Инфраструктура безопасности информационных систем
Применительно к предмету статьи, инфраструктура — это комплекс взаимосвязанных обслуживающих структур или объектов, составляющих и/или обеспечивающих основу применения информационных технологий в деятельности органов государственной власти. Мы для себя выделяем инфраструктуру информационных систем, инфраструктуру связи и инфраструктуру безопасности информации.
Оглядываясь назад, испытываешь чувства удивления и восхищения, глядя, как много всего изменилось в нашей отрасли. Задумайтесь, еще недавно городская инфраструктура представляла собой, по сегодняшним меркам, достаточно печальное зрелище.
Вот лишь несколько, наиболее ярких примеров, характерных для периода 2000-х годов.
Романтики и энтузиасты-самоучки, работающие «за идею». Инфраструктура развита слабо и растет «как плесень», не там, где требуется, а там, где больше «питательной среды» (материальных и финансовых средств, поддержки конкретного руководителя).
Инфраструктура информационных систем:
· преобладание отдельно стоящих персональных компьютеров, не объединенных в локальные сети;
· использование разнородного, преимущественно нелокализованного, иностранного системного и прикладного ПО;
· относительно широкое распространение пиратских версий программного обеспечения;
· применение несовместимых между собой в масштабе города, а иногда и в масштабе организации информационных систем;
· несмотря на богатый опыт и развитое нормативно-методическое обеспечение советского периода, создание информационных систем часто осуществлялось без выполнения проектных работ и документирования созданных информационных систем.
Инфраструктура связи:
· широкое использование модемной связи через коммутируемые аналоговые телефонные каналы связи;
· доступ к Интернету на низких скоростях через Dial-up-соединения, предоставляемые множеством мелких провайдеров;
· ЛВС на основе тонкого коаксиала 10 Мбит/с.
Инфраструктура безопасности информации:
· мало кто понимает, зачем необходима ЗИ, большинству она только мешает;
· хроническое тотальное недофинансирование мероприятий по ЗИ;
· применение разрозненных средств защиты, ориентированных преимущественно на межсетевое экранирование и антивирусную защиту, разграничение прав доступа реализовано на основе встроенных функций, не сертифицированных по требованиям безопасности информации операционных систем и СУБД.
Особенности отрасли в настоящее время — высокооплачиваемые специалисты, имеющие профильное образование. Информационная инфраструктура создается и развивается в соответствии с лучшими практиками, на основе обоснованных организационных и технических решений.
Инфраструктура информационных систем:
· отдельно стоящие персональные компьютеры, не объединенные в локальные сети практически отсутствуют;
· использование лицензионного унифицированного системного и прикладного ПО;
· применение распределенных информационных систем, взаимоувязанных между собой;
· использование системного подхода к созданию информационных систем на основе нормативно-методических и руководящих документов, обязательность документирования созданных информационных систем.
Инфраструктура связи:
· использование высокоскоростных оптических каналов связи;
· высокоскоростной доступ в Интернет через единую точку доступа;
· ЛВС на основе витой пары, оптических и беспроводных каналов 100 Мбит/с — 1 Гбит/с.
Инфраструктура безопасности информации:
· многие понимают, зачем это необходимо, но по-прежнему многим только мешает;
· применение средств защиты в составе систем ЗИ информационных систем, обеспечивающих комплексную безопасность информации в соответствии с моделью угроз.
Мы считаем, что основными факторами, определяющими характер развития инфраструктуры безопасности информации, являются:
· увеличение количества информационных систем и сложности используемых в них информационных технологий;
· устойчивый рост количества угроз информационной безопасности и изощренности их реализации;
· невозможность постоянного увеличения числа высокооплачиваемых специалистов с высокой квалификацией в сферах информационных технологий, связи и ЗИ;
· возрастание стоимости последствий реализации угроз (инцидентов) информационной безопасности;
· опасность того, что ЗИ может оказаться сдерживающим фактором развития всей информационной инфраструктуры.
Центр управления системой защиты информации ИТКС
Одним из основных направлений развития инфраструктуры безопасности информации является создание и развитие общегородского Центра управления системой защиты информации (ЦУ СЗИ).
Цель создания ЦУ СЗИ — обеспечение надежного управления из единого центра системами ЗИ информационно-телекоммуникационных систем ИОГВ, системой ЗИ защищенной корпоративной сети ИОГВ и контроля защищенности входящих в них сетей и систем.
На сегодняшний день в составе ЦУ СЗИ функционируют следующие основные подсистемы:
· центр управления защищенной корпоративной сетью ИОГВ;
· автоматизированная система антивирусной защиты информации ИОГВ;
· подсистема контроля за уровнем защищенности ИОГВ;
· подсистема оценки состояния технической защиты информации.
В ЦУ СЗИ используются геоинформационные системы, позволяющие формировать для каждой из перечисленных подсистем ЦУ СЗИ геоинформационные слои, отображающие состояние компонентов соответствующих подсистем в реальном масштабе времени.
Управление системой защиты информации
Согласно Положению о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от утечки по техническим каналам, главными направлениями работ по ЗИ являются:
· обеспечение эффективного управления системой ЗИ;
· определение сведений, охраняемых от технических средств разведки, и демаскирующих признаков, раскрывающих эти сведения;
· анализ и оценка реальной опасности перехвата информации техническими средствами разведки, несанкционированного доступа, разрушения (уничтожения) или искажения информации путем преднамеренных программно-технических воздействий в процессе ее обработки, передачи и хранения в технических средствах, выявление возможных технических каналов утечки сведений, подлежащих защите;
· разработка организационно-технических мероприятий по ЗИ и их реализация;
· организация и проведение контроля состояния ЗИ.
Практика деятельности по ЗИ показывает, что обеспечение эффективного управления данной системой является, пожалуй, наиглавнейшим направлением. Другими словами, деятельностью по ЗИ следует эффективно управлять — это непреложный объективный факт.
Объектом управления в контексте безопасности информации является система ЗИ, как сложная организационно-техническая система, представляющая собой совокупность органов и/или исполнителей, используемой ими техники ЗИ, а также объектов защиты, организованная и функционирующая по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами в области защиты информации
Система в данном случае — это строго определенный набор средств сбора сведений о подконтрольном объекте, т.е. системе ЗИ и средств воздействия на его поведение предназначенный для достижения определенных целей (целей ЗИ).
Субъект управления — человек, группа людей или организация, уполномоченные на принятие решений и принимающие участие в управлении системой ЗИ, процессами или отношениями путем воздействия на систему защиты информации для достижения поставленных целей ЗИ.
Обеспечение ИБ и задачи по защите информации
Как можно охарактеризовать деятельность по обеспечению безопасности информации и принятию мер по ЗИ? Как чрезвычайно беспокойную, требующую ответственности в принятии решений и достаточно часто не встречающую понимания (хорошо, если не противодействия) среди разработчиков и пользователей информационных систем.
Можно констатировать, что практически в любой организации требования должностных лиц (работников), ответственных за защиту информации по защите информации далеко не всегда встречают понимание, со стороны специалистов в сфере информатизации и связи.
В этих условиях решающим фактором достижения целей ЗИ часто становится умение творчески подойти к вопросам защиты информации, когда результатом является не компромисс, а поиск и принятие решений, устраивающих всех участников процессов, связанных с обработкой защищаемой информации.
Но такой творческий подход требует достаточно глубокой проработки вопросов, постоянного повышения квалификации, самосовершенствования, общения и обмена мнениями с коллегами по цеху, что весьма полезно для дела, но чрезвычайно затратно по времени.
Руководящими документами абсолютно справедливо определено, что обеспечение ЗИ в ходе эксплуатации информационной системы осуществляется оператором в соответствии с эксплуатационной документацией на систему ЗИ и организационно-распорядительными документами по ЗИ и наряду с прочим включает:
· управление (администрирование) системой ЗИ информационной системы;
· выявление инцидентов и реагирование на них;
· управление конфигурацией аттестованной информационной системы и ее системы ЗИ;
· контроль (мониторинг) за обеспечением уровня защищенности информации, содержащейся в информационной системе;
· сбор и анализ данных о текущем состоянии ЗИ, поиск и анализ закономерностей, подготовка стандартных отчетов;
· отслеживание контрольных сроков событий, исполнения поручений;
· повышение уровня осведомленности уполномоченных лиц;
· централизованное хранение и актуализация документов в области ЗИ.
Сегодня специалистам по защите информации постоянно приходится решать такие рутинные задачи по ЗИ, как:
· сбор и анализ данных, о текущем состоянии ЗИ, поиск и анализ закономерностей, подготовка стандартных отчетов;
· отслеживание контрольных сроков событий, исполнения поручений;
· повышение уровня осведомленности уполномоченных лиц;
· централизованное хранение и актуализация документов в области ЗИ;
· и т. д.
Необходимо признать, что в условиях большого количества рутинных и вместе с тем неотложных задач, поступающих с высокой интенсивностью, «творческий подход» реализовать практически невозможно.
В ходе решения таких задач одни и те же операции повторяются многократно — ежедневно, раз в неделю, раз в квартал либо по иному расписанию. В принципе, подобные задачи не требуют от специалистов по ЗИ особых творческих усилий: они скучны, утомительны и отнимают немало драгоценного времени. Было бы разумным по возможности автоматизировать такие процессы. Сделать это можно разными способами, в частности, путем создания и включения в состав ЦУ СЗИ автоматизированной системы управления информационной безопасности (АСУ ИБ).
Целями такой автоматизированной системы следует считать:
· ускорение выполнения отдельных операций по сбору и обработке данных о системе ЗИ;
· предоставление релевантных данных для принятия решений в области ЗИ;
· снижение количества возможных вариантов решений;
· повышение степени обоснованности принимаемых решений;
· повышение оперативности управления системой ЗИ;
· повышение уровня контроля и исполнительской дисциплины;
· снижение затрат на выполнение вспомогательных процессов.
Как следствие, больше качественно выполненных задач в области ЗИ при ограниченном количестве специалистов, объеме денежных средств и имеющегося времени. Думаю, что недалек тот день, когда без подобных систем построение эффективной системы ЗИ будет немыслимо.
Опубликовано 29.06.2016