної власності викликає сумніви, оскільки абсолютно втрачається специфіка інформаційних правовідносин.
Відповідно до статті 162 Господарські кодекси України, суб'єкт господарювання, що є власником технічною, організаційною або іншій комерційній інформації, має право на її захист від незаконного використання третіми особами за умови, що ця інформація має комерційну цінність у зв'язку з тим, що вона не відома третім особам і до неї відсутній вільний доступ інших осіб на законних підставах, а власник інформації приймає необхідні заходи по охороні її конфіденційності.
Таким чином, одним з основних напрямів удосконалення законодавства України у сфері комерційної таємниці є визначення режиму цього виду інформації, включаючи комплекс захисних мерів, що обмежують доступ до неї. Інший надзвичайно важливий чинник - можливість доступу/використання
14
комерційної таємниці. Специфіка цього виду інформації обуславліваєт те, що доступ до неї посадових осіб державних органів має бути обмежений. Якщо інформація про інших суб'єктів правовідносин, яка стала відома унаслідок професійної діяльності (наприклад, банківська таємниця), може бути надана державному органу тільки в строго визначеному в законі порядку, то такого механізму для комерційної таємниці не існує. Подібним механізмом міг би стати інститут службової таємниці, проте він вітчизняним законодавством не передбачений.
Органи державної влади і органи місцевої самоврядності мають право доступу до комерційної таємниці тільки в межах своїх повноважень, які мають бути визначені законодавством України. Слід встановити і відповідальність посадових осіб за її розголошування. Можливо, в зв'язку з цим необхідно взаємозв'язано врегулювати цю проблему в рамках Інформаційного кодексу України. Частково на це направлена норма статті 507 нового Цивільного кодексу України. Проте в ній перелік відповідних видів інформації обмежений. Крім того, обов'язки державних органів, закріплені в цій статті, не підкріплені вказівкою на міру відповідальності.
-----
4.2 АУДИТ БЕЗПЕКИ ІНФОРМАЦІЙНИХ СИСТЕМ
Поняття аудиту безпеки і мета його проведенняАудит є незалежною експертизою окремих областей функціонування
організації. Розрізняють зовнішній і внутрішній аудит. Зовнішній аудит - це, як правило, разовий захід, що проводиться за ініціативою керівництва організації або акціонерів. Рекомендується проводити зовнішній аудит регулярно, а, наприклад, для багатьох фінансових організацій і акціонерних суспільств це є обов'язковою вимогою. Внутрішній аудит є безперервною діяльністю, яка здійснюється на підставі «Положення про внутрішній аудит» і відповідно до плану, підготовка якого здійснюється підрозділом внутрішнього аудиту і затверджується керівництвом організації.
Аудит безпеки інформаційних систем є одній з складових ІТ аудиту. Метою проведення аудиту безпеки є:· аналіз ризиків, пов'язаних з можливістю здійснення погроз безпеці
відносно ресурсів ІС;· оцінка поточного рівню захищеності ІС;· локалізація вузьких місць в системі захисту ІС;· оцінка відповідності ІС існуючим стандартам в області інформаційної
безпеки;· вироблення рекомендацій по впровадженню нових і підвищенню
ефективності існуючих механізмів безпеки ІС.У число додаткових завдань, що стоять перед внутрішнім аудитором,
окрім надання допомоги зовнішнім аудиторам, можуть також входити:
15
- розробка політик безпеки і інших організаційно-розпорядливих документом по захисту інформації і участь в їх впровадженні в роботу організації;
- постановка завдань для ІТ персоналу, що стосуються забезпечення захисту інформації;
- · участь в навчанні користувачів і обслуговуючого персоналу ІС питанням забезпечення інформаційної безпеки;
- · участь в розборі інцидентів, пов'язаних з порушенням інформаційної безпеки;
- та інші.Необхідно відзначити, що всі перераховані вище «додаткові» завдання,
що стоять перед внутрішнім аудитором, за винятком участі в навчанні, по суті аудитом не є. Аудитор за визначенням повинен здійснювати незалежну експертизу реалізації механізмів безпеки в організації, що є одним з основних принципів аудиторської діяльності. Якщо аудитор бере діяльну участь в реалізації механізмів безпеки, то незалежність аудитора втрачається, а разом з нею втрачається і об'єктивність його думок, оскільки аудитор не може здійснювати незалежний і об'єктивних контроль своєї власної діяльності. Проте, на практиці, внутрішній аудитор, деколи, будучи найбільш компетентним фахівцем в організації в питаннях забезпечення інформаційної безпеки, не може залишатися в стороні від реалізації механізмів захисту. (А якщо він таким фахівцям немає, то яка від нього може бути практична користь?) До того ж майже завжди існує дефіцит кваліфікованих кадрів саме в цій області.
Принаймні, діяльна участь у впровадженні тієї ж підсистеми аудиту безпеки, яка змогла б надавати аудиторові початкові дані для аналізу поточної ситуації, він прийняти може і винен. Звичайно, в цьому випадку, аудитор вже не зможе об'єктивно оцінити реалізацію цей підсистеми і вона природним чином випадає з плану проведення аудиту. Точно так, внутрішній аудитор може взяти діяльну участь в розробці політик безпеки, надавши можливість оцінювати якість цих документів зовнішнім аудиторам.
Етапи робіт по проведенню аудиту безпеки інформаційних системРоботи по аудиту безпеки ІС включають ряд послідовних етапів, які в
цілому відповідають етапам проведення комплексного ІТ аудиту АС, який включає наступне:
· Ініціація процедури аудиту· Збір інформації аудиту· Аналіз даних аудиту· Вироблення рекомендацій· Підготовка аудиторського звітуІніціація процедури аудитуАудит проводиться не за ініціативою аудитора, а за ініціативою
керівництва компанії, яке в даному питанні є основною зацікавленою стороною. Підтримка керівництва компанії є необхідною умовою для проведення аудиту.
16
Аудитом є комплекс заходів, в яких окрім самого аудитора, виявляються задіяними представники більшості структурних підрозділів компанії. Дії всіх учасників цього процесу мають бути скоординовані. Тому на етапі ініціації процедури аудиту мають бути вирішені наступні організаційні питання:
· має рацію і обов'язки аудитора мають бути чітко визначені і документально закріплені в його посадових інструкціях, а також в положенні про внутрішній (зовнішньому) аудит;
· аудитором має бути підготовлений і узгоджений з керівництвом план проведення аудиту;
· у положенні про внутрішній аудит повинно бути закріплено, зокрема, що співробітники компанії зобов'язані сприяти аудиторові і надавати всю необхідну для проведення аудиту інформацію.
На етапі ініціації процедури аудиту мають бути визначені межі проведення обстеження. Одні інформаційні підсистеми компанії не є достатньо критичними і їх можна виключити з меж проведення обстеження. Інші підсистеми можуть виявитися недоступними для аудиту із-за міркувань конфіденційності.
Межі проведення обстеження визначаються в наступних термінах:· Список обстежуваних фізичних, програмних і інформаційних
ресурсів;· Майданчики (приміщення), що потрапляють в межі обстеження;· Основні види погроз безпеки, що розглядуються при проведенні
аудиту;· Організаційні (законодавчі, адміністративні і процедурні), фізичні,
програмно-технічні та інші аспекти забезпечення безпеки, які необхідно врахувати в ході проведення обстеження, і їх пріоритети (у якому об'ємі вони мають бути враховані).
Збір інформації аудитуЕтап збору інформації аудиту, є найбільш складним і тривалим. Це
пов'язано з відсутністю необхідної документації на інформаційну систему і з необхідністю щільної взаємодії аудитора з багатьма посадовими особами організації.
Компетентні виводи щодо положення справ в компанії з інформаційною безпекою можуть бути зроблені аудитором тільки за умови наявності всіх необхідних початкових даних для аналізу. Отримання інформації про організацію, функціонування і поточний стан ІС здійснюється аудитором в ході спеціальних організованих інтерв'ю з відповідальними особами компанії, шляхом вивчення технічної і організаційно-розпорядливої документації, а також дослідження ІС з використанням спеціалізованого програмного інструментарію. Зупинимося на тому, яка інформація необхідна аудиторові для аналізу.
Забезпечення інформаційної безпеки організації - це комплексний процес, що вимагає чіткої організації і дисципліни. Він повинен починатися з визначення ролей і розподілу відповідальності серед посадових осіб, що займаються інформаційною безпекою. Тому перший пункт аудиторського обстеження починається з отримання інформації про організаційну структуру
17
користувачів ІС і обслуговуючих підрозділів. У зв'язку з цим аудиторові потрібна наступна документація:
· Схема організаційної структури користувачів;· Схема організаційної структури обслуговуючих підрозділів.Зазвичай, в ході інтерв'ю аудитор ставить опитуваним наступні питання:· Хто є власником інформації?· Хто є користувачем (споживачем) інформації?· Хто є провайдером послуг?Призначення і принципи функціонування ІС багато в чому визначають
існуючі ризики і вимоги безпеки, що пред'являються до системи. Тому на наступному етапі аудитора цікавить інформація про призначення і функціонування ІС. Аудитор ставить опитуваним приблизно наступні питання:
· Які послуги і яким чином надаються кінцевим користувачам?· Які основні види додатків, функціонують в ІС?· Кількість і види користувачів, що використовують ці додатки?Йому знадобитися також наступна документація, звичайно, якщо така
взагалі є в наявність (що, взагалі кажучи, трапляється нечасто):· Функціональні схеми;· Опис автоматизованих функцій;· Опис основних технічних рішень;· Інша проектна і робоча документація на інформаційну систему.Далі, аудиторові потрібна детальніша інформація про структуру ІС. Це
дозволить з'ясувати, яким чином здійснюється розподіл механізмів безпеки по структурних елементах і рівнях функціонування ІС. Типові питання, які обговорюються у зв'язку з цим під час інтерв'ю, включають:
· З яких компонентів (підсистем) сладаэтья ІС?· Функціональність окремих компонент?· Де проходять межі системи?· Які точки входу є?· Як ІС взаємодіє з іншими системами?· Які канали зв'язку використовуються для взаємодії з іншими ІС?· Які канали зв'язку використовуються для взаємодії між компонентами
системи?· По яких протоколах здійснюється взаємодія?· Які програмно-технічні платформи використовуються при побудові
системи?На цьому етапі аудиторові необхідно запастися наступною
документацією:· Структурна схема ІС;· Схема інформаційних потоків;· Опис структури комплексу технічних засобів інформаційної системи;· Опис структури програмного забезпечення;· Опис структури інформаційного забезпечення;· Розміщення компонентів інформаційної системи.
18
Підготовка значної частки документації на ІС, зазвичай, здійснюється вже в процесі проведення аудиту. Коли всі необхідні дані по ІС, включаючи документацію, підготовлені, можна переходити до їх аналізу.
Аналіз даних аудитуВикористовувані аудиторами методи аналізу даних визначаються
вибраними підходами до проведення аудиту, які можуть істотно розрізнятися.Перший підхід, найскладніший, базується на аналізі ризиків. Спираючись
на методи аналізу ризиків, аудитор визначає для обстежуваної ІС індивідуальний набір вимог безпеки, що найбільшою мірою враховує особливості даної ІС, середа її функціонування і погрози безпеці, що існують в даному середовищі. Даний підхід є найбільш трудомістким і вимагає найвищої кваліфікації аудитора. На якість результатів аудиту, в цьому випадку, сильно впливає використовувана методологія аналізу і управління ризиками і її застосовність до даного типа ІС.
Другий підхід, самий практичний, спирається на використання стандартів інформаційної безпеки. Стандарти визначають базовий набір вимог безпеки для широкого класу ІС, який формується в результаті узагальнення світової практики. Стандарти можуть визначати різні набори вимог безпеки, залежно від рівня захищеності ІС, який потрібно забезпечити, її приладдя (комерційна організація, або державна установа), а також призначення (фінанси, промисловості, зв'язок і тому подібне). Від аудитора в даному випадку потрібно правильно визначити набір вимог стандарту, відповідність яким потрібно забезпечити для даної ІС. Необхідна також методика, що дозволяє оцінити цю відповідність. Із-за своєї простоти (стандартний набір вимог для проведення аудиту вже заздалегідь визначений стандартом) і надійності (стандарт - є стандарт і його вимоги ніхто не спробує оспорити), описаний підхід найбільш поширений на практиці (особливо при проведенні зовнішнього аудиту). Він дозволяє при мінімальних витратах ресурсів робити обгрунтовані виводи про стан ІС.
Третій підхід, найбільш ефективний, припускає комбінування перших два. Базовий набір вимог безпеки, що пред'являються до ІС, визначається стандартом. Додаткові вимоги, в максимальному ступені особливості функціонування даної ІС, формуються на основі аналізу ризиків. Цей підхід є набагато простішим першого, оскільки велика частка вимог безпеки вже визначена стандартом, і, в той же час, він позбавлений недоліку другого підходу, що укладає в тому, що вимоги стандарту можуть не враховувати специфіки обстежуваної ІС.
У чому полягає аналіз ризиків і управління ризиками?Аналіз ризиків - це те, з чого повинна починатися побудова будь-якої
системи інформаційної безпеки. Він включає заходи щодо обстеження безпеки ІС, з метою визначення
того які ресурси і від яких погроз треба захищати, а також в якому ступені ті або інші ресурси потребують захисту. Визначення набору адекватних контрзаходів здійснюється в ході управління ризиками. Ризик визначається вірогідністю спричинення збитку і величиною збитку, що наноситься ресурсам ІС, в разі здійснення загрози безпеці.
19
Аналіз різіків полягає в тому, щоб виявити існуючі ризики і оцінити їх величину (дати їм якісну, або кількісну оцінку). Процес аналізу рисок можна розділити на декілька послідовних етапів:
· Ідентифікація ключових ресурсів ІС;· Визначення важливості тих або інших ресурсів для організації;· Ідентифікація існуючих погроз безпеці і уязвімостей, що роблять
можливим здійснення погроз;· Обчислення ризиків, пов'язаних із здійсненням погроз безпеці.Ресурси ІС можна розділити на наступні категорії:· Інформаційні ресурси;· Програмне забезпечення;· Технічні засоби (сервери, робочі станції, активне мережеве
устаткування і т. п.);· Людські ресурси.У кожній категорії ресурси діляться на класи і підкласи. Необхідно
ідентифікувати тільки ті ресурси, які визначають функціональність ІС і істотні з погляду забезпечення безпеки. Важливість (або вартість) ресурсу визначається величиною збитку, що наноситься в разі порушення конфіденційності, цілісності або доступності цього ресурсу. Зазвичай розглядуються наступні види збитку:
· Дані були розкриті, змінені, видалені або сталі недоступні;· Апаратура була пошкоджена або зруйнована;· Порушена цілісність програмного забезпечення.Збитку може бути завданий організації в результаті успішного
здійснення наступних видів погроз безпеці:· локальні і видалені атаки на ресурси ІС;· стихійні лиха;· помилки, або умисні дії персоналу ІС;· збої в роботі ІС, викликані помилками в програмному забезпеченні
або несправностями апаратури.Під увразливістю зазвичай розуміють властивості ІС, що роблять
можливим успішне здійснення погроз безпеці. Величина ризику визначається на основі вартості ресурсу, вірогідності
здійснення загрози і величини уразливості по наступній формулі:
Ризик = (вартість ресурсу * вірогідність загрози) / величина уразливості
Завдання управління різікамі полягає у виборі обгрунтованого набору контрзаходів, що дозволяють понизити рівні рисок до прийнятної величини. Вартість реалізації контрзаходів має бути менше величини можливого збитку. Різниця між вартістю реалізації контрзаходів і велічиной можливого збитку має бути назад пропорційна вірогідності спричинення збитку.
Використання методів аналізу ризиківЯкщо для проведення аудиту безпеки вибраний підхід, що базується на
аналізі різіків, то на етапі аналізу даних аудиту зазвичай виконуються наступні групи завдань:
20
· Аналіз ресурсів ІС, включаючи інформаційні ресурси, програмні і технічні засоби, а також людські ресурси
· Аналіз груп завдань, що вирішуються системою, і бізнес процесів· Побудова (неформальною) моделі ресурсів ІС, що визначає
взаємозв'язки між інформаційними, програмними, технічними і людськими ресурсами, їх взаємне розташування і способи взаємодії
· Оцінка критичності інформаційних ресурсів, а також програмних і технічних засобів
· Визначення критичності ресурсів з урахуванням їх взаїмозавісимостей
· Визначення найбільш вірогідних погроз безпеці відносно ресурсів ІС і уязвімостей захисту, що роблять можливим здійснення цих погроз
· Оцінка вірогідності здійснення погроз, величини уязвімостей і збитку, що наноситься організації в разі успішного здійснення погроз
· Визначення величини рисок для кожної трійки: загроза - група ресурсів - уразливість
· Перерахований набір завдань, є достатньо загальним. Для їх вирішення можуть використовуватися різні формальні і неформальні, кількісні і якісні, ручні і автоматизовані методики аналізу рисок. Суть підходу від цього не міняється.
Оцінка рисок може даватися з використанням різних як якісних, так і кількісних шкал. Головне, щоб існуючі різікі були правильно ідентифіковані і проранжіровани відповідно до ступеня їх критичності для організації. На основі такого аналізу може бути розроблена система першочергових заходів щодо зменшення величини різіків до прийнятного рівня.
Оцінка відповідності вимогам стандартуВ разі проведення аудиту безпеки на відповідність вимогам стандарту,
аудитор, покладаючись на свій досвід, оцінює застосовність вимог стандарту до обстежуваної ІС і її відповідність цим вимогам. Дані про відповідність різних областей функціонування ІС вимогам стандарту, зазвичай, представляються в табличній формі. З таблиці видно, які вимоги безпеки в системі не реалізовані. Виходячи з цього, робляться виводи про відповідність обстежуваною ІС вимогам стандарту і даються рекомендації по реалізації в системі механізмів безпеки, що дозволяють забезпечити таку відповідність.
Вироблення рекомендаційРекомендації, що видаються аудитором за наслідками аналізу стану ІС,
визначаються використовуваним підходом, особливостями обстежуваної ІС, станом справ з інформаційною безпекою і ступенем деталізації, використовуваної при проведенні аудиту.
У будь-якому випадку, рекомендації аудитора мають бути конкретними і застосовними до даної ІС, економічно обгрунтованими, аргументованими (підкріпленими результатами аналізу) і відсортованими по ступеню важливості. При цьому заходи щодо забезпечення захисту організаційного рівня практично завжди мають пріоритет над конкретними програмно-технічними методами захисту.
21
В той же час, наївно чекати від аудитора, як результат проведення аудиту, видачі технічного проекту підсистеми інформаційної безпеки, або детальних рекомендацій по впровадженню конкретних програмно технічних засобів захисту інформації. Це вимагає детальнішого опрацьовування конкретних питань організації захисту, хоча, внутрішні аудитори можуть брати в цих роботах найактивнішу участь.
Підготовка звітних документівАудиторський звіт є основним результатом проведення аудиту. Його
якість характеризує якість роботи аудитора. Структура звіту може істотно розрізнятися залежно від характеру і цілей аудиту, що проводиться. Проте певні розділи мають бути обов'язково присутніми в аудиторському звіті. Він винен, принаймні, містити опис цілей проведення аудиту, характеристику обстежуваної ІС, вказівка меж проведення аудиту і використовуваних методів, результати аналізу даних аудиту, виводи, узагальнювальні ці результати і що містять оцінку рівня захищеності АС або відповідність її вимогам стандартів, і, звичайно, рекомендації аудитора по усуненню існуючих недоліків і вдосконаленню системи захисту.
Для прикладу, приведемо зразок структури аудиторського звіту за наслідками аналізу рисок, пов'язаних із здійсненням погроз безпеці відносно обстежуваної ІС.
Структура звіту за наслідками аудиту безпеки ІС і аналізу ризиків1. Ввідна частка1.1 Вступ1.2 Цілі і завдання проведення аудиту1.3 Опис ІС1.3.1 Призначення і основні функції системи1.3.2 Груп завдань, що вирішуються в системі1.3.3 Класифікація користувачів ІС1.3.4 Організаційна структура обслуговуючого персоналу ІС1.3.5 Структура і склад комплексу програмно-технічних засобів ІС1.3.6 Видів інформаційних ресурсів, що зберігаються і оброблюваних в
системі1.3.7 Структура інформаційних потоків1.3.8 Характеристика каналів взаємодії з іншими системами і точок входу1.4 Меж проведення аудиту1.4.1 Компонентів і підсистеми ІС, проведення аудиту, що потрапляють в
межі1.4.2 Розміщення комплексу програмно-технічних засобів ІС по
майданчиках (приміщенням)1.4.3 Основних класів погроз безпеки, що розглядуються в ході
проведення аудиту1.5 Методика проведення аудиту1.5.1 Методика аналізу рисок1.5.2 Початкових даних1.5.3 Етапність робіт
22
1.6 Структура документ2. Оцінка критичності ресурсів ІС2.1 Критеріїв оцінки величини можливого збитку, пов'язаного із
здійсненням погроз безпеці2.2 Оцінка критичності інформаційних ресурсів2.2.1 Класифікація інформаційних ресурсів2.2.2 Оцінка критичності по групах інформаційних ресурсів2.3 Оцінка критичності технічних засобів2.4 Оцінка критичності програмних засобів2.5 Модель ресурсів ІС, що описує розподіл ресурсів по групах завдань3. Аналіз ризиків, пов'язаних із здійсненням погроз безпеці відносно
ресурсів ІС3.1 Модель порушника інформаційної безпеки3.1.1 Модель внутрішнього порушника3.1.2 Модель зовнішнього порушника3.2 Модель погроз безпеці і уязвімостей інформаційних ресурсів3.2.1 Погроз безпеки, направлених проти інформаційних ресурсів3.2.1.1 Погроз несанкціонованого доступу до інформації за допомогою
програмних засобів3.2.1.2 Погроз, здійснюваних з використанням штатних технічних засобів3.2.1.3 Погроз, пов'язаних з просочуванням інформації по технічних
каналах3.2.2 Погроз безпеки, направлених проти програмних засобів3.2.3 Погроз безпеці направлені проти технічних засобів3.3 Оцінка серйозності погроз безпеці і величини уязвімостей3.3.1 Критеріїв оцінки серйозності погроз безпеці і величини уязвімостей3.3.2 Оцінка серйозності погроз3.3.3 Оцінка величини уязвімостей3.4 Оцінка рисок для кожного класу погроз і групи ресурсів4. Виводи за наслідками обстеження5. Рекомендації5.1 контрзаходів організаційного рівня, що Рекомендуються5.2 контрзаходів програмно-технічного рівня, що Рекомендуються
Огляд програмних продуктів, призначених для аналізу і управління ризиками
В даний час є велика різноманітність як методів аналізу і управління ризиками, так і що реалізовують їх програмних засобів. Наведемо приклади деяких, на думку автора, найбільш поширених.
CRAMMМетод CRAMM (the UK Goverment Risk Analysis and Managment Method)
був розроблений Службою Безпеці Великобританії (UK Security Service) за завданням Британського уряду і узятий на озброєння як державний стандарт. Він використовується, починаючи з 1985 р. урядовими і комерційними організаціями Великобританії. За цей час CRAMM придбав популярність у всьому світі. Фірма Insight Consulting Limited займається розробкою і
23
супроводом однойменного програмного продукту, що реалізовує метод CRAMM.
Метод CRAMM вибраний нами для детальнішого розгляду і це не випадково. В даний час CRAMM - це досить потужний і універсальний інструмент, що дозволяє, окрім аналізу рисок, вирішувати також і ряд інших аудиторських завдань, включаючи:
· Проведення обстеження ІС і випуск супровідної документації на всіх етапах його проведення;
· Проведення аудиту відповідно до вимог Британського уряду, а також стандарту BS 7799:1995 - Code of Practice for Information Security Management Bs7799;
· Розробка політики безпеки і плану забезпечення безперервності бізнесу.
У основі методу CRAMM лежить комплексний підхід до оцінки рисок, поєднуючи кількісні і якісні методи аналізу. Метод є універсальним і підходить як для великих, так і для дрібних організацій, як урядового, так і комерційного сектора. Версії програмного забезпечення CRAMM, орієнтовані на різних типів організацій, відрізняються один від одного своїми базами знань (profiles). Для комерційних організацій є Комерційний профіль (Commercial Profile), для урядових організацій - Урядовий профіль (Government profile). Урядовий варіант профілю, також дозволяє проводити аудит на відповідність вимогам американського стандарту ITSEC («Оранжева книга»).
Грамотне використання методу CRAMM дозволяє отримувати дуже добрі результати, найбільш важливим з яких, мабуть, є можливість економічного обгрунтування витрат організації на забезпечення інформаційної безпеки і безперервності бізнесу. Економічно обгрунтована стратегія управління ризиками дозволяє, зрештою, економити засоби, уникаючи невиправданих витрат.
CRAMM припускає розділення всієї процедури на три послідовні етапи. Завданням першого етапу є відповідь на питання: «Чи достатньо для захисту системи застосування засобів базового рівня, що реалізовують традиційні функції безпеки, або необхідне проведення детальнішого аналізу?» На другому етапі проводиться ідентифікація рисок і оцінюється їх величина. На третьому етапі вирішується питання про вибір адекватних контрзаходів.
Методика CRAMM для кожного етапу визначає набір початкових даних, послідовність заходів, анкети для проведення інтерв'ю, списки перевірки і набір звітних документів.
Якщо за наслідками проведення першого етапу, встановлено, що рівень критичності ресурсів є дуже низьким і існуючі ризики свідомо не перевищать деякого базового рівня, то до системи пред'являються мінімальний набір вимог безпеки. В цьому випадку велика частка заходів другого етапу не виконується, а здійснюється перехід до третього етапу, на якому генерується стандартний список контрзаходів для забезпечення відповідності базовому набору вимог безпеки.
На другому етапі проводиться аналіз погроз безпеці і уязвімостей. Початкові дані для оцінки погроз і уязвімостей аудитор отримує від
24
уповноважених представників організації в ході відповідних інтерв'ю. Для проведення інтерв'ю використовуються спеціалізовані опитувальники.
На третьому етапі вирішується завдання управління ризиками, що полягає у виборі адекватних контрзаходів.
Рішення про впровадження в систему нових механізмів безпеки і модифікація старих приймає керівництво організації, враховуючи пов'язані з цим витрати, їх прийнятність і кінцеву вигоду для бізнесу. Завданням аудитора є обгрунтування контрзаходів, що рекомендуються, для керівництва організації.
В разі ухвалення рішення про впровадження нових контрзаходів і модифікації старих, на аудитора може бути покладена завдання підготовки плану впровадження нових контрзаходів і оцінки ефективності їх використання. Вирішення цих завдань виходить за рамки методу CRAMM.
Концептуальна схема проведення обстеження по методу CRAMM показана на малюнку.
Процес аналізу і управління ризиками по методу CRAMMПроцедура аудиту в методі CRAMM є формалізованою. На кожному
етапі генерується досить велика кількість проміжних і результуючих звітів.Так, на першому етапі створюються наступні види звітів:· Модель ресурсів, що містить опис ресурсів, що потрапляють в межі
дослідження, і взаємозв'язків між ними;· Оцінка критичності ресурсів;· Результуючий звіт по першому етапу аналізу різіків, в якому
підсумовуються результати, отримані в ході обстеження.На другому етапі проведення обстеження створюються наступні види
звітів:· Результати оцінки рівня погроз і уязвімостей; · Результати оцінки величини рисок;· Результуючий звіт по другому етапу аналізу ризиків.За наслідками третього етапу обстеження створюються наступні види
звітів:· Контрзаходи, що рекомендуються;
25
· Детальна специфікація безпеки;· Оцінка вартості контрзаходів, що рекомендуються;· Список контрзаходів, відсортований відповідно до їх пріоритетів;· Результуючий звіт по третьому етапу обстеження;· Політика безпеки, що включає опис вимог безпеки, стратегій і
принципів захисту ІС;· Список заходів щодо забезпечення безпеки.Грамотно застосовувати метод CRAMM в змозі тільки
висококваліфікований аудитор, що пройшов навчання. Якщо організація не може собі дозволити містити в штаті такого фахівця, тоді найправильнішим рішенням буде запрошення аудиторської фірми, що має в своєму розпорядженні штат фахівців, що мають практичний досвід застосування методу CRAMM.
Узагальнюючи практичний досвід використання методу CRAMM при проведенні аудиту безпеки, можна зробити наступні виводи, щодо сильних і слабих сторін цього методу:
До сильних сторін методу CRAMM відноситься наступне:· CRAMM є добре структурованим і широко випробуваним методом
аналізу рисок, що дозволяє отримувати реальні практичні результати;· Програмний інструментарій CRAMM може використовуватися на
всіх стадіях проведення аудиту безпеки ІС;· У основі програмного продукту лежить достатньо об'ємна база знань
по контрзаходах в області інформаційної безпеки, що базується на рекомендаціях стандарту BS 7799;
· Гнучкість і універсальність методу CRAMM дозволяє використовувати його для аудиту ІС будь-якого рівня складності і призначення;
· CRAMM можна використовувати як інструмент для розробки плану безперервності бізнесу і політик інформаційної безпеки організації;
· CRAMM може використовуватися як засіб документування механізмів безпеки ІС.
До недоліків методу CRAMM можна віднести наступне:· Використання методу CRAMM вимагає спеціальної підготовки і
високої кваліфікації аудитора;· CRAMM в набагато більшому ступені підходить для аудиту тих, що
вже існують ІС, знаходяться на стадії експлуатації, ніж чим для ІС, що знаходяться на стадії розробки;
· Аудит по методу CRAMM - процес достатньо трудомісткий і може зажадати місяців безперервної роботи аудитора;
· Програмний інструментарій CRAMM генерує велика кількість паперової документації, яка не завжди виявляється корисною на практиці;
· CRAMM не дозволяє створювати власні шаблони звітів або модифікувати що є;
· Можливість внесення доповнень в базу знань CRAMM не доступна користувачам, що викликає певні труднощі при адаптації цього методу до потреб конкретної організації.
26
RiskWatchПрограмне забезпечення Riskwatch, що розробляється американською
компанією Riskwatch, Inc., є потужним засобом аналізу і управління ризиками. У сімейство Riskwatch входять програмні продукти для проведення різних видів аудиту безпеки. Воно включає наступні засоби аудиту і аналізу ризиків:
· Riskwatch for Physical Security -для фізичних методів захисту ІС;· Riskwatch for Information Systems - для інформаційних рисок;· HIPAA-WATCH for Healthcare Industry - для оцінки відповідності
вимогам стандарту HIPAA;· Riskwatch Rw17799 for Iso17799 - для оцінки вимогам стандарту
Iso17799.У методі Riskwatch як критерії для оцінки і управління ризиками
використовуються «передбачення річних втрат» (Annual Loss Expectancy - ALE) і оцінка «повернення від інвестицій» (Return on Investment - ROI). Сімейство програмних продуктів Riskwatch, має масу достоїнств. До недоліків даного продукту можна віднести його відносно високу вартість.
COBRAСистема COBRA (Consultative Objective and Bi-Functional Risk Analysis),
що розробляється компанією Risk Associates, є засобом аналізу ризиків і оцінки відповідності ІС стандарту ISO17799. COBRA реалізує методи кількісної оцінки рисок, а також інструменти для консалтингу і проведення оглядів безпеки. При розробці інструментарію COBRA були використані принципи побудови експертних систем, обширна база знань по погрозах і уязвімостям, а також велика кількість запитальників, з успіхом тих, що застосовуються на практиці. У сімейство програмних продуктів COBRA входять COBRA Iso17799 Security Consultant, COBRA Policy Compliance Analyst і COBRA Data Protection Consultant.
Buddy SystemПрограмний продукт Buddy System, що розробляється компанією
Countermeasures Corporation, є ще одним програмним продуктом, що дозволяє здійснювати як кількісний, так і якісний аналіз рисок. Він містить розвинені засоби генерації звітів. Основний акцент при використанні Buddy System робиться на інформаційні ризики, пов'язані з порушенням фізичної безпеки і управління проектами.
Стандарти, використовувані при проведенні аудиту безпеки інформаційних систем
У справжньому розділі дається огляд стандартів інформаційної безпеки, що є найбільш значущими і перспективними з погляду їх використання для проведення аудиту безпеки ІС.
Результатом проведення аудиту, останнім часом, все частіше стає сертифікат, що засвідчують відповідність обстежуваною ІС вимогам визнаного міжнародного стандарту. Наявність такого сертифікату дозволяє організації отримувати конкурентні переваги, пов'язані з великою довірою з боку клієнтів і партнерів.
27
Значення міжнародних стандартів ISO17799 і ISO15408 важко переоцінити. Ці стандарти служать основою для проведення будь-яких робіт в області інформаційної безпеки, у тому числі і аудиту. Iso17799 зосереджений на питаннях організації і управління безпекою, тоді як Iso15408 визначає детальні вимоги, що пред'являються до програмно-технічних механізмів захисту інформації.
Специфікація Systrust вибрана для розгляду, оскільки вона в даний час достатньо широко використовується аудиторськими компаніями, що традиційно виконують фінансовий аудит для своїх клієнтів і що пропонують послугу ІТ аудиту як доповнення до фінансового аудиту.
Німецький стандарт «BSI\IT Baseline Protection Manual» містить, мабуть, найбільш змістовне керівництво по забезпеченню безпеки ІТ і представляє безперечну практичну цінність для всіх фахівців, що займаються питаннями інформаційної безпеки.
Практичні стандарти і керівництва по забезпеченню інформаційної безпеки, що розробляються в рамках проекту SCORE, орієнтірованни на технічних фахівців і є в технічному плані найбільш досконалими в даний час.
Програма сертифікації Інтернет сайтів по вимогах інформаційної безпеки і відповідна специфікація «Sans/giac Site Certification», запропонована інститутом SANS, заслуговує на розгляд у зв'язку з незмінно зростаючою актуальністю питань захисту ІС організацій від атак з боку мережі Інтернет і збільшенням частки відповідних робіт при проведенні аудиту безпеки.
ISO 17799: Code of Practice for Information Security ManagementЯкнайповніше критерії для оцінки механізмів безпеки організаційного
рівня представлені в міжнародному стандарті ISO 17799: Code of Practice for Information Security Management (Практичні правила управління інформаційною безпекою), прийнятому в 2000 році. ISO 17799 був розроблений на основі британського стандарту BS 7799.
ISO 17799 може використовуватися як критерії для оцінки механізмів безпеки організаційного рівня, включаючи адміністративні, процедурні і фізичні заходи захисту.
Практичні правила розбиті на наступних 10 розділів:· Політика безпеки· Організація захисту· Класифікація ресурсів і їх контроль· Безпека персоналу· Фізична безпека· Адміністрування комп'ютерних систем і обчислювальних мереж· Управління доступом· Розробка і супровід інформаційних систем· Планерування безперебійної роботи організації· Контроль виконання вимог політики безпекиДесять засобів контролю, пропонованих в ISO 17799 (вони позначені як
ключові), вважаються за особливо важливі. Під засобами контролю в даному
28
контексті розуміються механізми управління інформаційною безпекою організації.
При використанні деяких із засобів контролю, наприклад, шифрування даних, можуть потрібно пораді фахівців з безпеки і оцінка ризиків, щоб визначити, чи потрібні вони і яким чином їх слід реалізовувати. Для забезпечення більш високого рівня захисту особливо цінних ресурсів або надання протидії особливо серйозним погрозам безпеці, у ряді випадків можуть потрібно сильніші засоби контролю, які виходять за рамки ISO 17799.
Десять ключових засобів контролю, перераховані нижче, є або обов'язкові вимоги, наприклад, вимоги чинного законодавства, або вважаються за основні структурні елементи інформаційної безпеки, наприклад, навчання правилам безпеки. Ці засоби контролю актуальні для всіх організацій і середи функціонування АС і складають основу системи управління інформаційною безпекою.
Ключовими є наступні засоби контролю:· документ про політику інформаційної безпеки;· розподіл обов'язків по забезпеченню інформаційної безпеки;· навчання і підготовка персоналу до підтримки режиму інформаційної
безпеки;· повідомлення про випадки порушення захисту;· засоби захисту від вірусів;· планерування безперебійної роботи організації;· контроль над копіюванням програмного забезпечення, захищеного
законом про авторське право;· захист документації організації;· захист даних;· контроль відповідності політиці безпеки.Процедура аудиту безпеки ІС включає перевірку наявності
перерахованих ключових засобів контролю, оцінку повноти і правильності їх реалізації, а також аналіз їх адекватності ризикам, що існують в даній середі функціонування. Складовою частиною робіт по аудиту безпеки ІС також є аналіз і управління ризиками.
ISO 15408: Common Criteria for Information Technology Security Evaluation
Якнайповніше критерії для оцінки механізмів безпеки програмно-технічного рівня представлені в міжнародному стандарті ISO 15408: Common Criteria for Information Technology Security Evaluation (Загальні критерії оцінки безпеки інформаційних технологій), прийнятому в 1999 році.
Загальні критерії оцінки безпеки інформаційних технологій (далі «Загальні критерії») визначають функціональні вимоги безпеки (security functional requirements) і вимоги до адекватності реалізації функцій безпеки (security assurance requirements).
При проведенні робіт по аналізу захищеності ІС, «Загальні критерії» доцільно використовувати як основні критерії, що дозволяють оцінити рівень
29
захищеності АС з погляду повноти реалізованих в ній функцій безпеки і надійності реалізації цих функцій.
Хоча застосовність «Загальних критеріїв» обмежується механізмами безпеки програмно-технічного рівня, в них міститься певний набір вимог до механізмів безпеки організаційного рівня і вимог по фізичному захисту, які безпосередньо пов'язані з описуваними функціями безпеки.
Перша частка «Загальних критеріїв» містить визначення загальних понять, концепції, опис моделі і методики проведення оцінки безпеки ІТ. У ній вводиться понятійний апарат, і визначаються принципи формалізації наочної області.
Вимоги до функціональності засобів захисту приводяться в другій частці «Загальних критеріїв» і можуть бути безпосередньо використані при аналізі захищеності для оцінки повноти реалізованих в ІС функцій безпеки.
Третя частка «Загальних критеріїв», разом з іншими вимогами до адекватності реалізації функцій безпеки, містить клас вимог по аналізу уязвімостей засобів і механізмів захисту під назвою AVA: Vulnerability Assessment. Даний клас вимог визначає методи, які повинні використовуватися для попередження, виявлення і ліквідації наступних типів уязвімостей:
· Наявність побічних каналів просочування інформації;· Помилки в конфігурації, або неправильне використання системи, що
приводить до переходу системи в небезпечний стан;· Недостатня надійність (стійкість) механізмів безпеки, що
реалізовують відповідні функції безпеки;· Наявність уязвімостей («дір») в засобах захисту інформації, що
дозволяють користувачам отримувати НСД до інформації в обхід існуючих механізмів захисту.
При проведенні робіт по аудиту безпеки, дані вимоги можуть використовуватися як керівництво і критерії для аналізу уязвімостей ІС.
SysTrustПо суті, аудит в області інформаційних технологій, хоча і не має ніякого
відношення до фінансового аудиту, часто є доповненням до нього як комерційна послуга, пропонована аудиторськими фірмами своїм клієнтам, у зв'язку з підвищенням залежності бізнесу клієнтів від ІТ. Ідея полягає в тому, що використання надійних і безпечних ІТ систем до певного ступеня гарантує надійність фінансової звітності організації. Добрі результати ІТ аудиту в деяких випадках дозволяють проводити фінансовий аудит в скороченому варіанті, економлячи час і гроші клієнтів.
SysTrust дозволяє фінансовим аудиторам розширити область своєї діяльності, шляхом використання простого і зрозумілого набору вимог для оцінки надійності і безпеки ІС.
У стандарті Systrust ІС оцінюється в термінах її доступності (Availability), безпеки (Security), цілісності (Integrity) і експлуатаційної надійності (Maintainability).
Під доступністю традиційно розуміється можливість ІС надавати інформаційні сервіси в будь-яких режимах функціонування і при будь-яких
30
навантаженнях, передбачених умовами її експлуатація, із затримками, що не перевищують встановлені вимоги.
Під безпекою розуміється захищеність ІС від фізичного і логічного несанкціонованого доступу. Як засоби забезпечення безпеки в основному розглядуються засоби розмежування фізичного і логічного доступу до ресурсів ІС.
Під цілісністю розуміється можливість ІС забезпечити збереження таких властивостей оброблюваної в системі інформації як повнота, точність, актуальність, своєчасність і автентичність.
Експлуатаційна надійність ІС визначається можливістю зміни конфігурації і оновлення системи для забезпечення таких її властивостей як доступність, безпека і цілісність.
В ході сертифікації по вимогах стандарту Systrust (Systrust engagement) аудитор оцінює відповідність ІС критеріям доступності, безпеці, цілісності і експлуатаційній надійності (Systrust Principles and Criteria), перевіряючи наявність в системі необхідних механізмів контролю. Потім аудитор проводить тестування механізмів контролю з метою визначення їх працездатності і ефективності. Якщо в результаті тестування підтверджується відповідність ІС критеріям Systrust, аудитор випускає звіт по атестації (unqualified attestation report). У звіті формулюється виводи щодо повноти і ефективності реалізації керівництвом організації механізмів контролю в тій, що атестовується ІС. На додаток до звіту по атестації, аудитор готує загальний опис обстежуваної ІС. У багатьох випадках також готується затвердження керівництва організації (management's assertion) щодо ефективності механізмів контролю, що дозволяють забезпечити відповідність ІС критеріям Systrust. Обстеження ІС і оцінка її відповідності критеріям Systrust проводиться відповідно до «Керівництва по Проведенню Атестації» (“Statement on Standards for Attestation Engagements (SSAE) No. 10, Attestation Standards, AT sec. 101"Attest Engagements"”.)
Практичні стандарти SCORE і програма сертифікації Sans/giac Site Certification
SCORE (Security Consensus Operational Readiness Evaluation) є сумісним проектом інституту SANS і Центру безпеки Інтернет (Center for Internet Security(CIS)). Професіонали-практики в області інформаційної безпеки з різних організацій об'єдналися в рамках проекту SCORE з метою розробки базового (мінімально необхідного) набору практичних стандартів і керівництва по забезпеченню безпеки для різних операційних платформ. Вимоги і рекомендації, пропоновані для включення в стандарти, широко обговорюються і перевіряються учасниками проекту SCORE, і лише після їх схвалення всіма учасниками, передаються в CIS, який займається їх формалізацією і оформленням, а також розробляє програмні засоби (minimum standards benchmarks) для оцінки відповідності операційних платформ запропонованим стандартам. Розроблені базові стандарти разом з керівництвом по забезпеченню відповідності цим стандартам і засобами тестування публікуються на Інтернет сайті CIS.
31
Програма сертифікації Інтернет сайтів (GIAC Site Certification program), запропонована інститутом SANS, дозволяє організаціям проводити аудит безпеки сегментів комп'ютерної мережі, безпосередньо підключених до мережі Інтернет, відповідно до стандартів SCORE.
Програма сертифікації «GIAC Site Certification» визначає три рівні захищеності Інтернет сайтів. На практиці, в даний час, використовуються тільки перші два з них.
Сертифікація сайту на першому рівні припускає перевірку зовнішніх мережевих адрес організації, видимих з мережі Інтернет, на предмет уразливості відповідних хостов відносно мережевих атак. На цьому рівні має бути забезпечена захист сайту від найбільш поширених атак. Потрібна відсутність найбільш серйозних і таких, що часто зустрічаються уязвімостей захисту. Пред'являються також певні вимоги до рівня кваліфікації фахівців, що відповідають за забезпечення безпеки сайту.
На другому рівні потрібне проведення всіх перевірок і дотримання всіх вимог першого рівня, а крім того потрібно здійснювати періодичний перегляд політики і процедур забезпечення мережевої безпеки. Також на другому рівні проводиться перевірка захищеності сайту від мережевих атак шляхом здійснення спроб проникнення і злому систем, підключених до мережі Інтернет.
На третім рівні, окрім забезпечення відповідності всім вимогам другого рівня, потрібний також регулярно проводити сканування мережі зсередини з метою захисту від погроз з боку внутрішніх порушників, а також зовнішніх зловмисників, що намагаються подолати механізми захисту зовнішнього периметра мережі шляхом використання просунутих методів, включаючи методи соціального інженерінга.
Від рівня до рівня посилюються вимоги, що пред'являються до кваліфікації фахівців, організаційної структури підрозділів, що займаються питаннями захисту, наявності формальних політик і процедур, а також строгості і глибині тестів, використовуваних для перевірки механізмів захисту Інтернет-сайту організації.
ВисновкиАудит є незалежною експертизою окремих областей функціонування
організації, що проводиться за ініціативою її керівництва або акціонерів, або відповідно до плану проведення внутрішнього аудиту. Основними цілями проведення аудиту безпеки є:
· аналіз різіків, пов'язаних з можливістю здійснення погроз безпеці відносно ресурсів ІС;
· оцінка поточного рівня захищеності ІС;· локалізація вузьких місць в системі захисту ІС;· оцінка відповідності ІС існуючим стандартам в області інформаційної
безпеки;· вироблення рекомендацій по впровадженню нових і підвищенню
ефективності існуючих механізмів безпеки ІС.Роботи по аудиту безпеки ІС включають ряд послідовних етапів:· Ініціація обстеження
32
· Збір інформації· Аналіз отриманих даних· Вироблення рекомендацій· Підготовка звіту за наслідками обстеження· Підходи до проведення аудиту безпеки можуть базуватися на аналізі
рисок, спиратися на використання стандартів інформаційної безпеки, або об'єднувати обидва ці підходу.
В даний час є велика різноманітність як методів аналізу і управління ризиками, так і що реалізовують їх програмних засобів.
Одним з найбільш потужних і універсальних інструментів, аналізу рисок є метод CRAMM. Програмне забезпечення CRAMM, окрім аналізу і управління ризиками, дозволяє вирішувати також і ряд інших аудиторських завдань, включаючи:
· Проведення обстеження ІС і випуск супровідної документації на всіх етапах проведення обстеження;
· Проведення аудиту відповідно до вимог Британського уряду, а також стандарту BS 7799:1995 - Code of Practice for Information Security Management Bs7799;
· Розробка політики безпеки і плану забезпечення безперервності бізнесу.
Грамотне використання методу CRAMM дозволяє отримувати добрі результати, найбільш важливим з яких, мабуть, є можливість економічного обгрунтування витрат організації на забезпечення інформаційної безпеки і безперервності бізнесу.
Результатом проведення аудиту, останнім часом, все частіше стає сертифікат, що засвідчують відповідність обстежуваною ІС вимогам визнаного міжнародного стандарту. У лекції розгледіло декілька стандартів і програм сертифікації, що мають практичне значення.
Міжнародні стандарти ISO17799 і ISO15408 служать основою для проведення будь-яких робіт в області інформаційної безпеки, у тому числі і аудиту. ISO17799 зосереджений на питаннях організації і управління безпекою, тоді як ISO15408 визначає детальні вимоги, що пред'являються до програмно-технічних механізмів захисту інформації.
Специфікація Systrust в даний час достатньо широко використовується аудиторськими компаніями, що традиційно виконують фінансовий аудит для своїх клієнтів і що пропонують послугу ІТ аудиту як доповнення до фінансового аудиту.
Практичні стандарти і керівництва по забезпеченню інформаційної безпеки, що розробляються в рамках проекту SCORE, орієнтірованни на технічних фахівців і є в технічному плані найбільш досконалими.
Програма сертифікації Інтернет сайтів по вимогах інформаційної безпеки і відповідна специфікація «SANS/GIAC Site Certification», зовсім недавно запропонована інститутом SANS, безумовно, заслуговує на увагу у зв'язку з незмінно зростаючою актуальністю питань захисту ІС організацій від атак з боку мережі Інтернет і збільшенням частки відповідних робіт при проведенні аудиту безпеки.
33
-----
4.3 ІНФОРМАЦІЙНА БЕЗПЕКА УКРАЇНИ
Інформаційна безпека є однією із суттєвих складових національної безпеки країни, її забезпечення завдяки послідовній реалізації грамотно сформульованої національної інформаційної стратегії в значній мірі сприяє забезпеченню досягнення успіху при вирішенні задач у політичній, військово-політичній, військовій, соціальній, економічній та інших сферах державної діяльності...
Інформаційна безпека є однією із суттєвих складових частин національної безпеки країни, її забезпечення завдяки послідовній реалізації грамотно сформульованої національної інформаційної стратегії в значній мірі сприяла б забезпеченню досягнення успіху при вирішенні задач у політичній, військово-політичній, військовій, соціальній, економічній та інших сферах державної діяльності. Так, проведення в життя вдалої інформаційної політики може суттєво вплинути на розв’язання внутрьошньополітичних, зовнішньополітичних та військових конфліктів.
У ст. 17. Конституції України зазначено: “ Захист суверенітету і територіальної цілісності України, забезпечення її економічної та інформаційної безпеки є найважливішими функціями держави, справою всього Українського народу”.
Найбільш вважливі національні інтереси – суверенітет і територіальна цілісність держави. Символічним є те, що такі, здавалося б різнопланові завдання, як захист суверенітету і територіальної цілісності України, забезпечення її економічної та інформаційної безпеки стоять поряд, на одному рівні з точки зору їх важливості.
В Концепції (основах державної політики) національної безпеки України серед пріоритетних національних інтересів визначено такі:
- досягнення національної злагоди, політичної і соціальної стабільності; гарантування прав української нації та національних меншин України;
- зміцнення генофонду Українського народу, його фізичного і морального здоров'я та інтелектуального потенціалу;
- розвиток української нації, історичної свідомості та національної гідності українців; розвиток етнічної, культурної, мовної та релігійної самобутності усіх національностей, що складають український народ;
- налагодження рівноправних та взаємовигідних відносин з усіма державами, інтегрування в європейську та світову спільноту.
У цьому ж документі визначені і основні можливі загрози національній безпеці України в найбільш важливих сферах життєдіяльності, серед яких зазначені такі:
У політичній сфері:- посягання на конституційний лад і державний суверенітет України;- втручання у внутрішні справи України з боку інших держав;
34
- наявність сепаратистських тенденцій в окремих регіонах та у певних політичних сил в Україні;
- загострення міжетнічних і міжконфесійних відносин.У соціальній сфері:- тенденції моральної та духовної деградації в суспільстві.У науково-технологічній сфері:- науково-технологічне відставання України від розвинених країн;- зниження рівня підготовки висококваліфікованих наукових та
інженерно-технічних кадрів.В інформаційній сфері:- повільність входження України у світовий інформаційний простір, брак
у міжнародного співтовариства об'єктивного уявлення про Україну;- інформаційна експансія з боку інших держав.З аналізу змісту наведених інтересів і загроз їхній реалізації випливає, що
механізми забезпечення національних інтересів і загрози за своєю сутністю мають переважно інформаційний характер.
Такі складові інформаційного середовища України, як інформаційні ресурси (у тому числі й інформаційні технології) та інформаційна інфраструктура (як матеріально-технічна основа створення, розповсюдження і використання інформаційних ресурсів), які входять до складу національного інформаційного потенціалу, сьогодні значною мірою визначають рівень і темпи соціально-економічного, науково-технічного і культурного розвитку країни. У наш час «інформаційний потенціал» стає одним з найважливіших чинників забезпечення національної безпеки наряду з "економічним потенціалом", "військовим потенціалом" тощо.
Останнiм часом все частiше в рядi офiцiйних джерел та чисельних перiодичних виданнях рiзного рiвня з’являються такi термiни, як “iнформацiйна безпека”, “iнформацiйна вiйна”, “iнформацiйна боротьба”, “iнформацiйнi загрози”, “iнформацiйна зброя”.
Слiд вiдзначити, що сьогоднi не iснує чiткого визначення сутностi цих понять, має мiсце некоректнiсть вживання ряду термiнiв. Так, навiть у солiдних нуково-технiчних виданнях часто ототожнюються поняття “iнформацiйна безпека” i “безпека iнформацiї”, “iнформацiйна вiйна” i “iнформацiйна боротьба” тощо. Як наслiдок, поняття “система iнформацiйної безпеки” за сутнiстю пiдмiнюється поняттями “система безпеки iнформацiї”, “система захисту iнформацiї”, “система технiчного захисту iнформацiї”.
Інформаційні загрози національній безпеці УкраїниГоловна інформаційна загроза національній безпеці – це загроза впливу
іншої сторони на інформаційну інфраструктуру країни, інформаційні ресурси, на суспільство, свідомість, підсвідомість особистості, з метою нав’язати державі бажану (для іншої сторони) систему цінностей, поглядів, інтересів і рішень у життєво важливих сферах суспільної й державної діяльності, керувати їхньою поведінкою і розвитком у бажаному для іншої сторони напрямку. Власне, це є загрозою суверенітету України в життєво важливих сферах суспільної й державної діяльності, що реалізовується на інформаційному рівні. Країна з більш високим рівнем інформаційної озброєності має змогу керувати
35
країною з нижчим її рівнем, спрямовуючи розвиток цієї країни в своїх інтересах під постійним інформаційним контролем.
Методологічні засади інформаційної безпеки - єдність концептуальних, теоретичних і технологічних основ забезпечення на інформаційному рівні безпеки всіх сфер державної і суспільної діяльності (політичної, економічної, соціальної, воєнної, екологічної, духовної та ін.), а також сфер формування, обігу, накопичення і використання інформації (інформаційний простір, інформаційні ресурси, інформаційно-аналітичне забезпечення органів державного управління у всіх різновидах діяльності тощо). Предметом методології інформаційної безпеки є дослідження способів, методів, засобів і каналів реалізації загроз національним інтересам на інформаційному рівні та їх своєчасного виявлення, запобігання і нейтралізації.
Інформаційна боротьбаІнформаційна боротьба є найбільш ефективним засобом досягнення i
забезпечення розвинутими країнами своїх цілей і інтересів у всіх життєвоважливих сферах (політичній, військовополітичний, єкономічній, соціальній, військовій, ін.).
Іінформаційна боротьба значно ширша за своїми цілями, задачами і сферами впливу; крім силових структур в цю війну втягуються такі структури, як політичні, фінансові, промислові та ін. Неминучість втягнення України в інформаційну боротьбу зумовлена наявністю політичних, економічних та інших інтересів щодо нашої країни з боку розвинутих країн.
Інформаційна боротьба передбачає вирішення наступних взаємопов‘язаних комплексів і завдань:
1. Цілеспрямоване добування вірогідної інформації про стан та діяльність своїх об‘єктів і об‘єктів протидійної сторони з жорсткими вимогами до її якості і оцінка на її основі політичної, воєнної тощо обстановки.
2. Цілеспрямований і комплексний вплив на інформаційні ресурси протидійної сторони на всіх фазах їх виробництва, розповсюдження і використання. При цьому особливої важливості набуває вплив, націлений на зміну саме змісту інформації.
3. Захист своїх інформаційних ресурсів від впливу на них протидійною стороною на всіх фазах процесу їх відтворення.
Таке визначення завдань інформаційної боротьби обумовлює об‘єкти впливу, а саме: інформаційні ресурси, інформаційні технології і фахівці з аналітичного опрацювання інформаційних потоків, які безпосередньо вирішують завдання інформаційно-аналітичного забезпечення органів державного управління.
В контексті використання інформації в якості зброї вона може характеризуватись такими показниками, як цілеспрямованість, вибірковість, роззосередженість, масштабність впливу, досяжність, швидкість доставки, комплексність впливу на технічні засоби, системи і людей, можливість регулювання (дозування) "потужності" впливу, тощо, що визначає її як зброю масового уражння.
Одним із найбільш наглядних прикладів можливостей з нав'язування рішень протидіючій стороні та управління її поведінкою є формування
36
грамотно побудованої дезінформації, яка фахівцями інформаційно-аналітичних центрів частіше розглядається як правдива і використовується за основу для прийняття рішень державного значення.
Методологічні засади інформаційної боротьби – єдність концептуальних, теоретичних і технологічних основ ведення інформаційної боротьби (у широкому й вузькому розумінні) та комплексного виконання її завдань.
Предметом методології інформаційної боротьби є дослідження механізмів, засобів і каналів інформаційного впливу на соціо- й соціотехнічні системи та можливостей захисту від нього. Як наука про механізми інформаційного протиборства, інформаційна боротьба є, з одного боку, методологічною основою ведення інформаційної війни, а з другого - методологічною основою забезпечення інформаційної безпеки як складової національної безпеки загалом, так і воєнної безпеки зокрема.
Залежність безпеки державного управління від стану інформаційно-аналітичного забезпечення
В Україні зі становленням державності проблеми безпеки використання інформації набули особливої гостроти. Перехід від інформаційної ізоляції за часів СРСР до інформаційної відкритості сьогодення занурив українське суспільство у світові інформаційні процеси, які вимагають від України формування сучасних поглядів на роль і місце інформаційної складової в усіх сферах життєдіяльності. Одна з найважливіших проблем безпеки використання інформації - забезпечення управлінської діяльності органів державної влади. Переважна більшість рішень, що приймаються державними структурами, мають інформаційну основу.
Безпека прийняття рішень та їх наслідків значною мірою залежить від того, наскільки своєчасно необхідна, повна та об‘єктивна інформація лягла в основу відповідного рішення. З цих позицій інформаційно-аналітичне забезпечення органів державного управління доцільно розглядати як один із визначальних чинників ефективності і безпеки управління.
Проблеми інформаційно-аналітичного забезпечення органів державного управління значною мірою залежать від таких важливих складових, як:
1) особливості інформаційних процесів, що визначають характер обміну інформаційними ресурсами;
2) стан національного інформаційного простору (національний інформаційний простір – вся “сукупність інформаційних потоків як національного, так і іноземного походження, які доступні на території держави”);
3) використання інформаційних технологій уречевлення інформаційних ресурсів для потреб управлінської діяльності.
Модель системи інформаційної безпеки Інформаційна безпека значною мірою визначає, з одного боку, рівень
захищеності і, як наслідок, стійкості основних сфер життєдіяльності суспільства (країни) по відношенню до небезпечного (дестабілізуючого, деструктивного, уразливого тощо) інформаційного впливу, а з іншого боку – інтенсивність розвитку суспільства в тій чи іншій сфері за рахунок ефективного використання накопичених людством знань.
37
З точки зору інформатизації під інформаційною безпекою розуміється ступінь захищеності інформаційних ресурсів від негативного впливу різного роду зовнішніх і внутрішніх інформаційних загроз, яка забезпечує їх ефективне використання в інтересах громадян, суспільства і країни. Отже системний підхід до вирішення задач забезпечення інформаційної безпеки при створенні національних інформаційних систем з їх інтеграцією у глобальні міжнародні інформаційні системи вимагає дослідження і вияву всіх можливих механізмів впливу на національний інформаційний простір, особливо на зміст інформаційних потоків.
З метою здійснення системного підхіду до вирішення задач забезпечення інформаційної безпеки пропонується розглянути модель системи інформаційної безпеки у вигляді трьох складових (блоків показників), що комплексно поєднанні, а саме:
· Блок показників «ОСНОВИ»;· Блок показників «НАПРЯМКИ»;· Блок показників «ЕТАПИ».Основи системи інформаційної безпеки України1. Законодавча, нормативно-правова, наукова та методична база2. Структура та завдання органів, що забезпечують інформаційну безпеку
національних інтересів України3. Політика інформаційної безпеки (інформаційна стратегия)4. Методи, технології та засоби забезпечення інформаційної безпеки
(інформаційно-технічне забезпечення)Напрямки здійснення системи інформаційної безпеки України1. Інформаційно-телекомунікаційна інфраструктура2. Інформаційне середовище3. Інформаційні ресурси4. Інформаційні процеси5. Інформаційні технології6. Система масової інформації7. Моніторінг інформаційної безпеки
Етапи створення та функціонування системи інформаційної безпеки України
1. Визначення переліку інформаційних технологій та ресурсів, що потребують забезпечення безпеки
2. Визначення та оцінка загроз (ризиків) для інформаційних технологій та ресурсів
3. Визначення вимог до системи інформаційної безпеки національних інтересів України
4. Вибір та впровадження організаційно-технічних рішень5. Контроль функціонування та оцінка ефективністі системи
інформаційної безпеки За допомогою такої моделі системи інформаційної безпеки України
можливе використання наукових методів та підходів, що викладені в монографії Домарєва В.В. “Безопасность информационных технологий.
38
Методология создания систем защиты“. http://www.security.ukrnet.net/modules/sections/index.php?op=viewarticle&artid=2
Деякі терміни та визначення в предметній галузі “інформаційна безпека”Інформація – а) відомості про особи, предмети, факти, події, явища та
процеси незалежно від форми їх подання;б) втілені в деякій формі відомості, які відбивають з будь-яким ступенем
приближення сутності об’єктів та явищ абстрактного або реального світу.Інформація представляє собою нерозривну єдність сутності й форми (in form) і не існує без носія інформації. Інформація має троїсту сутність: вона об’єктивно існує незалежно від нас; вона є моделлю відповідних об’єктів і процесів; вона здатна породжувати певні матеріально-енергетичні процеси.
Інформаційна система – а) комунікаційна система збору, обробки, перетворення, передачі та реалізації інформації в органах і структурах планування та управління
б) система, яка здійснює отримування вхідних даних, обробку цих даних та/або зміну внутрішнього стану, видачу результату або зміну свого зовнішнього стану
Інформаційний ресурс – доступні для безпосереднього використання дані і знання, відмінною і невід’ємною характеристикою яких є їх прагматична цінність, що визначається практичними потребами в їх материально-енергетичному уречевленні в інтересах вирішення певних практичних завдань. Інформаційний ресурс є інтелектуальним ресурсом, результатом колективної творчості, і головна складність в розумінні його природи і функцій полягає в розкритті механізму переходу "знань в силу", способів його впливу на фактори розвитку людства.
Інформаційний процес – а) процес створення, обробки, накопичення, зберігання, пошуку, розповсюдження та споживання інформації;
б) послідовність дій по зміненню форми і/або змісту інформації. Інформаційний процес відбуваються в природному середовищі,
суспільстві, виробництві, технологіях, технічних та соціотехнічних системах, свідомості і підсвідомості людей і супроводжується перетворенням інформації. Інформація не має сенсу поза інформаційного процесу (суфікс “tion” в слові “information” відбиває процесуальність поняття “інформація”).
Інформаційна інфраструктура – а) сукупність центрів обробки та аналізу інформації, каналів інформаційного обміну та телекомунікації, ліній зв'язку систем і засобів захисту інформації ;
б) сукупність центрів і каналів створення, накопичення, зберігання, обробки і розповсюдження інформації.
Інформаційний простір - середовище існування та розповсюдження інформації, створюване інформаційною інфраструктурою. Середовище розповсюдження інформації структуроване каналами її розповсюдження.Інформаційний потік – рух інформації в інформаційному просторі.
Національний інформаційний простір – інформаційний простір, в будь-якій точці якого з території держави доступні інформація та інформаційні потоки як національного, так й іноземного походження.
39
Інформаційні технології – а) організована сукупність процесів, елементів, засобів і методів, що використовуються для обробки інформації ; б) матеріалізовані на базі інформаційної інфраструктури знання в галузі створення, накопичення, зберігання, обробки, передачі і використання інформації.
Інформаційна загроза - а) такий інформаційний вплив (внутрішній чи зовнішній), при якому створюється потенційна чи актуальна (реальна) небезпека зміни напрямку або темпів прогресивного розвитку країни, суспільства, індивідів;
б) небезпека нанесення шкоди життєво-важливим інтересам особистості, суспільства та країни через інформаційний вплив на свідомість, підсвідомість, інформаційні ресурси, інфосферу машинно-технічних систем та інші об'єкти інформаційної інфраструктури країни.
Унікальною особливістю інформаційних загроз є те, що вони, з одного боку являють собою самостійний клас загроз, а з другого - є реалізаційною основою інших видів загроз на інформаційному рівні, а часто і їх першопричиною.
Загроза інформаційній безпеці - фактор чи сукупність факторів, утворюючих безпеку функціонуванню, збереженню ті розвитку інформаційного середовища суспільства .
Національна безпека - сукупність зв'язків і відносин, що характеризують такий стан особистості, суспільства, країни, народу, при якому забезпечується їх стале, стабільне існування, задоволення і реалізація життєвих потреб, здатність до ефективного парирування внутрішніх і зовнішніх загроз, саморозвитку і прогресу .
Інформаційна безпека – а) захищеність інформаційного середовища особистості, суспільства та
держави від навмисних і ненавмисних загроз і впливів.б) стан інформаційної озброєності особистості, суспільства, країни, тобто
озброєності їх знаннями, при якому досягається захищеність і реалізація їх життєво-важливих інтересів і гармонічний розвиток незалежно від наявності внутрішніх і зовнішніх загроз;
в) стан забезпечення завдань національної безпеки на інформаційному рівні, при якому досягається захищеність і реалізація життєво-важливих інтересів, гармонічного розвитку і потреб в інформації особистості, суспільства, країни незалежно від наявності внутрішніх і зовнішніх загроз.
Уразливість інформації – властивість даних, масивів, документів, які зберігаються, оброблюються та передаються, що свідчить про потенційну можливість витоку інформації, фізичного руйнування або несанкціонованого використання.
Безпека інформації - стан, що забезпечує захист інформації від загроз для неї [Держстандарт України. Технічний захист інформації. Терміни і визначення].
Захист інформації – сукупність організаційних, правових, технічних і технологічних заходів з упередження та відбиття загроз інформаційним ресурсам і системам, усунення їх наслідків
40
-----
4.4 МІЖМЕРЕЖЕВІ ЕКРАНИ, ЯК ЗАСІБ ВІД НСД ІЗ ЗАГАЛЬНОДОСТУПНИХ МЕРЕЖ
Глобальна мережа Інтернет створювалася як відкрита система, призначена для відкритого обміну інформацією. Прародителька Інтернету - мережа Arpanet будувалася як мережа, що зв'язує дослідницькі центри, військові, наукові і урядові установи. Як платформа для вирішення завдань, що стоять перед вказаними організаціями, використовувалася операційна система UNIX. 25 - 30 років тому, коли зароджувалися загальнодоступні мережі, проблеми інформаційної безпеки не стояли так гостро як зараз і ОС UNIX задовольняла всіх, що тому виникли в 80 - е роки проблеми безпеки історично пов'язані насамперед з принципами, закладеними в ОС UNIX.
Для організації взаємодії в середі Інтернет використовується набір протоколів, який називається Tcp/ip (Transmission Control Protocol/internet Protocol). Одін з основних принципів, закладених в набір (стік) протоколів, - забезпечення сумісності між комп'ютерами різних типів, тому стек протоколів Tcp/ip став надзвичайно популярним і придбав фактично статус стандарту для міжмережевої взаємодії.
На основі стека протоколів Tcp/ip будується ряд служб Інтернету. Найбільш поширені служби і відповідні протоколи Інтернет: Поштова Служба грунтується на протоколі передачі електронної пошти
(SMTP - Simple Mail Transfer Protocol). Для передачі текстових і двійкових файлів між сервером і клієнтським
робочим местомом може використовуватися Протокол Передачі Файлів (FTP - File Transfer Protocol).
Для забезпечення видаленого доступу в режимі терміналу, що управляє, використовується служба, що отримала назву TELNET.
Грунтуючись на тих міркуваннях, що:- є стандарт для міжмережевої взаємодії;- є безліч різноманітних служб, що забезпечують необхідні сервіси;- і мережа Інтернет дійсно перетворилася на світову павутину;
комерційні організації прийшли до висновку, що значно дешевше передавати інформацію по цій павутині, ніж будувати свої корпоративні мережі. Правда, із-за історичної непристосованості стека протоколів Tcp/ip і ОС UNIX до захисту даних встала проблема захищеності передачі.
МЕ є одним з тих засобів, які дозволяють в деякій мірі забезпечити передачу інформації через глобальні мережі.
Загальні поняттяСиноніми: МЕ, брандмауер, Firewall.
41
Визначення: МЕ - засіб міжмережевого захисту, який дозволяє розділити загальну мережу дві або більш за частки і реалізувати набір правив, що визначають умови проходження пакетів через кордон з однієї частки загальної мережі в іншу.
Як правило, межа проводиться між корпоративною (локальною) мережею організації і глобальною мережею. МЕ пропускає через себе весь трафік, ухвалюючи для кожного пакету рішення - пропускати його або відкинути.
Окрім цього, МЕ використовуються не лише для того, щоб забезпечити себе при виході в Інтернет, але і для захисту Інтранет - сегментів організації (тобто сегментів, які використовують Інтернет, - технології для взаємодії в корпоративних мережах). МЕ в Інтранете розміщуються для ізоляції окремої підмережі від решти корпоративної мережі. Причиною цього може бути те, що доступ до цієї мережі потрібний тільки для деяких співробітників, і цей доступ повинен контролюватися МЕ і надаватися тільки в тому об'ємі, який потрібний для виконання обов'язків співробітника. Прикладом може бути МЕ для фінансового відділу або бухгалтерії в організації.
МЕ дозволяють забезпечити декілька типів захисту: можуть блокувати небажаний трафік або направляти вхідний трафік
тільки до надійних внутрішніх систем;2 можуть приховувати уразливі підсистеми, які не можна забезпечити
від атак з Інтернету іншим способом;3 можуть протоколювати трафік і з внутрішньої мережі;4 можуть приховувати інформацію, таку як імена систем, топологію
мережі, типів мережевих пристроїв і внутрішні ідентифікатори користувачів, від Інтернету
5 можуть забезпечити надійнішу аутентифікацію, ніж та, яку представляють стандартні застосування.
Як і для будь-якого засобу захисту, потрібні певні компроміси між зручністю роботи і безпекою. Відповідно до прийнятих компромісів приймається політика безпеки. Політика безпеки повинна включати дві складові:
- Політику доступу до мережевих сервісів;- Політику реалізації міжмережевих екранів.
Перший тип політики зазвичай грунтується на одному з наступних принципів:
Заборонити доступ Інтернет у внутрішню мережу, але вирішити доступ з внутрішньої мережі в Інтернет;
дозволіті обмежений доступ у внутрішню мережу з Інтернет, забезпечуючи роботу тільки окремих систем, наприклад, пошти.
Політика реалізації МЕ повинна базуватися на одному з двох принципів:- Забороняти все, що не дозволене в явній формі;- дозволяті все, що не заборонене в явній формі.
Перший принцип забезпечує кращу захищеність, проте доставляє значні незручності користувачам. Другий принцип, навпаки, надає більше зручності користувачам, але забезпечує меншу захищеність.
42
Основні компоненти МЕМЕ полягають, як правило з декількох компонент, основними з яких є
наступні:Маршрутизатори, що фільтрують;· Шлюзи мережевого рівня;· Шлюзи прикладного рівня.
Маршрутизатори, що фільтруютьВ цьому випадку фільтрація пакетів здійснюється на основі адресної
інформації, що міститься в заголовках пакетів. У простому випадку маршрутизатор, що фільтрує, фільтрує IP - пакети по наступних параметрах:
По IP - адресі відправника або по IP - адресі одержувача;· По порту відправника або одержувача (порт означає прив'язку
пересилки інформації до конкретного прикладного завдання, тобто якщо відправник і одержувач інформації працюють спільно по двох прикладних завданнях, завдання можуть бути прив'язані до різних портів).
Приклад роботи маршрутизатора, що фільтруєНеобхідно забезпечити фільтрацію протоколів для наступного фрагмента
мережі:
Примітка: (NNTP – Network News Transfer Protocol)
Зведемо набір правил маршрутизатора, що фільтрує, для даного фрагмента мережі в таблицю.
Таблица 1.
Тип протоколу
Адреса відправник
а
Адреса одержувач
а
Порт відправник
а
Порт одержувач
а
Дія
43
TCP * 123.4.5.6 1023 23 Дозволіти
TCP * 123.4.5.7 1023 25 Дозволіти
TCP * 123.4.5.8 1023 25 Дозволіти
TCP129.6.48.25
4123.4.5.9 1023 119 Дозволіти
* * * * *Заборонит
и
Коментарі:1. Перше правило дозволяє пропуськить пакети типа TCP з мережі
Інтернет від будь-якого джерела з номером порту, більшим, ніж 1023, до одержувача з адресою 123.4.5.6 в порт 23. Порт 23 пов'язаний з сервером TELNET і всі клієнти TELNET повинні мати порти з номерами, не меншими 1023.
2. Правила 2 . 4 - аналогічні першому правилу.3. П'яте правило блокує решту всіх пакетів.
Недоліки маршрутизаторів, що фільтрують (ФМ):- Правила фільтрації пакетів формулюються складно і зазвичай немає
засобів для тестування їх коректності, окрім ручного тестування;- Внутрішня мережа видна із загальнодоступної мережі;- Не допомагають при атаках типа «підміни адреси», коли кракер
використовує адресу авторизованого клієнта;- При порушенні працездатності ФМ всі комп'ютери за ним стають
повністю незахищеними або недоступними;- Відсутня належним чином реалізована аутентифікація користувача.
Шлюзи мережевого рівняШлюзи мережевого рівня (ШСР) виключають пряму взаємодію між
авторизованим клієнтом і зовнішньою середою.Логіка роботи ШСР полягає в наступному:Спочатку авторизований клієнт запрошує деякий сервіс, шлюз приймає
цей запит і перевіряє чи задовольняє цей запит правам, наданим клієнтові;· Далі, діючи від імені клієнта, шлюз встановлює зв'язок із зовнішньою
середою і стежить за процесом квитування (процес квитування полягає в обміні синхронізуючими посилками між клієнтом і зовнішнім комп'ютером);
· Після завершення процедури квитування шлюз встановлює з'єднання, копіює пакети і перенаправляє їх між учасниками взаємодії, не проводячи ніякої фільтрації.
Характерна особливість ШСР: При роботі ШСР здійснюється т.з. «туннелірованіє трафіку» або
маскування топології мережі, тобто при зверненні авторизованого клієнта до зовнішнього джерела відбувається перетворення внутрішніх IP - адрес в один
44
зовнішній IP - адреса МЕ і всі витікаючі з внутрішньої мережі пакети виявляються відправленими від цього шлюзу, що виключає прямий контакт між внутрішньою мережею і потенційно небезпечною зовнішньою.
Недолік ШСР:Після встановлення зв'язку ШСР не можуть перевіряти вміст пакетів,
передаваних між внутрішньою і зовнішньою мережею на рівні прикладних програм і кракер в зовнішній мережі може переслати свої шкідливі пакети через шлюз.
Тому ШСР, як правило, не використовуються окремо від інших компонент МЕ і для фільтрації передаваної інформації по сенсу до ШСУ необхідно додавати шлюз прикладного рівня.
Шлюзи прикладного рівняТак само як і ШСР, шлюз прикладного рівня (ШПР) виключає пряма
взаємодія між авторизованим клієнтом і зовнішнім середовищем. Для фільтрації на прикладному рівні вони використовують додаткові програмні засоби (звані серверами - посередниками). Ці програми (сервери - посередники) перенаправляють через шлюз інформацію, яка генерітся конкретними додатками.
Наприклад, якщо ШПУ містить сервери - посередники для служб FTP і TELNET, то в мережі, що захищається, будуть дозволені тільки ці сервіси, а всі останні блокуватимуться.
Як указувалося раніше, для досягнення більш високого рівня безпеці і гнучкості, шлюзи мережевого і прикладного рівня об'єднуються з маршрутизаторами, що фільтрують, в одному міжмережевому екрані. При цьому такий МЕ володітиме наступними перевагами:
Невидимість структури мережі, що захищається; Надійна аутентифікація і реєстрація (прикладний трафік може бути
аутентіфіцирован, перш ніж він досягне внутрішньої мережі); Оптимальне співвідношення між ціною і ефективністю (організація
набуває тільки тих серверів - посередники для шлюзів прикладного рівня, які реально використовуються;
Роздільні правила фільтрації для ФМ і ШПУ спрощують загальну логіку фільтрації.
Недоліки:- Нижча продуктивність в порівнянні з «чистими» ФМ із-за
процедури квитування;- Вища вартість.
Типові схеми захисту з використанням МЕДо цих пір ми розглядували прості схеми захисту від НСД за допомогою
МЕ. Проте, часто перед адміністратором безпеки коштує завдання організації у складі корпоративної мережі декількох сегментів з різними рівнями захищеності. Наприклад, необхідно організувати три сегменти:
Сегмент вільного доступу (рекламний WWW - сервер);· Сегмент з обмеженим доступом (для доступу видалених клієнтів);· Закритий сегмент (закрита локальна мережа, в якій циркулює
фінансова інформація).
45
Розглянемо яким чином вирішується проблема сегментації мереж з використанням МЕ.
Рис. 2. МЕ на основі двопортового шлюзу
Такого типа МЕ включає комп'ютер з двома мережевими інтерфейсами. При передачі інформації між цими інтерфейсами і відбувається основна фільтрація. Для забезпечення додаткового захисту між прикладним шлюзом і відкритою мережею зазвичай розміщується маршрутизатор, що фільтрує, внаслідок чого між прикладним шлюзом і ФМ утворюється внутрішня екранована підмережа.
Рис. 3. МЕ - екранована підмережа
46
Для створення екранованої підмережі використовуються два маршрутизатори, що фільтрують, - один зовнішній і один внутрішній. Екранована підмережа (інколи її називають DMZ - "демілітарізованая зона") містить прикладний шлюз (для фільтрації на прикладному рівні інформації, циркулюючої між локальною і зовнішньою мережею) і і може включати інформаційні, поштові і інші сервери, що вимагають контрольованого доступу.
Така схема МЕ забезпечує якнайкращу безпеку завдяки двом ешелонам оборони.
Зовнішній маршрутизатор працює по наступних правилах: - Дозволяє трафік з Інтернет до прикладного шлюзу і назад;- Дозволяє трафік електронної пошти з Інтернет до відповідного
сервера і назад;- Дозволяє трафік типа FTP з Інтернет до інформаційного сервера;- Забороняє решту трафіку.
Внутрішній маршрутизатор захищає внутрішню мережу як від Інтернет, так і від екранованої підмережі (що є другим ешелоном оборони, необхідним в разі компрометації першого ешелону).
Внутрішній маршрутизатор працює по наступних правилах: - Дозволяє трафік від прикладного шлюзу до локальної мережі і
назад;- Дозволяє трафік електронної пошти від сервера електронної пошти
до поштових клієнтів і назад;- Дозволяє трафік типа FTP з локальної мережі до інформаційного
сервера;- Забороняє решту трафіку.
Застосування того або іншого типа МЕ або їх комбінації залежить від політики безпеки, якою дотримується організація і, природно, від типа організації. Приведемо деякі рекомендації, для цього оцінюватимемо різні варіанти за пятібалльной шкалою (див. Таблиця 2.).
Таблиця 2.4 Рекомендований варіант3 Ефективний варіант2 Допустимий варіант1 Мінімальна безпека0 Неприйнятно
47
У наступній таблиці приведемо ризики застосування того або іншого варіанту для організацій з різними політиками безпеки.
Таблиця 3.
Архітектура МЕ (якщо один з типів,
вказаних нижче, реалізований)
Середовіще з високим ризикомнаприклад
банк
Середовіще з середнім ризикомнаприклад
університет
Середовіще з низьким ризиком,
наприклад дрібний магазин
Маршрутизатор, що фільтрує
0 1 4
Шлюз прикладного рівня
3 4 2
Гібридні шлюзи 4 3 2
Отже, підводячи підсумок вищесказаному про МЕ, необхідно сказати, що вони надають дуже потужні можливості по централізованому адмініструванню, налаштуванню і управлінню великими комп'ютерними мережами, дозволяють різко понизити число «вузьких місць» в системі, але, на жаль, не вирішує проблеми глобально, тобто все одно залишаються можливості порушення захисту системи. Будується жорстка система оборони від зовнішніх ворогів, але від ворогів внутрішніх вона на 100 відсотків не захищає. Помилки адміністрування, злий намір співробітників технічної служби, та і просто співробітників, які мають доступ до фізичних кабельних з'єднань, - все це може звести нанівець захисні функції, МЕ, що надаються. Проте, використання їх, безумовно, можна вважати за виправданий.
-----
4.5 ЛІЦЕНЗУВАННЯ І СЕРТИФІКАЦІЯ В ОБЛАСТІ ТЕХНІЧНОГО ЗАХИСТУ ІНФОРМАЦІЇ В УКРАЇНІ
Одним з перших реальних кроків у формуванні національної системи ТЗІ в Україні з'явилося створення системи державного ліцензування діяльності в області захисту інформації. Були внесені відповідні зміни в Закон про підприємницьку діяльність і введена в дію відповідна інструкція. Декілька років функціонування цієї системи дозволяють підвести деякі підсумки. Перш за все необхідно встановити, які цілі переслідує ліцензування в області ТЗІ і чи досягнуті вони? Одним з основних завдань інституту ліцензування взагалі є захист країни і її населення від товарів, які можуть завдати збитку життю і здоров'ю громадян, екології, нормальній роботі важливих систем і так далі Метою ліцензування може служити також поповнення бюджету держави (як форма "прихованого податку" на високодоходні види діяльності). Обидві ці
48
цілі маловірогідні, оскільки діяльність в області ТЗІ не проносить надприбутків, ціна ліцензії не висока, а погрози для здоров'я і екології відсутній.
Можна зробити вивід, що ліцензування підприємницької діяльності в області захисту інформації з обмеженим доступом від витоку по технічних каналах може мати сенс як державна гарантія якості послуг, що надаються. Це істотно при проведенні заходів щодо захисту гостайни. Але для тих, хто працює з гостайной, давно існує налагоджений механізм допуску і за відсутності такого, належним чином оформленого, ніяка ліцензія не дасть права на проведення робіт по захисту секретної інформації. Декілька інша ситуація виникає при організації захисту інформації суб'єктами недержавного сектора. При цьому спостерігаються два підходи до вирішення проблеми.
У першому випадку керівництво суб'єкта підприємницької діяльності (далі фірма) розуміє необхідність захисту інформації і реально зацікавлено в якісному виконанні робіт. При цьому фірма шукатиме фахівців, що мають найбільший авторитет в даній області, не залежно від того, чи працюють фахівці в організації, що має ліцензію. Таким чином, стимулюється проведення цих робіт за рахунок тіньового сектора економіки. Не виключено, що комерційні структури не завжди охоче підуть на співпрацю з ліцензіатами, що знаходяться під прямим контролем СБУ.
В другому випадку керівництво фірми не вважає за актуальний необхідність проведення заходів щодо захисту інформації, але бажає виконати всі покладені вимоги. У цій ситуації для замовника не має значення якість виконання робіт, поважно тільки, щоб договір і результати робіт були оформлені відповідно до вимог керівних документів (до речі, аналогічне відношення у ряді випадків є видимим і в держустановах). Такий підхід дискредитує систему ТЗІ взагалі і ліцензування діяльності в цій області зокрема. Крім того, в цій ситуації знижуються вимоги до лінцезіатам, що знижує загальний рівень проведення робіт в області ТЗІ в цілому по країні.
Розглянемо ліцензування з погляду напрямів діяльності ліцензіатів в області ТЗІ. Оскільки мова йде про наданні платних послуг споживачеві, нормативна база винна, перш за все, враховувати інтереси замовника. Сьогодні захист інформації на фірмах і в організаціях зводиться, в основному, до наступних напрямів:
· захист мовної інформації з обмеженим доступом, циркулюючої на об'єкті, від витоку по технічних каналах;
· захист інформації з обмеженим доступом, циркулюючої в засобах обчислювальної техніки, від витоку по технічних каналах;
· захист інформації з обмеженим доступом від витоку через заставні пристрої;
· захист інформації з обмеженим доступом, циркулюючої в АС, від несанкціонованого доступу (комп'ютерна безпека - КБ);
· захист інформації з обмеженим доступом, передаваної по комунікаціях різного призначення.
Очевидно, що система ліцензування має бути адекватною названим завданням. Окрім інтересів споживача, вказані напрями діяльності об'єднує
49
єдність технічної і нормативно-методичної бази. Кожен напрям може розділятися на рівні - захист державної і недержавної таємниці. Можна також виділити монтаж засобів захисту і їх спецдослідження, за умови, що атестація об'єкту захисту вже проведена силами самої організації або іншим ліцензіатом.
Розгледимо з цієї точки зору, які вимоги до видів діяльності пред'являє до ліцензіатів «Інструкція про умові i правила провадження підпріємніцької діяльності (ліцензійні умові), пов'язаної з розробленням, віготовленням, ввезенням, вівезенням, реалізацією та вікорістанням засобів технічного захисту інформації, а також з наданням послуг з технічного захисту інформації, та контроль за їх дотріманням». У ній визначені такі види робіт, що підлягають ліцензуванню:
- Дослідження об'єктів інформаційної діяльності і інформаційних систем щодо безпеки інформації, надання консультативних послуг, по технічному захисту інформації.
- Розробка, впровадження, атестація, обслуговування систем технічного захисту інформації, від технічних розвідок і спеціальних впливів на об'єктах інформаційної діяльності.
- Розробка, впровадження, супровід систем технічного захисту інформації, в інформаційних системах.
- Виявлення і блокування витоку Mobhoі і видовій інформації через пристрої закладів на об'єктах інформаційної діяльності.
- Розробка, виготовлення, використання і реалізація засобів забезпечення технічного захисту інформації.
- Ввезення, вивіз засобів технічного захисту інформації. Як видно з приведеного переліку, він не враховує реального підходу до
технічного захисту інформації і потреб замовника. Таким чином, ліцензіат повинен або показати готовність до проведення будь-якого виду робіт (що не завжди необхідне і виправдане), або заявити один напрям діяльності по захисту, що не заважає згодом довільно розширювати сферу діяльності.
Крім того, перші три види діяльності забезпечено тільки закритою нормативно-методичною документацією, для захисту конфіденційної інформації відкрита нормативна база відсутня. Ліцензіатам за цими пунктами необхідно мати 1-й відділ або доступ до документації, незалежно від категорії ліцензії.
Розробка засобів забезпечення ТЗІ. Неясно, яку роль в цьому виді діяльності грає ліцензування. Простий приклад перешкодоподавляючі мережеві фільтри. Вони мають подвійне призначення захист ПК від перешкод в мережі і захист інформації від витоку по ланцюгах живлення. Якщо підприємство давно виготовляє такі фільтри, то тепер воно повинне отримати на це ліцензію (?). З іншого боку, для отримання ліцензії досить пред'явити простий по конструкції виріб (наприклад, діодно-емкісний фільтр типа "Граніт-viii"), а потім можна виготовляти будь-яке по складності і призначенню виріб. Якщо розробка ведеться по держзамовленню, то ніякої ліцензії не потрібна. Тоді навіщо вона організації, яка знайшла рішення в ініціативному порядку? Можна розробляти той же мережевий перешкодоподавляючий фільтр без ліцензій, а потім знайти йому застосування в цілях ТЗІ.
50
Виготовлення засобів забезпечення ТЗІ. У ліцензії не вказано, на яке саме засіб вона видана.
Основним (і єдиним) регулювальником застосування засобів забезпечення ТЗІ є система сертифікації. Розгледимо просту ситуацію: підприємство має ліцензію на виробництво засобу забезпечення ТЗІ, але воно не пройшло сертифікаційних випробувань. Такий виріб не може бути рекомендоване для застосування. З іншого боку, виготовлене в ініціативному порядку і таке, що пройшло сертифікаційні випробування виріб може бути рекомендоване для забезпечення ТЗІ. Виникає закономірне питання, яку мету переслідує ліцензування в цій області.
Ті ж аргументи відносяться до "ввезення, вивозу засобів ТЗІ". Ще можна зрозуміти регламентацію ввезення і вивозу засобів знімання інформації, але засоби захисту можуть вводитися без обмежень за умови їх сертифікації.
Ще одним істотним аспектом є нормування праці в цій області. У інших областях діяльності таке нормування існує. Безумовно, в ринкових умовах нереально нав'язувати вартість договірних робіт, разом з тим орієнтовні середні трудовитрати мають бути визначені нормативним документом. Відсутність норм трудовитрат приводить до того, що деякі ліцензіати невиправдано і значно завищують вартість робіт. Це не принципово, якщо договір укладають між собою комерційні структури. Але якщо договір на виконання робіт по захисту інформації полягає на бюджетні кошти, то це приводить до невиправданої витрати державних грошей. З іншого боку, має місце демпінг з боку ліцензіатів з метою отримання замовлення за будь-яку ціну. За пропоновані терміни і вартість робота просто фізично не може бути виконана з необхідною якістю. Таким чином, гарантія, яку повинна забезпечувати державна ліцензія, фактично не забезпечується якістю роботи. У пропонованому документі, що нормує трудовитрати, не повинно бути точних розцінок. Достатньо, як це було вказано в методиках ГТК, привести норми витрат праці для основних видів робіт. Причому це може бути розраховано як для випадку використання стандартної КИА, так і для автоматизованих вимірювальних комплексів, які дозволені до застосування. Таким чином, може бути сформований регульований цивілізований ринок в області захисту інформації, на противагу що існує. В результаті не постраждає здорова конкуренція, оскільки буде збережена різниця цін за рахунок різної вартості робочої сили, різних накладних і інших витрат, різного прибутку.
Отже, проведений аналіз показує, що прийнята в Україні система ліцензування в області ТЗІ не повністю відповідає поставленим завданням і сучасним вимогам. З ситуації, що склалася, є два виходи -отказ від системи ліцензування в області ТЗІ взагалі, або її радикальна зміна з урахуванням інтересів України і здорового глузду.
Висновки: 1. Необхідно чітко і однозначно визначити цілі і завдання ліцензування
в області ТЗІ, вивчивши світову практику в цьому питанні. 2. Визначити конкретні напрями діяльності, встановити перелік
апаратури і нормативно-методичної документації, необхідні для якісного виконання поставленого завдання.
51
3. Виходячи зі встановлених цілей і завдань ліцензування в області ТЗІ, розробити докладні вимоги до ліцензіатів по кожному напряму діяльності.
4. Розробити пакет нормативно-методичних документів, регулюючих діяльність по захисту конфіденційної інформації.
5. Провести розрахунок середніх трудовитрат на виконання основних операцій при проведенні робіт в області ТЗІ і розробити відповідний нормативний документ.
Очевидно, що система ліцензування підприємницької діяльності в області ТЗІ в Україні представляє складний комплекс проблем, які необхідно вирішувати найближчим часом. Разом з тим, існують пропозиції по ще більш посилюванню ситуації, що припускають введення так званої системи "видачі дозволів на проведення робіт по ТЗІ для власних потреб". По-перше, "дозвіл" і "ліцензія" - одне і теж слово на різних мовах (licentia (лат) -разрешеніє, право). По-друге, не налагодивши досконало систему ліцензування в області підприємницької діяльності, вводити нові дозволи, яких буде потрібно тисячі, щонайменше, недоцільно. У третіх, з документів, що діють, неясно, до яких організацій планується застосування цієї системи - віднесення її і до недержавних структур, безумовно стане порушенням має рацію і свобод. І, по-четверте, чи потрібні такі дозволи за умови реалізації відповідальності керівників за полягання системи ТЗІ в організації (Положення про ТЗІ) і грамотно організованому контролі?
Значно повільніше йде формування системи сертифікації в області ТЗІ. Тільки на восьмому році після створення ГСТЗІ створений перший сертифікаційний центр і випробувальні лабораторії. Відсутні стандарти, нормативні документи, не визначені критерії, які дозволяли б кваліфіковано оцінювати технічні умови на вироби, що пред'являлися. Методики контролю застаріли морально і по своїй структурі не відповідають сучасним вимогам. У даній ситуації, щоб уникнути непотрібних помилок, доцільно звернутися до досвіду Росії, в якій така система діє, і перейняти ту його частка, яка може опинитися корисній Україні.
Головне питання в цій сфері, той же, що і в області ліцензування -какие мети перед собою ставить сертифікація і яким чином ці цілі досягатимуться? В принципі, система сертифікації повинна нести корисну для ТЗІ в Україні функцію - захист споживача, що користується засобами захисту інформації, від недобросовісних постачальників (виробників). Але оскільки застосування засобів ТЗІ не несе загрози життю і здоров'ю громадян України, стану навколишнього середовища, то вона не має бути обов'язковою. Разом з тим, інтереси державної безпеки вимагають надійного захисту гостайни. В цьому випадку повинні застосовуватися тільки перевірені (сертифіковані) засоби захисту інформації. Таким чином, будуть вирішено два завдання:
· можна уникнути державного тиску на підприємця без особливої необхідності, з одного боку, і
· забезпечити надійний захист державних інтересів - з іншою. Підприємець сам зможе вибирати будь-який засіб забезпечення ТЗІ, але
зацікавлений в захисті своєї інформації зупиниться на сертифікованому пристрої.
52
За відсутності державних стандартів виникає проблема з технічною підставою для проведення сертифікації. Стандартна схема на сьогоднішній день:
· розробка технічних умов (ТУ) з включенням в нього вимог по ТЗІ здійснюється розробником виробу;
· узгодження ТУ в частці вимог по ТЗІ в державному органі; · затвердження ТУ в частці відсутності суперечностей і виконання
вимог стандартів по оформленню документа в Держстандарті. Як видно, в цій схемі не беруть участь науково-дослідні організації, які
повинні давати технічну оцінку запропонованого рішення. Раніше ці функції виконували головні науково-дослідні організації по напрямах захисту інформації, які в Україні в даний час не створені.
Не вирішеним на сьогоднішній день є питання сертифікації в частці ТЗІ виробів, що імпортуються, або визнання іноземних сертифікатів. В цьому випадку витрати на сертифікацію якого-небудь зразка понесе одна організація, а її результатами користуватимуться всі постачальники.
У зв'язку з відсутністю системи сертифікації в області ТЗІ в Україні, були розроблені переліки засобів ТЗІ, дозволених до застосування. Цей захід був як вимушеним, так і необхідним - вона дозволила якоюсь мірою управляти застосуванням засобів ТЗІ за відсутності системи сертифікації. Але тепер, коли зроблені перші кроки у формуванні цієї системи, переліки стали гальмом в її розвитку. Навіщо витрачати засоби на сертифікацію, якщо виріб є в згаданому переліку, або його не складно включити в цей перелік? Одним з виходів з ситуації, що створилася, дозволів, що дозволили перейти від системи, до системи сертифікації, могла б стати централізована організація випробувань з подальшою компенсацією витрат шляхом відрахувань від реалізації сертифікованих виробів. У міру видачі сертифікатів з переліку повинні виключатися вироби, аналогічні сертифікованим за призначенням і основним параметрам.
Так само, як і в області ліцензування, в області сертифікації існує проблема формування праці при проведенні типових випробувань.
-----
4.6 ЯК ПОБУДУВАТИ І СЕРТИФІКУВАТИ СИСТЕМУ УПРАВЛІННЯ ІНФОРМАЦІЙНОЮ БЕЗПЕКОЮ?
Для багатьох компаній настав час задуматися про управління безпекою - ІТ-інфраструктура багато з них досягла рівня, що вимагає чітко відладженої координації. При побудові системи управління безпекою (СУЇБ) експерти рекомендують спиратися на міжнародні стандарти Iso/iec 27001/17799.
Керівник зобов'язаний контролювати ситуацію в своїй організації, підрозділі, проекті і у взаєминах із замовниками. Це означає бути обізнаним про те, що відбувається, своєчасно дізнаватися про всі нештатні ситуації і уявляти собі, які дії треба буде зробити, в тому або іншому випадку. У організації існує декілька рівнів управління, починаючи з менеджерів вищої
53
ланки і закінчуючи конкретним виконавцями, і на кожному рівні ситуація повинна залишатися під контролем. Іншими словами, має бути збудована вертикаль управління і процеси управління.
Система управління інформаційною безпекою - що це таке?Управління інформаційною безпекою - це циклічний процес, що включає
усвідомлення ступеня необхідності захисту інформації і постановку завдань; збір і аналіз даних про полягання інформаційної безпеки в організації; оцінку інформаційних рисок; планерування мерів по обробці рисок; реалізацію і впровадження відповідних механізмів контролю, розподіл ролей і відповідальності, навчання і мотивацію персоналу, оперативну роботу по здійсненню захисних заходів; моніторинг функціонування механізмів контролю, оцінку їх ефективності і відповідні дії, що коректують.
Згідно ISO 27001, система управління інформаційною безпекою (СУЇБ) - це «та частка загальної системи управління організації, заснованої на оцінці бізнес рисок, яка створює, реалізує, експлуатує, здійснює моніторинг, перегляд, супровід і вдосконалення інформаційної безпеки». Система управління включає організаційну структуру, політики, планерування, посадові обов'язки, практики, процедури, процеси і ресурси.
Створення і експлуатація СУЇБ вимагає застосування такого ж підходу, як і будь-яка інша система управління. Використовувана в ISO 27001 для опису СУЇБ процессная модель передбачає безперервний цикл заходів: планерування, реалізація, перевірка, дія (ПРПД).
Застосування моделі ПРПД до процесів СУЇБ
Процес безперервного вдосконалення зазвичай вимагає первинного інвестування: документування діяльності, формалізація підходу до управління ризиками, визначення методів аналізу і виділення ресурсів. Ці заходи використовуються для приведення циклу в дію. Вони не обов'язково мають бути завершені, перш ніж будуть активізовані стадії перегляду.
На стадії планерування забезпечується правильне завдання контексту і масштабу СУЇБ, оцінюються рисок інформаційної безпеки, пропонується відповідний план обробки цих рисок. У свою чергу, на стадії реалізації упроваджується вирішені, які були визначені на стадії планерування. На
54
стадіях перевірки і дії підсилюють, виправляють і удосконалюють рішення по безпеці, які вже були визначені і реалізовані.
Перевірки можуть проводитися у будь-який час і з будь-якою періодичністю залежно від конкретної ситуації. У деяких системах вони мають бути вбудовані в автоматизовані процеси з метою забезпечення негайного виконання і реагування. Для інших процесів реагування потрібне тільки в разі інцидентів безпеки, коли до інформаційних ресурсів, що захищаються, були внесені зміни або доповнення, а також коли сталися зміни погроз і уязвімостей. Необхідні щорічні або іншій періодичності перевірки або аудити, щоб гарантувати, що система управління в цілому досягає своїх цілей.
Одін з варіантів організаційної структури СУЇБКерівництво організації випускає політику безпеки, в якій вводиться
поняття СУЇБ і проголошуються її основні цілі: управління безперервністю бізнесу і управління безпекою. На вершині СУЇБ знаходиться директор по ІБ, що очолює комітет, що управляє, з ІБ, - колегіальний орган, призначених для вирішення стратегічних питань, пов'язаних із забезпеченням ІБ. Директор по ІБ несе відповідальність за всі процеси управління ІБ, до числа яких входять: управління інцидентами і моніторинг безпеки, управління змінами і контроль захищеності, інфраструктура безпеки (політики, стандарти, інструкції, процедури, плани і програми), управління ризиками, контроль відповідності вимогам, навчання (програма підвищення обізнаності).
Створення подібної структури управління є метою впровадження ISO 27001/17799 в організації. Одін з основних принципів тут - «прихильність керівництва». Це означає, що така структура може бути створена тільки керівництвом компанії, яке розподіляє посади, відповідальність і контролює виконання обов'язків. Іншими словами керівництво організації будує відповідну вертикаль влади, а точніше модифікує ту, що існує для задоволення потреб організації в безпеці. СУЇБ може створюватися тільки зверху вниз.
Іншим основоположним принципом є залучення до процесу забезпечення ІБ всіх співробітників організації, що мають справу з інформаційними ресурсами, - «від директора до прибиральниці». Непоінформованість конкретних людей, що працюють з інформацією, відсутність програми навчання по ІБ - одна з основних причин непрацездатності конкретних систем управління.
Не менш важливий і те, що в основі будь-якого планерування заходів щодо ІБ повинна лежати оцінка рисок. Відсутність в організації процесів управління ризиками приводить до неадекватності ухвалюваних рішень і невиправданим витратам. Іншими словами, оцінка рисок є тим фундаментом, на якому тримається струнке дерево СУЇБ.
Таким же фундаментальним принципом є «впровадження і підтримка СУЇБ власними руками». Залучення зовнішніх консультантів на всіх етапах впровадження, експлуатації і вдосконалення СУЇБ у багатьох випадках цілком виправдане. Більш того, це є одним з механізмів контролю, описаних в ISO 17799. Проте створення СУЇБ руками зовнішніх консультантів неможливе за визначенням, оскільки СУЇБ - це сукупність організаційних структур формованих керівництвом організації і процесів, що реалізовуються її
55
співробітниками, які належним чином обізнані про свої обов'язки і навчені навикам поводження з інформацією і її захисту. СУЇБ коштує чималих грошей, але ні за які гроші не можна купити досвід і знання.
Сертифікувати чи ні Для підтвердження відповідності що існує в організації СУЇБ вимогам
стандарту, а також її адекватності що існує бізнес ризикам використовується процедура добровільної сертифікації. Хоча без цього можна і обійтися, в більшості випадків сертифікація повністю виправдовує вкладені засоби і час.
По-перше, офіційна реєстрація СУЇБ організації в реєстрі авторитетних органів, таких як служба акредитації Великобританії (UKAS), що укріплює імідж компанії, підвищує інтерес з боку потенційних клієнтів, інвесторів, кредиторів і спонсорів.
По-друге, в результаті успішної сертифікації розширюється сфера діяльності компанії за рахунок діставання можливості участі в тендерах і розвитку бізнесу на міжнародному рівні. У найбільш чутливих до рівня інформаційної безпеки областях, такий, наприклад, як фінанси, наявність сертифікату відповідності ISO 27001 починає виступати як обов'язкова вимога для здійснення діяльності. Деякі російські компанії вже стикаються з цими обмеженнями.
Також дуже поважно, що процедура сертифікації надає те, що серйозне мотивує і мобілізующєє дія на персонал компанії: підвищується рівень обізнаності співробітників, ефективніше виявляються і усуваються недоліки і невідповідності в системі управління інформаційною безпекою, що в перспективі означає для організації зниження середньостатистичного збитку від інцидентів безпеки, а також скорочення накладних витрат на експлуатацію інформаційних систем. Цілком можливо, наявність сертифікату дозволить застрахувати інформаційні ризики організації на вигідніших умовах.
Як свідчить поточна практика, витрати на сертифікацію по Bs7799 в більшості випадків незіставно малі порівняно з витратами організації на забезпечення інформаційної безпеки, а отримувані переваги багато разів їх компенсують.
Слід підкреслити, що всі перераховані переваги організація отримує тільки в тому випадку, якщо мова йде про системі сертифікації, що має міжнародне визнання, в рамках якої забезпечується належна якість проведення робіт і достовірність результатів.
56
Підготовка до сертифікаціїПідготовка організації до сертифікації по ISO 27001 - процес досить
тривалий і трудомісткий. У загальному випадку, він включає шість послідовних етапів, які виконуються організацією, як правило, за допомогою зовнішніх консультантів.
На першому етапі проводиться попередній аудит СУЇБ, в ході якого оцінюється поточний стан, здійснюється інвентаризація і документування всіх основних складових СУЇБ, визначаються область і межі сертифікації і виконується ще цілий ряд необхідних підготовчих дій. За наслідками аудиту розробляється детальний план заходів щодо підготовки до сертифікації.
На другому етапі виконується оцінка інформаційних ризикіів, основною метою якої є визначення застосовності описаних в стандарті механізмів
57
контролю в даній конкретній організації, підготовка декларації про застосовність і плану обробки рисок.
На третьому етапі виконується аналіз розбіжностей з вимогами стандарту, в результаті якого оцінюється поточне полягання механізмів контролю в організації і ідентифікуються розбіжності з декларацією про застосовність.
На подальших етапах здійснюється планерування і впровадження бракуючих механізмів контролю, по кожному з яких розробляється стратегія і план впровадження. Роботи по впровадженню механізмів контролю включають три основні складові: підготовка співробітників організації: навчання, тренінги, підвищення обізнаності; підготовка документації СУЇБ: політики, стандарти, процедури, регламенти, інструкції, плани; підготовка свідоцтв функціонування СУЇБ: звіти, протоколи, накази, записи, журнали подій і тому подібне
На завершальному етапі здійснюється підготовка до сертифікаційного аудиту: аналізується стан СУЇБ, оцінюється ступінь її готовності до сертифікації, уточнюється область і межі сертифікації, проводяться відповідні переговори з аудиторами органу по сертифікації. Докладні рекомендації по створенню СУЇБ і підготовки до сертифікації містяться в серії керівних документів BSI BIP 0071-0073.
Точки спотиканняВ процесі впровадження СУЇБ виникає багато точок спотикання. Частка з
них пов'язані з порушенням описаних вище фундаментальних принципів управління безпекою. Серйозні утруднення для російських організацій лежать в законодавчій області. Неповнота і суперечність чинного російського законодавства, його заборонний характер в області використання криптографії і в багатьох інших областях, а також неотрегулірованность системи сертифікації засобів захисту інформації серйозно утрудняє виконання одне з головних вимог стандарту - відповідність чинному законодавству.
Джерелом утруднень нерідко служить неправильне визначення зони дії і меж СУЇБ. Дуже широке трактування зони дії СУЇБ, наприклад, включення в цю область всіх бізнес-процесів організації, значно знижує вірогідність успішного завершення проекту по впровадженню і сертифікації СУЇБ.
Так же важливо правильно уявляти, де проходять межі СУЇБ і яким чином вона пов'язана з іншими системами управління і процесами організації. Наприклад, система управління ІБ і система управління безперервністю бізнесу (ВСМ) організації тісно перетинаються. Остання є одній з 11 визначуваних стандартом областей контролю інформаційної безпеки. Проте СУЇБ включає тільки ту частку BCM, яка пов'язана з ІБ, - це захист критичних бізнес процесів організації від крупних збоїв і аварій інформаційних систем. Інші аспекти BCM виходять за рамки СУЇБ.
58
Стандарт - гарантія безпекиСьогодні організація роботи серйозної і ефективної компанії, що
претендує на успішний розвиток, обов'язково базується на сучасних інформаційних технологіях. Тому звернути увагу на стандарти управління інформаційною безпекою варто компаніям будь-якого масштабу. Як правило, питання управління інформаційною безпекою тим актуальніше, чим більше компанія, чим ширше масштаб її діяльності і претензії на розвиток, і, як наслідок, вище її залежність від інформаційних технологій.
Використання міжнародних стандартів управління інформаційною безпекою ISO 27001/17799 дозволяє істотно спростити створення, експлуатацію і розвиток СУЇБ. Вимоги нормативної бази і ринкові умови вимушують організації застосовувати міжнародні стандарти при розробці планів і політик забезпечення ІБ і демонструвати свою прихильність шляхом проведення аудитів і сертифікацій ІБ. Відповідність вимогам стандарту представляє певні гарантії наявності в організації базового рівня інформаційної безпеки, що робить позитивний вплив на імідж компанії.
-----
4.7 ЗАКОН УКРАЇНИ "ПРО ЗАХИСТ ІНФОРМАЦІЇ В ІНФОРМАЦІЙНО-ТЕЛЕКОМУНІКАЦІЙНИХ СИСТЕМАХ"
3AKOH УKPAЇHИПро захист інформації в інформаційно-телекомунікаційних системах( Відомості Верховної Ради (ВВР), 1994, N 31, ст.286 )( Вводиться в дію Постановою ВР N 81/94-ВР від 05.07.94, ВВР, 1994, N
31, ст.287 )( Із змінами, внесеними згідно із 3акономN 1703-IV ( 1703-15 ) від
11.05.2004, ВВР, 2004, N 32, ст.394 )( В редакції 3аконуN 2594-IV ( 2594-15 ) від 31.05.2005, ВВР, 2005, N 26,
ст.347 )Цей Закон регулює відносини у сфері захисту інформації в
інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах (далі - система).
Стаття 1. Визначення термінівУ цьому Законі наведені нижче терміни вживаються в такому значенні:блокування інформації в системі - дії, внаслідок яких
унеможливлюється доступ до інформації в системі;виток інформації - результат дій, внаслідок яких інформація в системі
стає відомою чи доступною фізичним та/або юридичним особам, що не мають права доступу до неї;
власник інформації - фізична або юридична особа, якій належить право власності на інформацію;
власник системи - фізична або юридична особа, якій належить право власності на систему;
59
доступ до інформації в системі - отримання користувачем можливості обробляти інформацію в системі;
захист інформації в системі - діяльність, спрямована на запобігання несанкціонованим діям щодо інформації в системі;
знищення інформації в системі - дії, внаслідок яких інформація в системі зникає;
інформаційна (автоматизована) система - організаційно-технічна система, в якій реалізується технологія обробки інформації з використанням технічних і програмних засобів;
інформаційно-телекомунікаційна система - сукупність інформаційних та телекомунікаційних систем, які у процесі обробки інформації діють як єдине ціле;
комплексна система захисту інформації - взаємопов'язана сукупність організаційних та інженерно-технічних заходів, засобів і методів захисту інформації;
користувач інформації в системі (далі - користувач) - фізична або юридична особа, яка в установленому законодавством порядку отримала право доступу до інформації в системі;
криптографічний захист інформації - вид захисту інформації, що реалізується шляхом перетворення інформації з використанням спеціальних (ключових) даних з метою приховування/відновлення змісту інформації, підтвердження її справжності, цілісності, авторства тощо;
несанкціоновані дії щодо інформації в системі - дії, що провадяться з порушенням порядку доступу до цієї інформації, установленого відповідно до законодавства;
обробка інформації в системі - виконання однієї або кількох операцій, зокрема: збирання, введення, записування, перетворення, зчитування, зберігання, знищення, реєстрації, приймання, отримання, передавання, які здійснюються в системі за допомогою
технічних і програмних засобів;порушення цілісності інформації в системі - несанкціоновані дії щодо
інформації в системі, внаслідок яких змінюється її вміст;порядок доступу до інформації в системі - умови отримання
користувачем можливості обробляти інформацію в системі та правила обробки цієї інформації;
телекомунікаційна система - сукупність технічних і програмних засобів, призначених для обміну інформацією шляхом передавання, випромінювання або приймання її у вигляді сигналів, знаків, звуків, рухомих або нерухомих зображень чи в інший спосіб;
технічний захист інформації - вид захисту інформації, спрямований на забезпечення за допомогою інженерно-технічних заходів та/або програмних і технічних засобів унеможливлення витоку, знищення та блокування інформації, порушення цілісності та режиму доступу до інформації.
Стаття 2. Об'єкти захисту в системіОб'єктами захисту в системі є інформація, що обробляється в ній, та
програмне забезпечення, яке призначено для обробки цієї інформації.
60
Стаття 3. Суб'єкти відносинСуб'єктами відносин, пов'язаних із захистом інформації в системах, є:власники інформації;власники системи;користувачі;уповноважений орган у сфері захисту інформації в системах.На підставі укладеного договору або за дорученням власник інформації
може надати право розпоряджатися інформацією іншій фізичній або юридичній особі - розпоряднику інформації.
На підставі укладеного договору або за дорученням власник системи може надати право розпоряджатися системою іншій фізичній або юридичній особі - розпоряднику системи.
Стаття 4. Доступ до інформації в системіПорядок доступу до інформації, перелік користувачів та їх повноваження
стосовно цієї інформації визначаються власником інформації.Порядок доступу до інформації, яка є власністю держави, або інформації
з обмеженим доступом, вимога щодо захисту якої встановлена законом, перелік користувачів та їх повноваження стосовно цієї інформації визначаються законодавством.
У випадках, передбачених законом, доступ до інформації в системі може здійснюватися без дозволу її власника в порядку, встановленому законом.
Стаття 5. Відносини між власником інформації та власником системиВласник системи забезпечує захист інформації в системі в порядку та на
умовах, визначених у договорі, який укладається ним із власником інформації, якщо інше не передбачено законом.
Власник системи на вимогу власника інформації надає відомості щодо захисту інформації в системі.
Стаття 6. Відносини між власником системи та користувачемВласник системи надає користувачеві відомості про правила і режим
роботи системи та забезпечує йому доступ до інформації в системі відповідно до визначеного порядку доступу.
Стаття 7. Відносини між власниками системВласник системи, яка використовується для обробки інформації з іншої
системи, забезпечує захист такої інформації в порядку та на умовах, що визначаються договором, який укладається між
власниками систем, якщо інше не встановлено законодавством.Власник системи, яка використовується для обробки інформації з іншої
системи, повідомляє власника зазначеної системи про виявлені факти несанкціонованих дій щодо інформації в системі.
Стаття 8. Умови обробки інформації в системіУмови обробки інформації в системі визначаються власником системи
відповідно до договору з власником інформації, якщо інше не передбачено законодавством.
Інформація, яка є власністю держави, або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, повинна оброблятися в системі із застосуванням комплексної системи захисту
61
інформації з підтвердженою відповідністю. Підтвердження відповідності здійснюється за результатами державної експертизи в порядку, встановленому законодавством.
Для створення комплексної системи захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, використовуються засоби захисту інформації, які мають сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері технічного та/або криптографічного захисту інформації. Підтвердження відповідності та проведення державної експертизи цих засобів здійснюються в порядку, встановленому законодавством.
Стаття 9. Забезпечення захисту інформації в системіВідповідальність за забезпечення захисту інформації в системі
покладається на власника системи.Власник системи, в якій обробляється інформація, яка є власністю
держави, або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, утворює службу захисту інформації або призначає осіб, на яких покладається забезпечення захисту інформації та контролю за ним.
Про спроби та/або факти несанкціонованих дій у системі щодо інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, власник системи повідомляє уповноважений орган у сфері захисту інформації.
Стаття 10. Повноваження державних органів у сфері захисту інформації в системах
Вимоги до забезпечення захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, встановлюються Кабінетом Міністрів України.
Обов'язки уповноваженого органу у сфері захисту інформації в системах виконує центральний орган виконавчої влади у сфері криптографічного та технічного захисту інформації.
Уповноважений орган у сфері захисту інформації в системах:розробляє пропозиції щодо державної політики у сфері захисту
інформації та забезпечує її реалізацію в межах своєї компетенції;визначає вимоги та порядок створення комплексної системи захисту
інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом;
організовує проведення державної експертизи комплексних систем захисту інформації, експертизи та підтвердження відповідності засобів технічного і криптографічного захисту інформації;
здійснює контроль за забезпеченням захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом.
Державні органи в межах своїх повноважень за погодженням з уповноваженим органом у сфері захисту інформації встановлюють особливості захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом.
62
Особливості захисту інформації в системах, які забезпечують банківську діяльність, встановлюються Національним банком України.
Стаття 11. Відповідальність за порушення законодавства про захист інформації в системах
Особи, винні в порушенні законодавства про захист інформації в системах, несуть відповідальність згідно із законом.
Стаття 12. Міжнародні договориЯкщо міжнародним договором, згода на обов'язковість якого надана
Верховною Радою України, визначено інші правила, ніж ті, що передбачені цим Законом, застосовуються норми міжнародного договору.
Стаття 13. Прикінцеві положення1. Цей Закон набирає чинності з 1 січня 2006 року.2. Нормативно-правові акти до приведення їх у відповідність із цим
Законом діють у частині, що не суперечить цьому Закону.3. Кабінету Міністрів України та Національному банку України в межах
своїх повноважень протягом шести місяців з дня набрання чинності цим Законом:
привести свої нормативно-правові акти у відповідність із цим Законом;забезпечити приведення міністерствами та іншими центральними
органами виконавчої влади їх нормативно-правових актів у відповідність із цим Законом.
Президент України Л.КУЧМАм. Київ, 5 липня 1994 року N 80/94-ВР
-----
4.8 ЖИТТЄВИЙ ЦИКЛ ІНФОРМАЦІЙНОЇ СИСТЕМИ
Життєвий цикл інформаційної системи - це процес її побудови і розвитку.
Життєвий цикл інформаційної системи - період часу, який починається з моменту ухвалення рішення про необхідність створення інформаційної системи і закінчується у момент її повного вилучення з експлуатації.
Стандарти життєвого циклу ІС ГОСТ 34.601-90 ISO/IEC 12207:1995 (російський аналог — ГОСТ Р ИСО/МЭК 12207-
99) Custom Development Method (методика Oracle) Rational Unified Process (RUP).Microsoft Solutions Framework (MSF). · Включає 4 фази: аналіз,
проектування, розробка, стабілізація, припускає використання об'єктно-орієнтованого моделювання.
Екстремальне програмування (англ. Extreme Programming, XP). У основі методології командна робота, ефективна комунікація між замовником і виконавцем протягом всього проекту по розробці ІС. Розробка ведеться з використанням послідовних допрацьовуваних прототипів.
63
Стандарт ГОСТ 34.601-90 Стандарт ГОСТ 34.601-90 передбачає наступні стадії і етапи створення
автоматизованої системи:1. Формування вимог до АС Обстеження об'єкту і обгрунтування необхідності створення АСФормування вимог користувача до АСОформлення звіту про виконання робіт і заявки на розробку АС2. Розробка концепції АС Вивчення об'єктуПроведення необхідних науково-дослідних робітРозробка варіантів концепції АС і вибір варіанту концепції АС, що
задовольняє вимогам користувачівОформлення звіту про виконану роботу3. Технічне завдання Разработка и утверждение технического задания на создание АС4. Ескізний проект Розробка попередніх проєктніх рішень по системі і її часткамРозробка документації на АС і її частки5. Технічний проект Розробка комплекту рішень по системі і її часткамРозробка документації на АС і її часткиРозробка і оформлення документації на постачання комплектуючих
виробівРозробка завдань на проектування в суміжних частках проекту6. Робоча документація 1. Розробка робочої документації на АС і її частки2. Розробка і адаптація програм7. Введення в дію 1. Підготовка об'єкту автоматизації2. Підготовка персоналу3. Комплектація АС виробами, що поставляються (програмними і
технічними засобами, програмно-технічними комплексами, інформаційними виробами)
4. Будівельно-монтажні роботи5. Пуско-налагоджувальні роботи6. Проведення попередніх випробувань7. Проведення дослідної експлуатації8. Проведення приймальних випробувань8. Супровід АС.1. Виконання робіт відповідно до гарантійних зобов'язань2. Післягарантійне обслуговуванняЕскізний, технічний проекти і робоча документація - це послідовна
побудова все більш точних проектних рішень по всіх видах забезпечення інформаційної системи. Допускається виключати стадію «Ескізний проект» і окремі етапи робіт на всіх стадіях, об'єднувати стадії «Технічний проект» і
64
«Робоча документація» в «Технорабочий проект», паралельно виконувати різні етапи і роботи, включати додаткові.
Даний стандарт не цілком підходить для проведення розробок в даний час: багато процесів відбито недостатньо, а деякі положення застаріли.
Стандарт ISO/IEC 12207/ і його застосуванняСтандарт ISO/IEC 12207:1995 «Information Technology — Software Life
Cycle Processes» є основним нормативним документом, що регламентує склад процесів життєвого циклу ІС. Він визначає структуру життєвого циклу, що містить процеси, дії і завдання, які мають бути виконані під час створення ІС.
Кожен процес роздільний на набір дій, кожна дія - на набір завдань. Кожен процес, дія або завдання ініціюється і виконується іншим процесом в міру необхідності, причому не існує заздалегідь визначених послідовностей виконання. Зв'язки за вхідними даними при цьому зберігаються.
Процеси життєвого циклу ІС · Основні: о Придбання (дії і завдання замовника, що набуває ІС)о Постачання (дії і завдання постачальника, який забезпечує замовника
програмним продуктом або послугою)о Розробка (дії і завдання, що виконуються розробником: створення
ПО, оформлення проектної і експлуатаційної документації, підготовка тестових і учбових матеріалів і т. д.)
о Експлуатація (дії і завдання оператора - організації, що експлуатує систему)
о Супровід (дії і завдання, що виконуються супроводжуючою організацією, тобто службою супроводу). Супровід - внесень змін в ПО в цілях виправлення помилок, підвищення продуктивності або адаптації до умов роботи, що змінилися, або вимог.
· Допоміжні о Документування (формалізований опис інформації, створеної
протягом ЖЦ ІС)о Управління конфігурацією (застосування адміністративних і
технічних процедур на всьому протязі ЖЦ ІС для визначення стану компонентів ІС, управління її модифікаціями).
о Забезпечення якості (забезпечення гарантій того, що ІС і процеси її ЖЦ відповідають заданим вимогам і затвердженим планам)
о Верифікація (визначення того, що програмні продукти, що є результатами деякої дії, повністю задовольняють вимогам або умовам, обумовленим попередніми діями)
о Атестація (визначення повноти відповідності заданих вимог і створеної системи їх конкретному функціональному призначенню)
о Сумісна оцінка (оцінка стану робіт за проектом: контроль планерування і управління ресурсами, персоналом, апаратурою, інструментальними засобами)
о Аудит (визначення відповідності вимогам, планам і умовам договору)
65
о Дозвіл проблем (аналіз і вирішення проблем, незалежно від їх походження або джерела, які виявлені в ході розробки, експлуатації, супроводу або інших процесів)
· Організаційні о Управління (дії і завдання, які можуть виконуватися будь-якою
стороною, що управляє своїми процесами)о Створення інфраструктури (вибір і супровід технології, стандартів і
інструментальних засобів, вибір і установка апаратних і програмних засобів, використовуваних для розробки, експлуатації або супроводу ПО)
о Удосконалення (оцінка, вимір, контроль і удосконалення процесів ЖЦ)
о Навчання (первинне навчання і подальше постійне підвищення кваліфікації персоналу)
Кожен процес включає ряд дій. Наприклад, процес придбання охоплює наступні дії:
1. Ініціація придбання2. Підготовка заявочних пропозицій3. Підготовка і коректування договору4. Нагляд за діяльністю постачальника5. Приймання і завершення робітКожну дію включає ряд завдань. Наприклад, підготовка заявочних
пропозицій повинна передбачати:1. Формування вимог до системи2. Формування списку програмних продуктів3. Встановлення умов і угод4. Опис технічних обмежень (середа функціонування системи і т. д.)Стадії життєвого циклу ІС, взаємозв'язок між процесами і стадіями Модель життєвого циклу ІС - структура, що визначає послідовність
виконання і взаємозв'язку процесів, дій і завдань впродовж життєвого циклу. Модель життєвого циклу залежить від специфіки, масштабу і складності проекту і специфіки умов, в яких система створюється і функціонує.
Стандарт ГОСТ Р ІСО/МЕК 12207-99 не пропонує конкретну модель життєвого циклу. Його положення є загальними для будь-яких моделей життєвого циклу, методів і технологій створення ІС. Він описує структуру процесів життєвого циклу, не конкретизуючи, як реалізувати або виконати дії і завдання, включені в ці процеси.
Модель ЖЦ ІС включає:1. Стадії2. Результати виконання робіт на кожній стадії3. Ключові події - точки завершення робіт і ухвалення рішень.Стадія - частка процесу створення ІС, обмежена певними тимчасовими
рамками і що закінчується випуском конкретного продукту (моделей, програмних компонентів, документації), визначуваного заданими для даної стадії вимогами.
На кожній стадії можуть виконуватися декілька процесів, визначених в стандарті ГОСТ Р ІСО/МЕК 12207-99, і навпаки, один і той же процес може
66
виконуватися на різних стадіях. Співвідношення між процесами і стадіями також визначається використовуваною моделлю життєвого циклу ІС.
Моделі життєвого циклу ІС Каскадна модель Каскадна модель життєвого циклу («модель водопаду», англ. waterfall
model) була запропонована в 1970 р. Уїнстоном Ройсом. Вона передбачає послідовне виконання всіх етапів проекту в строго фіксованому порядку. Перехід на наступний етап означає повне завершення робіт на попередньому етапі. Вимоги, визначені на стадії формування вимог, строго документуються у вигляді технічного завдання і фіксуються на весь час розробки проекту. Кожна стадія завершується випуском повного комплекту документації, достатньої для того, щоб розробка могла бути продовжена іншою командою розробників.
Етапи проекту відповідно до каскадної моделі:1. Формування вимог2. Проектування3. Реалізація4. Тестування5. Введення в дію6. Експлуатація і супровідСпіральна модель Спіральна модель (англ. spiral model) була розроблена в середині 1980-х
років Баррі Боемом. Вона заснована на класичному циклі Демінга PDCA (plan-do-check-act). При використанні цієї моделі ІС створюється в декілька ітерацій (витків спіралі) методом прототіпірованія.
Прототип - компонент, що діє, ІС, що реалізовує окремі функції і зовнішні інтерфейси. Кожна ітерація відповідає створенню фрагмента або версії ІС, на ній уточнюються цілі і характеристики проекту, оцінюється якість отриманих результатів і плануються роботи наступної ітерації.
На кожній ітерації оцінюються:· Ризик перевищення термінів і вартості проекту· Необхідність виконання ще однієї ітерації· Ступінь повноти і точності розуміння вимог до системи· Доцільність припинення проекту.Одін з прикладів реалізації спіральної моделі - RAD (англ. Rapid
Application Development, метод швидкої розробки додатків).Ітераційна модель Природний розвиток каскадної і спіральної моделей привів до їх
зближення і появи сучасного ітераційного підходу, який представляє раціональне поєднання цих моделей. Різні варіанти ітераційного підходу реалізовані в більшості сучасних технологій і методів: RUP, MSF, XP.
-----
4.9 ПОРЯДОК СТВОРЕННЯ КОМПЛЕКСНОЇ СИСТЕМИ ЗАХИСТУ ІНФОРМАЦІЇ В ІНФОРМАЦІЙНО-ТЕЛЕКОМУНІКАЦІЙНИХ СИСТЕМАХ
67
Інформаційні ресурси держави або суспільства в цілому, а також окремих організацій і фізичних осіб представляють визначену, часто яскраво виражену цінність, мають відповідне матеріальне вираження і вимагають захисту від різноманітних за своєю суттю дій, які можуть привести до зниження цінності інформаційних ресурсів.
Захист інформації, яка обробляється в інформаційно-телекомунікаційних системах (ІТС), полягає в створенні і підтримці в дієздатному стані системи заходів як технічних (інженерних, програмно-апаратних), так і нетехнічних (правових, організаційних), дозволяючих запобігти або ускладнити можливість реалізації погроз, а також понизити потенційні збитки. Іншими словами, захист інформації направлений на забезпечення безпеки оброблюваної інформації і ІТС в цілому, тобто такого стану, який забезпечує збереження заданих властивостей інформації і ІТС, яка її обробляє. Система відмічених заходів, що забезпечує захист інформації в ІТС, називається комплексною системою захисту інформації (КСЗІ).
Істотна частка проблем забезпечення захисту інформації в ІТС може бути вирішена організаційними заходами. Проте з розвитком інформаційних технологій спостерігається тенденція зростання необхідності застосування технічних заходів і засобів захисту.
Правовою основою забезпечення технічного захисту інформації (ТЗІ) в Україні є Конституція України, Закони України «Про інформацію», «Про захист інформації у інформаційно-телекомунікаційних системах», «Про державну таємніцю», Концепція технічного захисту інформації в Україні, інші нормативно-правові акти.
Яким же чином створити комплексну систему захисту інформації (КСЗІ) в інформаційно-телекомунікаційній системі.
Розгледимо ряд рекомендацій, які дозволять з найменшими тимчасовими, людськими і матеріальними витратами створити КСЗІ. Причому запропонований нижче алгоритм не є «істиною в останній інстанції». Пояснюється це тим, що кожен об'єкт інформаційної діяльності по-своєму унікальний, вирішені організаційного і інженерного характеру, в схожих ситуаціях, відрізняється один від одного і як наслідок - окремі етапи робіт виключаються, включаються нові, окремі етапи виконуються до завершення попередніх. Головне - всі роботи мають бути узгоджені один з одним, необхідні і достатні для створюваної КСЗІ.
На сьогоднішній день якнайповніше це питання освітлює НД ТЗІ 3.7-003-05 «Порядок проведення робіт із створення комплексної системи захисту інформації в інформаційно телекомунікаційній системі».
Цей нормативний документ встановлює на додаток до Гостів серії 34, що встановлює комплекс стандартів на автоматизовані системи, вимоги в частки організації робіт по захисту інформації і порядок створення КСЗІ в АС, а також розвиває основні положення ДСТУ 3396.0, ДСТУ 3396.1 і других НД по захисту інформації.
Незалежно від того проектується АС що діє, або проводиться модернізація вже існуючою КСЗІ, порядок створення КСЗІ єдиний.
68
До складу КСЗІ входять заходи і засоби, які реалізують способи, методи і механізми захисту інформації від:
• витоки технічними каналами, до яких відносяться канали побічних електромагнітних випромінювань і наведень, акустоелектрічеськие і інші канали;
• несанкціонованих дій і несанкціонованого доступу до інформації, які можуть здійснюватися шляхом підключення до апаратури і ліній зв'язку, маскування під зареєстрованого користувача, подолання заходів захисту з метою використання інформації або нав'язування помилковій інформації, застосування заставних пристроїв або програм, використання комп'ютерних вірусів і т.д.;
• спеціальної дії на інформацію, яка може здійснюватися шляхом формування полів і сигналів з метою порушення цілісності інформації або руйнування системи захисту.
Слід зазначити, що рішення щодо необхідності заходів щодо захисту від спеціальних дій на інформацію ухвалюється власником інформації в кожному випадку окремо.
Рішення щодо необхідності створення комплексів ТЗІ від витоку технічними каналами приймається власником інформації, проте комплекси ТЗІ обов'язково створюються, якщо в ІТС обробляється інформація, складова державну таємницю.
Створення комплексів засобів захисту від несанкціонованого доступу здійснюється у всіх ІТС, де обробляється інформація, що є власністю держави, відноситься до державної або іншій таємниці або до окремих видів інформації, необхідність захисту якої визначена законодавством, а також в ІТС, де така необхідність визначена власником інформації.
Контрольована зона (КЗ) - простір (територія, будівля, частка будівлі), в якому виключено неконтрольоване перебування співробітників і відвідувачів організації, а також транспортних засобів. Межею контрольованої зони можуть бути периметр території організації, що охороняється, а також конструкції будівлі, що охороняється, або частки будівлі, що охороняється, що захищають, якщо воно розміщене на території, що не охороняється.
При розгляді об'єкту інформаційної діяльності, як об'єкту розвідки, його необхідно розглядувати як систему, що включає:
• технічні засоби і системи, безпосередньо оброблювальні інформацію з обмеженим доступом (у нашому випадку це комп'ютер);
• допоміжні технічні засоби і системи (телефони, кондиціонери, радіоприймачі і так далі);
• сторонні провідники (дроти і кабелі, що не відносяться до технічних засобів перерахованим вище, а також металеві труби систем опалювання, водопостачання і інші струмопровідні металоконструкції);
• систему електроживлення об'єкту;• систему заземлення об'єкту.Все вищеперелічене за певних умов може бути джерелом загрози для
інформації, що захищається. Для добування інформації, що обробляється технічними засобами, «противник» (обличчя або група осіб, зацікавлених в
69
отриманні цієї інформації) може використовувати широкий арсенал технічних засобів розвідки.
Сукупність об'єкту розвідки, технічного засобу розвідки, за допомогою якого здобувається інформація, і фізичної середи, в якій розповсюджується інформаційний сигнал, називається технічним каналом просочування інформації.
Перехоплення ПЕМВН може запобігти відповідним екрануванням всього устаткування і мережевих кабелів з тим, щоб вони не випромінювали. Крім того, можна використовувати спеціальні генератори «білого шуму» для захисту від ПЕМВН. Для реалізації цих заходів і створюється комплекс ТЗІ.
Комплекси ТЗІ - сукупність заходів і засобів, призначених для реалізації технічного захисту інформації на ОЇД. Для оцінки ефективності комплексу ТЗІ проводиться його атестація на відповідність вимогам нормативних документів.
З метою обгрунтування заходів щодо технічного захисту ІСОД, циркулюючого на об'єктах, проводиться, так зване, категорірованіє.
Категорірованію підлягають об'єкти, в яких обговорюється, є, пересилається, приймається, перетворюється, накопичується, обробляється, відображується і зберігається (далі - циркулює) інформація з обмеженим доступом (ІСОД).
До об'єктів, підметом категорірованію, відносяться:• інформаційні системи (ІС) і засоби обчислювальної техніки (СВТ), які
діють і проектуються;• технічні засоби, призначені для роботи з ІСОД і не відносяться до ІС, за
винятком тих, які засновані на криптографічних методах захисту;• приміщення, призначені для проведення нарад, конференцій,
обговорень і тому подібне з використанням ІСОД;• приміщення, в яких розміщені ІС, СВТ і інші технічні засоби,
призначені для роботи з ІСОД, у тому числі і засновані на криптографічних методах захисту.
Встановлюються чотири категорії об'єктів залежно від правового режиму доступу до інформації, циркулюючої в них:
• до першої категорії відносяться об'єкти, в яких циркулює інформація, що містить відомості, складова державну таємницю з грифом секретності «особливої важливості»;
70
• до другої категорії відносяться об'єкти, в яких циркулює інформація, що містить відомості, складові державну таємницю з грифом секретності «абсолютно таємно»;
• до третьої категорії відносяться об'єкти, в яких циркулює інформація, що містить відомості, складові державну таємницю з грифом секретності «таємно», а також інформація, що містить відомості, складові іншу передбачену законом таємницю, розголошування якої наносить шкода особи, суспільству і державі;
• до четвертої категорії відносяться об'єкти, в яких циркулює конфіденційна інформація.
В основному ми матимемо справу з привласненням третьої і четвертої категорій, дуже рідко другий.
Для проведення робіт по категорірованію об'єктів інформаційної діяльності підприємства наказом керівника підприємства призначається комісія. У наказі визначається мета створення комісії, її склад, об'єкти, які підлягають категоріро-ванію, терміни представлення результатів.
Комісія з категорірованію визначає:• вищий гриф секретності інформації, циркулюючої на об'єкті;• підстава для категорірованія (первинне, планове, у зв'язку із змінами). За наслідками роботи комісії складаються акти довільної форми, де
приводяться відмічені відомості, раннє встановлена категорія і вирішене про категорірованії. Акти затверджуються керівником підприємства.
Під час проведення робіт по категорірованію об'єктів підприємства, де циркулює інформація, що містить державну таємницю, враховуються додаткові вимоги, складаються відповідні акти.
Повторне категорірованіє об'єкту проводиться в разі зміни грифа секретності інформації, циркулюючої на об'єкті, і (або) умов розміщення технічних засобів, але не рідше за один раз в 5 років.
Відповідно до «Положення про технічний захист інформації в Україні», затвердженого Указом Президента України від 27 вересня 1999 року № 1229, для здійснення розробки, впровадження, атестації і експлуатації комплексів (систем) ТЗІ необхідно отримати відповідні дозволи або ліцензії. У нашій області такі роботи мають право проводити ООО «Конард» і «Арт-майстер». До сказаного можна додати, що суб'єкти ТЗІ, якими ви є, мають право укладати договори з будь-якими іншими підприємствами-ліцензіатами з інших областей, повний перелік яких можна знайти на нашому сайті (www .dsszzi.gou.ua ). На сьогодні їх більше 250.
На сегодняшний день действует целая группа НД ТЗИ под единым названием «Защита информации на объектах информационной деятельности. Создание комплекса технической защиты информации»:
• НД ТЗИ 1.1-005-07 ... Основные положения;• НД ТЗИ 3.1-001-07 ... Предпроектные работы;• НД ТЗИ 3.3-001-07 ... Порядок разрабатывания и внедрения
мероприятий из защиты информации, а также НД ТЗИ 2.1-002-07 ... Испытание комплекса технической защиты информации. Основные положения.
Відповідальний за ТЗІ готує і подає на твердження керівникові:
71
• протокол визначення вищого ступеня обмеження доступу до інформації (доповнення А);
• проект вирішення про створення комплексу ТЗІ на ОЇД (основою для проведення робіт щодо створення комплексу може бути затверджений Протокол про визначення вищого ступеня обмеження доступу до інформації).
Створення комплексу ТЗІ на ОЇД передбачає такі основні етапи:1 етап - виконання передпроектних робіт;2 етап - розробка і впровадження заходів щодо захисту інформації;3 етап - випробування і атестація комплексу ТЗІ. Розгледимо кожен з
етапів.Виконання передпроектних робіт на ОЇД є першим етапом створення
комплексу ТЗІ і передбачає:• проведення обстеження на ОЇД, що діє;• розробка моделі погроз для ІСОД або доповнення до моделі погроз, що
діє, відповідно до положень НД ТЗІ;• розробка технічних завдань на створення комплексу ТЗІ (технічних
умов по ТЗІ). Останній пункт не завжди обов'язковий.Метою обстеження є підготовка початкових даних для формування
вимог для створення комплексу ТЗІ.Обстеження на ОЇД проводить комісія, склад якої затверджується
керівником підприємства.Під час обстеження проводять аналіз:• умов функціонування ОЇД, особливостей розташування його на
місцевості щодо меж контрольованої зони (КЗ), архітектурно будівельних особливостей і тому подібне;
• технічних засобів, які оброблятимуть ІСОД, і технічних засобів, які не використовують безпосередньо для її обробки, визначають місця їх розташування на ОЇД;
• розташування інженерних комунікацій і металоконструкцій, виявляють транзитні, незадіяні (повітря, зовнішні, підземні) комунікації (для розгляду пропозицій по їх виключенню або доопрацювання), а також такі, які виходять за межі КЗ;
• необхідності впровадження інженерних і технічних заходів захисту від витоку ІСОД технічними каналами.
Результати обстеження на ОЇД оформляються актом, форма і зміст якого приведені в доповненні А НД ТЗІ 3.1-001-07.
Етап «Розробка і впровадження заходів щодо захисту інформації» на ОЇД є другою.
На цьому етапі виконавець робіт по ТЗІ розробляє записку пояснення по ТЗІ, де відзначає перелік, зміст, терміни виконання робіт, склад документів, які розробляються під час створення її комплексу і так далі
При цьому мають бути враховані:• пропозиції по створенню комплексу ТЗІ;• відомості про ОЇД;• результати проведення категорірованія об'єкту;
72
• відомості про вже створені (що діють) комплекси ТЗІ (цілком можливо, що на багатьох підприємствах це буде вже не перший);
• перспективи подальших робіт по ТЗІ;• технічні і економічні можливості установи по впровадженню
організаційних, інженерних і технічних заходів щодо ТЗІ на ОЇД.Виконавець робіт по ТЗІ також організовує:• розробку (у разі потреби) згідно вимогам ДБН А.2.2-2 і ДБН А.2.2-3
проєктно-сметной документації;• проведення (у разі потреби) відповідних будівельних, монтаж-но-
наладочных робіт і післяопераційного технічного контролю повноти їх виконання;
• придбання (закупівлю) технічних засобів забезпечення ТЗІ і іншого устаткування;
• впровадження на ОЇД заходів щодо ТЗІ;• розробку проектів паспортів на комплекс ТЗІ.Відповідно до проектної документації виконавець організовує
впровадження заходів щодо ТЗІ.Організаційні, інженерні і технічні заходи щодо створення комплексу ТЗІ
на ОЇД повинні відповідати вимогам НД ТЗІ і можуть містити:• архітектурно-будівельні заходи;• заходи щодо пасивного захисту ІСОД (оптичне, акустичне,
електромагнітне екранування, засоби захисту інформації в телефонних, інших дротяних лініях, засоби в захищеного виконання і тому подібне);
• заходи щодо активного захисту ІСОД (генератори віброакустичного, просторового, акустичного і електромагнітного зашумленія, лінійного електромагнітного зашумленія і тому подібне).
Слід враховувати, що під час створення комплексу ТЗІ пріоритет повинен віддаватися архітектурно-будівельним заходам і заходам пасивного захисту ІСОД.
Етап «Випробування і атестація комплексу ТЗІ» є третім етапом і передбачає:
• затвердження програм і методик випробувань;• проведення випробувань відповідно до затверджених програм і
методик, оформлення протоколів випробувань;• підготовку документа «Виводи за наслідками випробувань комплексу
ТЗІ»;• підготовку пропозицій і вимог до вибору (уточнення) рішень щодо
впровадження необхідних мерів захисту ІСОД на ОЇД (при необхідності);• проведення атестації комплексу ТЗІ, оформлення протоколів (при
необхідності), актів атестації;• заповнення паспорта на комплекс ТЗІ (в т.ч. паспортів на приміщення,
де ІСОД озвучується і/або обробляється технічними засобами).Атестація комплексу ТЗІ проводиться з метою визначення відповідності
вимогам НД ТЗІ виконаних робіт із створення комплексу ТЗІ на ОЇД і повноті проведених випробувань.
73
Атестація комплексу ТЗІ може бути первинною, черговою і позачерговою.
Термін проведення чергової атестації указується в акті атестації і паспорті на комплекс ТЗІ (термін дії акту атестації не повинен перевищувати два роки).
Позачергову атестацію, а також необхідні випробування проводять в разі змін умов функціонування ОЇД, що приводять до змін погроз для ІСОД, що обробляється технічними засобами (у нашому випадку це комп'ютер), і тому подібне, і по виводах органів, контролюючі стан ТЗІ.
Останній абзац вимагає деякого пояснення. Непереборне бажання змінити місце розташування принтера, замінити застарілий монітор на рідкокристалічний, відновити будь-яке інше устаткування приводить до того, що гроші, з такою працею отримані і заплачені за створення комплексу ТЗІ, виявилися витраченими даремно. І не дивлячись на те, що до кінця терміну дії акту атестації залишився ще рік, виникає необхідність шукати гроші на позачергову атестацію комплексу ТЗІ.
Складовими комплексу захисту на ОЇД можуть бути розміщені на нім засоби обробки інформації, засоби ТЗІ, інженерні комунікації, устаткування, системи зв'язку, телебачення, сигналізації, заземлення, електро-, водопостачання, опалювання, вентиляція, кондиціонування повітря, каналізації, що захищають будівельні конструкції, світлопрозорі отвори приміщень і так далі
Засоби забезпечення ТЗІ загального призначення застосовують у складі комплексу на ОЇД державних органів за наявності сертифікату відповідності системи УКРСЕПРО вимогам нормативних документів системи ТЗІ або позитивного експертного висновку державної експертизи у сфері ТЗІ. Застосування імпортних засобів можливе лише за умови відсутності вітчизняних аналогів, за наявності відповідних техніко-економічних обгрунтувань і в разі їх сертифікації або отримання позитивного експертного висновку.
Слід нагадати, що КСЗІ - це не лише комплекс ТЗІ, але і рішення питання, направленого на блокування несанкціонованих дій і несанкціонованого доступу до інформації.
Для організації робіт із створення КСЗІ в ІТС створюється служба захисту інформації, порядок створення, завдання, функції, структура і повноваження якої визначені в НД ТЗІ 1.4-001-2000 «Тіпове положення про службу захисту інформації».
Створення КСЗІ можна розділити на наступні етапи:Формування загальних вимог до КСЗІ в ІТС.Початкові дані для обгрунтування необхідності створення КСЗІ в
загальному випадку виходять по результатах:• аналізу нормативно-правових актів (державних, відомчих і таких, які
діють в межах установи, організації, підприємства), на підставі яких може встановлюватися обмеження доступу до певних видів інформації або заборона такого обмеження, або визначатися необхідність забезпечення захисту інформації згідно іншим критеріям;
74
• визначення наявності у складі інформації, належній автоматизованій обробці, таких її видів, які потребують обмеження доступу до неї або забезпечення цілісності або доступності відповідно до вимог нормативно-правових актів;
• оцінки можливих переваг (фінансово-економічних, соціальних і тому подібне) експлуатації ІТС в разі створення КСЗІ.
На підставі проведеного аналізу ухвалюється рішення про необхідність створення КСЗІ.
Після цього здійснюється обстеження середи функціонування ІТС.Під час виконання цих робіт автоматизована система (або ІТС)
розглядується як організаційно-технічна система, що суміщає обчислювальну систему, фізичну середу, середу користувачів, оброблювану інформацію і технологію її обробки, тобто середа функціонування ІТС .
Результати обстеження середи функціонування ІТС оформляються у вигляді акту обстеження і включаються, у разі потреби, до відповідних розділів плану захисту інформації в ІТС, який розробляється згідно з НД ТЗІ 1.4-001-2000.
За наслідками обстеження середи функціонування ІТС затверджується перелік об'єктів захисту (з урахуванням рекомендацій НД ТЗІ 1.4-001, 2.5-007, 2.5-008, 2.5-010 щодо класифікації об'єктів).
Також за наслідками обстеження визначаються потенційні погрози для інформації, і розробляються модель погроз і модель порушника.
Погрози оброблюваною в ІТС інформації залежать від характеристик обчислювальної системи, фізичної середи, персоналу і оброблюваної інформації. Погрози можуть мати або об'єктивну природу, наприклад, зміна умов фізичної середи (пожежі, повені і т. і.) або відмова елементів обчислювальної системи, або суб'єктивну, наприклад, помилки персоналу або дії зловмисника. Погрози, що мають суб'єктивну природу, можуть бути випадковими або навмисними.
Зі всієї безлічі способів класифікації погроз найпридатнішою для аналізу є класифікація погроз за результатом їх впливу на інформацію, тобто порушення конфіденційності, цілісності і доступності інформації.
Інформація зберігає конфіденційність, якщо дотримуються встановлені правила ознайомлення з нею.
Інформація зберігає цілісність, якщо дотримуються встановлені правила її модифікації (видалення).
Інформація зберігає доступність, якщо зберігається можливість ознайомлення з нею або її модифікації відповідно до встановлених правил впродовж будь-якого певного (малого) проміжку часу.
Погрози, реалізація яких приводить до втрати інформацією який-небудь з названих властивостей, відповідно є погрозами конфіденційності, цілісності або доступності інформації.
Погрози можуть впливати на інформацію не безпосередньо, а опосередковано. Наприклад, втрата ІТС керованості може привести до нездатності ІТС забезпечувати захист інформації і, як результат, до втрати певних властивостей оброблюваної інформації.
75
Побудова моделей здійснюється відповідно до положень НД ТЗІ 1.1002, 1.4-001 і 1.6-003. Модель погроз для інформації і модель порушника рекомендується оформляти у вигляді окремих документів (або об'єднаних в один документ) Плану захисту.
Здійснюється оформлення звіту про виконання робіт цієї стадії і оформлення заявки на розробку КСЗІ (технічного завдання на створення КСЗІ). 1. Розробка політики безпеки в ІТС
На цьому етапі здійснюється вибір основних рішень по протидії всім істотним погрозам, формування загальних вимог, правив, обмежень і тому подібне, що регламентують використання захищених технологій обробки інформації в ІТС, окремих заходів і засобів захисту інформації, діяльність користувачів всіх категорій, а також документальне оформлення політики безпеки інформації.
Політика безпеки розробляється згідно положенням НД ТЗІ 1.1-002-99 і рекомендаціям НД ТЗІ 1.4-001-2000. Політикові безпеки рекомендується оформляти у вигляді окремого документа Плану захисту.
Згідно «Положенню про технічний захист інформації в Україні» в ІТС, де обробляється інформація, що є власністю держави, або захист якої гарантується державою, повинні використовуватися засоби ТЗІ, що мають документ, який свідчить про відповідність вимогам НД ТЗІ (експертний вивід і/або сертифікат відповідності).
Склад засобів ТЗІ, які використовуються під час створення комплексу засобів захисту інформації, визначають власники ІТС, в якій обробляється інформація, що підлягає захисту, або уповноважені ними суб'єкти системи ТЗІ, з урахуванням того, що ці засоби повинні мати рівень гарантій коректності реалізації послуг безпеки (НД ТЗІ 2.5-004-99) не нижче за рівень гарантій створюваного комплексу засобів захисту.
1. Розробка технічного завдання на створення КСЗІРозробка і оформлення технічного завдання на створення КСЗІ, його
зміст, порядок узгодження і твердження повинні відповідати НД ТЗІ 3.7-001 і ГОСТ 34.602.
2. Розробка проекту КСЗІДля всіх стадій розробки проекту КСЗІ склад документації визначається
технічним завданням на КСЗІ, види і зміст - ГОСТом 34.201, НД ТЗІ 2.5-004-99.
3.Введення КСЗІ в експлуатацію і оцінка захищеності інформації в ІТС На цьому етапі проводяться роботи з підготовки організаційної структури і розробці приписуючих документів, що регламентують діяльність по забезпеченню захисту інформації в ІТС.
В основному має бути завершена розробка і затверджені документи, що входять в План захисту (за винятком тих, для розробки яких необхідні результати наступних етапів робіт).
Проводиться навчання користувачів всіх категорій.Проводиться інсталяція і ініціалізація комплексу засобів захисту.Попередні випробування здійснюються згідно програмі і методиці
випробувань, які готує розробник КСЗІ і погоджує замовник. Результати
76
випробувань оформляються «Протоколом випробувань», а після усунення недоліків і коректування документації складається «Акт приймання КСЗІ в дослідну експлуатацію».
За наслідками дослідної експлуатації складається довільної форми акт, що містить вивід про можливість представлення КСЗІ на державну експертизу.
Організатором державної експертизи є Адміністрація Державного спеціального зв'язку і захисту інформації України. Тільки після отримання позитивного результату наказом керівника об'єкт може бути введений в експлуатацію для обробки на нім інформації з обмеженим доступом.
4.Супровід КСЗІ
Для створення КСЗІ використовуються засоби захисту, які мають сертифікат відповідності або позитивний експертний вивід за наслідками державної експертизи. Повний перелік таких засобів представлений на офіційному сайті служби (www .dsszzi.gou.ua ), розділ «Сертифікація у сфері захисту».
Слід зазначити, що виконавцем робіт із створення КСЗІ може бути суб'єкт господарської діяльності або орган виконавчої влади, який має ліцензію або дозвіл на право проведення робіт хоч би по одному виду робіт у сфері ТЗІ.
77
5 РЕКОМЕНДАЦІЇ 3 ВИКОРИСТАННЯ ОБЧИСЛЮВАЛЬНОЇ ТЕХНІКИ
Для даної дисципліни пропонується таке програмне забезпечення для персональних комп'ютерів:
- системне і прикладне програмне забезпечення, а також спеціалізовані програми:
Wireshark (аналізатор трафіка), Spector Pro 2009 (мониторінг дій користувачів ПК і Інтернет), Outpost Firewall FREE (брандмауер), XSpider 7 (сканер вразливостей).
6 ОСНОВНІ РЕКОМЕНДАЦІЇ 3 ОРГАНІЗАЦІЇ САМОСТІЙНОЇ РОБОТИ
Bci розділи робочої програми, шо пропонуються для самостійного вивчення, слід вивчати у тісному зв'язку з темами, що вивчаються на лекціях, практичних та лабораторних заняттях.
Вивчення всіх розділів слід розглядати відповідно до послідовності тем та наведеної літератури, що запропоновані у даних методичних вказівках.
Після вивчення теоретичного матеріалу, доцільно відповісти на контрольні запитання і виконати індивідуальні розрахункові завдання, якими супроводжуються всі теми. Бажано скласти для себе орієнтовний графік вивчення тем, який був би синхронізований у часі з вивченням відповідних тем на аудиторних заняттях.
Система контролю самостійного опанування знаннями здійснюватиметься відповідно до стандартів болонського процесу.
Це передбачає відповідну оцінку у балах окремо за виконання індивідуальних завдань, відповіді на контрольні запитання, за підсумками контрольної роботи.
78
Навчальне видання
МЕТОДИЧНІ ВКАЗІВКИ
до самостійної роботи з дисципліни
"Сертифікація і ліцензування інформаційних систем"
для студентів усіх форм навчаннянапряму "Управління інформаційною безпекою"
Упорядники: Л.О. Токар
Відповідальний випусковий В.В.Поповський Редактор Комп'ютерна верстка
79