ОСОБЕННОСТИ ПОДБОРА СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ ДЛЯ ГОСУДАРСТВЕННЫХ УЧРЕЖДЕНИЙ

АННОТАЦИЯ

С развитием информационных технологий все большее распространение получает проблема обеспечения безопасности информации при обработке, передаче, хранении в информационных (автоматизированных) и телекоммуникационных системах. Основным принципом информационной безопасности является обеспечение «конфиденциальности», «целостности» и «доступности» информации, которой оперируют государственные органы. В зависимости от степени важности информации, каждое государственное учреждение несет ответственность за обеспечение информационной безопасности. Однако при нынешних обстоятельствах, когда государственные учреждения используют и передают данные через общую IT-среду, необходимо сформулировать единую основу для повышения уровня информационной безопасности. Эти Общие стандарты устанавливают меры, которые государственные органы должны внедрять для обеспечения и дальнейшего повышения информационной безопасности в рамках единой структуры.

Ключевые слова: угроза, информация, техническая защита информации, средство защиты информации, несанкционированный доступ,, программное обеспечение, критерии выбора, метод.

Несмотря на то, что информационный ресурс федеральных информационных систем общего пользования (порталов, оказывающих конституционные услуги) открытый и общедоступный, он подлежит защите сертифицированными средствами. Например, Постановлением Правительства РФ 2009 г. № 424 "Об особенностях подключения федеральных государственных информационных систем к информационнотелекоммуникационным сетям" определено, что при подключении таких систем к информационно-телекоммуникационным сетям, доступ к которым не ограничен (например, метасеть Интернет), необходимо использовать СЗИ, прошедшие оценку соответствия.

 Дополнительные требования к СЗИ определены совместным Приказом ФСБ России и ФСТЭК России 2010 г. №416/№484 «Об утверждении требований о защите информации, содержащихся в информационных системах общего пользования» в зависимости от класса системы.

Это означает, что все средства технической защиты информации должны иметь сертификаты соответствия ФСТЭК и ФСБ РФ. В целом, рекомендации по выбору технических средств защиты информации сводятся к следующему. В первую очередь, должно быть аргументированное технико-экономическое обоснование по поводу приобретения средств защиты.

Также, прежде чем подойти к выбору ТСЗИ необходимо ответить на следующие вопросы:

-чем может воспользоваться потенциальный злоумышленник

-какие средства получения защищенной информации сейчас наиболее часто используются и какими возможностями они обладают.

Средства защиты информации должны иметь возможность непрерывного функционирования и работать исключительно в границах заданной области. Также необходимо понять как ТСЗИ будут взаимодействовать между собой и не могут ли они помешать корректной работе друг друга. И необходимо определить долю участия персонала, функциональных служб, специалистов и остальных работников объекта информатизации в обработке информации, тип их взаимодействия между собой и со службой безопасности [2].

Учитывая, что любое СЗИ содержит некий программный код, то следует предположить, что он обладает функционалом, который может послужить для организации атак в отношении защищаемых объектов. Такие возможности, не учтенные в документации или написанные некорректно, использование которых может привести к нарушению информационной безопасности, названы недекларированными [3].

Рисунок 1. Классификация защищенности средств вычислительной техники

В следствии чего, в отношении средств защиты информации была поставлена задача по проверке на отсутствие в нем недекларированных возможностей. Выделим 4 уровня контроля отсутствия НДВ: четвертый — низший, а первый — наивысший (рисунок 1.).

Если средство защиты информации направленно на защиты данных с грифом секретности «особой важности», то как показано на рисунке 1., оно должно соответствовать требованиям, предъявляемым к первому уровню. В случае защиты данных с грифом секретности «совершенно секретно», ПО используемого СЗИ обязано соблюдать нормы как минимум второго уровня контроля. Если же гриф секретности защищаемой информации «секретно», то соблюдение требований третьего уровню контроля будет избыточным. Самый же низкий уровень контроля, подойдет для данных ограниченного доступа, не содержащих сведений, относящихся к государственной тайне.

Классификация защищенности средств вычислительной техники. Здесь определен список классов защищенности, где седьмой является низшим классом, а высшим — первый. Классы защищенности разделены на группы (рисунок 2).

Рисунок 2. Классификация защищенности средств вычислительной техники

Первая группа образована 7 классом. Он устанавливается тем средствам вычислительной техники, которые должны иметь механизмы защиты от несанкционированного доступа к данным, но конечная защищенность их ниже защищенности средств 6-го класса. Вторую группу образовывают 5 и 6 классы защищенности. Их отличие состоит в наличие дискреционного управления доступом. Этот функция позволяет задавать правила доступа пользователей к различным ресурсам, таким как папка, приложение и пр., в которых открыто указано, что может делать субъект: открыть содержимое папки, выполнять запуск приложения и т.д. Классы третьей группы с номерами 2, 3 и 4 отличаются способом мандатного управления доступом, который основан на использовании классификационных меток. Они дают возможность пользователям и ресурсам выдавать классификационные уровни, к примеру категории секретности обрабатываемых данных. Таким образом, создается иерархическая структура, в которой пользователи могут получить разрешение на получение информации с ресурса при условии, что его уровень в существующей иерархии не ниже уровня иерархии требуемого ресурса. В этих средствах вычислительной техники присутствует способ дискреционного управления доступом: дискреционные правила являются дополнением мандатных. В состав четвертой группы входит 1 класс, который характеризуется наличием верифицированной защиты. Существующий способ защиты обязан гарантированно обеспечивать для диспетчера перехват доступа обращений субъектов доступа к объектам.[3]

Список литературы:

1. Методы оценки несоответствия средств защиты информации / А.С. Марков, В.Л. Цирлов, А.В. Барабанов; под ред. А.С. Маркова. - М.: Радио и связь, 2012. 192 с.
2. Режим доступа: https://www.accenture.com/ru-ru/about/company/company-news-release-cybersecurity-survey (дата обращения 03.01.2022)
3. [Электронный ресурс]. Режим доступа: https://www.anti-malware.ru/analytics/Market_Analysis/infosecurity-systems-classification-fsb-fstek (дата обращения 05.01.2022)