Безусловно, нет смысла ставить замок с шестью ригелями на деревянную дверь, или железную дверь в деревянную коробку, или металлическую коробку с дверью на временную перегородку из гипсокартона.
Уровень защитных свойств системы “стена - дверной блок - средство запирания” должен быть приблизительно одинаковым.
Следующим этапом работы может быть определение зон охраны и рубежей контроля.
Рубежи контроля и зоны охраны. Зоной охраны будем считать ограниченную рубежами контроля площадь, состоящую из группы или одного помещения. Установление рубежа контроля - организация “непреодолимых” препятствий на пути следования лиц и грузов, а также определение порядка следования через эти рубежи подконтрольных субъектов. Окончательной целью данной работы является объединение помещений, имеющих близкие категории доступа, в общие зоны охраны и оптимизация количества этих зон и рубежей контроля и, как следствие, стоимости расходов на организацию и поддержание режима контроля.
Маршрутизация перемещений. При проведении работы по размещению рубежей контроля целесообразно составить еще несколько вспомогательных схем, отражающих маршруты перемещений лиц, присущих специфике работы Вашей организации - маршрутизацию проходов.
Для этого необходимо почувствовать себя человеком, принадлежащим к каждой из принятых Вами групп лиц, и проследить по плану помещений или прямо по объекту, как Вы будете проходить во время прихода на рабочие места, перемещения во время рабочего дня и ухода после работы. Необходимо определить порядок приема, сопровождения и ухода посетителей.
Составьте подробные маршруты и документы, определяющие порядок следования для всех групп лиц. Пристальному вниманию подлежит вопрос доступа на объект в вечернее и ночное время, праздничные дни, а также в случае аварийных и нештатных ситуаций. Завершением этой работы будет определение расположения рубежей разграничения доступа на путях перемещений людей, подразумевая невозможность их обхода.
Оснащение рубежей разграничения доступа. Средства и методы управления доступом в помещения весьма многообразны. Хотя в ответ на предложение о внедрении системы автоматизированного управления доступом можно услышать от пожилого “администратора безопасности” фразу: “Вертушка на входе у нас есть, а все остальное - люди”, но практика показывает малую эффективность управления доступом людьми без дополнительного технического оснащения, да и контроль за многочисленными зонами и рубежами с помощью человека сопряжен с большими финансовыми затратами.
При принятии решения о внедрении какой-либо системы управления доступом традиционно стремление одним комплексом (или моделью) оборудования решить, если не все, то большинство задач в сфере управления доступом, хотя такой подход не всегда является оправданным, поскольку совокупность выдвигаемых требований, как правило, противоречива.
К примеру, шлюзовые двери представляют наиболее надежное средство контроля прохода, однако их пропускная способность очень низка (вспомним о времени массового прихода/ухода на рабочие места), что значительно затрудняет их внедрение. Опора на здравый смысл в каждом конкретном случае приносит значительную экономию затрат.
В результате работ по организации системы доступа на объект должно появиться понимание следующих моментов:
1) что находится в данном конкретном помещении;
2) как часто посещается каждое помещение (например, раз в сутки);
3) какой круг лиц должен посещать помещение (по группам лиц, выделенным ранее);
4) в какое время, каким группам лиц доступ в данное помещение должен быть разрешен;
5) какими мерами достигается разграничение доступа в помещения, и каков порядок доступа сегодня, когда проводится анализ;
6) кем, где и каким образом осуществляется выдача, хранение и учет ключей, пропусков или других средств идентификации;
7) какова механическая надежность запирания существующих средств и их техническое состояние;
8) какова техническая укрепленность объекта (его состояние - сегодня и в перспективе);
9) каким образом скажется на производственном процессе применение средств контроля;
10) кто будет осуществлять контроль и управление доступом (кто будет ответственным администратором системы).
Итоги
Внедрение любой, даже суперавтоматизированной, системы управления доступом в помещения не освобождает полностью человека от участия в этом процессе. Введение контроля за доступом означает, прежде всего, создание преград на пути любого человека - не только злоумышленника, но и желающего попасть в защищаемое помещение по служебной необходимости. Чем выше надежность механического запирания преграды и сложность идентификации пользователя, тем большее время, как правило, будет занимать процесс опознавания и отпирания прохода.
Эти факторы в сочетании с психологическими особенностями человека должны учитываться при принятии решения об организации управления доступом в помещения, особенно при внедрении автоматизированных систем.
Содержание Задания 1
Построить модель системы доступа на различные объекты в соответствии со своим вариантом (Таблица 3):
Таблица 3 – Выбор варианта Задания 2
| Ва- риант | Задание |
| Построить модель системы доступа в помещения коммерческого банка | |
| Построить модель системы доступа в помещения коммерческого офиса | |
| Построить модель системы доступа в помещения элеватора | |
| Построить модель системы доступа в помещения сахарного завода | |
| Построить модель системы доступа в помещения хлебозавода | |
| Построить модель системы доступа в помещения кондитерской фабрики | |
| Построить модель системы доступа в помещения ремонтно-технического предприятия (РТП) | |
| Построить модель системы доступа в помещения молочного завода | |
| Построить модель системы доступа в помещения типографии | |
| Построить модель системы доступа в охраняемый комплекс водоснабжения «Водоканал» | |
| Построить модель системы доступа на электростанцию | |
| Построить модель системы доступа на птицекомбинат |
9. Задание 2. Составление плана защиты информации. Указания по выполнению
План защиты информации
1. Место и роль плана защиты в системе информационной безопасности
Любые действия по управлению сложными организационно-техническими системами должны быть спланированы. В полной мере это относится и к управлению информационной безопасностью. Планирование начинается после проведения анализа риска и выбора средств защиты информации в соответствии с ранжированием рисков.
На стадии планирования, если цель системы определена, определяется в известном смысле политика информационной безопасности, будущий образ действий и методы достижения целей, обеспечивается основа для последующих долгосрочных решений.
Планирование - это процесс разработки пакета руководящих документов по реализации избранной политики информационной безопасности.
Принципиально план защиты включает в себя две группы мероприятий – мероприятия по построению (формированию) системы защиты информации и мероприятия по использованию сформированной системы для защиты информации.
Планирование - это начальный этап управления информационной безопасностью. После составления плана и реализации его первого этапа часто оказывается возможным и целесообразным внести коррективы в первоначальный план, осуществить так называемое перепланирование.
Цель планирования защиты информации - наилучшее использование всех выделенных ресурсов и предотвращение ошибочных действий, могущих привести к снижению вероятность достижения цели.
Различают два вида планирования: стратегическое или перспективное и тактическое или текущее.
Стратегическое планирование заключается в определении (без детальной проработки) средств и способов достижения конечных целей, в том числе необходимых ресурсов, последовательности и процедуры их использования.
Тактическое планирование защиты информации заключается в определении промежуточных целей на пути достижения главных. При этом детально прорабатываются средства и способы решения задач, использования ресурсов, необходимые процедуры и технологии.
Точную границу между стратегическим и тактическим планированием провести трудно. Обычно стратегическое планирование охватывает в несколько раз больший промежуток времени, чем тактическое; оно имеет гораздо более отдаленные последствия; шире влияет на функционирование управляемой системы в целом; требует более мощных ресурсов. Фактически стратегический план представляет собой системный проект, без которого тактические планы, реализуемые на разных отрезках времени (этапах) совершенствования системы, окажутся не взаимосвязанными, а значит мало эффективными или вовсе бессмысленными.
С тактическим планированием тесно связано понятие оперативного управления. Оперативное управление обеспечивает функционирование системы в соответствии с намеченным планом и заключается в периодическом или непрерывном сравнении фактически полученных результатов с намеченными планами и последующей их корректировкой.
Отклонения системы от намеченных планов могут оказаться такими, что для эффективного достижения цели целесообразно произвести перепланирование либо такой исход должен быть предусмотрен на стадии планирования.
2. Составление плана защиты информации
Планирование включает в себя определение, разработку или выбор:
- конечных и промежуточных целей и обоснование задач, решение которых необходимо для их достижения;
- требований к системе защиты информации;
- политики информационной безопасности;
- средств и способов, функциональной схемы защиты информации с учетом стоимости и привлечения других ресурсов;
- совокупности мероприятий защиты, проводимых в различные периоды времени;
- порядка ввода в действие средств защиты;
- ответственности персонала;
- порядка пересмотра плана и модернизации системы защиты;
- совокупности документов, регламентирующих деятельность по защите информации.
Задачи системы защиты объекта могут быть следующими:
1) защита конфиденциальной информации от несанкционированного ознакомления и копирования;
2) защита данных и программ от несанкционированной (случайной или умышленной) модификации;
3) снижение потерь, вызванных разрушением данных и программ, в том числе, и в результате вирусных воздействий;
4) предотвращение возможности совершения финансовых преступлений при помощи средств вычислительной техники.
Для создания эффективной системы защиты, как правило, необходимо выполнение следующих основных требований к защите информации:
1) комплексность мер защиты, закрытие всего спектра угроз и реализация всех целей стратегии защиты;
2) надежность средств, входящих в систему защиты;
3) бесконфликтная совместная работа с используемым на объекте программным обеспечением;
4) простота эксплуатации и поддержка работы администратора безопасности;
5) возможность встраивания средств защиты в программное обеспечение, используемое на объекте;
6) приемлемая стоимость.
Политика информационной безопасности определяет облик системы защиты информации - совокупности правовых норм, организационных (правовых) мер, комплекса программно-технических средств и процедурных решений по рациональному использованию вычислительных и коммуникационных ресурсов, направленных на противодействие угрозам с целью исключения (предотвращения) или минимизации возможных последствий проявления информационных воздействий.
Политика информационной безопасности является результатом совместной деятельности технического персонала, способного понять все аспекты политики и ее реализации, и руководителей, способных влиять на проведение политики в жизнь.
Политика безопасности должна гарантировать, что для каждого вида проблем существует ответственный исполнитель. В связи с этим, ключевым элементом политики безопасности является доведение до каждого сотрудника его обязанностей по поддержанию режима безопасности.
Требование учета стоимостных ограничений находит отражение в спецификациях средств реализации плана защиты информации. В них определяются общие затраты на обеспечение информационной безопасности объекта согласно предъявляемым требованиям по защищенности.
По времени проведения мероприятия защиты можно разделить на четыре класса:
1) разовые;
2) периодически проводимые;
3) проводимые по необходимости;
4) постоянно проводимые.
Разовые мероприятия включают:
1) создание научно-технических и методологических основ защиты информации;
2) мероприятия, осуществляемые при проектировании, строительстве и оборудовании объектов организации, предприятия;
3) мероприятия, осуществляемые при проектировании, разработке и эксплуатации технических средств и программного обеспечения (проверка и сертификация по требованиям безопасности и т.п.);
4) мероприятия по созданию системы защиты информации;
5) разработку правил разграничения доступа к ресурсам системы (определение перечня решаемых подразделениями задач, режимных объектов, перечня конфиденциальных сведений, носителей конфиденциальной и критичной информации и процессов ее обработки, прав и полномочий должностных лиц по доступу к информации);
6) определение контролируемой зоны и организация надежного пропускного режима в целях защиты информации;
7) определение порядка хранения, учета, выдачи и использования документов и носителей конфиденциальной и критичной информации;
8) определение оперативных действий персонала по обеспечению непрерывной работы и восстановлению вычислительного процесса в критических ситуациях.
К периодически проводимым мероприятиям относятся:
- распределение реквизитов разграничения доступа;
- ведение и анализ системных журналов, принятие мер по обнаруженным нарушениям установленных правил работы;
- проведение с привлечением экспертов анализа состояния защиты и оценки эффективности применяемых защитных мер, принятие на основе экспертного - обеспечение необходимых мер по совершенствованию системы защиты;
- мероприятия по пересмотру состава и построения системы защиты.
К мероприятиям по защите данных, проводимым по необходимости, относятся мероприятия, осуществляемые при кадровых перестановках, изменении территориального расположения объекта, при изменении архитектуры АС объекта или при изменениях и модификациях СВТ и ПО.
Постоянно проводимые мероприятия включают:
- реализацию выбранных защитных мер, в том числе физической защиты всех компонентов объекта;
- мероприятия по эксплуатации системы защиты;
- контроль за действиями персонала;
- анализ состояния и проверка эффективности применяемых защитных мер.
Пересмотр “Плана защиты информации” рекомендуется производить раз в год. Кроме того, существует ряд случаев, требующих внеочередного пересмотра. К их числу относятся изменения следующих компонент объекта:
1. Люди. Пересмотр “Плана защиты” может быть вызван кадровыми изменениями, связанными с реорганизацией организационно-штатной структуры объекта, увольнением служащих, имевших доступ к конфиденциальной информации и т.д.
2. Техника. Пересмотр “Плана защиты” может быть вызван подключением других локальных сетей, изменением или модификацией используемых средств вычислительной техники или программного обеспечения.
3. Помещения. Пересмотр “Плана защиты” может быть вызван изменением территориального расположения компонентов объекта.
Документы, регламентирующие деятельность по защите информации, оформляются в виде различных планов, положений, инструкций, наставлений и других аналогичных документов. Рассмотрим основные из них.
3. Основные элементы плана защиты и их содержание
Основным планирующим документом из всей совокупности является План защиты.
План защиты информации представляет собой вербально-графический документ, который должен содержать следующие сведения:
- характеристика защищаемого объекта: назначение, перечень решаемых задач, размещение технических средств и программного обеспечения и их характеристики; (информационно-логическая структура объекта защиты);
- цели и задачи защиты информации, перечень пакетов, файлов, баз данных, подлежащих защите и требований по обеспечению доступности, конфиденциальности, целостности этих категорий информации;
- перечень и приоритетность значимых угроз безопасности, от которых требуется защита и наиболее вероятных путей нанесения ущерба;
- политика информационной безопасности (организационные и технические мероприятия, определяющие – разграничение по уровням конфиденциальности, контроль целостности технической и программной среды, контроль за действиями пользователей, защиту от НСД, антивирусную защиту, организацию доступа на объект, контроль помещений и технических каналов утечки информации и ряд других;
- функциональная схема системы защиты и план размещения средств защиты информации на объекте;
- порядок ввода в действие средств защиты (календарный план проведения организационно-технических мероприятий);
- перечень мероприятий, проводимых единовременно, периодически, по необходимости и постоянно;
- ответственность персонала;
- смета затрат на внедрение системы защиты;
- порядок пересмотра плана и модернизации средств защиты.
Не менее важным является план действий персонала в критических ситуациях и перечень способов сохранения информации. Такой план, назначение которого состоит в снижении возможных потерь, связанных с разрушением данных и программ или отказом оборудования, называется планом обеспечения непрерывной работы и восстановления информации и содержит следующие пункты:
- цели обеспечения непрерывности процесса функционирования объекта, своевременности восстановления ее работоспособности и чем она достигается;
- перечень и классификация возможных кризисных ситуаций;
- требования, меры и средства обеспечения непрерывности функционирования и восстановления процесса обработки информации (порядок ведения текущих, долговременных и аварийных архивов (резервных копий), а также использования резервного оборудования);
- обязанности и порядок действий различных категорий персонала в кризисных ситуациях по ликвидации последствий кризисных ситуаций, минимизации наносимого ущерба и восстановлению нормального процесса функционирования объекта.
Еще одним важным документом является Положение о коммерческой тайне, включающее:
- перечень сведений, составляющих коммерческую тайну;
- материалы обоснования предложений экспертной комиссии по включению сведений в развернутый перечень;
- номенклатуру должностей работников, допускаемых к сведениям, составляющим коммерческую тайну;
- договор-обязательство (контракт) о сохранении коммерческой тайны;
- специальные обязанности руководителей подразделений по защите коммерческой тайны;
- специальные обязанности лиц, допущенных к сведениям, составляющим коммерческую тайну.
Весьма важным организационным документом является Положение о защите информации, включающее:
- организационную и функциональную структуру системы защиты информации;
- обобщенную структуру законодательных и нормативных документов по безопасности информации;
- положение об отделе защиты информации;
- положение об администраторе безопасности (инструкция администратора);
- правила назначения прав доступа;
- порядок допуска посторонних лиц на объект;
- порядок допуска персонала и посетителей в помещения, в которых обрабатывается критичная информация;
- порядок проведения служебного расследования по факту нарушения информационной безопасности;
- требования к процессу разработки программных продуктов;
- порядок приема-сдачи программного обеспечения в эксплуатацию;
- инструкцию по обеспечению безопасности речевой информации;
- правила ведения телефонных переговоров;
- порядок проведения конфиденциальных переговоров;
- требования к оснащению выделенных помещений;
- инструкцию пользователю по соблюдению режима информационной безопасности.
Детально и качественно разработанные документы плана защиты информации – залог дальнейших успехов в деятельности службы информационной безопасности или администратора безопасности сети.
Содержание Задания 2
Выполните задания, согласно варианту
1. Составьте план защиты информации для малого предприятия ОАО ПО «АГРОХИМ» г. Ставрополя, основная деятельность которого заключается в реализации минеральных удобрений. Минеральные удобрения доставляются в АГРОХИМ по железной дороге, проходящей вблизи предприятия. Также одним из видов деятельности является обработка сельхозугодий, выращивание зерновых культур без переработки. Площади сельхозугодий принадлежат муниципальному образованию. Предприятие арендует указанные земли (порядка 600 га). Штат сотрудников данного предприятия составляет 40 человек. Служба безопасности на предприятии отсутствует.
2. Составьте план защиты информации для малой типографии г. Новороссийска, основная деятельность которого заключается в реализации заказов на печатную продукцию (бланки, открытки, брошюры, авторефераты и т.п.). Также предприятие выпускает городскую газету «Маяк». Штат сотрудников составляет 20 человек. Служба безопасности — не предусмотрена.
3. Составьте план защиты информации для малого предприятия кафе «Вернисаж» г. Туапсе. Основными клиентами кафе являются отдыхающие на морском побережье. Штат сотрудников данного предприятия составляет 20 человек. Служба безопасности на предприятии отсутствует.
4. Составьте план защиты информации для малого предприятия турагентство «Кругозор». Штат сотрудников данного предприятия составляет 25 человек. Служба безопасности на предприятии отсутствует. Предприятие реализует туры в страны: Египет, Турция, Чехия, Израиль, Греция.
5. Составьте план защиты информации для малого предприятия агентство по трудоустройству «Престиж». Штат сотрудников данного предприятия составляет 10 человек. Служба безопасности на предприятии отсутствует. Агентство оказывает услуги по подбору кадров на предприятия по заказу руководства, консалтинговые услуги по подбору должностей на предприятиях и в организациях для обратившихся индивидуальных клиентов.
6. Составьте план защиты информации для малого предприятия г. Армавира, основная деятельность которого заключается в реализации минеральных удобрений. Минеральные удобрения доставляются по железной дороге, проходящей вблизи предприятия. Также одним из видов деятельности является обработка сельхозугодий, выращивание подсолнечника без переработки. Площади сельхозугодий принадлежат муниципальному образованию. Предприятие арендует указанные земли (порядка 1000 га). Штат сотрудников данного предприятия составляет 35 человек. Служба безопасности на предприятии отсутствует.
7. Составьте план защиты информации для малой типографии «Граф Колесник» г. Краснодара, основная деятельность которого заключается в реализации заказов на печатную продукцию (бланки, открытки, брошюры, авторефераты и т.п.). Штат сотрудников составляет 15 человек. Служба безопасности — не предусмотрена.
8. Составьте план защиты информации для малого предприятия ресторана «Вишневый сад» г. Туапсе. Основными клиентами кафе являются отдыхающие на морском побережье. Штат сотрудников данного предприятия составляет 10 человек. Служба безопасности на предприятии отсутствует.
9. Составьте план защиты информации для малого предприятия турагентство «Экватор». Штат сотрудников данного предприятия составляет 20 человек. Служба безопасности на предприятии отсутствует. Предприятие реализует туры в страны: Тунис, Турция, Чехия, Израиль, Греция.
10. Составьте план защиты информации для малого предприятия турагентство «Твой Тур». Штат сотрудников данного предприятия составляет 25 человек. Служба безопасности на предприятии отсутствует. Предприятие реализует туры в страны: Тунис, Египет, Турция, Болгария, Израиль, ОАЭ.
11. Составьте план защиты информации для малого предприятия агентство по трудоустройству «Шанс», которое расположено в отдельном помещении (одноэтажное здание). Штат сотрудников данного предприятия составляет 16 человек. Служба безопасности на предприятии отсутствует. Агентство оказывает услуги по подбору кадров на предприятия по заказу руководства предприятий и индивидуальных заказчиков.
12. Составьте план защиты информации помещений элеватора. Штат сотрудников данного предприятия составляет 200 человек. Служба безопасности на предприятии насчитывает 8 сотрудников. Учесть, что элеватор — объект высокого класса пожаро-взрывоопасности, стратегический объект.
Примечание: при выполнении Заданий 2, 3 требуется изобразить принципиальную схему (чертеж) зданий и помещений рассматриваемого предприятия (организации) в любом графическом редакторе, например, рис. 1.
Рисунок 1 – Примерная схема расположения основных
Объектов РТП