Основные понятия и определения информации

Количество дискретных градаций и вкладываемый в них смысл  могут различаться. Главное, чтобы  требования к защищенности различных  свойств информации указывались  отдельно и достаточно конкретно (исходя из серьезности возможного наносимого субъектам информационных отношений  ущерба от нарушения каждого из свойств  безопасности информации и системы  ее обработки).

В дальнейшем любой отдельный  функционально законченный документ (некоторую совокупность знаков), содержащий определенные сведения, вне зависимости  от вида носителя, на котором он находится, будем называть информационным пакетом.

К одному типу будем относить информационные пакеты (типовые документы), имеющие сходство по некоторым признакам (по структуре, технологии обработки, типу сведений и т.п.).

Задача состоит в определении  реальных уровней заинтересованности (высокая, средняя, низкая, отсутствует) субъектов в обеспечении требований к защищенности каждого из свойств  различных типов информационных пакетов, циркулирующих в АС.

Примерный порядок определения  требований к защищенности циркулирующей в системе информации представлен ниже:

1. Составляется перечень  типов информационных пакетов  (документов, таблиц и т.п.). Для  этого с учетом предметной  области системы пакеты информации  разделяются на типы по тематике, функциональному назначению, сходности  технологии обработки и т.п.  признакам.

На последующих этапах первоначальное разбиение информации (данных) на типы пакетов может уточняться с учетом требований к их защищенности.

2. Затем для каждого  типа пакетов, выделенного на  первом шаге, и каждого критического  свойства информации (доступности,  целостности, конфиденциальности) определяются (например, методом экспертных оценок):

• перечень и важность (значимость по отдельной шкале) субъектов, интересы которых затрагиваются при нарушении  данного свойства информации;

• уровень наносимого им при этом ущерба (незначительный, малый, средний, большой, очень большой  и т.п.) и соответствующий уровень  требований к защищенности.

При определении уровня наносимого ущерба необходимо учитывать:

• стоимость возможных  потерь при получении информации конкурентом;

• стоимость восстановления информации при ее утрате;

• затраты на восстановление нормального процесса функционирования АС и т.д.

3. Для каждого типа  информационных пакетов с учетом  значимости субъектов и уровней  наносимого им ущерба устанавливается  степень необходимой защищенности  по каждому из свойств информации (при равенстве значимости субъектов  выбирается максимальное значение  уровня).

Пример оценки требований к защищенности некоторого типа информационных пакетов приведен в таблице.

 
Категорирование защищаемых ресурсов

 

Категорирование ресурсов АС, подлежащих защите, предполагает:

• установление градаций важности (категории) обеспечения защиты ресурсов;

• отнесение конкретных ресурсов к соответствующим категориям.

Категорирование ресурсов (определение  требований к защите ресурсов) АС является необходимым элементом организации  работ по обеспечению информационной безопасности и имеет своими целями:

• создание нормативно-методической основы для дифференцированного  подхода к защите ресурсов автоматизированной системы (информации, задач, компьютеров) на основе их классификации по степени  риска в случае нарушения их доступности, целостности или конфиденциальности;

• типизацию принимаемых  контрмер и распределения физических и аппаратно-программных средств  защиты по компьютерам АС (рабочим  станциям и серверам) и унификацию и настроек защитных механизмов.

Категории защищаемой информации

Исходя из необходимости  обеспечения различных уровней  защиты разных видов информации (не содержащей сведений, составляющих государственную  тайну), хранимой и обрабатываемой в АС, вводится несколько категорий конфиденциальности и несколько категорий целостности защищаемой информации.

Категории конфиденциальности защищаемой информации:

• «СТРОГО КОНФИДЕНЦИАЛЬНАЯ» - к данной категории относится информация, являющаяся конфиденциальной в соответствии с требованиями действующего законодательства (банковская тайны, персональные данные), а также информация, ограничения на распространение которой введены решениями руководства организации (коммерческая тайна), разглашение которой может привести к тяжким финансово-экономическим последствиям для организации вплоть до банкротства (нанесению тяжкого ущерба жизненно важным интересам его клиентов, корреспондентов, партнеров или сотрудников);

• «КОНФИДЕНЦИАЛЬНАЯ» - к данной категории относится информация, не отнесенная к категории «СТРОГО КОНФИДЕНЦИАЛЬНАЯ», ограничения на распространение которой вводятся решением руководства организации в соответствии с предоставленными ему как собственнику (уполномоченному собственником лицу) информации действующим законодательством правами, разглашение которой может привести к значительным убыткам и потере конкурентоспособности организации (нанесению ощутимого ущерба интересам его клиентов, корреспондентов, партнеров или сотрудников);

• «ОТКРЫТАЯ» - к данной категории относится информация, обеспечения конфиденциальности (введения ограничений на распространение) которой не требуется.

Категории целостности  защищаемой информации:

•«ВЫСОКАЯ» - к данной категории относится информация, несанкционированная модификация (искажение, подмена, уничтожение) или фальсификация (подделка) которой может привести к нанесению значительного прямого ущерба организации, целостность и аутентичность (подтверждение подлинности источника) которой должна обеспечиваться гарантированными методами (средствами электронной цифровой подписи - ЭЦП) в соответствии с обязательными требованиями действующего законодательства, приказов, директив и других нормативных актов;

•«НИЗКАЯ» - к данной категории относится информация, несанкционированная модификация, подмена или удаление которой может привести к нанесению незначительного косвенного ущерба организации, ее клиентам, партнерам или сотрудникам, целостность которой должна обеспечиваться в соответствии с решением руководства (методами подсчета контрольных сумм, хеш-функций);

• «НЕТ ТРЕБОВАНИЙ» - к данной категории относится информация, к обеспечению целостности (и аутентичности) которой требований не предъявляется.

Категории функциональных задач

В зависимости от периодичности  решения функциональных задач и  максимально допустимой задержки получения  результатов их решения вводится четыре требуемых степени (категории) доступности функциональных задач.

Требуемые степени  доступности функциональных задач:

•«БЕСПРЕПЯТСТВЕННАЯ ДОСТУПНОСТЬ» - доступ к задаче должен ' обеспечиваться в любое время (задача решается постоянно, задержка

получения результата не должна превышать нескольких секунд или  минут);

•«ВЫСОКАЯ ДОСТУПНОСТЬ» - доступ к задаче должен осуществляться без существенных временных задержек (задача решается ежедневно, задержка получения результата не должна превышать нескольких часов);

•«СРЕДНЯЯ ДОСТУПНОСТЬ» - доступ к задаче может обеспечиваться с существенными временными задержками (задача решается раз в несколько дней, задержка получения результата не должна превышать нескольких дней);

•«НИЗКАЯ ДОСТУПНОСТЬ» - временные задержки при доступе к задаче практически не лимитированы (задача решается с периодом в несколько недель или месяцев, допустимая задержка получения результата -несколько недель).

Категории компьютеров

Категории защиты компьютеров (рабочих станций и серверов) устанавливаются  в зависимости от категорий конфиденциальности и целостности хранимой или обрабатываемой информации и категорий доступности  решаемых на компьютерах задач.

Категория компьютера представляет собой триаду, включающую:

• максимальную категорию  конфиденциальности, хранимой или обрабатываемой на компьютере информации;

• максимальную категорию  целостности, хранимой или обрабатываемой на компьютере информации;

• максимальную категорию  доступности задач, решаемых на компьютере. Например:

<"КОНФИДЕНЦИАЛЬНО", "ВЫСОКАЯ", "БЕСПРЕПЯТСТВЕННАЯ ДОСТУПНОСТЬ">;

<"СТРОГО КОНФИДЕНЦИАЛЬНО", "НЕТ ТРЕБОВАНИЙ", "НИЗКАЯ  ДОСТУПНОСТЬ">;

<"ОТКРЫТАЯ", "НИЗКАЯ", "СРЕДНЯЯ ДОСТУПНОСТЬ">.

Для компьютеров различных  категорий определяются конкретные требования по обеспечению безопасности (по применению соответствующих вариантов  обязательных мер и настроек защитных механизмов средств защиты).

Порядок определения  категорий защищаемых ресурсов АС

Категорирование ресурсов автоматизированной системы (компьютеров, задач, информации) проводится на основе их инвентаризации и предполагает составление и  последующее ведение (поддержание  в актуальном состоянии) перечней (совокупностей формуляров) ресурсов АС, подлежащих защите.

Ответственность за составление  и ведение перечней ресурсов АС организации  возлагается:

• в части составления  и ведения перечня компьютеров (с указанием их размещения, закрепления  за подразделениями организации, состава  и характеристик, входящих в его  состав технических средств - формуляров компьютеров) - на подразделение автоматизации  организации;

• в части составления  и ведения перечня системных (общих) и прикладных (специальных) задач, решаемых на компьютерах (с указанием перечней используемых при их решении ресурсов - устройств, каталогов, файлов с информацией) - на отделы программирования, внедрения, сопровождения и эксплуатации ПО подразделения автоматизации организации.

Ответственность за определение  требований к обеспечению конфиденциальности, целостности, доступности и присвоение соответствующих категорий ресурсам конкретных компьютеров (информационным ресурсам и задачам) возлагается  на функциональные подразделения организации, которые непосредственно решают задачи на данных компьютерах, и на подразделение ОИБ (компьютерной безопасности).

Утверждение назначенных  категорий ресурсов АС производится руководителем подразделения ОИБ.

Инициаторами категорирования  компьютеров и получения соответствующих  предписаний на эксплуатацию (формуляров ПЭВМ) должны выступать руководители подразделений организации, в которых  используются данные ПЭВМ. 

 

Контроль за правильностью категорирования ресурсов АС и законностью эксплуатации (наличием утвержденных формуляров - предписаний на эксплуатацию) защищенных рабочих станций и серверов АС организации в подразделениях организации осуществляется сотрудниками подразделения ОИБ.

Категорирование ресурсов АС организации может осуществляться последовательно для каждого  конкретного компьютера в отдельности  с последующим объединением и  формированием общего перечня ресурсов АС организации, подлежащих защите.

• перечня информационных ресурсов АС организации, подлежащих защите;

• перечня подлежащих защите задач (совокупности формуляров задач), решаемых в АС организации;

• перечня подлежащих защите компьютеров (совокупности формуляров ПЭВМ), эксплуатируемых в организации.

На первом этапе работ  производится категорирование всех видов информации, используемой при  решении задач на конкретной ПЭВМ (установление категорий конфиденциальности и целостности конкретных видов  информации). Подлежащие защите информационные ресурсы включаются в "Перечень информационных ресурсов, подлежащих защите".

На втором этапе происходит категорирование всех функциональных задач, решаемых на данной ПЭВМ.

На третьем этапе, устанавливается  категория ПЭВМ, исходя из максимальных категорий обрабатываемой информации и задач, решаемых на нем.

Проведение информационных обследований и категорирования  защищаемых ресурсов

Категорирование предполагает проведение работ по выявлению (инвентаризации) и анализу всех ресурсов подсистем  АС организации, подлежащих защите. Примерная  последовательность и основное содержание конкретных действий по осуществлению  этих работ приведены ниже.

Для проведения анализа всех подсистем автоматизированной системы  организации, проведения инвентаризации и категорирования ресурсов АС, подлежащих защите, формируется специальная  рабочая группа. В состав этой группы включаются специалисты подразделения  компьютерной безопасности и других подразделений организации (осведомленные  в вопросах технологии автоматизированной обработки информации в организации).

Для придания необходимого статуса рабочей группе, издается соответствующее распоряжение руководства  организации, в котором, в частности, даются указания всем руководителям  структурных подразделений организации  об оказании содействия и необходимой  помощи рабочей группе в проведении работ по анализу ресурсов всех компьютеров  АС. Для оказания помощи на время  работы группы в подразделениях руководителями этих подразделений должны выделяться сотрудники, владеющие детальной  информацией по вопросам автоматизированной обработки информации в данных подразделениях.

В ходе обследования конкретных подразделений организации и  автоматизированных подсистем выявляются и описываются все функциональные задачи, решаемые с использованием АС, а также все виды информации (сведений), используемые при решении этих задач в подразделениях.