Расширенный

Расширенный поиск

Автор

Статьи

Запуск системы информационной безопасности в постоянную эксплуатацию

18.09.2018
В соответствии с ГОСТ 34.601-90 и Р 51583-2014 стадия ввода системы информационной безопасности (СИБ) в действие следует за техническим проектом и разработкой рабочей документации на СИБ. Эта стадия завершается переводом СИБ в постоянную эксплуатацию.

Содержание:

Этапы запуска СИБ

Ввод СИБ в действие – финальная стадия, на которой СИБ переходит от идей, заложенных в проекте, к законченному техническому решению, позволяющему решать практические задачи обеспечения информационной безопасности организации.

В соответствии с ГОСТ 34.601-90 на стадии ввода СИБ в действие проводятся следующие этапы работ:

  1. Подготовка к вводу СИБ в действие.
  2. Подготовка персонала.
  3. Комплектация СИБ программными и техническими средствами, программно-техническими комплексами, информационными изделиями.
  4. Строительно-монтажные работы.
  5. Пусконаладочные работы.
  6. Испытания СИБ:
    • проведение предварительных испытаний;
    • проведение опытной эксплуатации;
    • проведение приемочных испытаний.

Приведенные этапы работ по вводу СИБ в действие могут выполняться владельцем СИБ самостоятельно либо с привлечением специализированных организаций (далее – Исполнителей). При этом Исполнители, участвующие в создании СИБ, в случае выполнения работ и оказания услуг в области защиты информации, деятельность по осуществлению которых подлежит лицензированию, должны иметь соответствующие лицензии.

Подготовка к вводу СИБ в действие

На этапе подготовки к вводу СИБ в действие осуществляется практическая реализация:

  • проектных решений по организационной структуре СИБ;
  • организационных мер, обеспечивающих эффективное использование СИБ.

На данном этапе Заказчику важно понимать какие дополнительные организационные и технические меры необходимо реализовать для эффективной эксплуатации СИБ. Эти меры, как правило, описываются в Техническом проекте на СИБ и могут включать:

  • найм дополнительного персонала для эксплуатации и технического обслуживания СИБ;
  • передачу части функционала на аутсорсинг специализированным организациям для снижения эксплуатационных расходов;
  • издание соответствующих документов (приказов, распоряжений, должностных инструкций);
  • закупку дополнительного оборудования, например, датчиков пожарной и охранной сигнализации для серверных помещений и др.;
  • внедрение дополнительных систем, например, системы контроля доступа в помещения, в которых установлены средства СИБ, и др.

Подготовка персонала

На следующем этапе проводится подготовка персонала СИБ (она, разумеется, может начаться и раньше), включающая:

  • обучение персонала и проверку его способности обеспечивать функционирование СИБ (как правило, непосредственных пользователей и администраторов системы);
  • проверку и подготовку специалистов структурного подразделения или должностного лица, ответственных за защиту информации (администраторов СИБ, осуществляющих контроль за соответствием СИБ в ходе эксплуатации требованиям по защите информации).

Таким образом, на данном этапе Заказчику необходимо провести работу с персоналом системы, чтобы избежать возможных негативных последствий, связанных с недостаточной компетентностью лиц, ответственных за эксплуатацию системы. Важно определить роли, необходимые для качественного функционирования системы, и распределить эти роли между ответственными лицами в соответствии с принципом разделения обязанностей. Такими ролями, как правило, являются:

  • Пользователи, непосредственно задействованные в работе с защищаемыми информационными ресурсами.
  • Привилегированные пользователи, обладающие расширенными правами доступа к системе и участвующие в работе с защищаемыми информационными ресурсами наряду с обычными пользователями. Часто к данной категории относят владельцев информационных ресурсов, так как они могут назначать права или подтверждать запросы на назначение прав доступа к системе другим пользователям.
  • Администраторы – лица, ответственные за настройку системы и поддержание ее эксплуатационных характеристик на требуемом уровне. Администраторы, как правило, не участвуют в обработке защищаемой информации. Однако, ввиду их привилегий по доступу к системе, хорошей практикой является обеспечение контроля за их действиями в системе.
  • Администраторы информационной безопасности (ИБ) – лица, ответственные за настройку механизмов безопасности информационной системы и обработку инцидентов информационной безопасности. Администраторы ИБ, как и владельцы информационных ресурсов, нередко участвуют в процедуре назначения прав доступа пользователей к системе, проводят проверку запросов на доступ к системе, а также существующих прав доступа на соответствие принятой в организации политике безопасности.
  • Контролеры ИБ – лица, обязанностью которых является контроль действий администраторов ИБ. Контролеры ИБ, как правило, имеют ограниченный набор привилегий в системе: в основном это - доступ на чтение к журналам системы и правам доступа пользователей.

Кроме распределения ролей хорошей практикой является повышение осведомленности персонала в вопросах информационной безопасности. Повышение осведомленности персонала является важным аспектом обеспечения информационной безопасности, так как степень защищенности системы определяется степенью защищенности самого слабого звена, которым в СИБ, как правило, оказывается персонал системы.

Часто организации проводят обучающий курс, охватывающий базовые темы информационной безопасности и направленный на разъяснение основ информационной безопасности работникам, трудовая деятельность которых не связана с обеспечением ИБ напрямую, но может повлиять на уровень ИБ системы в целом.

Как правило в рамках указанного базового курса освещаются следующие темы:

  • основы безопасной работы за компьютером;
  • управление доступом;
  • использование и хранение паролей;
  • основы безопасной работы в сети Интернет;
  • антивирусная защита;
  • правила использования электронной почты;
  • методы социальной инженерии;
  • работа со съемными носителями;
  • законодательные и контрактные требования;
  • безопасная работа с конфиденциальной информацией;
  • безопасная работа с персональными данными;
  • физическая безопасность;
  • инциденты информационной безопасности;
  • безопасное использование мобильных устройств.

Комплектация СИБ

Вслед за подготовкой персонала проводятся работы по комплектации СИБ программными и техническими средствами, программно-техническими комплексами, информационными изделиями, включающие:

  • Получение комплектующих изделий СИБ (СЗИ, а также другое оборудование и ПО, необходимое для реализации СИБ в соответствии с проектными решениями на систему). Примерами комплектующих изделий СИБ могут являться коммутаторы для включения межсетевого экрана в отказоустойчивой конфигурации, медиаконвертеры для подключения СКЗИ к сетям связи общего пользования или USB-токены для аутентификации администраторов средств защиты информации.
  • Входной контроль качества комплектующих изделий системы (комплект поставки в соответствии с ведомостью покупных изделий технического проекта), проверка наличия сертификатов соответствия и наличие защитных голографических знаков (для СЗИ).
  • Специальные исследования и специальные проверки приобретенных средств (при необходимости).

При комплектации СИБ программными и техническими средствами необходимо учитывать требования документов, которыми комплектуются средства защиты. Это особенно актуально для сертифицированных СЗИ. Такими документами могут быть «Руководство по эксплуатации» или «Правила пользования» на СКЗИ. В указанных документах могут содержаться требования и ограничения, соблюдение которых является критичным. Примерами подобных ограничений могут быть:

  • невозможность использования дополнительного функционала, присутствующего в несертифицированной версии, например, запрет использования функционала контроля приложений или антивирусной защиты трафика для некоторых моделей сертифицированных межсетевых экранов;
  • специфические требования по подключению СЗИ, например, необходимость подключения некоторых СКЗИ к внешним каналам связи через определенные интерфейсы посредством оптического кабеля;
  • дополнительные требования к среде функционирования СЗИ, например, необходимость наличия аппаратного модуля доверенной загрузки для СКЗИ класса КС2.

Другая важная особенность комплектации СИБ программными и техническими средствами связана с правильным выбором лицензий, подписок и сервисов технической поддержки производителя. Правильно подобранные лицензии и подписки в ряде случаев позволяют сэкономить средства и уменьшить совокупную стоимость владения решением. В частности, единовременное приобретение подписок на более длительный срок у некоторых производителей обходится дешевле, чем периодическое продление ежегодных подписок на тот же срок (суммарно). Что же касается сервисов технической поддержки производителя, то этот пункт крайне важен как при вводе СИБ в эксплуатацию, так и при дальнейшей эксплуатации системы. Необходимость использования и преимущества сервисов технической поддержки подробнее рассмотрены в статье «Сопровождение и эксплуатация СИБ».

Строительно-монтажные работы

Следующий этап заключается в проведении строительно-монтажных работ, необходимых для эксплуатации СИБ, и предусматривает в том числе:

  • надзор за выполнением строительными организациями требований по защите информации;
  • проверку реализации требований по защите информации при приемке монтажных работ с проведением, в случае необходимости, соответствующих испытаний.

Данный этап, как следует из названия, включает в себя строительные и монтажные работы. Строительные работы являются опциональными и проводятся при необходимости, например, когда для реализации проектных решений на СИБ требуется построить эстакады для прокладки дополнительных силовых и сетевых кабелей.

Монтажные работы включают в себя монтаж всего комплекса технических и программных средств СИБ: монтаж оборудования в стойки, подключение кабелей, прокладку дополнительных кабельных трасс, в соответствии с проектными решениями, и другие аналогичные работы. На этапе монтажа важно соблюсти проектные решения, а также требования и ограничения из документации производителя на средства защиты информации.

Пусконаладочные работы

После проведения строительно-монтажных работ проводятся пусконаладочные работы, включающие как автономную наладку отдельных технических и программных средств СИБ, так и комплексную наладку всех средств защиты, входящих в состав СИБ.

Работы по пусконаладке СИБ проводятся в соответствии с проектной документацией на систему.

Автономная наладка сводится к настройке отдельных составляющих технических и программных средств или целой подсистемы, выполняющей определенный набор функций. Например, осуществляется настройка системы антивирусной защиты или межсетевого экрана.

На данном этапе компонент СИБ, для которого проводится автономная наладка, интегрируется в существующую инфраструктуру. К примеру, компонент СИБ интегрируется с централизованным сервером журналов (log-сервером) или с существующей в инфраструктуре службой DNS. При необходимости проводится адаптация настроек соответствующих компонентов СИБ, определенных в проектных решениях, с целью снижения влияния указанных компонентов на инфраструктуру.

Во время комплексной наладки проводятся работы по настройке взаимодействия между компонентами СИБ для обеспечения комплексного подхода к защите. На данном этапе проводится проверка корректности работы компонентов СИБ в комплексе и корректировка настроек компонентов СИБ по результатам совместной работы. Например, в рамках комплексной наладки задаются соответствующие пороговые значения (с учетом особенностей функционирования всего комплекса СИБ) для оповещения администраторов о произошедших сбоях или критичных событиях информационной безопасности.

Характерным примером процедуры комплексной наладки СИБ является интеграция компонентов СИБ с системой сбора и корреляции событий (SIEM), в рамках которой проводится выбор событий, фиксируемых соответствующими компонентами СИБ для предоставления SIEM-системой целостной картины о происходящих событиях и инцидентах информационной безопасности.

По результатам пусконаладочных работ может проводиться корректировка проектной, рабочей или эксплуатационной документации на СИБ.

Испытания СИБ

По завершении пусконаладочных работ проводятся испытания системы, включающие три основных этапа:

  • предварительные испытания;
  • опытная эксплуатация;
  • приемочные испытания.

Испытания проводятся в соответствии с документом «Программа и методика испытаний», разработанном на этапе проектирования системы. Указанный документ может разрабатываться как на отдельный вид испытаний (например, «Программа и методика предварительных испытаний»), так и на весь комплекс испытаний системы в целом.

Для проведения испытаний Заказчик приказом по организации назначает комиссию, в состав которой включаются представители подразделений, эксплуатирующих СИБ, а также подразделений, эксплуатирующих систему (или системы), для защиты которых создавалась СИБ. Также в комиссию привлекаются представители подразделения, ответственного за защиту информации, и представители со стороны Исполнителя (в случае привлечения для работ по проведению испытаний СИБ специализированной организации). В задачи комиссии входит проверка соответствия системы требованиям технического задания, проверка работоспособности системы и ведение протокола испытаний, в который заносятся все недостатки, выявленные в ходе испытаний. После создания комиссии проводится согласование сроков испытаний и порядок их проведения. Сроки и порядок закрепляются соответствующим приказом. Помимо приказа, сроки проведения испытаний могут быть закреплены в договоре между Заказчиком и Исполнителем работ или другом документе.

На этапе предварительных испытаний проверяется состав документации на СИБ, соответствие СИБ техническому заданию на систему, а также работоспособность СИБ, то есть, возможность выполнения системой тех функций, которые описаны в техническом задании.

По результатам предварительных испытаний проводится устранение выявленных недостатков и внесение необходимых изменений в документацию на СИБ, в том числе эксплуатационную, в соответствии с протоколом испытаний. Далее комиссией принимается решение о возможности приемки СИБ в опытную эксплуатацию с оформлением соответствующего акта, либо о возврате системы на доработку.

Опытная эксплуатация заключается в проверке работоспособности системы в условиях, приближенных к условиям постоянной эксплуатации. Как правило, опытная эксплуатация проводится на некотором тестовом сегменте (например, группе АРМ и серверов), не затрагивающем систему в целом, но позволяющем провести оценку поведения СИБ в существующей инфраструктуре. Также на данном этапе проводится проверка готовности пользователей и администраторов к эксплуатации СИБ. Кроме того, в ходе опытной эксплуатации проводится анализ уязвимостей СИБ, а также, при необходимости, доработка и наладка СИБ в соответствии с условиями эксплуатации. Опытная эксплуатация завершается оформлением соответствующего акта «О завершении опытной эксплуатации СИБ», подписываемого предварительно назначенной комиссией.

Финальным этапом является проведение приемочных испытаний СИБ, в рамках которых осуществляется проверка СИБ на соответствие техническому заданию и анализируются результаты предыдущих испытаний на основании соответствующих протоколов. При выявлении недостатков проводится их устранение и, по завершении приемочных испытаний, оформляется акт о приемке СИБ в постоянную эксплуатацию. На этом ввод системы СИБ в действие завершен, и система может полноценно выполнять возложенные на нее функции.

Важно отметить, что СИБ – это не только аппаратное и техническое обеспечение, выполняющее определенные функции, но и квалифицированный персонал, занимающийся обслуживанием и поддержкой системы, а также комплект документов, регламентирующих работу СИБ. Все это в совокупности позволяет получить от системы максимальную пользу.

Как ни странно, но про персонал и документацию нередко забывают. Приведем пару примеров из практики:

Пример 1. Квалифицированный персонал:

В одной из региональных организаций проводилось внедрение системы защиты периметра корпоративной сети. По прошествии года с момента сдачи системы в постоянную эксплуатацию в организации произошел инцидент, связанный со взломом нескольких серверов в DMZ-зоне. Как оказалось, организация проигнорировала требования к квалификации обслуживающего персонала. В целях экономии администратором системы назначили студента вуза, который, не сумев корректно изменить политики на межсетевом экране для доступа к серверам по VPN, вывел их из DMZ зоны и подключил к сети Интернет, присвоив публичные IP-адреса. К счастью, серьезных последствий этот инцидент за собой не повлек, однако Заказчику потребовалась неделя на восстановление работоспособности скомпрометированных серверов.

Пример 2. Регламентирующая документация:

В компании случилась проблема с доступом к серверам биллинга из филиальной сети. По первоначальным оценкам сбой произошел из-за установленного несколько месяцев назад межсетевого экрана, отделяющего сегмент биллинга от корпоративной сети. В результате подробного разбора инцидента выяснилось, что ИТ-подразделение провело перевод серверов биллинга в новый сегмент сети, не уведомив при этом подразделение, отвечающее за ИБ (так как это нигде не было регламентировано). В результате инцидента пользователи филиалов два дня не могли получить доступ к серверам биллинга для внесения информации по начислениям, пока подразделения ИТ и ИБ не выяснили между собой причины произошедшего.

Заключение

Работы по запуску СИБ в эксплуатацию являются важнейшей стадией жизненного цикла системы ИБ, так как непосредственно влияют на безопасность информационных ресурсов организации, для защиты которых создавалась СИБ. Сама по себе СИБ не может эффективно выполнять заложенные в нее функции без поддержки организационными и техническими мерами. Внедрение соответствующих мер позволяет повысить эффективность работы СИБ и добиться желаемого результата. Поддерживающие СИБ меры должны пересматриваться на периодической основе, так как СИБ не является статичной и должна подстраиваться под изменения в бизнес-процессах и инфраструктуре организации. Не стоит забывать, что безопасность – это не конечный результат, которого достигают внедрением СИБ, а цикличный процесс, поддерживаемый на регулярной основе, с выделением соответствующих ресурсов - финансовых, временных, человеческих и др.

Автор:
Андрей Янкин, заместитель директора ЦИБ, компания «Инфосистемы Джет»,
Виктор Карпов, эксперт ЦИБ, компания «Инфосистемы Джет».