ДУЛЕНКО
Вячеслав Алексеевич
кандидат технических наук, доцент, доцент кафедры управления в ОВД Уфимского юридического института МВД России
ПЕСТРИКОВ
Владимир Анатольевич
кандидат технических наук, доцент, доцент кафедры вычислительной техники и защиты информации, Уфимского государственного авиационного
технического университета
ОСНОВНЫЕ ПОДХОДЫ К РАЗРАБОТКЕ СИСТЕМЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ РЕСУРСОВ В ПОДРАЗДЕЛЕНИЯХ И СЛУЖБАХ ОРГАНОВ ВНУТРЕННИХ ДЕЛ
Обеспечение комплексной безопасности
является неотъемлемой составной частью деятельности подразделений ОВД. Уровень и степень безопасности объектов ОВД зависят от состояния их защищенности. Состояние защищенности представляет собой умение и способность указанных подразделений надежно противостоять терроризму и отрицательному воздействию факторов антиобщественных проявлений, чрезвычайных ситуаций природного и техногенного характера.
Организационно-техническое обеспечение комплексной безопасности органов внутренних дел должно базироваться на следующих составных элементах:
- системе стандартизации и унификации;
- системе лицензирования деятельности;
- системах сертификации средств защиты;
- системе сертификации технических и программных средств объектов информатизации;
- системе аттестации защищенных объектов информатизации.
Основными составляющими обеспечения безопасности ресурсов подразделения ОВД являются:
- система физической защиты (безопасности) материальных объектов и ресурсов;
- система безопасности информационных ресурсов.
Система физической защиты (безопасности) материальных объектов и ресурсов должна предусматривать:
- систему инженерно-технических и организационных мер охраны;
- систему контроля и управления доступом;
- систему мер (режима) сохранности и контроль вероятных каналов утечки информации.
Система охранных мер должна предусматривать:
- многорубежность построения охраны (территории, здания, помещения) по нарастающей к наиболее ценной оберегаемой конкретности;
- комплексное применение современных технических средств охраны, обнаружения, наблюдения, сбора и обработки информации, обеспечивающих достоверное отображение и объективное документирование событий;
- надежную инженерно-техническую защиту вероятных путей несанкционированного вторжения в охраняемые пределы зон защиты;
- устойчивую (дублированную) систему связи и управления всех взаимодействующих в охране сил и средств (в первую очередь - дежурной части);
- высокую подготовку и готовность основных сил быстрого реагирования к оперативному противодействию нарушителям;
- самоохрану сотрудников правоохранительных органов.
Система контроля и управления доступом должна предусматривать:
- объективное определение «надежности» лиц, допускаемых на объекты подразделения;
- максимальное ограничение количества лиц, допускаемых на объекты подразделения;
- установление для каждого сотрудника, посетителя дифференцированного по времени, месту и виду деятельности права доступа на объекты подразделения;
- четкое определение порядка оформления и выдачи пропусков для входа (въезда) на объект и выхода (выезда);
- определение объемов контрольно-пропускных функций на каждом проходном и проездном пункте;
- оборудование контрольно-пропускных пунктов (постов) техническими средствами, обеспечивающими достоверный контроль проходящих, объективную регистрацию прохода и предотвращение несанкционированного (в том числе силового) проникновения посторонних лиц;
- высокую подготовленность личного состава к действиям в экстремальных ситуациях и техническую защищенность контрольно-пропускных пунктов.
Система мер (режим) сохранности материальных ресурсов, информации и контроля должна предусматривать:
- строго контролируемый доступ лиц в режимные зоны (зоны обращения и хранения оружия, боеприпасов, специальных средств, конфиденциальной информации, финансовых средств и т.п.);
- максимальное ограничение посещений режимных зон лицами, не имеющими прав доступа в зоны;
- максимальное сокращение количества лиц, обладающих досмотровым иммунитетом;
- организацию и осуществление присутственного (явочного), а также дистанционного контроля (скрытого) по техническим каналам за соблюдением режима безопасности;
- организацию тщательного контроля любых предметов и веществ, перемещаемых
в пределах режимных и прилегающих к ОВД территорий;
- обеспечение надежного хранения и учета оружия, боеприпасов, специальных средств, конфиденциальной информации, финансовых средств и т.п.;
- соблюдение персональной и коллективной ответственности в процессе выполнения возложенных функций со стороны вольнонаемного персонала, аттестованных сотрудников ОВД;
- организацию тщательного контроля на всех возможных каналах утечки информации;
- оперативное выявление причин тревожных и экстремальных ситуаций в режимных зонах, пресечение их развития или ликвидацию во взаимодействии с другими силовыми подразделениями различных ведомств (ФСБ, ФСО, МЧС, МО, МЮ), администрациями территориальных органов и т.д.
Следовательно, на дежурную часть возлагаются не только организационные, но и координационные функции по обеспечению комплексной безопасности подразделений и служб ОВД и управлению силами и средствами ОВД.
Система обеспечения безопасности информационных ресурсов ОВД должна предусматривать комплекс организационных, технических, программных и криптографических средств и мер по защите информации в процессе традиционного документооборота; при работе исполнителей с конфиденциальными документами и сведениями; при обработке информации в автоматизированных системах различного уровня и назначения; при передаче по каналам связи; при ведении конфиденциальных совещаний и переговоров.
Основными направлениями реализации технической политики обеспечения информационной безопасности в этих сферах деятельности являются:
- защита информационных ресурсов от хищения, утраты, уничтожения, разглашения, утечки, искажения и подделки за счет несанкционированного доступа (НСД) и специальных воздействий;
- защита информации от утечки вследствие наличия физических полей за счет акустических и побочных электромагнитных излучений и наводок (ПЭМИН) на электрические цепи, трубопроводы и конструкции зданий.
В рамках указанных направлений технической политики обеспечения информационной безопасности необходимо:
- разработать разрешительную систему допуска исполнителей (пользователей) к работам, документам и информации конфиденциального характера;
- ввести ограничения на доступ исполнителей и посторонних лиц в здания, помещения, где проводятся работы с информацией конфиденциального характера, в том числе на объекты, на которых функционируют автоматизированные системы обработки (хранения) информации конфиденциального характера;
- осуществить разграничение доступа вольнонаемных и аттестованных сотрудников к данным автоматизированных систем различного уровня и назначения;
- обеспечить учет документов, информационных массивов, регистрацию действий пользователей информационных систем, контроль и регистрацию несанкционированных действий пользователей, а также злоумышленников;
- использовать только разрешенные, на основании приказов, криптографические средства преобразования информации, обрабатываемой и передаваемой средствами вычислительной техники и связи;
- снизить уровень и информативность ПЭМИН, создаваемых различными элементами технических средств обеспечения функциональной деятельности и АИС;
- снизить уровень акустических излучений;
- обеспечить электрическую развязку цепей питания, заземления и других цепей технических средств, выходящих за пределы контролируемой территории;
- применять активное зашумление в различных диапазонах частотного спектра;
- применение комплексов противодействия оптическим и лазерным средствам наблюдения;
- проводить проверку технических средств и объектов информатизации на предмет выявления включенных в них закладных устройств;
- пресечь внедрение в автоматизированные информационные системы вредоносных программ как пользователями, так и из извне злоумышленниками;
- проведение внешнего аудита на выявление и устранение ошибок в конфигурации компьютерных сетей, а также в политике ор-
ганизации доступа пользователей и политике безопасности.
Защита информационных ресурсов от несанкционированного доступа должна предусматривать:
- обоснованность доступа, когда исполнитель (пользователь) должен иметь соответствующую форму допуска для ознакомления с документацией (информацией) определенного уровня конфиденциальности и ему необходимо ознакомление с данной информацией или необходимы действия с ней для выполнения служебных функций;
- персональную ответственность, заключающуюся в том, что исполнитель (пользователь) должен нести ответственность за сохранность доверенных ему документов (носителей информации, информационных массивов), за свои действия в информационных системах;
- надежность хранения, когда документы (носители информации, информационные массивы) хранятся в условиях, исключающих несанкционированное ознакомление с ними, их уничтожение, подделку или искажение;
- разграничение информации по уровню секретности, заключающееся в предупреждении показания сведений более высокого уровня секретности в документах (носителях информации, информационных массивах) с более низким уровнем секретности, а также предупреждение передачи конфиденциальной информации по незащищенным линиям связи;
- контроль действий исполнителей (пользователей) с документацией и сведениями, а также в автоматизированных системах и системах связи;
- очистку (обнуление, исключение информативности) оперативной памяти, буферов, разделов накопителей на жестких магнитных дисках при смене пользователей до перераспределения этих ресурсов между другими пользователями;
- целостность технической и программной среды, обрабатываемой информации и средств защиты, заключающуюся в физической сохранности средств информатизации, неизменности программной среды, определяемой предусмотренной технологией обработки информации, выполнением средствами защиты предусмотренных функций, изолированностью средств защиты от пользователей;
- прокладку кабельных линий, линий связи и т.п. в специальных антивандальных коробах с установкой индикаторов их вскрытия.
Требование обоснованности доступа реализуется в рамках разрешительной системы допуска к работам, документам и сведениям, в которой устанавливается: кто, кому, в соответствии с какими полномочиями, какие документы и сведения (носители информации, информационные массивы), для каких действий или для какого вида доступа может предоставить и при каких условиях. Такая система предполагает определение для всех пользователей автоматизированных систем информационных и программных ресурсов, доступных им для конкретных операций (чтение, запись, модификация, удаление, выполнение) с помощью заданных программно-технических средств доступа.
Положение о персональной ответственности реализуется с помощью:
- росписи исполнителей в журналах, карточках учета, других разрешительных документах, а также на самих документах, в соответствии с инструкциями, положениями и приказами МВД;
- индивидуальной идентификации пользователей и инициированных ими процессов в автоматизированных системах;
- проверки подлинности (аутентификации) исполнителей (пользователей) на основе использования паролей, ключей, магнитных карт, цифровой электронной подписи, а также биометрических характеристик личности при доступе как в автоматизированные системы, так и в выделенные помещения (зоны).
Условие надежности хранения реализуется с помощью:
- хранилищ конфиденциальных документов, оборудованных техническими средствами охраны в соответствии с установленными требованиями, доступ в которые ограничен и осуществляется в установленном порядке;
- выделения помещений, в которых разрешается работа с конфиденциальной документацией, оборудованных сейфами и металлическими шкафами, а также реализуется разграничение доступа в эти помещения;
- использования криптографического преобразования информации в автоматизированных системах.
Правило разграничения информации по уровню секретности реализуется на основании соответствующих государственных и ведомст-
венных нормативных актов с помощью предварительно учтенных блокнотов и тетрадей для ведения секретных записей или учета носителей информации, предназначенных для информации определенного уровня секретности.
Система контроля действий исполнителей реализуется с помощью:
- организационных мер контроля при работе исполнителей с конфиденциальными документами и сведениями;
- регистрации (протоколирования) действий пользователей с информационными и программными ресурсами автоматизированных систем с указанием даты и времени, идентификаторов запрашивающего и запрашиваемых ресурсов, вида взаимодействия и его результата, включая запрещенные попытки доступа;
- сигнализации о несанкционированных действиях пользователей.
Очистка памяти осуществляется организационными и программными мерами, а целостность автоматизированных систем обеспечивается комплексом программно-технических средств и организационных мероприятий.
Защита информации от утечки за счет ПЭМИН. Основным направлением защиты информации от утечки за счет ПЭМИН является уменьшение отношения информативного сигнала к помехе до предела, определяемого «Нормами эффективности защиты АСУ и ЭВМ от утечки информации за счет ПЭМИН», при котором восстановление сообщений становится принципиально невозможным. Решение этой задачи достигается как снижением уровня излучений информационных сигналов, так и увеличением уровня помех в соответствующих частотных диапазонах.
Первый способ реализуется выбором системно-технических и конструкторских решений при создании технических средств ЭВТ в «защищенном исполнении», а также рациональным выбором места размещения технических средств относительно направлений возможного перехвата информативного сигнала.
Второй способ реализуется в основном за счет применения активных средств защиты в виде «генераторов шума» и специальной системы антенн.
Защита информации в линиях связи. К основным видам линий связи, используемых для передачи информации, можно отнести: проводные (телефонные, телеграфные),
радио и радиорелейные, тропосферные и космические линии связи.
При необходимости передачи по ним конфиденциальной информации основным направлением защиты информации, передаваемой по всем видам линий связи, от перехвата, искажения и навязывания ложной информации является использование систем криптографического преобразования информации, а на небольших расстояниях, кроме того, рекомендуется использование защищенных волоконно-оптических линий связи.
Для защиты информации должны использоваться средства криптографической защиты данных гарантированной стойкости для определенного уровня конфиденциальности передаваемой информации, а также соответствующая ключевая система, обеспечивающая надежный обмен информацией и аутентификацию (подтверждение подлинности) сообщений.
Безопасное использование технических средств информатизации. Одним из методов технической разведки является внедрение в конструкцию технических средств информатизации закладных устройств перехвата, трансляции информации или вывода технических средств из строя.
В целях противодействия такому методу воздействия на объекты информатизации и технические средства, предназначенные для обработки конфиденциальной информации, в обязательном порядке проводится проверка этих средств, осуществляемая специализированными организациями с помощью специальных установок и оборудования, как правило, в стационарных условиях в соответствии с установленными требованиями.
Защита речевой информации при проведении конфиденциальных переговоров. Исходя из возможности перехвата речевой информации при проведении разговоров конфиденциального характера с помощью внедрения закладных устройств, акустических, виброакустических и лазерных технических средств разведки, противодействие этим угрозам должно осуществляться всеми доступными средствами и методами.
В связи с интенсивным внедрением в деятельность подразделений ОВД автоматизированных систем различного назначения, используемых для обработки конфиденциальной информации, проблеме безопасности информации, обрабатываемой и передаваемой средствами и системами вычислительной
техники и связи, следует уделить особое внимание.
Обеспечение качества в системе безопасности. Необходимой составляющей системы безопасности должно быть обеспечение качества работ и используемых средств и мер защиты, нормативной базой которого является система стандартов и других руководящих нормативно-технических и методических документов по безопасности, утвержденных федеральными органами государственного управления в соответствии с их компетенцией, и определяющие нормы защищенности информации и требования в различных направлениях защиты информации.
В соответствии с требованиями этих документов должны проводиться предпро-ектное обследование и проектирование информационных систем, заказ средств защиты информации и контроля, предполагаемых к использованию в этих системах, аттестация объектов информатики, а также контроль защищенности информационных ресурсов.
К основным стандартам и нормативно-техническим документам в области защиты информации от НСД относятся: комплект руководящих документов Гостехкомиссии России (ныне Федеральное агентство по техническому и экспертному контролю), в том числе: «Автоматизированные системы. Защита от НСД к информации. Классификация автоматизированных систем и требования по защите информации», «Положение по организации разработки, изготовления и эксплуатации программы и технических средств защиты информации от НСД в автоматизированных системах и средствах вычислительной техники (СВТ)».
В совокупности с системой стандартизации единую систему обеспечения качества продукции и услуг по требованиям безопасности информации составляют:
- сертификация средств и систем вычислительной техники и связи по требованиям безопасности информации;
- лицензирование деятельности по оказанию услуг в области защиты информации;
- аттестация объектов информатизации по требованиям безопасности информации.
В соответствии с требованиями этих систем право оказывать услуги сторонним организациям в области защиты информации предоставлено только организациям, имеющим на этот вид деятельности разрешение (лицензию). Средства и системы вычисли-
тельной техники и связи, предназначенные для обработки (передачи) конфиденциальной информации, средства защиты и контроля эффективности защиты такой информации подлежат обязательной сертификации по требованиям безопасности информации, а объекты информатики, предназначенные для обработки секретной и иной конфиденциальной информации, являющейся собственностью государства, а также для ведения секретных переговоров, подлежат обязательной аттестации по требованиям безопасности информации.
При разработке системы комплексной защиты информации объекта автоматизации необходимо максимально использовать имеющиеся сертифицированные по требованиям безопасности информации средства вычислительной техники и связи, средства защиты и контроля защищенности, разрабатывая или заказывая оригинальные технические или программные средства защиты только в случаях, когда имеющимися средствами нельзя достигнуть необходимых результатов. Исходя из этого, при разработке автоматизированных систем различного уровня и назначения серьезное внимание следует уделить выбору технических средств и общесистемного математического и программного обеспечения. Этими же обстоятельствами следует руководствоваться при выборе стратегии развития систем информатизации.