Львів – 2005 р.
І. Завдання та мети розрахункової роботи
Завданням даної розрахункової роботи є розроблення комплексної системи безпеки з урахуванням усіх можливих каналів витоку інформації. Для цього необхідно охарактеризувати модель порушника, вказуючи його наміри, мотивацію, рівень знань, характер та його інструментарій. Захищуваний об’єкт має містити детальний детальний опис, схему розміщення обладнання, охоронної системи, склад персоналу, технічні засоби обробки та ЗІ, тип і рівень секретності інформаці. Робота також має містити нормативно правову документацію, що чітко окреслює права, обов’язки, заборони та обмеження персоналу, їх дії при непередбачуваних або аварійних ситуаціях, інструкції щодо користування технічними засобами, самою системою охорони.
Мета: досягнення необхідного рівня захищеності підприємства та її інформації , який давав би необхідну ефективність та співвідношення ціна/якість і унеможливлював проникнення на територію, будівлю до підприємства або ж доступ до її інформації.
ІІ. Перелік об’єктів, які підлягають захисту.
Побудова моделей об’єктів
До об’єктів, що підлягають захисту відносяться ті чи інші об’єкти, що мають пряме відношення до збереження, обробки, отримання та передавання, збереження цілісності інформаційної діяльності підприємства.
До об’єктів захисту належать:
Персонал:
Інженери-лаборанти: 6 чол. (2 спеціалісти-знавці з комп’ютерних систем, які одночасно
виконують розрахунки та обробку отриманої інформації, слідкують за створенням
резервної копії інформації, 1 інженер, що слідкує за станом і роботою системи супутникової навігації, вміє ремонтувати структуровану кабельну систему та зможе
відновити подачу живлення від резервного джерела, налагоджувати роботу радіо- і
телефонної апаратури, 1 інженер, що безпосередньо працює із супутниковою
системою навігації, 2 лаборанти, що працюють з вимірювальними приладами і в
разі необхідності зможуть відлагодити її)
Бухгалтер-секретар: 2 чол. (досвідчений бухгалтер, що заповнює документацію та веде
усю документальну справу організації та архів діяльності, а також помічник-
секретар)
Технічні засоби обробки та захисту інформації:
Загроза – будь-які обставини або події, що можуть бути причиною порушення безпеки об’єкта та нанесення збитків.
Модель загроз об'єкту захисту містить аналіз можливого переліку загроз безпечному стану об'єкта захисту та їх джерел, а також аналіз ризиків з боку цих загроз відповідно до умов функціонування підприємства.
В залежності від виду об’єкту та специфіки його функціонування, по різному можуть проявляти себе і загрози, характерні для цього об’єкта.
Визначення та систематизація переліку загроз, які виникають у відповідності до кожної окремої сукупності об’єктів захисту, здійснюється виходячи із усіх можливих джерел виникнення загроз. При наступному уточненні можливих загроз, головну увагу потрібно концентрувати на інформаційних сигналах та полях, середовищі їх поширення та засобах їх обробки. Тому перелік можливих загроз інформаційним ресурсам та засобам їх обробки визначається виходячи із можливих шляхів утворення каналів витоку інформації та можливих випадкових та навмисних впливів на інформаційні системи.
Порушник - це особа, яка помилково, внаслідок необізнаності, цілеспрямовано, за злим умислом або без нього, використовуючи різні можливості, методи та засоби здійснила спробу виконати операції, які призвели або можуть призвести до порушення властивостей інформації, що визначені політикою безпеки.
Модель порушника відображає його практичні та потенційні можливості, апріорні знання, час та місце дії тощо.
ІV. Політика безпеки
Для безпечного функціювання даної організації розроблено систему захисту ТЗІ та ІзОД.
Причому, за допомогою ТЗІ здійснюється своєчасне виявлення та знешкодження загроз щодо ІзОД. На підстві розробленої системи документації та аналізу різноманітних моделей загроз і порушників визначаються задачі по ЗІ, розробляються заходи для закупівлі, встановлення та реалізації ТЗІ.
Система захист ІзОд передбачає одночасне застосування систем інженерно-технічних споруд паралельно з засобами забезпечення ТЗІ.
V. Реалізація плану захисту інформації
Згідно результатів аналізу аналітичної комісії, плану розміщення ТЗІ, підконтрольних СО зон та зон циркуляції ІзОД впроваджуємо наступні технічні засоби захисту: огорожа, система пожежної сигналізації, двері броньовані, відеорегістратор, автономна система запису аудіо інформації, система відеокамер
Додаток №1
К е р і в н и к а н а л і т и ч н о ї к о м і с і ї
Н А К А З
N 002/1 від 10.11.2005
ЦКГ «ПАК» Зареєстровано в Міністерстві
м.Львів юстиції України
10 листопада 2005 р.
за N 548/2352
Про проведення обстеження умов інформаційної діяльності
На виконання постанови директора ЦКГ «ПАК» "Про створення комплексної системи безпеки території, приміщення та сфери інформаційної діяльності"
Н А К А З У Ю:
1. Розробити єфективний план захисту з урахуванням матеріальної бази
підприємства «ПАК» від 17 листопада 2005 р. до 23 грудня 2005 р.
2. Створити аналітичну комісію у складі 3-ох чоловік з метою створення,
аналізу та реалізації системи ЗІ:
Вітер Людмила Володимирівна (менеджер з інформаційних технологій);
Заяць Тетяна євгенівна (інженер-розробник системи ІБ);
Багновський Андрій Богданович (інженер-технолог).
3. Створити план роботи згідно з такими стандартами:
- ISO/IEC 15408-2000 “Критерії оцінки безпеки інформаційних технологій ”
- ДСТУ 3892-1999 ”Засоби інженерно-технічного укріплення та захисту об’єктів. Терміни
та визначення”;
- ДСТУ 3960-2000 “Системи тривожної сигналізації. Системи охоронної і охоронно-
ожежної сигналізації. Терміни та визначення”;
- ГСТУ 78.11.03.99 “Засоби інженерно-технічного укріплення та захисту об`єктів. Захисне
скло. Методи випробувань панцерованого скла на тривкість до обстрілу”;
- ГСТУ 78.11.004-2000 “ Засоби інженерно-технічного укріплення та захисту об`єктів.
Об’єкти, що охороняються фізичною охороною. Загальні технічні вимоги”;
- ГСТУ 78.11.005-2000 “Засоби інженерно-технічного укріплення та захисту об`єктів.
Захисне скло. Методи випробувань ударотривкого скла”;
- ГСТУ 78.11.006-2001 “Засоби інженерно-технічного укріплення та захисту об’єктів.
Панцерові конструкції, деталі та вузли. Методи випробувань на тривкість до обстрілу”;
- ГСТУ 78.11.008-2001 “Засоби інженерно-технічного укріплення та захисту об’єктів.
Захисна кабіна. Загальні технічні вимоги та методи випробувань ”;
- НД ТЗІ 2.5-004-99 Критерії оцінки захищеності інформації в комп’ютерних системах від
несанкціонованого доступу;
- НД ТЗІ 3.6-001-2000 Технічний захист інформації. Комп’ютерні системи. Порядок
створення, впровадження, супроводження
не пізніше ніж за 14 днів після набрання чинності цього документа, де
зазначити:
систему допуску до захищуваної інформації;
засоби обмеження доступу до захищуваної інформації;
розміщення системи ТЗІ для постійного моніторингу ситуації в приміщенні;
роботу КПП та служби охорони, час обходу території, тривалість однієї зміни, правила та обов’язки під час виконання службових обов’язків;
методи та заходи захисту працівників підприємства;
керівником органу, щодо якого здійснюється ТЗІ.
Голова аналітичної
комісії А.О. Деркач ____________
Заступник директора
фірми «ПАК» Н.О. Кордунов ____________
Затверджено
наказом керівника аналітичної комісії,
заступником директора фірми «ПАК»,
нотаріусом Терешко В.М. від 10.11.2005
N 582/16
Зареєстровано
в Міністерстві юстиції України
10 личтопада 2005 р.
за N 548/2352
Штамп юридичної організації:
Штамп керівника організації:
Додаток №2
К е р і в н и к а н а л і т и ч н о ї к о м і с і ї
Н А К А З
N 005/1 від 16.11.2005
ЦКГ «ПАК» Зареєстровано в Міністерстві
м.Львів юстиції України
16 листопада 2005 р.
за N 550/2378
Про організацію захисту технічних засобів органу, щодо якого здійснюється ТЗІ, від витоку інформації технічними каналами
З метою забезпечення належного режиму при проведені в органі, щодо якого здійснюється ТЗІ робіт і усунення можливих каналів витоку інформації з обмеженим доступом (далі по тексту – ІзОД), Н А К А З У Ю:
1. Обов’язки щодо організації робіт з технічного захисту інформації з обмеженим доступом органу, щодо якого здійснюється ТЗІ покласти на керівника структурного підрозділу ТЗІ Берник М.І. Обов’язки щодо контролю повноти та якості реалізованих заходів покласти на комісію підрозділу1).
2. Затвердити перелік інформації з обмеженим доступом, яка наявна в органі, щодо якого здійснюється ТЗІ, в додаток №1 до наказу.
3. Затвердити перелік виділених приміщень, інформаційних систем, спеціальних об’єктів на яких утворюється, обробляється, зберігається, передається інформація з обмеженим доступом, додаток №2 до наказу.
4. Начальнику підрозділу ТЗІ в термін до 15 листопада 2005 р. представити мені для затвердження список осіб, відповідальних за забезпечення режиму у виділених приміщеннях, на об’єктах.
5. Встановити в органі, щодо якого здійснюється ТЗІ, контрольовану зону (зони) відповідно до затвердженої мною планом-схемою, додаток №3 до наказу.
6. Підрозділу ТЗІ вжити заходів, що виключають несанкціоноване перебування в контрольованій зоні сторонніх осіб і транспортних засобів (див. додаток №5 до наказу).
7. Комісії з категоріювання провести категоріювання виділених об’єктів.
8. Підрозділу ТЗІ провести первинну атестацію виділених об’єктів, результат атестації зареєструвати в атестаційному паспорті виділеного приміщення (об’єкту, інформаційної системи).
9. Установити, що роботу з ІзОД допускається здійснювати тільки в приміщеннях, що пройшли атестацію.
10. При роботі з ІзОД дозволяється використовувати технічні засоби передачі, обробки і збереження інформації, що тільки входять у затверджений мною перелік (додаток №4 до наказу).
11. Для забезпечення захисту ІзОД від витоку з виділених приміщень за межі контрольованих зон певного підрозділу органу, щодо якого здійснюється ТЗІ (наприклад, головного енергетика) у цих приміщеннях провести захисні заходи відповідно до затвердженого мною плану-графіку (додаток №5 до наказу).
12. Контроль за виконанням плану-графіка захисних заходів покласти на підрозділ ТЗІ.
13. На підрозділ ТЗІ покласти обов’язки з підготовки технічних засобів у виділених приміщеннях (якщо ці засоби вимагають попередньої підготовки) до проведення особливо важливих заходів.
14. Про проведення особливо важливих заходів відповідальним особам вчасно повідомляти підрозділ ТЗІ.
15. Начальнику підрозділу по завершенні організаційних, організаційно-технічних і технічних заходів для захисту об’єктів органу, щодо якого здійснюється ТЗІ провести перевірку заходів і представити мені Акт прийому робіт із захисту від можливого витоку ІзОД для узгодження і наступного затвердження.
16. Начальнику підрозділу разом із призначеними мною відповідальними за забезпечення режиму у виділених приміщеннях підготувати і представити мені на затвердження графік проведення періодичних атестаційних перевірок виділених приміщень і технічних засобів, що в них знаходяться.
17. Про всі виявлені при атестації й атестаційних перевірках порушення доповідати мені для вжиття оперативних заходів.
Голова аналітичної
комісії А.О. Деркач ____________
Заступник директора
фірми «ПАК» Н.О. Кордунов ____________
Затверджено
наказом керівника аналітичної комісії,
заступником директора фірми «ПАК»,
нотаріусом Трешко В. М. від 16.11.05
N 005/1
Зареєстровано
в Міністерстві юстиції України
10 листопада 2005 р.
за N 550/2378
Штамп юридичної організації:
Штамп керівника організації:
Додаток №1
Перелік інформації з обмеженим доступом (ІзОД)
До ІзОД належить така інформація:
дані, що отримаються через супутник;
детальні топографічні та інші карти, що можуть містити інформацію про скриті або державні військово-розвідувальні об’єкти;
результати даних, отриманих на основі проведення лабораторних досліджень, вимірювань;
дані, що зберігаються в комп’ютерній мережі, обчислення, звітності;
резервна копія усіх даних організації;
ключі доступу та паролі;
інструкції користування супутниковою системою;
інструкції користування самимої системи ТЗІ;
інструкція по професійному та спеціальному програмному забезпеченню;
бухгалтерська документація, звітності та архіви документів.
Перелік складено першим замісником директора. Н.О. Кордунов: _____________
План проведення захисних заходів для забезпечення захисту ІзОД від витоку за межі контрольованих зон (відповідно до план-графіку)
Здійснити такі заходи для забезпечення захисту ІзОД від витоку за межі контрольованих зон:
Встановити охорону на КПП та організувати його роботупо перепуску відвідувачів, працівників за певним видом перепустки (див. додаток №6 до наказу);
Встановити охорону всередині будівлі організації;
Затвердити план проведення провірки території, приміщення, стану сигнальних систем тощо працівниками, що перечислені в п.1 та п.2 додатку №5 до наказу;
Вибір засобів захисту інформації і їхніх характеристик;
Встановити пожежну сигналізацію та привести її в дію;
Встановити відеонагляд, політики збереження записаних даних та привести його в дію;
Встановити антивірусні та програми захисту від доступу через мережу Internet для збереження цілісності інформації та унеможливлення її модифікації;
Встановити системи охорони периметру та призвести її в дію;
Встановити антипрослуховуючих пристроїв для телефонної (АОН)та радіоапаратури, або таких, що можуть вести спостереження, запис подій чи підслуховування;
10.Встановити системи завад та придушити побічні електромагнітні випромінювання;
11.Встановити порядок проведення робіт з резервування даних;
12.Встановити порядок ведення журналів реєстрації подій;
13.Організувати політику доступу до ІзОД та призначити грифи секретності
комерційній та секретній державній інформації (згідно розділу ІІ статей
10, 12 та 13 закону України «Про державну таємницю»; розділів ІІІ та ІV
закону України «Про захист інформації в автоматизованих системах»; див.
додаток №5);
14.Створити профілі для кожного з користувачів та затвердити план про
обновлення та збереження анонімності паролів доступу в комп’ютерній
мережі;
15.Затвердити політику ІБ (див. додаток №7 до наказу);
16.Ввеси в дію системний журнал спостереження за діями персоналу в мережі;
17.Унеможливити доступ до кімнат №3, 4, 5 та 6 посторонніх осіб, включаючи
охорону та забезпечити розпізнавання осіб на вході до них за допомогою
біометричних систем розпізнавання сітківки ока, відбитків пальця або
голосу;
18.Забезпечити джерелом резервного живлення підприємство на час виходу з
ладу основного джерела;
19.Покрити протиударні вікна плівкою захисту від зчитування по електро-
магнітному полю, навколо підприємства;
20.Встановити броньовані двері та грати на вікна;
21.Заборонити неконтрольоване, не підтримане необхідним наказом внесення
всіх інших технічних пристроїв, заміну уже існуючим або неочікуваний і
безпідставний ремонт діючої системи обробки, зберігання та передачі
інформації, що наведеної в додаток №4 до наказу 005/1.
22.Здійснити захист процесів, процедур і програм обробки інформації.
23.Здійснити контроль цілісності й керування системою захисту;
24.Впровадити й організувати використання обраних мір, способів і засобів
захисту.
Перелік складено головою аналітичної комісії Деркачем А.О.:_____________
Додаток №6
Керівник аналітичної комісії
органу, щодо якого
здійснюється ТЗІ,
Деркач А.О.
З А Т В Е Р Д Ж У Ю
АКТ
про порядок та організацію проведення робіт на КПП
Забезпечення функціонування контрольно-пропускних пунктів (КПП):
1. КПП призначені для забезпечення санкціонованого входу (в'їзду) в контрольовану зону, що зазначена в додатку №3 до наказу, і зони обмеженого доступу на об'єкти, які охороняються, а також виходу (виїзду) з цих зон:
авіаційного персоналу та інших осіб чи транспортних засобів.
2. КПП для пропуску персоналу та інших осіб обладнується турнікетом з фіксуючим пристроєм, освітленням, засобами телефонного і радіозв'язку, сигналізацією виклику, металевою шафою для зберігання службової документації, стендом із зразками діючих посвідчень і перепусток, а також журналом для проведення реєстрації подій.
3. КПП для проїзду транспортних засобів обладнується воротами з електромеханічним приводом та/або шлагбаумом з фартухом. В усіх випадках КПП обладнується площадкою для огляду транспорту, дахом для захисту персоналу КПП від атмосферних опадів та освітленням.
4. Для КПП, що обладнані шлагбаумами, повинні передбачатися ворота, які необхідно замикати на період, коли пропускні пункти не працюють, а також у час підвищеної загрози.
5. КПП і прилегла до них територія повинні освітлюватись за темного часу доби.
6. Кількість КПП для проходу (проїзду) в контрольовану зону і зони обмеженого доступу повинна забезпечувати ритмічну роботу і бути мінімальною. А згідно план-схеми, наведеної в додатку №3 до цього наказу, всього один пункт КПП.
7. КПП, які не працюють цілодобово чи тимчасово не функціонують, повинні замикатися технічно справними замками і періодично контролюватися працівниками підрозділу служби охорони (надалі СО).
8. Ключі від КПП, усіх замків вхідних (в'їздних) воріт, дверей (лазів) підземних переходів, мереж каналізації та тунелів тощо зберігаються у начальника СО, старшого керівника відповідного підрозділу СО чи у призначеного для цього працівника СО, на яких покладена відповідальність за конкретну ділянку роботи та за технічний стан замикаючих пристроїв.
Видача та приймання ключів, а також передача їх між черговими змінами здійснюється під розпису в спеціальному журналі.
9. Контроль за станом КПП, їх обладнанням, огорожею контрольованої зони і зон обмеженого доступу, що охороняються, технічними засобами спостереження, засобами зв'язку, супутниковою системою, освітленням тощо здійснюється спеціально підготовленими і сертифікованими фахівцями, в тому числі працівниками СО.
Порядок видачі посвідчень, перепусток:
1. Метою запровадження порядку видачі посвідчень, перепусток є виключення НСД в контрольовану зону і зони обмеженого доступу та об’єктів, що охороняються.
2. Посадова особа суб’єкта, яка уповноважена з питань безпеки підприємства, в установленому порядку:
- розробляє зразки посвідчень і перепусток, які обов'язково узгоджуються з відповідними стандартами України;
- визначає організацію виготовлення бланків цих документів;
- визначає порядок обліку, збереження і видачі посвідчень, перепусток;
- зробляє процедуру заміни, вилучення та знищення посвідчень та перепусток;
- значає порядок скасування зайвих бланків при переході на інший зразок посвідчень, перепусток.
3. Для забезпечення санкціонованого допуску в контрольовані зони і зони обмеженого доступу керівників підприємства, керівників та службовців її структурних підрозділів, з метою виконання ними службових обов'язків, ввести посвідчення - спеціальну перепустку.
Порядок виготовлення, зберігання, обліку, видачі, заміни, знищення, а також захисту від підробки посвідчення - спеціальної перепустки, межі його використання та особовий склад користувачів, визначається положенням про цей документ.
4. Посвідчення-спеціальна перепустка працівника є документом, що засвідчує статус особи. Посвідчення видаються особам, які постійно працюють у відповідній організації.
5. Перепустки поділяються:
За строками дії - на одноразові, тимчасові та постійні;
За призначенням - на особисті, спеціальні, матеріальні та транспортні.
Примітка: Спеціальна перепустка - це картка, що дозволяє її власнику вхід в контрольовані зони чи зони обмеженого доступу суб’єкта, що охороняється, з метою виконання ним службових обов'язків.
6. Усі перепустки за призначенням є службовими документами, які надають право:
а) особисті - на прохід і перебування в контрольованій, стерильних зонах і зонах обмеженого доступу, що охороняються;б) матеріальні - на пронесення (провезення) матеріальних цінностей, вантажу, багажу з контрольованої зони та зон обмеженого доступу, що охороняються;в) транспортні - на в'їзд автотранспорту в контрольовану зону та виїзд з неї.
7. Постійні спеціальні перепустки видаються особам, які постійно працюють в контрольованій зоні та зонах обмеженого доступу суб’єкта, що охороняються.
8. Тимчасові перепустки видаються особам, які тимчасово працюють на суб’єкті (та на його об'єктах), на період до тридцяти діб, у тому числі тим, що перебувають у відрядженні, але на період не більше шести місяців.
9. Одноразові перепустки видаються на підставі заяви посадової особи не нижче керівника структурного підрозділу суб’єкта. Перепустка дійсна з моменту її отримання до закінчення зазначеного в ній часу перебування в контрольованій зоні.
Вхід відвідувача в контрольовану зону, зони обмеженого доступу суб’єкта та вихід його з них здійснюється у супроводі уповноваженого працівника суб’єкта.
10.Працівники, які працюють в контрольованій зоні і зонах обмеженого доступу суб’єкта, що охороняється, та відвідувачі зобов'язані носити спецперепустки встановленого зразка на видному місці поверх одягу, протягом часу перебування в цих зонах.
11.Матеріальні перепустки на вантаж і матеріальні цінності, які підлягають вивозу (виносу) з контрольованої зони суб’єкта, видаються матеріально відповідальними особами. Матеріальна перепустка є одноразовою і дійсна протягом дня її видачі.
12.Транспортні перепустки, постійні чи одноразові, видаються СО на транспортні засоби для проїзду в контрольовану зону і зони обмеженого доступу суб’єкта, що охороняється. Розміщується така перепустка на видному місці (на лобовому склі) відповідного транспортного засобу. Термін дії такої перепустки - до 12 годин.
13.Введення на суб’єкті інших видів перепусток, не передбачених цим Положенням, заборонено.
14.Втрата посвідчення чи перепустки, а також недбале їх зберігання, тягне відповідальність на підставі і у порядку, передбаченому чинним законодавством. Суб’єкт має право визначати матеріальну відповідальність за втрату перепустки (посвідчення).
Голова аналітичної комісії Н.О. Кордунов____________
Заступник директора
фірми «ПАК» А.О. Деркач____________
“_20_”_ листопада 2005 р.
Додаток №7
Керівник аналітичної комісії
органу, щодо якого
здійснюється ТЗІ,
Деркач А.О.
З А Т В Е Р Д Ж У Ю
АКТ
про проведення політики безпеки на підприємстві «ПАК»
1. Організация заходів щодо ПІБ:
Не можна приступати до впровадження правил ЗІ, поки користувачі не придбають навичок, необхідних для їхнього дотримання. Безпека вимагає не тільки знань, але і дій. Усі користувачі повинні знати, що потрібно почати і чого робити не коштує, коли вони зіштовхуються з чи порушенням можливістю його виникнення; до кого потрібно звертатися при виникненні підозр. Користувачі повинні бути упевнені в тім, що заходи для забезпечення безпеки приймаються в їхніх же інтересах, а не по інших розуміннях.
Слід запросити консультанта збори групи як наставника при розробці правил.
Працюючи таким способом створимо правила безпеки, до яких буде мати відношення кожен співробітник. Забезпечити користувачів правилами. Навіть, якщо правила засвоєні, то в може виникнути питання, як ці правила впровадити, тому слід надавати разом із усіма правилами модельні процедури впровадження і приклади.
Необхідно за щораз доповнювати правила модельними процедурами і прикладами реалізації, що присвячені захисту від нових небезпек.
У загальному виді сукупність заходів, спрямованих на запобігання погроз, визначається в такий спосіб:
-уведення захисту технічних засобів (ТЗ), програмного забезпечення (ПЗ) та масивів
даних;-резервування ТЗ;-регулювання доступу до ТЗ, ПЗ, масивам інформації;-регулювання використання програмно-апаратних засобів і масивів інформації;-криптографічний захист інформації;-контроль елементів ІС;-своєчасне знищення непотрібної інформації та документів у пристрої для знищення
паперу;-сигналізація;-своєчасне реагування.У системному плані безліч і розмаїтість можливих видів ЗІ визначається способами впливу на дестабілізуючі фактори, їхні причини, що сприяє підвищенню значень показників захищеності інформації. Ці способи можуть бути класифіковані в такий спосіб:
фізичні засоби, механічні, електричні, електромеханічні, електронні, електронно-механічні й інші пристрої і системи, що функціонують автономно, створюючи різного роду перешкоди дестабілізуючим факторам.
Головною властивістю побудови системи захисту повинна бути здатність до її пристосування при зміні структури технологічних схем чи умов функціонування ІС. Іншими принципами можуть бути:
-мінімізація витрат, максимальне використання серійних засобів;-забезпечення рішення необхідної сукупності задач захисту;-комплексне використання засобів захисту, оптимізація архітектури;-зручність для персоналу;-простота експлуатації.
СЗІ доцільно будувати у виді взаємозалежних підсистем, а саме:-підсистема криптографічного захисту - поєднує засоби такого ЗІ,що по ряду функцій
кооперується з підсистемою захисту від НСД;-підсистема забезпечення юридичної значимості електронних документів;-підсистема захисту від НСД;-підсистема організаційно-правового захисту;-підсистема керування СЗІ.
Побудова системи захисту інформації в такому виді дозволить забезпечити комплексність процесу захисту інформації в ІС, керованість процесу і можливість адаптації при зміні умов функціонування ІС.
2. Політики безпеки для Internet:
Організації повинні відповісти на наступні питання, щоб правильно врахувати можливі наслідки підключення до Іntеrnеtу в області безпеки:
· Чи можуть хакери зруйнувати внутрішні системи?· Чи може бути скомпрометована(змінена чи прочитана) важлива інформація організації при її передачі по Internet?· Чи можна перешкодити роботі організації?
Ціль політики безпеки для Internet – прийняти рішення про те, як організація збирається захищатися. ПІБ звичайно складається з двох частин – загальних принципів (визначають підхід до безпеки в Internet)і конкретних правил роботи (визначають що дозволено, а що – заборонено і можуть доповнюватися конкретними процедурами і різними посібниками).
При проектуванні Internet не задумувалася як захищена мережа, тому його проблемами в поточній версії TCP/IP є:· легкість перехоплення даних і фальсифікації адрес машин у мережі (основна частина
трафіка Internet) – це нешифровані дані. E-mail, паролі і файли можуть бути перехоплені,
використовуючи легко доступні програми. · уразливість засобів TCP/IP – ряд засобів TCP/IP не був спроектований бути захищеними і
може бути скомпрометований кваліфікованими зловмисниками; засоби, використовувані
для тестування особливо уразливі.· складність конфігурації – засоби керування доступом хосту складні; найчастіше складно
правильно сконфігурурвати і перевірити ефективність установок . Засоби, що помилково
неправильно сконфігуруровані, можуть привести до неавторизованого доступу.
3. Короткий зміст документів ПІБ:
”Концепція забезпечення ІБ в ІС” повинна містити:· загальну характеристику об'єкта захисту (опис складу, функцій існуючої технології
обробки даних у типовій ІС); · формулювання цілей створення СЗІ, основних задач забезпечення ІБ і шляхів досягнення
цілей (рішення задач); · перелік типових загроз ІБ і можливих шляхів їхньої реалізації, неформальну модель
ймовірних порушників; · основні принципи і підходи до побудови системи забезпечення ІБ, заходи, методи і
засоби досягнення цілей захисту.
"План захисту" від НСД до інформації і незаконного втручання в процес функціонування ІС містить:· визначення цілей, задач захисту інформації в ІС і основні шляхи їхнього досягнення; · вимоги по організації і проведенню робіт із ЗІ в ІС, · опис застосовуваних заходів і засобів захисту інформації від розглянутих погроз,
загальних вимог до настроювань застосовуваних засобів ЗІ від НСД; · розподіл відповідальності за реалізацію "Плану захисту ІС" між посадовими особами і
структурними підрозділами організації.
"Положення про категоризації ресурсів ІС" містить:· формулювання цілей уведення класифікації ресурсів по категоріям захищеності; · пропозиції по числу і назвам категорій ресурсів, що захищаються, і критеріям
класифікації ресурсів по необхідних ступенях захищеності; · зразок формуляра ЕОМ (для обліку необхідного ступеня захищеності, комплектації,
конфігурації і переліку розв'язуваних на ЕОМ задач); · зразок формуляра розв'язуваних на ЕОМ ІС функціональних задач (для обліку їхніх
характеристик, категорій користувачів задач і їхніх прав доступу до інформаційних
ресурсів даних задач).
"Порядок звертання з інформацією, що підлягає захисту" повинна містити:· визначення основних видів інформації, що захищається, та конфіденційних зведень; · загальні питання організації обліку, збереження і знищення документів і магнітних носіїв
з конфіденційною інформацією; · порядок передачі (надання) конфіденційних зведень третім обличчям; · визначення відповідальності за порушення встановлених правил поводження з
інформацією, що захищається; · форму типової угоди-зобов'язання співробітника організації про дотримання вимог
поводженняння з інформацією, що захищається.
"План забезпечення безупинної роботи і відновлення" включає:· загальні положення та призначення документа; · класифікацію можливих кризових ситуацій і вказівка джерел одержання інформації про
виникнення кризової ситуації; · перелік основних заходів і засобів забезпечення безперервності процесу функціонування
ІС і своєчасності відновлення її працездатності; · загальні вимоги до підсистеми забезпечення безупинної роботи і відновлення; · типові форми для планування резервування ресурсів підсистем ІС і визначення
конкретних заходів і засобів забезпечення їхньої безупинної роботи і відновлення; · порядок дій і обов'язків персоналу по забезпеченню безупинної роботи і відновленню
працездатності системи.
"Положення про відділ ТЗІ" містить:· загальні положення, керівництво відділом; · основні задачі і функції відділу; · права й обов'язки начальника і співробітників відділу, їх відповідальність;· типову організаційно-штатну структуру відділу.
"Обов'язку адміністратора ІБ підрозділу" містять:· основні права й обов'язки по підтримці необхідного режиму безпеки; · відповідальність за реалізацію прийнятої політики безпеки, у межах своєї компетенції.
"Інструкція з внесення змін у списки користувачів":- визначає процедуру реєстрації, чи надання зміни прав доступу користувачів до ресурсів.
"Інструкція з модифікації технічних і програмних засобів":- регламентує взаємодія підрозділів організації по забезпеченню ІБ при проведенні
модифікацій ПЗ і технічного обслуговування засобів обчислювальної техніки.
"Інструкція з організації парольного захисту":- регламентує організаційно-технічне забезпечення процесів генерації, зміни і припинення
дії паролів (видалення облікових записів користувачів) в АС організації, а також
контроль за діями користувачів і обслуговуючого персоналу системи при роботі з
паролями.
"Інструкція з організації антивірусного захисту" містить:· вимоги до закупівлі, установці антивірусного ПЗ; · порядок використання засобів антивірусного захисту, регламенти проведення перевірок і
дії персоналу при виявленні вірусів; · розподіл відповідальності за організацію і проведення антивірусного контролю.
"Інструкція з роботи з ключовими дискетами (ключами шифрування)" містить:· порядок виготовлення, роботи, збереження ключових дискет і знищення ключової
інформації; · обов'язки і відповідальність співробітників по використанню і схоронності ключової
інформації; · форми журналів обліку ключових дискет; · порядок дій персоналу у випадку втрати, псування ключової дискети, компрометації
ключової інформації.
4. Ролі й обов'язки:
Потрібно описати відповідальних посадових осіб і їхнього обов'язку у відношенні розробки і впровадження різних аспектів політики. Для такого складного питання, як безпека в Internet, організації може знадобитися ввести відповідальних за аналіз безпеки різних архітектур чи затвердження використання тієї чи іншої архітектури.У документ необхідно включити інформацію про посадових осіб, що відповідають за проведення політики безпеки в життя.
Наприклад, якщо для використання працівником неофіційного програмного забезпечення потрібно офіційний дозвіл, те повинно бути відомо, у кого і як його варто одержувати. Якщо повинні перевірятися дискети, принесені з інших комп'ютерів, необхідно описати процедуру перевірки. Якщо неофіційне програмне забезпечення використовувати не можна, варто знати, хто стежить за виконанням даного правила. Перераховані групи людей відповідають за реалізацію сформульованих раніше цілей. Керівники підрозділів відповідають за доведення положень політики безпеки до користувачів і за контакти з ними. Адміністратори локальної мережі забезпечують безупинне функціонування мережі і відповідають за реалізацію технічних заходів, необхідних для проведення в життя політики безпеки. Адміністратори сервісів відповідають за конкретні сервіси і, зокрема, за те, щоб захист був побудований відповідно до загальної політики безпеки. Користувачі зобов'язані працювати з локальною мережею відповідно до політики безпеки, підкорятися розпорядженням обличь, що відповідають за окремі аспекти безпеки, доводити до відома керівництво про всі підозрілі ситуації.
5. Керівники підрозділів зобов'язані:
Постійно тримати в полі зору питання безпеки. Стежити за тим, щоб те ж робили їхні підлеглі. Проводити аналіз ризиків, виявляючи активи, що вимагають захисту, і уразливі місця систем, оцінюючи розходів від можливого збитку порушення режиму безпеки і вибираючи ефективні засоби захисту. Організувати навчання персоналу заходівам безпеки. Звернути особливу увагу на питання, зв'язані з антивірусним контролем. Інформувати адміністраторів локальної мережі й адміністраторів сервісов про зміну статусу кожного з підлеглих (перехід на іншу роботу, звільнення і т.п.). Забезпечити, щоб кожен комп'ютер у їхніх підрозділах мав системного адміністратора, що відповідає за безпеку і має достатню кваліфікацію для виконання цієї ролі.
6. Адміністратори локальної мережі зобов'язані:
Інформувати керівництво про ефективність існуючої політики безпеки і про технічні заходи, що можуть поліпшити захист. Забезпечити захист устаткування локальної мережі, у тому числі інтерфейсів з іншими мережами. Оперативно й ефективно реагувати на події, що тають в собі загрозу. Інформувати адміністраторів сервісов про спроби порушення захисту. Робити допомогу у відображенні погрози, виявленні порушників і наданні інформації для їхнього покарання. Використовувати перевірені засоби аудита і виявлення підозрілих ситуацій. Щодня аналізувати реєстраційну інформацію, що відноситься до мережі в цілому і до файлових серверів особливо. Стежити за новинками в області ІБ, повідомляти про їх користувачам і керівництву. Не зловживати даними їм великими повноваженнями. Користувачі мають право на таємницю. Розробити процедури і підготувати інструкції для захисту локальної мережі від шкідливого ПЗ. Робити допомогу у виявленні і ліквідації злобливого коду. Регулярно виконувати резервне копіювання інформації, що зберігається на файлових серверах. Виконувати всі зміни мережної апаратно-програмної конфігурації. Гарантувати обов'язковість процедури ідентифікації й аутентификації для доступу до мережевих ресурсів. Виділяти користувачам вхідні імена і початкові паролі тільки після заповнення реєстраційних форм. Періодично робити перевірку надійності захисту локальної мережі. Не допускати одержання привілеїв неавторизованими користувачами.7. Користувачі зобов'язані:Знати і дотримувати закони, правила, політику безпеки, процедури безпеки. Використовувати доступні захисні механізми для забезпечення конфіденційності і цілісності своєї інформації. Використовувати механізм захисту файлів і належним образом задавати права доступу. Вибирати гарні паролі, регулярно змінювати їх. Не записувати паролі на папері, не повідомляти їх іншим обличчям. Допомагати іншим користувачам дотримувати заходіви безпеки. Указувати їм на виявлені недогляди. Інформувати адміністраторів чи керівництво про порушення безпеки й інших підозрілих ситуацій. Не використовувати слабості в захисті сервісів і локальної мережі в цілому. Не робити неавторизованої роботи з даними, не створювати перешкод іншим користувачам. Не намагатися працювати від імені інших користувачів. Забезпечувати резервне копіювання інформації з жорсткого диску свого комп'ютера. Знати принципи роботи шкідливого ПЗ, шляху його проникнення і поширення, слабості, що при цьому можуть використовуватися. Знати і дотримувась процедури для попередження проникнення злобливого коду, його виявлення і знищення. Знати слабості, що використовуються для неавторизованого доступу. Знати способи виявлення ненормального поводження конкретних систем, послідовність подальших дій. Знати і дотримувати правила поведінки в екстрених ситуаціях та послідовність дій при ліквідації наслідків аварій.
Голова аналітичної комісії Н.О. Кордунов____________
Заступник директора
фірми «ПАК» А.О.Деркач____________
“_20_”_ листопада 2005 р.
Додаток № 4
Керівник органу,
щодо якого здійснюється ТЗІ,
директор підприємства «ПАК»
Максимів Т.Т.
З А Т В Е Р Д Ж У Ю
АКТ
категоріювання ІзОД в підприємстві «ПАК»
Вищий гриф секретності інформації, що циркулює на об’єкті:
а) інформації, отримані від супутникової системи;
б) детальні топографічні та інші карти, що можуть містити інформацію про
скриті або державні військово-розвідувальні об’єкти;
в) результати даних, отриманих на основі проведення лабораторних
досліджень, вимірювань;
г) дані, що зберігаються в комп’ютерній мережі, різноманітні обчислення, звітності;
д) резервна копія усіх даних перечислених у вищезазначених пунктах а),
б), в), г);
ключі доступу та паролі;
інструкції користування супутниковою системою;
інструкція по професійному та спеціальному програмному забезпеченню.
Об’єм інформації, що циркулює на об’єкті, з вищим грифом секретності:
Звичайний: 312 Gb;
Значний: 380 Gb.
Відомості щодо можливості застосування стаціонарних засобів розвідки
поблизу об’єктів:
так як центр ЦКГ «ПАК» знаходиться в гірській місцевості, то поблизу ніяких інших підприємств, а тим більше іноземних, немає.
Підстава для категоріювання:
Первинна: стаття 32 закону України «Про інформацію»
Планова: частина ІІ до закону України «Про державну таємницю»
У зв’язку із: змінами внесеними до частини ІІ закону України «Про
державну таємницю»_
Раніше встановлена категорія: _гриф «таємно»__
Встановлена категорія: _ гриф «цілком таємно»_
Голова аналітичної комісії А.О. Деркач____________
Заступник директора
фірми «ПАК» Н.О.Кордунов____________
“_20_”_ листопада 2005 р.