Служба комплексного администрирования АИС обеспечивает администрирование: защиты информации, операционных систем и сетей (локальных и глобальных вычислительных систем и сетей), баз данных и систем управления базами данных.
Администратор защиты информации обеспечивает: регистрацию пользователей; формирование матрицы доступа к вычислительным и информационным ресурсам системы: учет наступления системных событий, связанных с инициализацией функций АИС, изменением сс конфигурации, а также изменением прав доступа; формирование параметров входа в систему (идентификатора) и шифроключей; контроль системы текущего функционального состояния.
Администратор операционных систем отвечает за генерацию операционных систем и их сопровождение (тестирование работоспособности, восстановление и т.д.). обновление версий операционных систем (анализ необходимости перехода на новые версии, разработку перечня мероприятий по переходу на новую версию).
Администратор сети отвечает за ее функционирование, создает структуру каталога сети; обеспечивает необходимый уровень защиты, следит за рациональным использованием информационных ресурсов. определяет политику развития сети, ведет описание технической конфигурации сети, се функциональной структуры, структуры клиентов, имеющих доступ к информации, циркулирующей в АИС. а также формирует список пользователей, допущенных к работе в системе.
Администратор баз данных отвечает за генерацию систем управления базами данных; сопровождение информации и управление информацией, в том числе конфиденциальной; создание и ведение классификаторов; ввод и модификацию нормативно-справочной информации; сохранение резервных копий; восстановление искаженной информации; архивирование информации и организацию поступления информации из архива; обработку и анализ статистической информации о характере и интенсивности использования данных, о распределении нагрузки на различные компоненты структуры баз данных: внесение изменений в структуру баз данных в процессе эксплуатации системы н целях повышения производительности; обеспечивает ввод и поддержание в актуальном состоянии общих разделов баз данных (классификаторов).
При увольнении или изменении должностных обязанностей пользователей, операторов, администраторов систем по согласованию со Службой безопасности или Службой информационных технологий (информационной безопасности) организации должны быт ь приняты в установленном в организации порядке меры по оперативному изменению соответствующих паролей. Порядок ведения паролей необходимо определить Инструкцией по использованию паролей.
Восстановление функционирования АИС и обеспечение доступности к конфиденциальной информации на требуемом уровне и в требуемые сроки после прерывания или отказа оборудования и (или) программного обеспечения осуществляется в соответствии с порядком. указанным в -эксплуатационной документации. Неисправности должны регистрироваться, анализироваться, и в их отношении должны приниматься соответствующие действия.
Резервное копирование (архивирование) баз данных осуществляется в соответствии с планом проведения резервного копирования (архивирования), который включает перечень баз данных, подлежащих резервному копированию (архивированию), и график его проведения.
Эксплуатация антивирусных средств защиты осуществляется в соответствии с разрабатываемой в организации Инструкцией по антивирусной защите, определяющей порядок установки, обновления, использования антивирусных средств защиты, а также меры по восстановлению работоспособности системы в случае проникновения вируса. Инструкция может быть составлена на основании [165;196].
Все пользователи и эксплуатационный персонал АИС должны сообщать в Службу безопасности (информационной безопасности) о любых наблюдаемых или предполагаемых событиях, связанных с недостатками обеспечения защиты конфиденциальной информации.
За нарушение установленных требований по защите информации руководитель структурного подразделения организации, отвечающий за эксплуатацию АИС (подразделение информационных технологий), и (или) непосредственный исполнитель привлекаются к административной или уголовной ответственности в соответствии с действующим российским законодательством.
Доступ к защищаемой конфиденциальной информации лиц. работающих в автоматизированной системе, производится в соответствии с порядком, установленным разрешительной системой доступа (гл. 4).
Все виды работ, связанных с автоматизированной обработкой информации, проводятся в регламентном режиме или по разовым запросам непосредственно пользователями или операторами. В последнем случае должны быть определены лица, имеющие право подписывать разовые запросы па обработку информации. Перечень регламентных работ и их исполнители определяются соответствующей организационно-распорядительной и эксплуатационной документацией.
На период обработки защищаемой информации в помещениях, где размешаются необходимые для этого средства, могут находиться только лица, допущенные к обрабатываемой информации в установленном порядке. Допуск в эти помещения других лиц для проведения профилактических или ремонтных работ может осуществляться только с санкции руководителя организации или руководителя структурного подразделения, эксплуатирующего определенную тематику по согласованию со Службой безопасности или Службой информационных технологий (информационной безопасности) организации. При этом должны быть соблюдены меры, исключающие их ознакомление с конфиденциальной информацией.
В целях исключения предоставления доступа к излишнему объему информации в процессе эксплуатации АИС должен осуществляться периодический пересмотр прав доступа пользователей к информации.
В случае размещения в одном помещении различных технических средств одной или нескольких автоматизированных систем должен быть исключен несанкционированный просмотр конфиденциальной информации. Учет, хранение накопителей и носителей информации на бумажной, магнитной, оптической и иной основе И обращение с ними должны осуществляться в соответствии с требованиями. изложенными в документе "Порядок хранения накопителей и носителей информации и обращения с ними".
Запись конфиденциальной информации в незашифрованном виде производится только на предварительно учтенные накопители и носители информации, а в зашифрованном - с помощью сертифицированных средств криптографической защиты информации.
Распечатка на принтере (вывод на графопостроитель) конфиденциальной информации может осуществляться двумя способами: либо на предварительно учтенном бумажном носителе (см. разд. 2.4). либо на неучтенном бумажном носителе с использованием сертифицированных средств защиты информации, реализующих печать учетных реквизитов, полученных предварительно.
По окончании обработки конфиденциальной информации пользователь (оператор) обязан произвести стирание информации в оперативной памяти путем выключения питания компьютера, если иное не предусмотрено технологическим процессом.
Контроль за состоянием и эффективностью защиты конфиденциальной информации осуществляется Службой информационных технологий (информационной безопасности). Службой безопасности организации, отраслевыми и федеральными органами контроля и заключается в оценке выполнения требований нормативных документов, обоснованности принятых мер и проверке соблюдения норм защиты конфиденциальной информации.
4. Организация работ при создании системы защиты электронного документооборота
4.1 Основные требования по разработке системы защиты информации
Организация, - заказчик автоматизированной информационной системы должна выполнить на основании ряда руководящих документов комплекс мероприятий по защите конфиденциальной информации соответствующей категории, исходя из требуемого уровня информационной безопасности объекта защиты, задаваемого на стадии создания автоматизированной системы.
Разработка АИС и системы защиты информации в ее составе может осуществляться как самой организацией, так и специализированными предприятиями, имеющими лицензию на соответствующий вид деятельности в области защиты информации.
Организация работ по защите информации возлагается на руководителя организации, руководителей подразделений, разрабатывающих и эксплуатирующих АИС, Службы информационных технологий (подразделения информационной безопасности), а контроль за обеспечением защиты информации - на руководителя Службы безопасности, если она за это ответственна.
Если разработка системы защиты информации или ее отдельных составляющих производится специализированным предприятием в организации-заказчике, определяются подразделения (или отдельные специалисты), ответственные за проведение (внедрение и эксплуатацию) мероприятий по защите информации.
Разработка и внедрение системы защиты информации должны осуществляться разработчиком совместно со Службой безопасности организации и Службой информационных технологий (информационной безопасности), принимающими участие в подготовке методического руководства и конкретных требований по защите ннформации, аналитического обоснования необходимости создания системы защиты информации, в выборе средств вычислительной техники и святи, средств защиты, в организации работ по выявлению возможностей и предупреждению утечки и нарушения целостности защищаемой информации, в согласовании технических заданий на проведение работ, а также в проведении аттестации АИС
4.2 Стадии и этапы разработки системы защиты
Автоматизированные информационные системы, обеспечивающие защиту информации ограниченного распространения, могут создаваться по одному из трех типовых сценариев: первый - в действующую АИС, предназначенную для обработки открытой информации, добавляют функцию защиты, позволяющую обеспечивать обработку информации ограниченного распространения: второй - АИС создается, так сказать, "с нуля", где вместе с прикладной обрабатывающей системой сопрягается на стадии разработки система защиты: третий реализуется типовой проект. Естественно, последний сценарий самый простой в реализации и мы не будем его рассматривать. Более сложным является второй сценарий, который предусматривает набор и стыковку прикладного обеспечения, с одной стороны, и систем защиты с базовыми операционными системами и базами данных с другой.
Опыт создания АИС с обеспечением защиты информации показывает следующее. Самыми опасными являются те АИС, которые позволяют осуществлять пользователю любые действия и использовать любое программное обеспечение. Мы видим два полюса противоречий: полная безопасность и полная свобода действий пользователя. Естественно, реально возможными оказываются АИС, в которых соблюден баланс между безопасностью и применением достаточного объема прикладного программного обеспечения, отвечающего требованиям безопасности обработки информации.
Поиск АИС, позволяющей сбалансировать указанные противоречия. является основой диалектической составляющей процесса построения информационно-защищенных систем. Как правило, поиск баланса осуществляется на основе компромисса между ограничениями на функциональные возможности программного обеспечения и переносом части функций безопасности из технических реализации в организационные меры. Несмотря на определенную сложность второго сценария построения защищенных АИС. стоимость его реализации оказывается существенно ниже, чем построение защищенной АИС по первому сценарию, т.е. на основе уже действующей незащищенной. В последнем случае требуется, как правило, доработка или переработка действующих программ, а также создание новых средств обеспечения информационной безопасности.
Как при втором, гак и при третьем сценарии создания защищенных АИС можно выделить следующие стадии и этапы разработки. Разница будет заключаться в сложности, а следовательно, и в стоимости реализации этапов.
Существуют следующие стадии создания системы защиты АИС и циркулирующей в ней конфиденциальной информации или, другими словами, электронного конфиденциального документооборота:
· предпроектная, включающая предпроектное обследование объекта информатизации, разработку аналитического обоснования необходимости создания системы защиты информации и технического (частного технического) задания на ее создание:
· проектирования (разработки проектов) и реализации АИС, включающая разработку системы защиты информации в ее составе;
· ввода в действие системы зашиты информации, включающая опытную эксплуатацию и приемо-сдаточные испытания средств зашиты информации, а также аттестацию АИС на соответствие требованиям информационной безопасности.
Предпроектное обследование может быть поручено специализированному предприятию, имеющему соответствующую лицензию, но и в этом случае анализ информационного обеспечения в части состава и структуры конфиденциальной информации целесообразно выполнять представителям организации-заказчика при методической помощи специализированного предприятия. На этой стадии разрабатываются аналитическое обоснование и техническое задание на создание системы или частное техническое задание на подсистему информационной безопасности АИС.
На предпроектной стадии по обследованию объекта, для которого создается АИС, определяются:
· (уточняются) угрозы безопасности информации - факторы, влияющие на конфиденциальную информацию
· модель вероятного нарушителя применительно к конкретным условиям функционирования ЛИС
· необходимость обработки конфиденциальной информации в ЛИС, оцениваются ее объемы, характер и условия использования:
· конфигурация и топология АИС в целом и ее отдельных составляющих, а также физические, функциональные и технологические связи как внутри разрабатываемой системы, ток и с другими АИС:
· технические средства и системы, предполагаемые к использованию в разрабатываемой ЛИС, условия их расположения, общесистемные и прикладные про 1раммные средства, имеющиеся на рынке и предлагаемые к разработке:
· режимы обработки конфиденциальной информации в АИС;
· данные и компоненты АИС, которые являются важными и должны дублироваться:
· класс защищенности АИС;
· степень участия персонала в обработке (передаче, хранении) конфиденциальной информации, характер их взаимодействия между собой и со Службой информационных технологий (информационной безопасности), а также Службой безопасности организации;
· мероприятия по защите информации в процессе разработки системы.
Но результатам предпроектного обследования разрабатывается аналитическое обоснование необходимости создания системы защиты конфиденциальной информации, которое должно содержать:
· информационную характеристику создаваемой АИС и организационную структуру, для которой система создается:
· характеристику комплекса технических средств, программного обеспечения, режимов работы, технологического процесса обработки информации:
· перечень угроз информационной безопасности и мероприятий по их предупреждению и предотвращению
· перечень предлагаемых к использованию средств зашиты или обоснование необходимости их разработки (адаптации под конкретные условия функционирования АИС);
· обоснование необходимости привлечения специализированных предприятий для разработки системы защиты информации;
· оценку материальных, трудовых и финансовых затрат на разработку и внедрение системы защиты информации:
· ориентировочные сроки разработки и внедрения системы защиты информации:
· перечень мероприятий по обеспечению конфиденциальности информации при создании АИС.
Аналитическое обоснование подписывается руководителем предпроектного обследования, согласовывается с разработчиком АИС. руководителями Службы информационных технологий (информационной безопасности) и Службы безопасности организации - заказчика, после чего утверждается руководителем этой организации.
Результаты предпроектного обследования в части наличия конфиденциальной информации должны базироваться на документально оформленном Перечне конфиденциальной документированной информации. Конфиденциальность исходной информации, подлежащей автоматизированной обработке, а также выходной информации, получаемой в результате обработки, определяется организацией заказчиком АИС на основании Перечня конфиденциальной документированной информации и документально, за подписью руководителя организации, представляется разработчику системы защиты информации.
В целях определения конфиденциальности промежуточной информации циркулирующей (обрабатываемой, хранимой и передаваемой) в АИС, а также оценки достаточности предлагаемых средств и мер защиты информации приказом по организации создастся экспертная комиссия, в состав которой включаются представители организации - заказчика и предприятия - разработчика АИС.
Экспертная комиссия может проводить свою работу в несколько этапов и при этом рассматривает аналитическое обоснование, техническое задание, проектную и эксплуатационную документацию, а также устанавливает конфиденциальность информации, подлежащей обработке, в том числе накопителей, носителей и массивов информации, предложенной организацией заказчиком и разработчиком АИС. Правильность и обоснованность фоков хранения накопителей и носителей информации и их рассылки, достаточность предлагаемых мер зашиты должны соответствовать Перечню конфиденциальной документированной информации. Результатом работы Экспертной комиссии является заключение, утверждаемое руководителем организации, при которой она создана.
На стадии ввода в действие АИС и системы защиты информации в ее составе осуществляются:
· опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами и целях проверки их работоспособности в составе АИС и отработки технологического процесса обработки (передачи) информации;
· приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатации с оформлением приемосдаточного акта. подписываемого разработчиком и заказчиком; аттестация АИС на соответствие требованиям безопасности информации
На этой стадии оформляются: акты внедрения средств зашиты информации по результатам их приемо-сдаточных испытаний: предъявительский акт о проведении аттестационных испытаний; заключение по результатам аттестационных испытаний; аттестат соответствия.
Эксплуатация АИС осуществится на основе утвержденной организационно-распорядительной и эксплуатационной документации.
Состояние и эффективность защиты информации контролируются службой информационных технологий (информационной безопасности), Службой безопасности организации-заказчика, отраслевыми и федеральными органами контроля. По результатам контроля дается оценка выполнению требований нормативных документов, обоснованности принятых мер и проверке соблюдения норм защиты конфиденциальной информации (см. разд. 6).