Обеспечение информационной безопасности системы распределенных ситуационных центров

Комплекс обеспечения информационной безопасности (КОИБ) системы распределенных ситуационных центров призван консолидировать правовые, технологические, организационные, технические и физические меры и способы защиты информации, а также гарантировать конфиденциальность, целостность, доступность и аутентичность информации.

КОИБ СРСЦ должен:

• соответствовать современному уровню развития информационных технологий;
• соответствовать нормативноправовой и нормативнотехнической базе Российской Федерации в области защиты информации;
• способствовать формированию единой продуманной долгосрочной политики информационной безопасности сети распределенных СЦ, построенной по иерархической архитектуре;
• обеспечивать нейтрализацию потенциальных источников угроз безопасности информации;
• обеспечивать обнаружение и предотвращение угроз безопасности информации.

Архитектура системы защиты информации СРСЦ

С учетом архитектуры и особенностей построения СРСЦ, а также требований основополагающих документов по созданию СРСЦ, КОИБ СРСЦ включает:

• центр управления информационной безопасностью (ЦУИБ);
• комплекс информационной безопасности Центра управления и координации (ЦУК) системы распределенных СЦ органов государственной власти (СЦ ОГВ);
• комплексы информационной безопасности СЦ ОГВ.

ЦУИБ

ЦУИБ формируется для мониторинга состояния информационной безопасности, а также координации и контроля действий участников СРСЦ, направленных на реализацию политики информационной безопасности. Центр управления информационной безопасностью отвечает за следующие процессы:

• контроль (мониторинг) уровня защищенности информации, содержащейся в СРСЦ;
• выявление и расследование инцидентов, анализ проблем и разработку предложений для их разрешения, реагирование на обнаруженные факты нарушения безопасности информации;
• сбор и обработку данных о состоянии и нарушениях безопасности информации, на основании которых должны вырабатываться решения и приниматься меры по предупреждению нарушений;
• предоставление информации об инцидентах ИБ в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА), которая создается во исполнение Указа Президента РФ от 15 января 2013 г. № 31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации»;
• обмен информацией между участниками СРСЦ в части реализации мероприятий по защите информации.

ЦУИБ может быть реализован на уровне ЦУК или на уровне Оператора СРСЦ. В его состав должны входить следующие подсистемы ИБ:

• подсистема управления событиями информационной безопасности;
• подсистема группового управления защищенными средствами виртуализации и формирования единой системы хранения данных;
• подсистема мониторинга технических средств и средств криптографической защиты каналов связи.

Комплексы ИБ ЦУК и СЦ

Комплексы информационной безопасности ЦУК и СЦ создаются прежде всего для достижения требуемого уровня доверия к источникам и инструментам работы с информацией, а именно:

• к окружению объектов защиты — территории, помещениям, средствам обеспечения жизнедеятельности, вспомогательным техническим средствам и системам, в том числе к телекоммуникационной инфраструктуре;
• к субъектам — обладателям информации, субъектам персональных данных, операторам информационных систем и персональных данных, правообладателям, пользователям, персоналу ЦУК и СЦ, вспомогательному персоналу, разработчикам и поставщикам средств обработки информации и программного обеспечения;
• к правилам эксплуатации и технической поддержки объекта информатизации, обслуживания, настройки и ремонта средств обработки информации, пользования и обмена информацией, учета и документирования событий;
• к аппаратной (средства обработки информации, вспомогательные технические средства и системы) и программной (операционные системы, специальное и прикладное ПО, средства защиты информации, средства криптографической защиты) платформам объектов информатизации;
• к каналам передачи информации (каналообразующей аппаратуре, концентраторам и коммутаторам, средствам VPN), в том числе выделенным и арендованным каналам связи.

Результатом построения комплексов информационной безопасности ЦУК и СЦ должна стать «оболочка» вокруг объектов защиты, исключающая возможность модификации и любых других несанкционированных действий с ними.

При построении комплексов информационной безопасности ЦУК и СЦ требуется системное согласование средств и способов защиты, применяемых как на уровне ЦУК, так и у участников СРСЦ. В качестве участников СРСЦ рассматриваются ситуационные центры органов государственной власти — федерального уровня и уровня субъектов РФ. Их задача — информационно-аналитическое и технологическое обеспечение функций государственного управления. В системном проекте разрабатываются основные технические решения в составе комплекса информационной безопасности ситуационного центра для типового СЦ ОГВ в составе СРСЦ.

Контуры защиты

Объектами защиты в СРСЦ являются:

• информация;
• программное обеспечение;
• автоматизированные рабочие места;
• web-серверы;
• серверы баз данных;
• система хранения данных;
• виртуальные машины;
• система резервного копирования;
• коммуникационное оборудование;
• средства защиты информации.

В соответствии с единой политикой информационной безопасности в основу работы ЦУК и СЦ положена иерархическая структура защиты информации. Она подразумевает отнесение объектов защиты к одному из трех уровней:

1 уровень — секретный, он предназначен для обработки информации, содержащей сведения, составляющие государственную тайну. Это закрытый контур;

2 уровень — конфиденциальный, предназначен для обработки информации ограниченного доступа, в том числе служебной, которая не содержит гостайны. Это служебный контур;

3 уровень — открытый, он предназначен для обработки общедоступной информации. Это открытый контур.

В качестве потенциальных нарушителей безопасности информации ограниченного доступа в ЦУК рассматриваются:

• внешние субъекты/физические лица (террористические организации, высококвалифицированные компьютерные взломщики);
• поставщики программного обеспечения и технических средств, в том числе сервисные организации по обслуживанию и ремонту технических средств, не имеющие доступа в контролируемую зону;
• разработчики и поставщики программного обеспечения и технических средств, выполняющие в СРСЦ работы по договору;
• субъекты/лица, допускаемые на объекты в сопровождении ответственных лиц;
• сотрудники, не являющиеся пользователями информационных систем, в том числе обслуживающий персонал;
• зарегистрированные пользователи, не обладающие административными полномочиями.

Организация защиты информации в СРСЦ

Меры защиты

Жизненный цикл обеспечения информационной безопасности СРСЦ в целом и отдельных ее компонентов представлен на рисунке 2.

Основными этапами жизненного цикла являются:

• формирование требований к защите информации, обрабатываемой в ЦУК и СЦ;
• проектирование и внедрение комплекса информационной безопасности;
• проведение аттестационных испытаний ЦУК/СЦ по требованиям безопасности информации и ввод их в действие;
• обеспечение информационной безопасности в ходе эксплуатации аттестованной информационной системы ЦУК/СЦ.

Состав функций безопасности комплексов информационной безопасности (КИБ) ЦУК и СЦ определяется исходя из актуальных угроз безопасности информации, которые выявляются при моделировании СРСЦ, и требований нормативно-правовых актов по защите информации для соответствующих классов информационных систем.

Для защиты информации от несанкционированного доступа в КИБ ЦУК и КИБ СЦ применяются следующие меры:

• организация разрешительной системы допуска пользователей (обслуживающего персонала) к информационным ресурсам, информационной системе и связанным с ее использованием работам, документам;
• разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки, передачи и защиты информации;
• контроль соблюдения требований по обеспечению безопасности информации при взаимодействии между участниками СРСЦ;
• регистрация действий пользователей и обслуживающего персонала, контроль несанкционированного доступа и действий пользователей, обслуживающего персонала и посторонних лиц;
• учет и хранение съемных носителей информации и их обращение, исключающее хищение, подмену или уничтожение;
• резервирование технических средств, дублирование массивов и носителей информации;
• предотвращение внедрения в информационные системы ЦУК и СЦ вредоносных программ и программных закладок;
• использование защищенных каналов связи;
• использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия (сертифицированных СЗИ);
• ограничение доступа пользователей в помещения, где размещены технические средства ЦУК и СЦ, осуществляющие обработку информации/персональных данных, а также в места, где хранятся носители информации;
• размещение технических средств ЦУК и СЦ, осуществляющих обработку информации, в пределах охраняемой территории объектов;
• организация физической защиты помещений и собственно технических средств ЦУК и СЦ.

Перечисленные меры защиты информации в соответствии с действующими руководящими документами ФСТЭК России и ФСБ России реализуются функциональными подсистемами КИБ ЦУК и КИБ СЦ.

Организационно-распорядительная документация

В состав организационно-распорядительных документов по обеспечению информационной безопасности СРСЦ входят документы двух уровней: к первому относятся общие документы для СРСЦ; ко второму — документы, специфичные для ЦУК/СЦ.

Документы первого уровня разрабатываются отделом по обеспечению информационной безопасности (ответственными лицами) ЦУК либо операторами СРСЦ или же внешними подрядными организациями, после чего доводятся до ЦУК и до всех СЦ, подключенных к СРСЦ. Типовые комплекты документов второго уровня разрабатываются отделом по защите информации ЦУК. Подразделения СЦ, ответственные за организацию технической и криптографической защиты информации, выполняют их актуализацию и доработку типовых комплектов с учетом условий реализации и функционирования конкретного ситуационного центра.

К документам первого уровня относятся прежде всего концепция ИБ и политика ИБ, а также организационно-распорядительные и методические документы, в которых прописываются:

• порядок категорирования информационных ресурсов;
• порядок обращения с информацией ограниченного доступа, обрабатываемой в ИС ЦУК (требования режима ИБ);
• порядок регистрации в ЦУК пользователей (в том числе Единого распределенного информационного фонда — ЕРИФ);
• регламентация работы удостоверяющего центра СРСЦ;
• требования по использованию ведомственной электронной почты и телефонной связи;
• требования к размещению общедоступной информации в сети Интернет;
• порядок реагирования на инциденты ИБ;
• порядок сбора доказательств и проведения расследования нарушений ИБ;
• порядок работы в сетях связи общего пользования;
• требования к обучению персонала по вопросам обеспечения ИБ;
• порядок проведения анализа рисков ИБ;
• порядок проведения контроля (мониторинга) обеспечения уровня защищенности информации.

К документам второго уровня относятся организационно-распорядительные и методические документы, определяющие:

• порядок распределения полномочий пользователей по обслуживанию информационных ресурсов;
• порядок регистрации пользователей централизованных ли локальных информационных систем;
• порядок предоставления доступа к ЕРИФ;
• требования по обеспечению безопасности информации, обрабатываемой в ИС;
• требования по работе в сетях связи общего пользования;
• порядок допуска работников и посетителей на территорию, в здания и помещения подразделений;
• порядок эксплуатации, обслуживания, ремонта и модификации программных и технических ресурсов;
• порядок действий персонала в нештатных ситуациях;
• инструкции по эксплуатации, сопровождению и обслуживанию программных и технических средств;
• инструкции по обеспечению восстановления информационных систем и систем обеспечения ИБ после сбоев.

Должен быть разработан также ряд документов для автоматизированных систем закрытого контура ЦУК:

• технический паспорт на систему (в соответствии с СТР, Приложение № 5);
• акт категорирования основных технических средств и систем (в соответствии с СТР, Приложение № 9);
• акт классификации автоматизированных систем по требованиям защиты информации (в соответствии с РД Гостехкомиссии России «Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации»);
• предписания на эксплуатацию основных и вспомогательных технических средств и систем (ОТСС и ВТСС);
• протоколы специальных исследований ОТСС и ВТСС;
• заключения о специальной проверке ОТСС и ВТСС;
• план контролируемой зоны учреждения;
• схемы прокладки линий передачи данных ОТСС и ВТСС;
• схемы и характеристики систем электропитания и заземления ОТСС и ВТСС;
• состав и схемы размещения средств защиты информации;
• перечень защищаемых ресурсов с документальным подтверждением степени секретности каждого ресурса;
• организационно-распорядительная документация разрешительной системы доступа персонала к ресурсам автоматизированных систем;
• описание технологического процесса обработки информации;
• технологические инструкции для пользователей автоматизированных систем;
• инструкции по эксплуатации средств защиты информации.

Исполнительный механизм обеспечения безопасности реализуется с помощью программно-технических средств, а также за счет взаимной интеграции функциональных подсистем КИБ ЦУК, КИБ СЦ и ЦУИБ. Отметим: комплекс информационной безопасности функционирует на каждом из контуров ЦУК и СЦ.

Резюме

Построение системы защиты информации СРСЦ должно опираться на комплексный подход.

Все средства защиты информации должны быть сертифицированы по соответствующему классу защищенности.

По результатам разработки и реализации система должна быть аттестована в установленном порядке.

Сопровождение системы должно регламентироваться внутренними эксплуатационными документами.

Разработанный и принятый на текущий момент системный проект по созданию СРСЦ определяет архитектуру СРСЦ, а также применяемые решения и технологии. В системном проекте должны найти отражение как классический комплексный подход к созданию автоматизированных систем в защищенном исполнении, так и новейшие технологии в области защиты информации, которые учитывают специфику СРСЦ, а также пути развития средств и систем государственного управления в условиях внешне- и внутриполитической обстановки.

С учетом масштаба создаваемой СРСЦ логически напрашиваются дальнейшие шаги по ее развитию и повышению уровня безопасности.

Во-первых, это оптимизация решения организационных и нормативных вопросов, в том числе касающихся информационной безопасности. Целесообразно закрепить роль оператора СРСЦ за определенной службой или ведомством. Требуется выпуск нормативных документов, регламентов, определяющих требования к СРСЦ, порядку подключения к СРСЦ, взаимодействию и т. п.

Во-вторых, это расширение пилотной зоны СРСЦ. В состав пилотной зоны должен входить ЦУИБ для отработки различных вопросов взаимодействия и мониторинга информационной безопасности. В пилотную зону можно включить уже существующие СЦ.

Наконец, нужна интеграция пилотной зоны СРСЦ с ГосСОПКА.