– изолированные от Интернет ЛВС и АРМ.

Под безопасностью КСУЗ понимается свойство системы быть защищенной от угроз целостности, доступности и конфиденциальности сетевых ресурсов. Под угрозой обычно понимается некоторое потенциальное событие (нарушение), реализация которого способно привести к снижению степени безопасности ресурсов КСУЗ. Преднамеренную реализацию в сетевой среде угроз ИБ принято называть атакой на ресурсы сетей. При этом известны классификации угроз ИБ на внутренние и внешние, преднамеренные и случайные, реализационные и эксплуатационные и др… К наиболее актуальным сейчас угрозам относят наличие уязвимостей (дефектов безопасности) в программных ресурсах, на базе которых реализуется до 98 % сетевых атак и 99 % вирусных эпидемий. Очевидно, что для КСУЗ наиболее типовыми являются внутренние угрозы.

Вопрос 3. Этапы построения БКСУЗ

Задача построения интегрированной системы безопасности КСУЗ в общем случае включает 3 уровня:

1. Определение законодательно-правовой базы;

2. Разработку организационных документов, мер и процедур;

3. Разработку, внедрение, сопровождение подсистем и средств защиты информационно-программных ресурсов.

3.1. Определение законодательно-правовой базы

Пакет правовых документов в области ИБ, главным образом, включает: Уголовный кодекс РФ, Гражданский кодекс РФ, ФЗ «О правовой охране программ для электронных вычислительных машин и баз данных», ФЗ «О сертификации продуктов и услуг», ФЗ "О Государственной тайне", ФЗ "Об информации, информатизации и защите информации", ФЗ "Об электронной цифровой подписи", Указ Президента РФ "Об утверждении перечня сведений конфиденциального характера". В целом законодательная база учебной деятельности касается определения необходимости лицензий на деятельность в сфере ИБ, использования сертифицированных средств, соблюдения соответствующих требований УК РФ и ФЗ РФ. Следует заметить, что в связи с реформой системы лицензирования несколько упрощены требования некоторым видам деятельности и услугам в области ИБ.

К нормативным документам в области ИБ относят РД Гостехкомиссии РФ и следующие стандарты:

– ГОСТ 28147-89. Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования;

– ГОСТ 45.127-99. Система обеспечения информационной безопасности Взаимоувязанной сети связи РФ. Термины и определения;

– ГОСТ 51583-2000. Порядок создания АС в защищенном исполнении. Общие положения;

– ГОСТ Р 34.10–94. ИТ. Криптографическая защита информации. Процедуры выработки и проверки электронной подписи на базе асимметричного криптографического алгоритма;

– ГОСТ Р 34.11–94. ИТ. Криптографическая защита информации. Функция хэширования;

– ГОСТ Р 50739-95. СВТ. Защита от НСД к информации;

– ГОСТ Р 50922-96. ЗИ. Основные термины и определения; – ГОСТ Р 51188-98. Испытания ПС на наличие компьютерных вирусов;

– ГОСТ Р 51275-99 ЗИ. Объект информатизации. Факторы, воздействующие на информацию;

– ГОСТ Р 51624-00. ЗИ. АС в защищенном исполнении. Общие требования;

– ГОСТ Р ИСО/МЭК 15409-2001. Методы и средства обеспечения безопасности. Критерии оценки безопасности ИТ;

– ГОСТ Р ИСО 7498-2-99. ИТ. ВОС. Базовая эталонная модель. Часть 2. Архитектура защиты информации;

– ГОСТ Р ИСО/МЭК 9594-8-98. ИТ. ВОС. Справочник. Часть 8. Основы аутентификации;

– ГОСТ Р ИСО/МЭК 9594-9-95. ИТ. ВОС. Справочник. Часть 9. Дублирование. ГОСТ Р ИСО/МЭК 15408-2001. Методы и средства обеспечения безопасности. Критерии оценки безопасности ИТ.

Особое внимание представляет международный ГОСТ 15408, планируемый на смену РД Гостехкомиссии РФ. ГОСТ 15408 предназначен для анализа и оценки безопасности и качества ИТ и СЗИ. ГОСТ определяет типовые требования к функциям безопасности (девять классов, 76 семейств, 184 компонента и 380 элементов), требования доверия безопасности – семь классов, 25 семейств, 72 компонента, и 9 уровней гарантии. Типовой алгоритм оценки ИБ по ГОСТу представлен на рис. 1.

3.2. Организационные меры

Организационные меры в общем случае включают:

1. Проведение аудита ИБ КСУЗ и экспертиза вуза по требованиям безопасности;

2. Определение политики и процедур безопасности;

3. Рекомендации по настройке сетей и систем.

Организационно-техническими документами здесь являются: – стандарт ISO 17799 (BS 7799) по аудиту информационной безопасности и частично стандарты РФ по аккредитации, ИБ, качеству;

– политика (положение) безопасности, реестр анализа риска, планы защиты и восстановления;

– руководства по настройке, детальные инструкции, как-то: Stepbystep (cert.org), инструкции Stiv Substen (www.trustedsystem.com) и др.

Рис. 1. Типовой алгоритм оценки ИБ