Проблеми на сигурността и защитата на класифицираната информация в автоматизираните информационни системи и мрежи

[Mozo]

Проблеми на сигурността и защитата на класифицираната информация в автоматизираните информационни системи и мрежи


Резюме: Изискванията и ограниченията за автоматизираните информационни системи(АИС) и/или мрежи за работа с класифицирана информация са описани в Закона за защита на класифицираната информация1 и свързаните наредби. Най-общо в рамката на специализираната подсистема за защита се включват: проектните работи, закупуване и настройка на програмно-технически средства, вкл. междумрежови екрани, криптографски средства, антивирусни системи, средства за автентификация, авторизация и администриране, разходи за обезпечаване нa физическата сигурност, обучение на персонала, управление, поддръжка и периодично обновяване на системата, одит на сигурността.
В статията се анализират някои възможни алтернативи за реализация на мерките в АИС и/или мрежите, работещи с класифицирана информация, като следствие от оценката на ценността на информационните ресурси.
Ключови думи: информационна сигурност; класифицирана информация; криптография; защитена система; режим за сигурност.
JEL: H19, Z00.


Увод
Проблемът за защитата на класифицираната информация в компютърни системи и мрежи е нов. Въпреки широкото му обсъждане в пресата, все още е трудно да се намери отговор на следните въпроси:
Как да се създаде организация за защита на информацията в конкретно учреждение или предприятие?
Как да се изгради надеждна и сигурна система?
Как да се подържа режим на сигурност?
Законът не дава отговор на тези въпроси. Цел на информационната сигурност2 е постигането на: поверителност, цялостност, достъпност и проверка за автентичност.
Защитата на класифицираната информация се изразява в комплекс от мерки в областта на физическата, документалната, персоналната и компютърната сигурност. Не всички мерки са технически. В тези области е възможно да се прилагат различни мерки, които са описани в настоящата работа.
Практическите подходи предлагани в статията се базират на личния опит на автора и експертни заключения публикувани в специализираните издания3.

1. Управленски мерки
Те означават да се разработи политика, програми за сигурност и анализ и управление на риска.
Под политика за сигурност може да се разбира съвкупност от управленски решения по отношение защитата на класифицираната информация и присъединените към нея ресурси. От практическа гледна точка политиката за сигурност може да се раздели на три нива.
Към първото ниво са решенията, които имат отношение към цялата организация. Те се вземат от ръководството на организацията и са с по-общ характер, като например: решение да се проектира или преразгледа комплексна програма за защита на информацията; формулиране на целите, които преследва организацията в областта на защитата на класифицираната информация; осигуряване на база за спазване на законите и наредбите; систематизиране на управленските решения по въпросите за реализация на програмите за защита, които са валидни за цялата организация. Към това ниво на управление се отнасят защитата на ресурсите и координацията при използването на тези ресурси, обособяването на специален персонал за защита на критично важни системи, поддържането на контакти с други организации и пр. Политиката за сигурност от това ниво има връзка с три аспекта: първо, организационната единица4 е длъжна да спазва съществуващите закони; второ, трябва да контролира действията на лицата, които отговарят за изработване на програмите за сигурност; и трето, да се осигури определена степен на отговорност на персонала.
Към средното ниво се включват отделни аспекти на защитата на информацията. Като пример за това е достъпът до интернет (как да се съчетае правото да получаваш информация със защитата от външни заплахи), използването от потребителите на нелицензирани програми и т.н. Политиката за сигурност на това ниво има отношение към следните теми:
Описание на аспекта, т.е. описанието на заданието и конкретните изисквания към мрежата - с каква информация ще се работи, с какви ресурси се разполага, на какви изисквания за защита трябва да отговори системата и т.н.
Обхват и ниво на сигурността. Например за АИС и/или мрежи на важно държавно учреждение (МВР, МО и т.н.) може би трябва по-висока степен на защита, отколкото на една малка фирма.
Сфера на използване, т.е. къде, кога, как, по отношение на кого и какво се приема дадената политика за сигурност.
Позиция на организацията по дадения аспект, т.е. целите на организацията по отношение на защитата на класифицираната информация. Най-добрите политики за сигурност на данните използват превантивния подход. Чрез предотвратяване на възможността за неоторизиран достъп данните ще останат защитени.
Права и задължения на лицата, отговарящи за провеждането на политиката за сигурност. Тези права и задължения се определят със Закона за защита на класифицирана информация (ЗЗКИ) и Наредбата5, както и с вътрешни нормативни правила. Политиките определят насоките и правилата, които могат да бъдат от полза на администраторите и потребителите при възникване на непредвидени ситуации в мрежата. Например, ако трябва да се проверяват дискети от друг компютър, е необходимо да се опишат процедурите за проверка. Ако не трябва да се използват нелицензирани програми, трябва да се знае кой отговаря за изпълнението на това правило и т.н. Най-общо, групите хора, които имат отношение към сигурността на информацията в една система или мрежа са: ръководителите, системните инженери, системните администратори, системните организатори и потребителите.
Законосъобразност. Политиката за сигурност трябва да съдържа общо описание на забранените действия и наказанията за тях. Случаите на нарушения от страна на персонала трябва да се разглеждат от ръководството и да се предприемат наказателни мерки, включително и уволнение.
При определяне на политиката за сигурност трябва да се знае всеки служител от кого може да получи разяснение, помощ и допълнителна информация.
Политиката за сигурност на най-ниското ниво се отнася до конкретното програмно осигуряване. За разлика от предишните две нива тя трябва да бъде доста по-детайлна. Въпросите, на които трябва да се отговори при определяне на политиката за сигурност за това ниво, са например:
При какви условия могат да се четат и модифицират данните в АИС?
Кой има право на достъп до обектите, поддържащи програмното осигуряване?
Формулирането на целите на политиката на най-ниското ниво също се основава на съображенията за поверителност, достъпност и цялостност, но тези цели трябва да бъдат по-конкретни.

Целият материал: