Конфиденциальная информация

Существует ряд стандартов, приказов, требований и иных документов, регламентирующих защиту конфиденциальной информации в компаниях, например:

  • Приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
  • «Руководящий документ. Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации» (утв. Гостехкомиссией РФ 30.03.1992);
  • «Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации» (утв. решением Гостехкомиссии РФ 30.03.1992);
  • «Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» (утв. решением Гостехкомиссии России от 30.03.1992);
  • «Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (утв. решением Гостехкомиссии России 30.03.1992);
  • Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К);
  • и другие.

Построения комплексной системы защиты информации и управление такой системой является одной из ключевых задач отдела по защите конфиденциальной информации, вне зависимости от отрасли, в которой работает организация.

Продукт Security Vision, сертифицированный ФСТЭК России, представляет собой инструмент управления системой информационной безопасности, который позволяет автоматизировать процесс контроля над всеми процедурами обеспечения информационной безопасности конфиденциальных данных с помощью различных модулей.

Security Vision не только отслеживает состояние всех программно-аппаратных составляющих системы защиты, но и обрабатывает инциденты, управляет рисками, ведет базу знаний, проводит аудиты, контролирует степень соответствия организации требованиям стандартов по защите конфиденциальной информации, а так же следит за уровнем осведомленности сотрудников и планирует процедуры повышения уровня информационной безопасности.

Одним из основных модулей Security Vision, имеющих сертификат ФСТЭК России, является Агент ИКЦ, который предназначен для централизованного автоматизированного управления процессом инвентаризации и контроля целостности состава аппаратных средств, системного и прикладного программного обеспечения, установленного на сервера и рабочие станции. Возможности Агента ИКЦ применительно к защите конфиденциальной информации показаны в Таблице 1.

 Табл. 1 Оценка требований законодательства к функционалу средства

контроля целостности в области защиты конфиденциальной информации

Требование законодательства Функционал, закрывающий требования
п. 2.12 Требования к классу защищенности 1ГПодсистема обеспечения целостности:
  • должна быть обеспечена целостность программных средств СЗИ НСД, обрабатываемой информации, а также неизменность программной среды. [1]

При этом:

  • целостность СЗИ НСД проверяется при загрузке системы по наличию имен (идентификаторов) компонент СЗИ;
  • целостность программной среды обеспечивается отсутствием в АС средств разработки и отладки программ.
  • Запуск контроля целостности при загрузке операционной системы
  • Сравнение новых снимков с эталоном
  • Обеспечение целостности обрабатываемой информации
  • Обеспечение идентификации средств разработки и отладки программ, установленных на АРМ.

п. 1.5 Самый низкий уровень контроля – четвертый, достаточен для ПО, используемого при защите конфиденциальной информации. [2]Наличие сертификата по 4 уровню контроля отсутствия недекларированных возможностейп. 5. Основные способы НСД. [3]К основным способам НСД относятся:

  • модификация средств защиты, позволяющая осуществить НСД.

п. 6. Основные направления обеспечения защиты от несанкционированного доступа

п. 6.3. Обеспечивающие средства для системы разграничения доступа выполняют следующие функции [3]:

  • реакцию на попытки НСД, например, сигнализацию, блокировку, восстановление после НСД;
  • контроль целостности программной и информационной части как системы разграничения доступа (СРД), так и обеспечивающих ее средств.

п. 7. Основные характеристики технических средств защиты от НСД [3]

п. 7.4. Гарантии правильности функциони-рования оцениваются по способам проектирования и реализации СРД и обеспечивающих ее средств (формальная и неформальная верификация) и по составу и качеству препятствующих обходу СРД средств (поддержание целостности СРД и обеспечивающих средств, восстановление после сбоев, отказов и попыток НСД, контроль дистрибуций, возможность тестирования на этапе эксплуатации).

  • Блокировка рабочей станции, при нарушении целостности файлов СЗИ
  • Оповещение с записью в журнал, при нарушении целостности файлов СЗИ
  • Обеспечение целостности программного обеспечения, выполняющего функции той или иной подсистемы защиты, если данный функционал не предусмотрен самим средством данной подсистемы

 [1] РД Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации Классификация автоматизированных систем и требования по защите информации»

[2]РД Гостехкомиссии России «Защита от несанкционированного доступа к информации Часть 1. Программное обеспечение средств защиты информации»

[3] РД Гостехкомиссии России «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации»