Тема. Основы организации ТЗИограниченного доступа

Тема. Основы организации ТЗИограниченного доступа

Основные функции ФСТЭК по организации и контролю ТЗИ.

В соответствии с Положением о Федеральной службе по техническому и экспортному контролю, утвержденным Указом Президента РФ от 16 августа 2004 г. N 1085, Федеральная служба по техническому и экспортному контролю (ФСТЭК России) является федеральным органом исполнительной власти, осуществляющим реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности по вопросам:

· обеспечения безопасности (некриптографическими методами) информации в системах информационной и телекоммуникационной инфраструктуры, оказывающих существенное влияние на безопасность государства в информационной сфере, в том числе в функционирующих в составе критически важных объектов РФ ИС и телекоммуникационных сетях, деструктивные информационные воздействия на которые могут привести к значительным негативным последствиям;

· противодействия иностранным техническим разведкам на территории РФ;

· обеспечения защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступом, предотвращения её утечки по техническим каналам, несанкционированного доступа к ней, специальных воздействий на информацию (носители информации) в целях её добывания, уничтожения, искажения и блокирования доступа к ней на территории РФ;

· ЗИ при разработке, производстве, эксплуатации и утилизации неинформационных излучающих комплексов, систем и устройств;

· осуществления экспортного контроля.

Помимо этого, ФСТЭК: -организует обязательную аттестация ОИ;

- создает системы аттестации ОИ и устанавливает правила для проведения аттестации в этих системах; - организует, финансирует разработку и утверждает нормативные и методические документы по аттестации ОИ; -аккредитует органы по аттестации ОИ; -осуществляет госконтроль и надзор за соблюдением правил аттестации и эксплуатации аттестованных ОИ;

- организует периодическую публикацию информации по функционированию системы аттестации ОИ по требованиям безопасности информации.

Понятие ТЗИ(ТЗИ). Основные направления ТЗИ.

По ГОСТ Р50922-2006 «Защита информации. Основные термины и определения»: Защита информации – деятельность, направленная на предотвращение утечки ЗИ, несанкционированных и непреднамеренных воздействий на ЗИ.

Техническая защита информации (ТЗИ): Деятельность, направленная на обеспечение некриптографическими методами безопасности информации (данных), подлежащей защите в соответствии с действующим законодательством, с применением технических, программных и программно-ТС.

Система ЗИ - совокупность органов и (или) исполнителей, используемой ими техники ЗИ, а также объектов ЗИ, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области ЗИ.

Стандарт ISO 27001:2013 для построения системы управления информационной безопасностью(ISO/IEC 27001:2013 Information technology - Security techniques - Information security management systems – Requirement)

В первую очередь необходимо определить контекст, в котором работает организация и четко понимать потребности и ожидания всех сторон, заинтересованных в функционирующей системе управления информационной безопасностью. К заинтересованным сторонам можно отнести владельцев бизнеса, клиентов, партнеров, регулирующие органы, сотрудников и др. Важно, что стандарт позволяет задать границы системы управления информационной безопасностью, то есть дает возможность внедрить СМИБ «вокруг» определенных критичных бизнес-процессов, а затем уже при необходимости расширять область действия СМИБ на другие процессы. Внедрение СМИБ невозможно без реальной поддержки со стороны топ-менеджмента организации, определяющего четкую политику ИБ, включающую цели и обязательства выполнять все применимые требования (законодательства, партнеров, клиентов). Руководство компании должно определить роли и обязанности в области ИБ и дать соответствующие полномочия сотрудникам, занимающимся внедрением СМИБ.

Требования к системе ЗИ в ГИС

Система ЗИ

НЕЙТРАЛИЗАЦИЯ

Технические каналы утечки информации, обрабатываемой техническими средствами приема, обработки, хранения и передачи информации (ТСПИ). Методы и средства ЗИ, обрабатываемой ТСПИ, от утечки по техническим каналам.

Признаки заражения

1.Блокированиеработыоперационнойсистемы,прикладныхпрограмм,ихнестабильнаяработа.

2.Самопроизвольноезавершениеработыпрограмм,перезагрузкакомпьютера.

3.Уничтожение,блокирование,повреждениеданных.

4.Увеличениесетевоготрафика.

Действия при заражении

1.Проверкаактуальностиантивируснойбазы,принеобходимости-обновление.

2.Сканированиемашинногоносителянаналичиевредоносныхпрограмм.

Если сканирование невозможно или не дало результатов:

1.Загрузкакомпьютерасвнешнегоносителя.

2.Сканированиевстроенногомашинногоносителя.

3.Созданиерезервнойкопиипользовательскихданных

Понятие межсетевого экранирования, типы межсетевых экранов (МЭ). Примеры и основные функции современных МЭ.

Основные задачи ГСЗИ

-организация и координация работ по ЗИ в оборонной, экономической, политической, научно-технической и других сферах деятельности;

-принятие в пределах компетенции правовых актов, регулирующих отношения в области ЗИ;

-исключение или существенное затруднение добывания информации ТСР, а также предотвращение ее утечки по техническим каналам, НСД к ней, предупреждение реднамеренных программно-технических возможностей с целью разрушения (уничтожения)
или искажения информации; -анализ состояния и прогнозирования возможностей технических средств разведки и способов их применения; -создание средств ЗИ и контроля за ее эффективностью;- контроль состояния ЗИ в органах государственной власти и на предприятиях.

Организацию деятельности государственной системы защиты информации, а также руководство указанной системой осуществляет Федеральная служба по техническому и экспортному контролю (ФСТЭК России)

ФСТЭК России является федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической ЗИ, а также специально уполномоченным органом в области экспортного контроля. «Вопросы Федеральной службы по техническому и экспортному контролю» (Указ Президента Российской Федерации от 16 августа 2004 г. № 1085)

Требования к защите персональных данных при их обработке в информационных системах персональных данных (Постановление Правительства РФ

№1119 от 01.11.2012 г.) Документ устанавливает требования к защите персональных данных при их обработке в ИСПДн и уровни защищенности ПДн.

• Безопасность персональных данных обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 ФЗ «О персональных данных».

•Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности ПДн и информационных технологий, используемых в ИСПДн.

Требования к 4-му уровню

а) организация режима обеспечения безопасности помещений, в которых размещена ИСПДн, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в них;

б) обеспечение сохранности носителей персональных данных;

в) утверждение руководителем оператора документа, определяющий перечень лиц, доступ которых к ПДн необходим для выполнения ими служебных (трудовых) обязанностей;

г) использование СЗИ, прошедших процедуру оценки соответствия требования законодательства в области обеспечения безопасности информации в случае, если применение таких средств необходимо для нейтрализации актуальных угроз.

Требования к 3-му уровню Для обеспечения 3-го уровня защищенности персональных данных помимо требований, предъявляемых к 4 уровню, необходимо выполнение следующих требований:

д) необходимо назначить должностное лицо (работник), ответственное за обеспечение безопасности персональных данных в информационной системе.

Требования к 2-му уровню Для обеспечения 2-го уровня защищенности персональных данных помимо требований, предъявляемых к 3 и 4 уровням, необходимо выполнение следующих требований:

е) необходимо, чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно должностным лицам (работникам) оператора или уполномоченного лица, которым эти сведения необходимы для выполнения служебных (трудовых) обязанностей.

Требования к 1-му уровню Для обеспечения 1-го уровня защищенности персональных данных помимо требований, предъявляемых ко 2, 3 и 4 уровням, необходимо выполнение следующих требований:

ж) автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в ИСПДн;

з) создание структурного подразделения, ответственного за обеспечение безопасности ПДн в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению безопасности ПДн.

Исходные данные (ПП 1119): 1)Объем обрабатываемых ПДн (больше - меньше 100 тыс.).

Типы актуальных угроз (НДВ в системном ПО; НДВ в прикладном ПО (испльзуемом в ИС); не связанные с наличием НДВ в системном и прикладном ПО, используемом в ИС).

4. Сколько установлено классов защищенности для государственных информационных систем. От каких параметров зависит класс защищенности государственной информационной системы.

4 класса защищенности. 4 – самый низкий, 1 – самый высокий.

Параметры: 1) Масштаб (федеральный/региональный/объектовый). 2) Уровень значимости информации.

Классификация информационной системы проводится в зависимости от значимости обрабатываемой в ней информации и масштаба информационной системы (федеральный, региональный, объектовый). Наибольший уровень защищенности в ГИС первого класса, наименьший в четвертом классе.

Уровень значимости информации определяется степенью возможного ущерба для обладателя информации и (или) оператора ИС от нарушения конфиденциальности, целостности или доступности информации.

Степень ущерба: высокая – если в результате нарушения конфиденциальности, целостности или доступности возможны существенные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) оператор (обладатель информации) не могут выполнять возложенные на них функции.

Степень ущерба: средняя – если в результате нарушения конфиденциальности, целостности или доступности возможны умеренные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) оператор (обладатель информации) не могут выполнять возложенные хотя бы одну возложенную на них функцию.

Степень ущерба: низкая – если в результате нарушения конфиденциальности, целостности или доступности возможны незначительные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) оператор (обладатель информации) могут выполнять возложенные на них функции с недостаточной эффективностью (или с привлечением дополнительных сил и средств).

5. Периодичность проведения оценки эффективности мер по обеспечению безопасности персональных данных, реализованных в ИСперсональных данных. Кто имеет право проводить такую оценку.

Контроль выполнения настоящих требований организуется и проводится оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юр. лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации.

Контроль проводится не реже одного раза в три года в сроки, определяемые оператором. Периодичность – не реже 1 раза в 3 года (Пр-21).

Оценка эффективности реализованных в системе защиты мер по обеспечению безопасности ПДн проводится оператором самостоятельно или с привлечением на договорной основе юр. лиц или индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанная оценка проводится не реже 1 раза в 3 года. Меры по обеспечению безопасности персональных данных в государственных информационных системах принимаются в соответствии с требованиями о защите информации, не содержащей гос. тайну, содержащейся в государственных информационных системах, устанавливаемыми ФСТЭК России в пределах своих полномочий. (см. Приказ ФСТЭК №17 от 11.02.13г.)

Каким документом регламентированы меры по обеспечению ИБ РФ при использовании информационно-телекоммуникационных сетей международного информационного обмена. Основные положения документа в части защиты ГИС ограниченного доступа при его обработке в информационных системах.

17 марта 2008 года N 351 Указ президента РФ о мерах по обеспечению ИБ РФ при использовании информационно-телекоммуникационных сетей международного информационного обмена

а) подключение информационных систем, информационно-телекоммуникационных сетей и средств вычислительной техники, применяемых для хранения, обработки или передачи информации, содержащей сведения, составляющие государственную тайну, либо информации, обладателями которой являются государственные органы и которая содержит сведения, составляющие служебную тайну, к информационно-телекоммуникационным сетям, позволяющим осуществлять передачу информации через государственную границу РФ, в том числе к международной компьютерной сети "Интернет" (далее - информационно-телекоммуникационные сети международного информационного обмена), не допускается;

б) при необходимости подключения информационных систем, информационно-телекоммуникационных сетей и средств вычислительной техники, указанных в подпункте "а" настоящего пункта, к информационно-телекоммуникационным сетям международного информационного обмена такое подключение производится только с использованием специально предназначенных для этого средств ЗИ, в том числе шифровальных (криптографических) средств, прошедших в установленном законодательством РФ порядке сертификацию в Федеральной службе безопасности РФ и (или) получивших подтверждение соответствия в Федеральной службе по техническому и экспортному контролю. Выполнение данного требования является обязательным для операторов информационных систем, владельцев информационно-телекоммуникационных сетей и (или) средств вычислительной техники.

Внедрение системы защиты

Внедрение системы защиты информации информационной системы осуществляется в соответствии с проектной и эксплуатационной документацией на систему защиты информации информационной системы и в том числе включает:

• установку и настройку средств защиты информации в информационной системе;

• разработку документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в информационной системе в ходе эксплуатации (далее организационно – распорядительные документы по защите информации);

• внедрение организационных мер защиты информации;

• предварительные испытания системы защиты информации информационной системы;

• опытную эксплуатацию системы защиты информации информационной системы;

• анализ уязвимостей информационной системы и принятие мер защиты по их устранению;

• приемочные испытания системы защиты информации информационной системы.

Эксплуатация ГИС

Вывод из эксплуатации ГИС

Обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации осуществляется оператором в соответствии с эксплуатационной документацией на систему защиты информации информационной системы и организационно-распорядительными документами по защите информации и в том числе включает:

• архивирование информации, содержащейся в информационной системе;

• уничтожение (стирание) данных и остаточной информации с машинных носителей информации и (или) уничтожение машинных носителей информации.

 

5. Сколько установлено классов защиты автоматизированных систем от несанкционированного доступа. Назовите определяющие признаки, по которым производится группировка автоматизированных систем в различные классы.

9 классов: 5 ГТ (3А, 2А, 1А, 1Б, 1В) и 4 КИ (3Б, 2Б, 1Г, 1Д). АС делятся на однопользовательские (3А, 3Б) и многопользовательские. Многопользовательские АС делятся на АС с одинаковыми правами пользователей (2А, 2Б) и различными правами пользователей (1А, 1Б, 1В, 1Г, 1Д-персональные данные).

Определяющие признаки: - режим обработки информации (однопользовательская/многопользовательская);- права доступа к информации (равные/различные); - уровни конфиденциальности/секретности.

6. Каким документом установлены общие требования к структуре, содержанию, оформлению, утверждению программ и методик аттестационных испытаний объектов информатизации. Кем разрабатывается программа и методики аттестационных испытаний объектов информатизации.

Документ: ГОСТ РО 0043-004-2013 «Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний».

Разрабатывается: органом по аттестации (ГТ) или организацией у которой есть лицензия на КИ (для КИ)

7. Что собой представляет обобщенная модель технического канала утечки (перехвата) защищаемой информации.

Прием средством разведки, размещенном за пределами КЗ информационного сигнала от источника сигнала через среду его распространения.

- источник информации (объект разведки);

- среда распространения сигнала;

- приемник информации (средство разведки).

Основные понятия криптографии: Что такое криптография? В чем отличие идентификации от аутентификации? Что такое шифрование, зашифрование, расшифрование? Что такое алгоритм шифрования? Какие бывают алгоритмы шифрования? Что такое ключ шифрования? Основная характеристика ключа шифрования.

Что такое криптография?

Криптография – наука, связанная с созданием математических методов и средств ЗИ, обеспечивающих конфиденциальность, целостность, имитозащиту и ряд других функций.

Криптография представляет собой совокупность методов преобразования данных, направленных на защиту этих данных, сделав их бесполезными для незаконных пользователей.

Основные задачи, решаемые криптографией и пути их решения:

- обеспечение конфиденциальности путём лишения неуполномоченного лица возможности извлечь информацию из канала связи;

- обеспечение целостности путем лишения противника возможности изменить сообщение так, чтобы исказить его смысл, или ввести ложную информацию в канал связи.

Что такое ключ шифрования?

Ключ шифрования – секретная информация, используемая криптографическим алгоритмом при шифровании/расшифровке сообщений, постановке и проверке цифровой подписи, вычислении кодов аутентичности.

Криптографический ключ (криптоключ) – совокупность данных, обеспечивающая выбор одного конкретного криптографического преобразования из числа всех возможных в данной криптографической системе (приказ ФАПСИ 2001 г. № 152).

Криптографические ключи различаются согласно алгоритмам, в которых они используются:

- симметричные ключи – ключи, используемые в симметричных алгоритмах (шифрование, выработка кодов аутентичности). Главное свойство симметричных ключей: для выполнения как прямого, так и обратного криптографического преобразования необходимо использовать один и тот же ключ. С одной стороны, это обеспечивает более высокую конфиденциальность сообщений, с другой стороны, создаёт проблемы распространения ключей в системах с большим количеством пользователей;

- асимметричные ключи – ключи, используемые в асимметричных алгоритмах (шифрование, ЭЦП). Более точно, они являются ключевой парой, поскольку состоят из двух ключей:

закрытый ключ – ключ, известный только своему владельцу. Только сохранение пользователем в тайне своего закрытого ключа гарантирует невозможность подделки злоумышленником документа и цифровой подписи от имени заверяющего;

открытый ключ – ключ, который может быть опубликован и используется для проверки подлинности подписанного документа, а также для предупреждения мошенничества со стороны заверяющего лица в виде отказа его от подписи документа. Открытый ключ подписи вычисляется, как значение некоторой функции от закрытого ключа, но знание открытого ключа не дает возможности определить закрытый ключ.

Примеры использования PKI

- усиленная квалифицированная электронная подпись (ЭП);- шифрование сообщений;

- авторизация

Что такое сертификат ключа проверки электронной подписи? Его основные характеристики. Требования к сертификату в государственных органах РФ. Кем выдаётся сертификат?

Сертификат ключа проверки электронной подписи - электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи.

Сертификат ключа проверки ЭП должен содержать следующую информацию:

1) даты начала и окончания срока его действия;

2) фамилия, имя и отчество (если имеется) - для физических лиц, наименование и место нахождения - для юридических лиц или иная информация, позволяющая идентифицировать владельца сертификата ключа проверки электронной подписи;

3) ключ проверки электронной подписи;

4) наименование используемого средства электронной подписи и (или) стандарты, требованиям которых соответствуют ключ электронной подписи и ключ проверки электронной подписи;

5) наименование удостоверяющего центра, который выдал сертификат ключа проверки электронной подписи;

6) иная информация, предусмотренная "частью 2 статьи 17" 63-ФЗ, - для квалифицированного сертификата.

Используется усилиенная квалифицированная подпись, выдающаяса удостоверяющими центрами, аккредитованными Минкомсвязи России. Применяется при взаимодействии с различными органами исполнительной власти, а так же с иными коммерческми организациями.

Квалифицированная электронная подпись обладает всеми признаками неквалифицированной, однако она может быть получена только в удостоверяющем центре, аккредитованном Минкомсвязи России. Программное обеспечение, необходимое для работы с КЭП, должно быть сертифицировано Федеральной службой безопасности. Следовательно, квалифицированная электронная подпись наделяет документы полной юридической силой и соответствует всем требованиям о защите конфиденциальной информацию. КЭП используется для сдачи отчетности в контролирующие органы государственной власти и для участия в электронных торгах.

10. Какой документ определяют порядок организации и обеспечения функционирования шифровальных (криптографических) средств, предназначенных для ЗИ, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в ИСперсональных данных? Его основные требования.

Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для ЗИ, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в ИСперсональных данных, УТВЕРЖДЕНЫ руководством 8 Центра ФСБ России 21 февраля 2008 года № 149/6/6-622.

Основные требования:

– Организация и обеспечение безопасности обреботки с использованием шифровальных (криптографических) средств персональьнах данных: Ответственность оператора, разработка и реализация мероприятий по организации и обеспечению безопасности Пдн при их обработке в ИС, допуск и обязанности пользователей.

– Порядок обращения с криптосредствами и криптоключами к ним. Мероприятия при компроментиации ключей.

– Размещение, специальное оборудование, охрана и организация режима в помещениях, где установлены криптосредства или храняться ключевые документы к ним.

 

11. Какой документ определяет состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в ИСперсональных данных (далее - информационная система) с использованием средств криптографической ЗИ? Его основные требования.

Приказ ФСБ России № 378 от 10 июля 2014 г. «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в ИСперсональных данных с использованием средств криптографической ЗИ, необходимых для выполнения установленных Правительством РФ требований к защите персональных данных для каждого из уровней защищенности».

Основные требования:

– Организация режима обеспечения безопасности помещений, в которыз размещена ИС, препятствующего возможности неконтролируемого проинкновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

– Обеспечение сохранности носителей ПДн;

– Утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к ПДн, обрабатываемым в ИС, необходим для выполнения ими служебных (трудовых) обязанностей;

– Использование СЗИ, прошедших продцедуру оценки соответствия требованиям законодательства РФ в области обеспечения безопасности информации, в случае, когда применеие таких средств необходимо для нейтрализации актуальных угроз.

 

 

Тема. Основы организации ТЗИограниченного доступа