Система обеспечения информационной безопасности


Система обеспечения информационной безопасности

Система обеспечения информационной безопасности (СОИБ) - комплексное решение, позволяющее определять актуальные угрозы и уязвимость информационной безопасности (ИБ) и надлежащим образом организовывать защиту. 

СОИБ решает следующие задачи:

  • Защита информационных активов и информационно-телекоммуникационной инфраструктуры организации:
    • защита от несанкционированного доступа;
    • аудит ИБ;
    • защита от воздействия вредоносного кода;
    • сетевая безопасность;
    • защита на уровне операционных систем;
    • криптографическая защита;
    • защита на уровне баз данных;
    • защита на уровне приложений;
    • защита виртуальных платформ.
  • Управление ИБ организации:
    • управление рисками ИБ, актуализация политики, моделей угроз и нарушителей ИБ;
    • управление инцидентами ИБ;
    • проверка соответствия информационных систем организации требованиям внутренних политик ИБ и нормативных документов регуляторов (федеральное законодательство, руководящие документы ФСБ, ФСТЭК, Роскомнадзор, ЦБ РФ);
    • предоставление отчетов руководству.
СОИБ учитывает все актуальные угрозы и законодательные требования.
  

В системе СОИБ доступны следующие специализированные подсистемы управления и мониторинга (СПУМ):

  • Антивирусной защиты - СПУМ АВЗ

  • Средств защиты информации от несанкционированного доступа - СПУМ СЗИ от НСД

  • Информационной безопасности локальной вычислительно сети - СПУМ ЛВС 

  • Информационной безопасности ОС z/OS - СПУМ ИБ z/OS

  • Информационной безопасности ОС Windows - СПУМ ИБ Windows

  • Информационной безопасности серверных операционных систем AIX, Linux, Unix - СПУМ ИБ СОС

 

На уровне Ядра СОИБ выполняются функции:

  • централизованное управление инцидентами ИБ (мониторинг ИБ и реагирование);
  • централизованное управление учетными записями;
  • централизованная сквозная аутентификация и управление доступом.
  • управление рисками ИБ;

Технически, данные функции выполняются  посредством решений класса SIEM, IDM, Access Management, ESSO, Risk management.

На уровне СПУМ АВЗ обеспечивается защита информации от воздействия вредоносного кода.

На уровне СПУМ СЗИ от НСД обеспечивается программно-аппаратная защита от несанкционированного доступа и утечки информации (решения класса СЗИ от НСД и DLP).

На уровне СПУМ ИБ ЛВС обеспечивается защита на уровне сети (межсетевое экранирование, сетевая аутентификация, анализ конфигурации сетевого оборудования).

На уровне СПУМ ИБ СУБД обеспечивается защита на уровне баз данных (решения по защите баз данных).

На уровне СПУМ ИБ MS Windows, СПУМ ИБ СОС и СПУМ ИБ z/OS обеспечивается защита операционных систем (MS Windows, AIX, RedHat Enterprise Linux, Suse Linux, HP-UX, HP-Tru64, OpenVMS, Solaris, z/OS, Linux for System z) как посредством настроек встроенных средств защиты, так и с использованием специализированного программного обеспечения (Privileged Identity Management). 

Реализованные проекты:

  • СОИБ Коллективного центра обработки информации Банка России в г.Москва;
  • СОИБ Коллективного центра обработки информации Банка России в г.Санкт-Петербург;
  • СОИБ Коллективного центра обработки информации Банка России в г.Нижний Новгород;
  • подсистема обеспечения ИБ центральной информационно-аналитической системы Министерства сельского хозяйства.

Система обеспечения информационной безопасности корпоративного предприятия

Наличие перечисленных факторов показывает, что обеспечение информационной безопасности корпораций – это достаточно сложный организационно-технологический, программно-технический процесс, требующий системной организации и системного управления.

Далее будем рассматривать информационную безопасность в условиях, когда в основу целевой корпоративной информационно-технологической архитектуры положены интегрированная информационно-технологическая инфраструктура (ИИТИ) и предназначенная для информационного взаимодействия в корпорации телекоммуникационная сеть (ТКС). Так как корпорация является одной из организационно-правовых форм предприятия, будем использовать в общем случае термин «предприятие», если нет необходимости обозначить особенности, связанные с корпоративным управлением и организацией.

Компоненты архитектуры обеспечения ИБ. Для определения структурных компонентов архитектуры обеспечения ИБ вернёмся к архитектуре корпоративного предприятия, к той её части, которая представляет информационную сферу обеспечения бизнес-процессов и управления. Базовыми компонентами архитектуры предприятия в информационной сфере являются базовые объекты (ЦОД, КСА) и обеспечивающие объектовые компоненты (КЦУ, КТЦ, ЦСиТ, КУЦ и УЦ) ИИТИ – объекты информационной индустрии корпорации, которые являются функционально целостными объектами обеспечения информатизации.

Первая группа объектов может включать в себя как прикладные функциональные сервисы (АС и IT-комплексы), так и прикладные общесистемные или специальные сервисы (системы). Вторая группа объектов, предназначенная для реализации информационных технологий определённого целевого назначения в информационной индустрии, обеспечивает функционирование, в основном, целевых общесистемных сервисов. В архитектуре корпорации они являются, как правило, структурными подразделениями компаний или корпорации, могут быть отдельными физическими объектами или размещаться на объектах офисов и производств (в особенности КСА). Но в любом случае при решении проблемы обеспечения ИБ они должны рассматриваться как объекты информатизации вместе с инженерно-строительной инфраструктурой.

Исходя из этого, базовым структурным компонентом архитектуры обеспечения ИБ корпорации является комплексная система защиты информации (КСЗИ) для объектов информационной индустрии корпорации.

Комплексная система защиты информации – это система, разрабатываемая для базовых и обеспечивающих объектовых компонентов ИИТИ и представляющая собой «совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты информации, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области защиты информации» [10].

Комплексность системы определяется тем, что она:

– во-первых, создаётся в интересах всех информационных ресурсов (входящей и исходящей, обрабатываемой и хранимой информации) объектов информационной индустрии корпорации;

– во-вторых, включает в себя объекты защиты прикладного и инфраструктурного уровня;

– в-третьих, организуется как единая и управляемая система;

– в-четвёртых, функционирует во взаимодействии с ПТК и ТКС, прикладными функциональными и общесистемными сервисами, а также с учётом объектовых средств инженерно-технической защиты (ИТЗ) и организационно-технических мер, предназначенных для создания на объекте условий работы с конфиденциальной информацией.

Таким образом, в КСЗИ в качестве объектов защиты рассматриваются, прежде всего, прикладные функциональные, общесистемные и специальные сервисы, которые, как правило, являются системами или функционально-технологическими комплексами ИТО (прикладные АС, корпоративные хранилища данных, СУБД, система НСИ, CRM-системы, ERP-системы и т.д.). Среди них следует выделить системы корпоративного назначения, базовые ресурсы которых являются частью программно-технической среды ЦОД, но они функционируют в интересах всего корпоративного информационного пространства и используют ресурсы вне ЦОД (СЭД, ЕИП, СУ ИВР, ТКС как информационно-технологическая система и др.). В указанных системах задачи обеспечения информационной безопасности решаются, прежде всего, на уровне технологических процессов (обеспечение состояния информационной безопасности), а совокупность средств и технологий обеспечения ИБ является подсистемами этих систем (подсистемы информационного обеспечения – ПОИБ).

На инфраструктурном уровне описания архитектуры в качестве объектов защиты рассматриваются, в основном, средства и компоненты (комплексы, системы) программно-технической и телекоммуникационной среды, организационно-технологические структуры, обеспечивающие инженерные системы, системы и объекты инженерно-строительной инфраструктуры.

Таким образом, совокупность средств, технологий и подсистем обеспечения ИБ при архитектурном описании обеспечения ИБ могут быть представлены обобщёнными блоками (компонентами) КСЗИ прикладного и инфраструктурного уровней.

Интеграция обеспечения ИБ осуществляется в рамках объектов обеспечения информатизации корпорации (ЦОД, офисные и производственные КСА, центры информационно-технологического назначения и др.) и на корпоративном уровне.

Интегрированными структурными компонентами архитектуры обеспечения ИБ являются системы обеспечения информационной безопасности (СОИБ) объектов обеспечения информатизации и Система обеспечения информационной безопасности корпорации (СОИБ-К).

Консолидация обеспечения информационной безопасности на основе принятой политики информационной безопасности осуществляется Корпоративной системой управления информационной безопасности (КС УИБ).

СОИБ-К является интегрированным объектом управления КС УИБ.

СОИБ объектовых компонентов КЦ УИБ и КУЦ рассматривается особо, так как функционал их основной деятельности является инструментом реализации специальных сервисов обеспечения ИБ корпорации. Такой особый статус они приобретают, являясь головными объектами корпоративных систем КСУ ИБ и СУЦ.

Соотношения и структурная организация взаимодействия. Таким образом, соотношения и структурная организация взаимодействия архитектурных компонентов по обеспечению ИБ корпорации определяются следующими положениями:

1. КСЗИ объектов информационной индустрии корпорации (ЦОД, офисные КСА, центры информационно-технологического назначения и др.) – базовый структурный компонент архитектуры обеспечения ИБ корпорации.

1. ПОИБ – часть конкретного проекта систем (функциональных и общесистемных сервисов), которая обеспечивает адаптацию этих систем для выполнения политики информационной безопасности конкретных объектов информатизации, в которых они размещены и функционируют.

2. Система обеспечения информационной безопасности ЦОД, офисных и других КСА (СОИБ ЦОД, КСА) включает в себя информационные ресурсы, как предмет защиты, и КСЗИ объекта.

3. Система обеспечения информационной безопасности корпорации (СОИБ-К) – совокупность СОИБ объектов информационной индустрии корпорации и СОИБ ТКС, как информационно-технологической системы.

4. На прикладном уровне (ИТО) обеспечивается информационная безопасность в функциональных, общесистемных и специальных сервисах, размещённых на базе ИИТИ объекта, а также осуществляется управление процессами обеспечения ИБ в ходе обработки информации функциональными приложениями.

5. На инфраструктурном уровне обеспечивается защита той части ИИТИ, которая относится к данному объекту информатизации, а также осуществляется управление ИБ на объекте в целом.

6. Политика информационной безопасности обеспечивается в целом на корпоративном уровне корпоративной системой управления ИБ (КСУ ИБ), при этом функция управления ИБ реализуется в ПОИБ, КСЗИ и СОИБ объектов, в средствах и технологиях обеспечения ИБ.

Схема архитектуры обеспечения ИБ корпоративного предприятия

ОСНОВНЫЕ НАПРАВЛЕНИЯ

РЕШЕНИЯ ПРОБЛЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

  • организационная и инженерно-техническая защита объектов информатизации в интересах информационной безопасности;

  • секретное и конфиденциальное делопроизводство;

  • защита информации от несанкционированного доступа к информации и ресурсам АС (защита от НСД);

  • криптографические методы и средства защиты информации в компьютерной и телекоммуникационной среде;

  • защита от скрытого внедрения в программно-техническую среду компьютерных и телекоммуникационных систем;

  • защита информации от утечки по техническим каналам;

  • нормативно-правовое обеспечение информационной безопасности.

10 Архитектура системы обеспечения информационной безопасности

СОИБ является неотъемлемой частью любой сети связи, и ее архитектура не зависит от технологий, используемых при построении сети связи. СОИБ является предупредительной системой в отличие от ответной модели, осуществляющей обработку события после его происхождения. Процессы СОИБ должны работать до того как случится непредвиденный инцидент безопасности.

Архитектура СОИБ ССОП должна быть многоуровневой и включать в себя следующие функциональные структурные элементы: уровни ИБ, подсистемы ИБ, службы обеспечения ИБ различных организаций (операторов) связи, координируемые центральным органом СОИБ ССОП, который может быть образован ФОИВ, уполномоченным в области связи.

10.2 Уровни системы обеспечения информационной безопасности

Архитектура СОИБ может содержать следующие уровни ИБ, описание которых приведено в разделе 8 ГОСТ Р 52448:

- управление ИБ;

- организационно-административный;

- безопасность инфокоммуникационной структуры;

- безопасность услуг;

- сетевая безопасность;

- физическая безопасность.

Оператор связи в целях обеспечения своей деятельности и достижения деловых целей может уточнять данные архитектурные компоненты, в частности, описанные уровни СОИБ могут быть объединены в три укрупненных уровня:

- организационный;

- организационно-технический;

- технический.

10.3 Подсистемы системы обеспечения информационной безопасности

Разделение СОИБ на подсистемы носит условный характер и предназначено для объединения характерных мероприятий и действий по обеспечению ИБ в единую архитектурную компоненту. В общем случае в состав СОИБ могут входить следующие функциональные подсистемы:

- аутентификации и авторизации;

- контроля доступа и защиты от НСД;

- регистрации событий ИБ и аудита;

- управления;

- резервирования.

10.3.1 Подсистема «аутентификации и авторизации»

Подсистема «аутентификации и авторизации» предназначается для централизованной аутентификации и авторизации доступа субъектов к программно-аппаратным средствам связи и системе управления.

Основными функциями подсистемы «аутентификации и авторизации» являются:

- предоставление обслуживающему персоналу систем и сетей связи возможности использования одной (или нескольких) учетной записи и пароля при доступе к средствам связи и серверам системы управления с использованием механизмов внешней аутентификации и авторизации;

- централизованное хранение базы данных пользователей и их авторизационной информации с использованием механизмов внешней аутентификации и авторизации.

Подсистема «аутентификации и авторизации» может быть реализована встроенными механизмами аутентификации и авторизации средств связи и информатизации и является одним из звеньев получения доступа к средствам связи, реализующему следующие логические процессы:

- идентификацию пользователя, когда определяется имя учетной записи или логин;

- аутентификацию - проверку подлинности того, что предъявитель имени учетной записи является лицом, чью учетную запись он предъявил в процессе идентификации;

- авторизацию - процесс наделения правами доступа к оборудованию.

В подсистеме «аутентификации и авторизации» допускается применение аутентификации разных уровней сложности:

а) однофакторной аутентификации с использованием:

1) пароля,

2) пароля однократного действия;

б) двухфакторной аутентификации с использованием:

1) токенов,

2) смарткарт,

3) криптокарт,

4) сертификатов;

в) трехфакторной аутентификации с использованием биометрических методов.

Организационная основа системы обеспечения информационной безопасности РФ

10. Основные функции системы обеспечения информационной безопасности Российской Федерации

Система обеспечения информационной безопасности Российской Федерации предназначена для реализации государственной политики в данной сфере.

Основными функциями системы обеспечения информационной безопасности Российской Федерации являются:

  • разработка нормативной правовой базы в области обеспечения информационной безопасности Российской Федерации;

  • создание условий для реализации прав граждан и общественных объединений на разрешенную законом деятельность в информационной сфере;

  • определение и поддержание баланса между потребностью граждан, общества и государства в свободном обмене информацией и необходимыми ограничениями на распространение информации;

  • оценка состояния информационной безопасности Российской Федерации, выявление источников внутренних и внешних угроз информационной безопасности, определение приоритетных направлений предотвращения, отражения и нейтрализации этих угроз;

  • координация деятельности федеральных органов государственной власти и других государственных органов, решающих задачи обеспечения информационной безопасности Российской Федерации;

  • контроль деятельности федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, государственных и межведомственных комиссий, участвующих в решении задач обеспечения информационной безопасности Российской Федерации;

  • предупреждение, выявление и пресечение правонарушений, связанных с посягательствами на законные интересы граждан, общества и государства в информационной сфере, на осуществление судопроизводства по делам о преступлениях в этой области;

  • развитие отечественной информационной инфраструктуры, а также индустрии телекоммуникационных и информационных средств, повышение их конкурентоспособности на внутреннем и внешнем рынке;

  • организация разработки федеральной и региональных программ обеспечения информационной безопасности и координация деятельности по их реализации;

  • проведение единой технической политики в области обеспечения информационной безопасности Российской Федерации;

  • организация фундаментальных и прикладных научных исследований в области обеспечения информационной безопасности Российской федерации;

  • защита государственных информационных ресурсов, прежде всего в федеральных органах государственной власти и органах государственной власти субъектов Российской Федерации, на предприятиях оборонного комплекса;

  • обеспечение контроля за созданием и использованием средств защиты информации посредством обязательного лицензирования деятельности в данной сфере и сертификации средств защиты информации;

  • совершенствование и развитие единой системы подготовки кадров, используемых в области информационной безопасности Российской Федерации;

  • осуществление международного сотрудничества в сфере обеспечения информационной безопасности, представление интересов Российской Федерации в соответствующих международных организациях.

Компетенция федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, других государственных органов, входящих в состав системы обеспечения информационной безопасности Российской Федерации и ее подсистем, определяется федеральными законами, нормативными правовыми актами Президента Российской Федерации и Правительства Российской Федерации.

Функции органов, координирующих деятельность федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, других государственных органов, входящих в состав системы обеспечения информационной безопасности Российской Федерации и ее подсистем, определяются отдельными нормативными правовыми актами Российской Федерации.

11. Основные элементы организационной основы системы обеспечения информационной безопасности Российской Федерации

Система обеспечения информационной безопасности Российской Федерации является частью системы обеспечения национальной безопасности страны.

Система обеспечения информационной безопасности Российской Федерации строится на основе разграничения полномочий органов законодательной, исполнительной и судебной власти в данной сфере, а также предметов ведения федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации.

Основными элементами организационной основы системы обеспечения информационной безопасности Российской Федерации являются: Президент Российской Федерации, Совет Федерации Федерального Собрания Российской Федерации, Государственная Дума Федерального Собрания Российской Федерации, Правительство Российской Федерации, Совет Безопасности Российской Федерации, федеральные органы исполнительной власти, межведомственные и государственные комиссии, создаваемые Президентом Российской Федерации и Правительством Российской Федерации, органы исполнительной власти субъектов Российской Федерации, органы местного самоуправления, органы судебной власти, общественные объединения, граждане, принимающие в соответствии с законодательством Российской Федерации участие в решении задач обеспечения информационной безопасности Российской Федерации.

Президент Российской Федерации руководит в пределах своих конституционных полномочий органами и силами по обеспечению информационной безопасности Российской Федерации; санкционирует действия по обеспечению информационной безопасности Российской Федерации; в соответствии с законодательством Российской Федерации формирует, реорганизует и упраздняет подчиненные ему органы и силы по обеспечению информационной безопасности Российской Федерации; определяет в своих ежегодных посланиях Федеральному Собранию приоритетные направления государственной политики в области обеспечения информационной безопасности Российской Федерации, а также меры по реализации настоящей Доктрины.

Палаты Федерального Собрания Российской Федерации на основе Конституции Российской Федерации по представлению Президента Российской федерации и Правительства Российской Федерации формируют законодательную базу в области обеспечения информационной безопасности Российской Федерации.

Правительство Российской Федерации в пределах своих полномочий и с учетом сформулированных в ежегодных посланиях Президента Российской Федерации Федеральному Собрания приоритетных направлений в области обеспечения информационной безопасности Российской Федерации координирует деятельность федеральных органов исполнительной власти и органов исполнительной власти субъектов Российской Федерации, а также при формировании в установленном порядке проектов федерального бюджета на соответствующие годы предусматривает выделение средств, необходимых для реализации федеральных программ в этой области.

Совет Безопасности Российской Федерации проводит работу по выявлению и оценке угроз информационной безопасности Российской Федерации, оперативно подготавливает проекты решений Президента Российской Федерации по предотвращению таких угроз, разрабатывает предложения в области обеспечения информационной безопасности Российской Федерации, а также предложения по уточнению отдельных положений настоящей Доктрины, координирует деятельность органов и сил по обеспечению информационной безопасности Российской Федерации, контролирует реализацию федеральными органами исполнительной власти и органами исполнительной власти субъектов Российской Федерации решений Президента Российской Федерации в этой области.

Федеральные органы исполнительной власти обеспечивают исполнение законодательства Российской Федерации, решений Президента Российской Федерации и Правительства Российской Федерации в области обеспечения информационной безопасности Российской Федерации; в пределах своей компетенции разрабатывают нормативные правовые акты в этой области и представляют их в установленном порядке Президенту Российской Федерации и в Правительство Российской Федерации.

Межведомственные и государственные комиссии, создаваемые Президентом Российской Федерации и Правительством Российской Федерации, решают в соответствии с предоставленными им полномочиями задачи обеспечения информационной безопасности Российской Федерации.

Органы исполнительной власти субъектов Российской Федерации взаимодействуют с федеральными органами исполнительной власти по вопросам исполнения законодательства Российской Федерации, решений Президента Российской Федерации и Правительства Российской Федерации в области обеспечения информационной безопасности Российской Федерации, а также по вопросам реализации федеральных программ в этой области; совместно с органами местного самоуправления осуществляют мероприятия по привлечению граждан, организаций и общественных объединений к оказанию содействия в решении проблем обеспечения информационной безопасности Российской Федерации; вносят в федеральные органы исполнительной власти предложения по совершенствованию системы обеспечения информационной безопасности Российской Федерации.

Органы местного самоуправления обеспечивают соблюдение законодательства Российской Федерации в области обеспечения информационной безопасности Российской федерации.

Органы судебной власти осуществляют правосудие по делам о преступлениях, связанных с посягательствами на законные интересы личности, общества и государства в информационной сфере, и обеспечивают судебную защиту граждан и общественных объединений, чьи права были нарушены в связи с деятельностью по обеспечению информационной безопасности Российской Федерации.

В состав системы обеспечения информационной безопасности Российской Федерации могут входить подсистемы (системы), ориентированные на решение локальных задач в данной сфере.


Смотрите также