В.П. Мельников и др. - Информационная безопасность и защита информации (1022816), страница 54
Текст из файла (страница 54)
При восстановлении функции записи на носитель первой же операцией осушествляется стирание конфиденциальной информации. Если восстановление работоспособности накопителя с несъемным носителем информации невозможно, то устройство подлежит утилизации, включая физическое разрушение носителя. При оборудовании помещения для проведения специальных работ осуществляется подготовка рабочих мест и обеспечивается изоляция рабочих мест от остальной части КС. На рабочих местах должны использоваться сертифицированные и проверенные на отсутствие закладок приборы (если они не поставлялись в комплекте КС).
Меры по обеспечению изолированности рабочих мест от остальной КС имеют целью исключить доступ сотрудников, выполняюших специальные работы, к элементам функционирующей КС. Допуск специалистов на рабочие места осушествляется в определенное время и после выполнения всех подготовительных операций. При прибытии специалистов из других организаций, например для проведения доработок, кроме обычной проверки лиц, допускаемых на объект, на отсутствие закладок должны проверяться приборы, устройства, которые доставлены для выполнения работ. В процессе выполнения специальных работ необходимо исключить использование непроверенных аппаратных и программных 240 средств, отклонения от установленной документацией технологии проведения работ, доступ к носителям с конфиденциальной информацией и функционирующим в рабочих режимах элементам КС.
Специальные работы завершаются контролем работоспособности КС и отсутствия закладок. Проверка на отсутствие аппаратных закладок осуществляется путем осмотра устройств и тестирования их во всех режимах. Отсутствие программных закладок проверяется по контрольным суммам, а также путем тестирования. Результаты доработок принимаются комиссией и оформляются актом, в котором должны быть отражены результаты проверки работоспособности и отсутствия закладок. После проверок осуществляется восстановление информации и задействуются все механизмы защиты. В автономных КС непосредственную ответственность за выполнение комплекса антивирусных мероприятий целесообразно возложить на пользователя КС.
В ЛВС такая работа организуется должностными лицами подразделения ОБИ. Исполняемые файлы, в том числе саморазархивирующиеся и содержащие макрокоманды, должны вводиться в ЛВС под контролем дежурного оператора КСЗИ и подвергаться проверке на отсутствие вирусов. Системные вопросы организации защиты программ и данных решаются применением КСЗИ (см. подразд. 5.2). Успех эксплуатации КСЗИ в большой степени зависит от уровня организации управления процессом эксплуатации. Иерархическая система управления позволяет организовать реализацию политики безопасности информации на этапе эксплуатации КС. При организации системы необходимы: ° соответствие уровня компетенции руководителя его статусу в системе управления; ° строгая регламентация действий должностных лиц; ° документирование алгоритмов обеспечения защиты информации; ° непрерывность управления; ° адаптивность системы управления; ° контроль над реализацией политики безопасности.
Каждое должностное лицо из руководства организации, службы безопасности или подразделения ОБИ должны иметь знания и навыки работы с КСЗИ в объеме, достаточном для выполнения своих функциональных обязанностей. Причем должностные лица должны располагать минимально возможными сведениями о конкретных механизмах защиты и о защищаемой информации. Это достигается путем очень строгой регламентации их деятельности.
Документирование всех алгоритмов эксгьтуатации КСЗИ позволяет при необходимости легко заменять должностных лиц, а также осуществлять контроль над их деятельностью. Реализация этого 241 принципа позволит избежать незаменимости отдельных сотрудников и наладить эффективный контроль деятельности должностных лиц. Непрерывность управления КСЗИ достигается за счет организации дежурства операторов КСЗИ. Система управления должна быть гибкой и оперативно адаптироваться к изменяющимся условиям функционирования.
Комплексная СЗИ является подсистемой КС и ее техническая эксплуатация организуется в соответствии с общим подходом обеспечения эффективности применения КС. К общим задачам, решаемым в процессе технической эксплуатации КСЗИ, относятся: ° организационные задачи; ° поддержание работоспособности КСЗИ; ° обеспечение технической эксплуатации. К организационным задачам относятся: ° планирование технической эксплуатации; ° организация дежурства; ° работа с обслуживающим персоналом и пользователями; ° работа с документами.
Планирование технической эксплуатации осуществляется на длительные сроки (полгода, год и более). Используется также среднесрочное (квартал, месяц) и краткосрочное (неделя, сутки) планирование. На длительные сроки планируются полугодовое техническое обслуживание и работа комиссий, поставки оборудования, запасных изделий и приборов, ремонты устройств и т.д. Среднесрочное и краткосрочное планирование применяются при организации технического обслуживания, проведении доработок, организации дежурства и др. Организация дежурства предназначена для непрерывного выполнения организационных мер зашиты и эксплуатации всех механизмов зашиты. Режим дежурства зависит от режима использования КС.
Дежурный оператор КСЗИ может выполнять по совместительству и функции общего администрирования в компьютерной сети. Рабочее место оператора КСЗИ, как правило, располагается в непосредственной близости от наиболее важных компонентов КС (серверов, межсетевых экранов и т.д.) и оборудуется всеми необходимыми средствами оперативного управления КСЗИ. Работа с обслуживающим персоналом и пользователями сводится к подбору кадров, 'их обучению, воспитанию, созданию условий для высокоэффективного труда. В процессе технической эксплуатации проводится работа с документами четырехтипов: 1) законы; 2) ведомственные руководящие документы; 242 3) документация предприятий-изготовителей; 4) документация, разрабатываемая в процессе эксплуатации.
В законах отражены общие вопросы эксплуатации КСЗИ. В ведомствах (министерствах, объединениях, корпорациях, государственных учреждениях) разрабатывают инструкции„директивы, государственные стандарты, методические рекомендации и т.д. Предприятия-изготовители поставляют эксплуатационно-техническую документацию: технические описания, инструкции по эксплуатации, формуляры (паспорта) и др. В ор~анизациях, эксплуатирующих КС, разрабатывают и ведут планирующую и учетно-отчетную документацию. Одной из центральных задач технической эксплуатации КСЗИ является поддержание работоспособности КСЗИ. Работоспособность поддерживается в основном за счет проведения технического обслуживания, постоянного контроля работоспособности и ее восстановления в случае отказа. Работоспособность средств защиты информации контролируется постоянно с помощью аппаратнопрограммных средств встроенного контроля и периодически должностными лицами службы безопасности и комиссиями.
Сроки проведения контроля и объем работ определяются в руководящих документах. Обеспечение технической зксплуащации, от которого зависит ее успех, включает в себя; ° материально-техническое обеспечение; ° транспортировку и хранение; ° метрологическое обеспечение; ° обеспечение безопасности эксплуатации, Материально-техническое обеспечение позволяет удовлетворять потребность в расходных материалах, запасных изделиях и приборах, инструментах и других материальных средствах, необходимых для эксплуатации КСЗИ. Транспортировка и хранение устройств защищенной КС должны предусматривать защиту от несанкционированного доступа к устройствам в луги и в хранилищах. Для обеспечения необходимых условий транспортировки и хранения выполняются мероприятия подготовки устройств согласно требованиям эксплуатационно-технической документации.
Метрологическое обеспечение позволяет поддерживать измерительные приборы в исправном состоянии. Обеспечение безопасности эксплуатации предусматривает защиту обслуживающего персонала и пользователей прежде всего от угрозы поражения электрическим током, а также от возможных пожаров. В целом от уровня технической эксплуатации во многом зависит эффективность использования КСЗИ. 243 5.4. Программно-аппаратные средства обеспечения ИБ в типовых ОС, СУБД и вычислительных сетях 5.4.1.
Основные положения программно-аппаратного н организационного обеспечения ИБ в операционных системах Правильный выбор модели безопасности является задачей не столько специалистов по ОС, сколько специалистов по безопасности и секретности. Существующие стандарты ограничивают обязательный список моделей только двумя моделями — дискретным и мандатным управлением доступом. Для большинства применений этих двух моделей вполне достаточно. Существующие модели других типов широкого распространения как модели, лежащие в основе ОС, не получили, обычно их используют для разработки того или иного приложения. Однако исторически сложилось так, что многие системы не поддерживают моделей дискретного и мандатного управления доступом и даже не позволяют внедрить эти модели без существенного нарушения принципов организации системы. Сложности при внедрении этих моделей влекут за собой определенные компромиссы со стороны разработчиков, что недопустимо, так как приводит к искажению модели безопасности и ее некорректной реализации.
Представляется целесообразным, чтобы ОС общего назначения изначально поддерживали модели дискретного и мандатного управления доступом, начиная с начальных стадий разработки. Для эффективного обеспечения ИБ в ОС необходимо выполнить следующие рекомендации. 1. Правильно внедрить модель безопасности.