5. Законодательный, административный, процедурный, программнотехнический уровни
5.1. Законодательный уровень
Законодательный уровень является важнейшим для обеспечения информационной безопасности.
Большинство людей не совершают противоправных действий не потому, что это технически невозможно, а потому, что это осуждается и/или наказывается обществом, потому, что так поступать непринято.
Мы будем различать на законодательном уровне две группы мер:
- меры, направленные на создание и поддержание в обществе негативного (в том числе карательного) отношения к нарушениям и нарушителям информационной безопасности;
- направляющие и координирующие меры, способствующие повышению образованности общества в области информационной безопасности, помогающие в разработке и распространении средств обеспечения информационной безопасности.
К первой группе следует отнести в первую очередь главу 28 (“Преступления в сфере компьютерной информации”) раздела IX новой редакции Уголовного кодекса. Эта глава достаточно полно охватывает основные угрозы информационным системам, однако обеспечение практической реализуемости соответствующих статей пока остается проблематичным.
Закон “Об информации, информатизации и защите информации” можно причислить к этой же группе. Правда, положения этого закона носят весьма общий характер, а основное содержание статей, посвященных информационной безопасности, сводится к необходимости использовать исключительно сертифицированные средства, что, в общем, правильно, но далеко не достаточно.
Насколько можно судить по планам Государственной Думы, готовятся законы “О праве на информацию”, “О коммерческой тайне”, “О персональных данных”. Это, безусловно, шаги в правильном направлении, так как делается попытка охватить все категории субъектов информационных отношений.
К группе направляющих и координирующих законов и нормативных актов относится целая группа документов, регламентирующих процессы лицензирования и сертификации в области информационной безопасности. Главная роль здесь отведена Федеральному агентству правительственной связи и информации (ФАПСИ) и Государственной технической комиссии (Гостехкомиссии) при Президенте Российской Федерации.
В области информационной безопасности законы реально преломляются и работают через нормативные документы, подготовленные соответствующими ведомствами. В этой связи очень важны Руководящие документы Гостехкомиссии, определяющие требования к классам защищенности средств вычислительной техники и автоматизированных систем. Особенно выделим утвержденный в июле 1997 года Руководящий документ по межсетевым экранам, вводящий в официальную сферу один из самым современных классов защитных средств.
Как уже указывалось, самое важное на законодательном уровне – создать механизм, позволяющий согласовать процесс разработки законов с реалиями и прогрессом информационных технологий. Конечно, законы не могут опережать жизнь, но важно, чтобы отставание не было слишком большим, так как на практике, помимо прочих отрицательных моментов, это ведет к снижению информационной безопасности. Пока, пожалуй, только Гостехкомиссия России демонстрирует способность динамично развивать нормативную базу.
В современном мире глобальных сетей нормативно-правовая база должна быть согласована с международной практикой. Мы хотели бы обратить особое внимание на желательность приведения российских стандартов и сертификационных нормативов в соответствие с международным уровнем информационных технологий вообще и информационной безопасности в частности. Есть много причин, по которым это должно быть сделано. Одна из них – необходимость защищенного взаимодействия с зарубежными организациями и зарубежными филиалами российских организаций. Вторая (более существенная) – доминирование аппаратно-программных продуктов зарубежного производства.
На законодательном уровне должен получить реалистичное решение вопрос об отношении к таким изделиям. Здесь необходимо разделить два аспекта: независимость в области информационных технологий и информационную безопасность. Использование зарубежных продуктов в некоторых критически важных системах (в первую очередь военных) в принципе может представлять угрозу национальной безопасности (в том числе информационной), поскольку нельзя исключить вероятности встраивания закладных элементов. В то же время, в подавляющем большинстве случаев потенциальные угрозы информационной безопасности носят исключительно внутренний характер. В таких условиях незаконность использования зарубежных разработок (ввиду сложностей с их сертификацией) при отсутствии отечественных аналогов затрудняет (или вообще делает невозможной) защиту информации без серьезных на то оснований.
Проблема сертификации аппаратно-программных продуктов зарубежного производства действительно является сложной, однако, как показывает опыт европейских стран, она может быть успешно решена. Сложившаяся в Европе система сертификации по требованиям информационной безопасности позволила оценить операционные системы, системы управления базами данных и другие разработки американских компаний. Вхождение России в эту систему и участие российских специалистов в сертификационных испытаниях в состоянии снять имеющееся противоречие между независимостью в области информационных технологий и информационной безопасностью без какого-либо снижения национальной безопасности.
Главное же, чего, на наш взгляд, не хватает современному российскому законодательству (и что можно почерпнуть из зарубежного опыта), это позитивной (не карательной) направленности. Информационная безопасность – это новая область деятельности, здесь важно научить, разъяснить, помочь, а не запретить и наказать. Общество должно осознать важность данной проблематики, понять основные пути решения соответствующих задач, должны быть скоординированы научные, учебные и производственные планы. Государство может сделать это оптимальным образом. Здесь не нужно больших материальных затрат, требуются интеллектуальные вложения.
Пример позитивного законодательства – Британский стандарт BS 7799:1995, описывающий основные положения политики безопасности (в следующем разделе мы разъясним этот термин). Более 60% крупных организаций используют этот стандарт в своей практике, хотя закон, строго говоря, этого не требует. Еще один пример – Computer Security Act (США), возлагающий на конкретные государственные структуры ответственность за методическую поддержку работ в области информационной безопасности. Со времени вступления этого закона в силу (1988 год) действительно было разработано много важных и полезных документов.
Подводя итог, можно наметить следующие основные направления деятельности на законодательном уровне:
- разработка новых законов с учетом интересов всех категорий субъектов информационных отношений;
- ориентация на созидательные, а не карательные законы;
- интеграция в мировое правовое пространство;
- учет современного состояния информационных технологий.
5.2. Административный уровень
Основой мер административного уровня, то есть мер, предпринимаемых руководством организации, является политика безопасности.
Под политикой безопасности понимается совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов.
Политика безопасности определяет стратегию организации в области информационной безопасности, а также ту меру внимания и количество ресурсов, которую руководство считает целесообразным выделить.
Стандарт BS 7799:1995 рекомендует включать в документ, характеризующий политику безопасности организации, следующие разделы:
- вводный, подтверждающий озабоченность высшего руководства проблемами информационной безопасности;
- организационный, содержащий описание подразделений, комиссий, групп и т.д., отвечающих за работы в области информационной безопасности;
- классификационный, описывающий имеющиеся в организации материальные и информационные ресурсы и необходимый уровень их защиты;
- штатный, характеризующий меры безопасности, применяемые к персоналу (описание должностей с точки зрения информационной безопасности, организация обучения и переподготовки персонала, порядок реагирования на нарушения режима безопасности и т.п.);
- раздел, освещающий вопросы физической защиты;
- управляющий раздел, описывающий подход к управлению компьютерами и компьютерными сетями;
- раздел, описывающий правила разграничения доступа к производственной информации;
- раздел, характеризующий порядок разработки и сопровождения систем;
- раздел, описывающий меры, направленные на обеспечение непрерывной работы организации;
- юридический раздел, подтверждающий соответствие политики безопасности действующему законодательству.
Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации. Когда риски проанализированы и стратегия защиты определена, составляется программа, реализация которой должна обеспечить информационную безопасность. Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения программы и т.п.
Административный уровень – белое пятно в отечественной практике информационной безопасности. Нет законов, обязывающих организации иметь политику безопасности. Ни одно из ведомств, курирующих информационную безопасность, не предлагает типовых разработок в данной области. Ни одно учебное заведение не готовит специалистов по составлению политики безопасности. Мало кто из руководителей знает, что такое политика безопасности, еще меньшее число организаций такую политику имеют. В то же время, без подобной основы прочие меры информационной безопасности повисают в воздухе, они не могут быть всеобъемлющими, систематическими и эффективными. Например, меры защиты от внешних хакеров и от собственных обиженных сотрудников должны быть совершенно разными, поэтому в первую очередь необходимо определиться, какие угрозы чреваты нанесением наибольшего ущерба. (Отметим в этой связи, что по статистике наибольший ущерб происходит от случайных ошибок персонала, обусловленных неаккуратностью или некомпетентностью, поэтому в первую очередь важны не хитрые технические средства, а меры обучения, тренировка персонала и регламентирование его деятельности.)
Разработка политики безопасности требует учета специфики конкретных организаций. Бессмысленно переносить практику режимных государственных организаций на коммерческие структуры, учебные заведения или персональные компьютерные системы. В этой области целесообразно предложить, во-первых, основные принципы разработки политики безопасности, а, во-вторых, – готовые шаблоны для наиболее важных разновидностей организаций.
Анализ ситуации на административном уровне информационной безопасности еще раз показывает важность созидательного, а не карательного законодательства. Можно потребовать от руководителей наличия политики безопасности (и в перспективе это правильно), но сначала нужно разъяснить, научить, показать, для чего она нужна и как ее разрабатывать.
5.3. Процедурный уровень
К процедурному уровню относятся меры безопасности, реализуемые людьми. В отечественных организациях накоплен богатый опыт составления и реализации процедурных (организационных) мер, однако проблема состоит в том, что они пришли из докомпьютерного прошлого, и поэтому нуждаются в существенном пересмотре.
Можно выделить следующие группы процедурных мер, направленных на обеспечение информационной безопасности:
- управление персоналом;
- физическая защита;
- поддержание работоспособности;
- реагирование на нарушения режима безопасности;
- планирование восстановительных работ.
Управление персоналом в контексте информационной безопасности является в России белым пятном. Во-первых, для каждой должности должны существовать квалификационные требования по информационной безопасности. Во-вторых, в должностные инструкции должны входить разделы, касающиеся информационной безопасности. В-третьих, каждого работника нужно научить мерам безопасности теоретически и оттренировать выполнение этих мер практически (и проводить подобные тренировки дважды в год).
Без всякого преувеличения, нужна информационная гражданская оборона. Спокойно, без нагнетания страстей, нужно разъяснять обществу не только преимущества, но и опасности, вытекающие из использования информационных технологий.
Акцент, на наш взгляд, следует делать не на военной или криминальной стороне дела, а на чисто гражданских аспектах, связанных с поддержанием нормального функционирования аппаратного и программного обеспечения, то есть концентрироваться на вопросах доступности и целостности данных.
Разумеется, разделы, касающиеся информационной безопасности, должны стать частью школьных и, тем более, ВУЗовских курсов информатики.
Меры физической защиты, известные с давних времен, нуждаются в доработке в связи с распространением сетевых технологий и миниатюризацией вычислительной техники. Прежде всего, следует защититься от утечки информации по техническим каналам. Этим занимается Гостехкомиссия России.
Поддержание работоспособности – еще одно белое пятно, образовавшееся сравнительно недавно. В эпоху господства больших ЭВМ удалось создать инфраструктуру, способную обеспечить по существу любой наперед заданный уровень работоспособности (доступности) на всем протяжении жизненного цикла информационной системы. Эта инфраструктура включала в себя как технические, так и процедурные регуляторы (обучение персонала и пользователей, проведение работ в соответствии с апробированными регламентами и т.п.). При переходе к персональным компьютерам и технологии клиент/сервер инфраструктура обеспечения доступности во многом оказалась утраченной, однако важность данной проблемы не только не уменьшилась, но, напротив, существенно возросла. Перед государственными и коммерческими организациями стоит задача соединения упорядоченности и регламентированности, присущих миру больших ЭВМ, с открытостью и гибкостью современных систем.
Реагирование на нарушения информационной безопасности – снова белое пятно. Допустим, пользователь или системный администратор понял, что имеет место нарушение. Что он должен делать? Попытаться проследить злоумышленника?
Немедленно выключить оборудование? Позвонить в милицию? Проконсультироваться со специалистами ФАПСИ или Гостехкомиссии? Ни одно ведомство, причастное к информационной безопасности, не предложило регламента действий в подобной экстремальной ситуации или своей консультационной помощи. Необходимо организовать национальный центр информационной безопасности, в круг обязанностей которого входило бы, в частности, отслеживание современного состояния этой области знаний, информирование пользователей всех уровней о появлении новых угроз и мерах противодействия, оперативная помощь организациям в случае нарушения их информационной безопасности.
Планирование восстановительных работ и вся проблематика, связанная с восстановлением работоспособности после аварий, также является белым пятном. А ведь ни одна организация от таких нарушений не застрахована. Здесь необходимо отработать действия персонала во время и после аварий, заранее позаботиться об организации резервных производственных площадок, отработать процедуру переноса на эти площадки основных информационных ресурсов, а также процедуру возвращения и нормальному режиму работы. Подчеркнем, что подобный план нужен не только сверхважным военным организациям, но и обычным коммерческим компаниям, если они не хотят понести крупные финансовые потери.
5.4. Программно-технический уровень
Львиная доля активности в области информационной безопасности приходится на программно-технический уровень. Если иметь в виду зарубежные продукты, здесь существует полный спектр решений. Если ограничиться разработками, имеющими российские сертификаты по требованиям безопасности, картина получается существенно более разреженной.
Согласно современным воззрениям, в рамках информационных систем должны быть доступны по крайней мере следующие механизмы безопасности:
- идентификация и проверка подлинности (аутентификация) пользователей;
- управление доступом;
- протоколирование и аудит;
- криптография;
- (межсетевое) экранирование;
- обеспечение высокой доступности.
Кроме того, информационной системой в целом и механизмами безопасности в особенности необходимо управлять. И управление, и механизмы безопасности должны функционировать в разнородной, распределенной среде, построенной, как правило, в архитектуре клиент/сервер. Это означает, что упомянутые средства должны:
- опираться на общепринятые стандарты;
- быть устойчивыми к сетевым угрозам;
- учитывать специфику отдельных сервисов.
В соответствии с действующим в России порядком, за идентификацию/аутентификацию, управление доступом, протоколирование/аудит отвечает Гостехкомиссия России, за криптографию – ФАПСИ, межсетевое экранирование является спорной территорией, доступностью не занимается никто.
На сегодняшний день подавляющее большинство разработок ориентировано на платформы Intel/DOS/Windows. В то же время, наиболее значимая информация концентрируется на иных, серверных платформах. В защите нуждаются не отдельные персональные компьютеры, не только локальные сети на базе таких компьютеров, но, в первую очередь, существенно более продвинутые современные корпоративные системы. Пока для этого почти нет сертифицированных средств.
Рассмотрим типичную государственную организацию, имеющую несколько производственных площадок, на каждой из которых могут находиться критически важные серверы, в доступе к которым нуждаются работники, базирующиеся на других площадках, и мобильные пользователи. В число поддерживаемых информационных сервисов входят файловый и почтовый сервисы, системы управления базами данных (СУБД), Webсервис и т.д. В локальных сетях и при межсетевом доступе основным является протокол TCP/IP. Схематически информационная система такой организации представлена на рис. 1.
Для построения эшелонированной обороны подобной информационной системы необходимы по крайней мере следующие защитные средства программно-технического уровня:
- межсетевые экраны (разграничение межсетевого доступа);
- средства поддержки частных виртуальных сетей (реализация защищенных коммуникаций между производственными площадками по открытым каналам связи);
- средства идентификации/аутентификации, поддерживающие концепцию единого входа в сеть (пользователь один раз доказывает свою подлинность при входе в сеть организации, после чего получает доступ ко всем имеющимся сервисам в соответствии со своими полномочиями);
- средства протоколирования и аудита, отслеживающие активность на всех уровнях – от отдельных приложений до сети организации в целом, оперативно выявляющие подозрительную активность;
- комплекс средств централизованного администрирования информационной системы организации;
- средства защиты, входящие в состав приложений, сервисов и аппаратно-программных платформ.
На момент написания статьи из интересующего нас спектра продуктов были сертифицированы по требованиям безопасности для применения в госорганизациях ряд межсетевых экранов, операционных систем и реляционных СУБД. Даже если включить в этот перечень продукты, сертифицированные ФАПСИ для применения в коммерческих организациях (систему “ШИП”, поддерживающую виртуальные частные сети, и средства криптографической защиты семейства “Верба”), большинство рубежей остается без защиты.
Таким образом, на сегодняшний день государственная организация не может получить современную информационную систему, защищенную сертифицированными средствами.
Коммерческие структуры, в отличие от госорганизаций, в определенной степени свободнее в своем выборе защитных средств. Тем не менее, в силу целого ряда обстоятельств (необходимость взаимодействия с госструктурами, расширительная трактовка понятия гостайны – “гостайна по совокупности”, необходимость получения лицензии на эксплуатацию криптосредств, ограничения на импорт криптосредств) эта свобода не слишком велика. Практически на все категории субъектов информационных отношений перенесен подход, рассчитанный на госструктуры.
6. Заключение
В предыдущих разделах мы описали двумерное пространство информационной безопасности. Представим результаты наших рассмотрений в наглядной форме, расставив оценки (от 0 до 5), показывающие степень освоенности различных областей в соответствии с современными требованиями и действующим законодательством (табл. 1).
Информационная безопасность в России развивается крайне неравномерно. Есть давно освоенные области (законодательство о лицензировании и сертификации, программно-технические меры обеспечения конфиденциальности и статической целостности), но большая часть областей, в том числе критически важных, остается белым пятном. Даже на освоенных областях пока не удалось достичь соответствия современным требованиям. Все это позволяет оценить ситуацию с информационной безопасностью в России как крайне тяжелую.
Позитивные перемены происходят очень медленно, так что общее отставание от современного уровня продолжает накапливаться.
В то же время, при правильной организации дела положение можно кардинально улучшить в короткие сроки. Объективно все заинтересованные стороны выиграют от проведения комплексного, современного подхода. Необходима, однако, государственная программа самого высокого уровня, координирующая, направляющая и контролирующая ход работ в области информационной безопасности.
Общие критерии оценки безопасности информационных технологий и перспективы их использования
Обеспечение безопасности информационных технологий (ИТ) невозможно без разработки соответствующих законодательных актов и нормативно-технических документов. Критерии оценки безопасности ИТ занимают среди них особое место. Только стандартизованные критерии позволяют проводить сравнительный анализ и сопоставимую оценку продуктов ИТ.
В настоящее время в России единственными нормативными документами по критериям оценки защищенности средств вычислительной техники и автоматизированных систем являются Руководящие документы (РД) Гостехкомиссии РФ [1-5], разработанные с учетом предшествующих основополагающих документов [10, 13].
Появление проекта международного стандарта “Общие критерии оценки безопасности информационных технологий” [16] является качественно новым этапом в развитии нормативной базы оценки безопасности ИТ.
Общие критерии (ОК) обобщили содержание и опыт использования Оранжевой книги [10], развили Европейские критерии [13], воплотили в реальные структуры концепцию типовых профилей защиты Федеральных критериев США [15].
В Общих критериях проведена классификация широкого набора требований безопасности ИТ, определены структуры их группирования и принципы использования. Главные достоинства Общих критериев – полнота и систематизация требований безопасности, гибкость в применении и открытость для последующего развития.
В разработке Общих критериев участвовали Национальный институт стандартов и технологий и Агентство национальной безопасности (США), Учреждение безопасности коммуникаций (Канада), Агентство информационной безопасности (Германия), Агентство национальной безопасности коммуникаций (Голландия), Органы исполнения Программы безопасности и сертификации ИТ (Англия), Центр обеспечения безопасности систем (Франция).
В январе 1996 года была выпущена версия 1.0 Общих критериев, в 1997 году появились дополнительные материалы, в мае 1998 года ожидается появление версии 2.0.
2. Общие положения
Общие критерии разработаны таким образом, чтобы удовлетворить потребности трех групп специалистов: разработчиков, оценщиков и пользователей объекта оценки. Под объектом оценки (ОО) понимается аппаратно-программный продукт или информационная система. К таким объектам относятся, например, операционные системы, вычислительные сети, распределенные системы, прикладные программы.
К рассматриваемым в ОК аспектам безопасности относятся: защита от несанкционированного доступа, модификации или потери доступа к информации при воздействии угроз, являющихся результатом случайных или преднамеренных действий. Защищенность от этих трех типов угроз обычно называют конфиденциальностью, целостностью и доступностью.
Некоторые аспекты безопасности ИТ находятся вне рамок ОК:
- ОК не охватывают оценку административных мер безопасности;
- в ОК не рассматривается оценка технических аспектов безопасности ИТ типа побочных электромагнитных излучений;
- ОК формулируют только критерии оценки и не содержат методик самой оценки;
- в ОК не входят критерии для оценки криптографических методов защиты информации.
Общие критерии предполагается использовать как при задании требований к продуктам и системам ИТ, так и при оценке их безопасности на всех этапах жизненного цикла.
ОК состоят из следующих частей:
- Часть 1. “Представление и общая модель”. Определяются общая концепция, принципы и цели оценки безопасности ИТ. Приведены категории специалистов, для которых ОК представляют интерес.
- Часть 2. “Требования к функциям безопасности”. Приведены требования к функциям безопасности и определен набор показателей для оценки безопасности информационных технологий. Каталоги части 2 содержат наборы требований, сгруппированные в семейства и классы.
- Часть 3. “Требования гарантированности безопасности”. Приведены требования к гарантиям безопасности, сгруппированные в семейства, классы и уровни. Определены также критерии оценки для Профилей защиты и Заданий по безопасности.
- Часть 4. “Предопределенные профили защиты”. Приведены примеры профилей защиты, включающих функциональные требования и требования гарантированности. Ряд подобных требований присутствовал в предшествующих критериях (ITSEC, CTCPEC, FC, TCSEC), другие впервые представлены в данном документе. Предполагается, что в конечном счете часть 4 станет каталогом профилей защиты, которые прошли процесс регистрации.
- Часть 5 (планируется). “Процедуры регистрации”. Определит процедуры регистрации профилей защиты и их поддержки в международном регистре.
Общий объем материалов версии 1.0 Общих критериев (включая приложения) составляет около 800 страниц.
В соответствии с концепцией ОК, требования к безопасности объекта оценки разделяются на две категории:
- функциональные требования;
- требования гарантированности.
В функциональных требованиях описаны те функции объекта оценки, которые обеспечивают безопасность ИТ. Имеются в виду требования идентификации, установления подлинности (аутентификации) пользователей, протоколирования и др.
Требования гарантированности отражают качества объекта оценки, дающие основание для уверенности в том, что необходимые меры безопасности объекта эффективны и корректно реализованы. Оценка гарантированности получается на основе изучения назначения, структуры и функционирования объекта оценки. Требования гарантированности включают требования к организации процесса разработки, а также требования поиска, анализа и воздействия на потенциально уязвимые с точки зрения безопасности места.
В ОК функциональные требования и требования гарантированности представлены в едином стиле.
Термин “класс” используется для наиболее общей группировки требований безопасности.
Члены класса названы семействами. В семейства группируются наборы требований, которые обеспечивают выполнение определенной части целей безопасности и могут отличаться по степени жесткости.
Члены семейства называются компонентами. Компонент описывает минимальный набор требований безопасности для включения в структуры, определенные в ОК.
Компоненты построены из элементов. Элемент – самый нижний, неделимый уровень требований безопасности.
Организация требований безопасности в ОК по иерархии класс – семейство – компонент – элемент помогает определить нужные компоненты после идентификации угроз безопасности объекта оценки.
Между компонентами могут существовать зависимости. Они возникают, когда компонент недостаточен для выполнения цели безопасности и необходимо наличие другого компонента. Зависимости могут существовать как между функциональными компонентами, так и компонентами гарантированности.
Компоненты могут быть конкретизированы с помощью разрешенных действий для обеспечения выполнения определенной политики безопасности или противостояния определенной угрозе. К разрешенным действиям относятся назначение, выбор и обработка.
Назначение позволяет заполнить спецификацию идентифицированного параметра при использовании компонента. Параметр может быть признаком или правилом, которое конкретизирует требование к определенной величине или диапазону величин. Например, элемент функционального компонента может требовать, чтобы данное действие выполнялось неоднократно. В этом случае назначение обеспечивает число или диапазон чисел, которые должны использоваться в параметре.
Выбор – это выбор одного или большего количества пунктов из списка с целью конкретизации возможностей элемента.
Обработка позволяет включить дополнительные детали в элемент и предполагает интерпретацию требования, правила, константы или условия, основанную на целях безопасности. Обработка должна только ограничить набор возможных приемлемых функций или механизмов, чтобы осуществить требования, но не увеличивать их. Обработка не позволяет создавать новые требования или удалять существующие и не влияет на список зависимостей, связанных с компонентом.
ОК определяют также набор структур, которые объединяют компоненты требований безопасности.
Промежуточная комбинация компонентов названа пакетом. Пакет включает набор требований, которые обеспечивают выполнение многократно используемого поднабора целей безопасности.
Уровни гарантированности оценки – это предопределенные пакеты требований гарантированности.
Одной из основных структур ОК является Профиль защиты (ПЗ), определенный как набор требований, который состоит только из компонентов или пакетов функциональных требований и одного из уровней гарантированности. ПЗ специфицирует совокупность требований, которые являются необходимыми и достаточными для достижения поставленных целей безопасности.
Требования Профиля защиты могут быть конретизированы и дополнены в другой структуре ОК – Задании по безопасности. Задание по безопасности (ЗБ) содержит набор требований, которые могут быть представлены одним из Профилей защиты или сформулированы в явном виде. ЗБ определяет набор требований для конкретного объекта оценки. Оно включает также спецификацию объекта оценки в виде функций безопасности (ФБ), которые должны обеспечить выполнение требований безопасности и мер гарантированности оценки.
Результатом оценки безопасности должен быть общий вывод, в котором описана степень соответствия объекта оценки функциональным требованиям и требованиям гарантированности.
3. Требования к функциям безопасности
Классы и семейства функциональных требований сгруппированы на основе определенной функции или цели безопасности. Всего в разделе “Требования к функциям безопасности” ОК представлены 9 классов, 76 семейств, 184 компонента и 380 элементов.
Класс FAU (аудит безопасности) состоит из 12 семейств, содержащих требования к распознаванию, регистрации, хранению и анализу информации, связанной с действиями, затрагивающими безопасность объекта оценки.
Класс FCO (связь) включает 2 семейства, связанные с аутентификацией сторон, участвующих в обмене данными.
Класс FDP (защита данных пользователя) подразделяется на 5 групп семейств, которые относятся к защите данных пользователя в пределах ОО в процессе ввода, вывода и хранения информации. Класс FIA (идентификация и аутентификация) включает 9 семейств. Эффективность выполнения требований других классов зависит от правильной идентификации и аутентификации пользователей.
Класс FPR (секретность) включает 4 семейства и содержит требования к секретности, обеспечивающие защиту пользователя от раскрытия и неправомочного употребления его идентификационных данных другими пользователями.
Класс FPT (защита функций безопасности) включает 22 семейства функциональных требований, которые касаются целостности и контроля ФБ и механизмов, обеспечивающих ФБ.
Класс FRU (использование ресурса) включает 3 семейства, которые определяют готовность требуемых ресурсов к обработке и/или хранению информации.
Класс FTA (доступ к объекту оценки) включает 7 семейств, которые определяют функциональные требования, сверх требований идентификации и аутентификации, для управления сеансами работы пользователей.
Класс FTP (надежный маршрут/канал) включает 2 семейства, которые содержат требования к обеспечению надежного маршрута связи между пользователями и ФБ и надежного канала связи между ФБ.
4. Требования гарантированности безопасности
В этом разделе представлены 7 классов, 25 семейств, 72 компонента.
Класс ACM (управление конфигурацией) состоит из трех семейств. Управление конфигурацией гарантирует готовность ОО и документации к распространению.
Класс ADO (поставка и эксплуатация) состоит из двух семейств и определяет требования к мерам, процедурам и стандартам, связанным с безопасной поставкой, установкой и эксплуатацией ОО.
Класс ADV (разработка) состоит из шести семейств и определяет требования для пошаговой проработки ФБ от общей спецификации ОО в ЗБ до реализации.
Класс AGD (руководства) состоит из двух семейств и определяет требования к полноте и законченности эксплуатационной документации, представленной разработчиком. Эта документация, которая содержит два вида информации (для конечных пользователей и для администраторов), является важным фактором безопасной эксплуатации ОО.
Класс ALC (поддержка жизненного цикла) состоит из четырех семейств и определяет требования к модели жизненного цикла для всех этапов разработки ОО.
Класс ATE (тестирование) состоит из четырех семейств и формулирует требования для объема, глубины и вида испытаний, которые позволяют сделать вывод о выполнении функциональных требований безопасности.
Класс AVA (оценка уязвимости) состоит из четырех семейств и определяет требования, направленные на идентификацию уязвимых мест. Для некоторых функций безопасности предусмотрено требование к силе. Например, механизм пароля не может полностью предотвратить раскрытие, но его сила может быть увеличена путем увеличения длины пароля или уменьшения интервала изменений.
Сила функции оценивается как базовая, если анализ показывает, что функция обеспечивает адекватную защиту против нарушений безопасности нападавшими, обладающими низким потенциалом. Потенциал нападения определяется путем оценки возможностей, ресурсов и побуждений нападавшего.
Аналогично определяются средняя и высокая сила функции.
В ОК определено семь уровней гарантированности оценки (УГО). Увеличение гарантированности обеспечивается увеличением строгости и/или глубины оценки и включением компонентов из других семейств (то есть добавлением новых требований).
УГО1 – функционально проверенный проект. УГО1 предназначен для обнаружения очевидных ошибок при минимальных издержках. Компоненты УГО1 обеспечивают минимальный уровень гарантированности путем независимого анализа каждой функции безопасности с использованием функциональной и интерфейсной спецификации ОО.
УГО2 – структурно проверенный проект. Для получения гарантий служит анализ функций безопасности и проекта высокого уровня подсистем ОО, а также тестирование разработчиком и независимой группой.
УГО3 – методически проверенный и протестированный проект. УГО3 позволяет получить максимальную гарантию безопасности на стадии разработки проекта без существенного изменения обычных методов разработки. УГО3 обеспечивает дополнительную гарантированность путем включения средств контроля среды разработки и управления конфигурацией ОО.
УГО4 – методически проработанный и проверенный проект. УГО4 позволяет получать максимальную гарантию безопасности при проектировании, основанном на хороших коммерческих методах разработки. УГО4 – самый высокий уровень, который, вероятно, будет экономически целесообразен. Компоненты УГО4 включают анализ функций безопасности, проекта высокого уровня подсистем, проекта низкого уровня модулей ОО и поднабора выполнения. Анализ поддержан независимым испытанием функций безопасности, актом испытаний разработчиком “серого ящика”, независимым подтверждением выборочных результатов испытаний, свидетельством поиска разработчиком явных уязвимых мест и независимым поиском явных уязвимых мест.
УГО5 – полуформально разработанный и проверенный проект. Компоненты УГО5 обеспечивают гарантию путем анализа функций безопасности, проекта высокого уровня подсистем, проекта низкого уровня модулей ОО и всего процесса выполнения. Дополнительная гарантия получается за счет использования формальной модели и полуформального представления функциональной спецификации и проекта высокого уровня и полуформальной демонстрации соответствия между ними. Требуется также поиск тайных каналов передачи информации.
УГО6 – полуформально верифицированный и проверенный проект. Компоненты УГО6 обеспечивают гарантию путем анализа функций безопасности, проекта высокого уровня подсистем, проекта низкого уровня модулей ОО и структурированного представления процесса выполнения. Требуется также систематический поиск тайных каналов, структуризация процесса разработки, наличие средств контроля среды разработки и всестороннего управления конфигурацией ОО, включая полную автоматизацию.
УГО7 – формально верифицированный и проверенный проект. УГО7 применим при разработке специальных продуктов для эксплуатации в условиях чрезвычайно высокого риска.
5. Предопределенные профили защиты
Профиль защиты (ПЗ) включает следующие основные разделы:
- Безопасность окружения. Окружение описывается в терминах ожидаемых угроз, предписанной политики безопасности и условий использования ОО.
- Цели безопасности. Формулировка задачи обеспечения безопасности, являющаяся базисом для определения требований к ОО.
- Функциональные требования.
- Требуемый уровень гарантированности.
Профиль защиты ОК по сути является аналогом классов “Оранжевой книги” и классов защищенности РД Гостехкомиссии (ГТК) РФ, но
базируется на значительно более полной и систематизированной совокупности компонентов требований безопасности.
Часть 4 ОК содержит три профиля защиты. Два из них были созданы на основе более ранних критериев, еще один разработан для продуктов ИТ, которые являются относительно новыми для процесса оценки безопасности.
Профили “Коммерческая защита 1” (КЗ1) и “Коммерческая защита 3” (КЗ3) представляют собой развитие профилей Федеральных критериев [15], выполненное с использованием терминологии и конструкций ОК. Профиль КЗ1 предназначен для замены профиля Федеральных критериев CS1 (и, следовательно, класса C2 TCSEC), но не идентичен этим наборам требований. Профиль КЗ3 ОК предназначен для замены профиля Федеральных критериев CS3.
Профиль ОК “Межсетевой экран” (firewall) – первый член возможного семейства профилей, связанных с межсетевыми экранами*.
Количество стандартизованных Профилей защиты в ОК потенциально не ограничено, однако все они должны отвечать соответствующим требованиям и, прежде чем быть включенными в международный регистр, пройти процедуры регистрации, которые будут определены в ОК.
6. Заключение
Общие критерии основаны на ряде нормативных документов в области безопасности информационных технологий, принятых в шести странах Европы и Америки. Они учитывают накопленный в этом направлении опыт.
Новым в концепции ОК является гибкость и динамизм в подходе к формированию требований и оценке безопасности продуктов и систем ИТ.
При сравнительном анализе всех основных стандартов безопасности ИТ по пяти показателям (универсальность, гибкость, гарантированность, реализуемость, актуальность) Общие критерии получили наивысшую оценку [9].
На наш взгляд, версия 1.0 Общих критериев имеет ряд недоработок: отсутствие предопределенных функциональных пакетов, отработанных профилей защиты, процедур регистрации новых профилей защиты, а также требований к криптографическим компонентам. Вероятно, эти недостатки будут устранены в последующих версиях.
Учитывая перспективность и международный характер Общих критериев, целесообразно использовать основные положения и конструкции ОК при разработке нормативных документов, методического и инструментального обеспечения оценки безопасности продуктов и систем ИТ в России. В частности, представляется необходимой разработка следующего комплекса стандартов (или Руководящих документов Гостехкомиссии России):
- Безопасность информационных технологий. Термины и определения.
- Концепция оценки безопасности информационных технологий.
- Общие критерии оценки безопасности информационных технологий. Функциональные требования и требования гарантированности оценки.
- Профиль защиты. Руководство по разработке и регистрации.
- Задание по безопасности. Руководство по разработке и оформлению.
- Руководство по проектированию и эксплуатации автоматизированных систем, отвечающих требованиям информационной безопасности.
- Руководство по сертификации продуктов и систем информационных технологий по требованиям безопасности.
Преемственность уже проведенных оценок безопасности продуктов и систем ИТ по действующим нормативным документам (РД ГТК России) может быть обеспечена путем разработки на основе концепции ОК типовых стандартизованных профилей защиты, соответствующих классам защищенности в Руководящих документах Гостехкомиссии России.
До принятия Общих критериев в качестве международного стандарта и появления соответствующих стандартов в России, целесообразно при формировании требований и оценке безопасности продуктов и систем ИТ руководствоваться не только требованиями действующих нормативных документов, но и дополнительными требованиями, сформированными на основе ОК с учетом специфики конкретного объекта оценки.
Целесообразно на основе материалов Общих критериев вести разработку профилей защиты и требований ТЗ по обеспечению безопасности для новых типов продуктов (систем) и новых информационных технологий.
7. Литература
1. Гостехкомиссия России. Руководящий доку мент. Защита от несанкционированного доступа к информации. Термины и определения. – Москва, 1992.
2. Гостехкомиссия России. Руководящий доку мент. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации. – Москва, 1992.
3. Гостехкомиссия России. Руководящий доку мент. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации. – Москва, 1992.
4. Гостехкомиссия России. Руководящий доку мент. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. – Москва, 1992.
5. Гостехкомиссия России. Руководящий доку мент. Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от НСД в автоматизированных системах и средствах вычислительной техники. – Москва, 1992.
6. Гостехкомиссия России. Руководящий доку мент. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. – Москва, 1997.
7. И. Моисеенков. Американская классификация и принципы оценивания безопасности компьютерных систем. – КомпьютерПресс, 1992, 2.
8. В.А. Галатенко. Информационная безопас ность – обзор основных положений. – Jet Info, 1996, 1-3.
9. Д.П.Зегжда,А.М.Ивашко.Какпостроитьзащищенную информационную систему. – НПО “Мир и семья – 95”, Санкт-Петербург, 1997.
10. Trusted Computer System Evaluation Criteria (TCSEC). – US DoD 5200.28-STD, 1983.
11. National Computer Security Center. Trusted Network Interpretation. – NCSC-TG-005, 1987.
12. Security Architecture for Open Systems Interconnection for CCITT Applications. Recommendation X.800. – CCITT, Geneva, 1991.
13. Information Technology Security Evaluation Criteria (ITSEC). Harmonised Criteria of France – Germany – the Netherlands – the United Kingdom. – Department of Trade and Industry, London, 1991.
14. Canadian Trusted Computer Product Evaluation Criteria (CTCPEC), Version 3.0. – Canadian System Security Centre, Communications Security Establishment, Government of Canada, 1993.
15. Federal Criteria for Information Technology Security (FC), Draft Version 1.0, (Volumes I and II). – National Institute of Standards and Technology, National Security Agency, US Government, 1993.
16. Common Criteria for Information Technology Security Evaluation (CCEB). Version 1.0. 96.01.31.
Обновление семейства Ultra-компьютеров
13 января 1998 года компания Sun Microsystems представила полностью обновленное семейство рабочих станций Ultra. Оно включает:
- две младшие модели, Ultra 5 и Ultra 10, выполненные в рамках проекта Darwin;
- рабочую станцию средней производительности Ultra 30 (см. Jet Info, 1997, 16);
- высокопроизводительную рабочую станцию Ultra 60;
- известную станцию Ultra 2.
Одновременно было объявлено о начале производства нового графического ускорителя Elite3D.
Ultra 5 и Ultra 10
Станции Darwin это прорыв Unix-рабочих станций в ценовой диапазон персональных компьютеров. Стоимость Ultra 5 в начальной конфигурации (процессор UltraSPARC-IIi 270 Мгц, оперативная память 64 Мб, HDD 4.3 Гб, FDD 1.44 Мб, без монитора) составляет 2995 долларов*. Ultra 5 дешевле и на 30% производительнее, чем Compaq PW 5100 или Hewlett-Packard Kayak XA на процессоре Pentium II 266 Мгц в аналогичной конфигурации.
*Здесь и далее указаны цены для продажи в США.
Более производительная станция Ultra 10 (процессор UltraSPARC-IIi 300 Мгц, внешний кэш 512 Кб, оперативная память 64 Мб, HDD 4.3 Гб, FDD 1.44 Мб, без монитора) стоит 6395 долларов. Станция Ultra 10 с графическим ускорителем Elite3D m3 стоит 12 495 долларов и при этом более чем вдвое превосходит по производительности на графических тестах систему SGI Octane/MXI, продаваемую по цене 44495 долларов.
Архитектура
Две станции Darwin имеют близкую архитектуру. На Рис. 1. представлена архитектура станции Ultra 10, от станции Ultra 5 она отличается более высокой тактовой частотой процессора и наличием выделенного слота UPA (100 Мгц) для подключения графических ускорителей Creator или Elite3D.
Дополнительные отличия Ultra 10 по сравнению с Ultra 5 конструктивное исполнение (минитауэр и настольное) и число слотов PCI (4 против 3).
Станции Darwin построены на 64-битном процессоре UltraSPARC-IIi. Он оптимизирован для использования в качестве основы однопроцессорных рабочих станций, в нем сочетаются высокая производительность и возможность подключения PCI-совместимых устройств напрямую на частоте 66 Мгц или через мост PCIPCI на частоте 33 Мгц.
Ultra 5 предназначена для тех приложений, где в рамках бюджетных ограничений необходимо сочетать высокую производительность вычислений и работу с двумерной графикой. Это разработка программного обеспечения, работа с документами, разработка встроенных систем.
Ultra 10 в большей степени ориентирована на трехмерные приложения, такие как анимация, геоинформационные системы, моделирование и анализ в науке и технике.
Отзывы тестировавших станции Darwin пользователей, в числе которых специалисты из крупнейших университетов и лабораторий, промышленных и медицинских компаний, можно посмотреть по адресу http://www.sun.com/desktop/insight.html. В качестве достоинств станций отмечается оптимальное соотношение производительность/цена и возможность использования PCI-периферии.
Ultra 60
О новой, самой производительной из рабочих станций Sun Microsystems также нельзя говорить вне ценового контекста. По словам президента SMCC (Sun Microsystems Computer Company) Эда Зандера, с появлением компьютера Ultra 60 рабочие станции стоимостью 50000 долларов и выше исчезают как класс. В начальной конфигурации Ultra 60 стоит 13 295 долларов. Полностью сконфигурированная система (два процессора UltraSPARC-II 300 Мгц, графический ускоритель Elite3D m6, HDD 4 Гб, оперативная память 256 Гб и монитор 21 дюйм) стоит 27760 долларов.
Представитель IDC Кэрэн Сеймур сказал: “Цены на новую станцию Ultra 60 настолько агрессивны, что они могут стать стимулом к началу ценовой войны на рынке рабочих станций. Конкуренты обязаны найти ответ на присутствие Ultra 60 на рынке.”
При меньшей стоимости Ultra 60 обладает более высокой производительностью, чем изделия конкурентов. Показательно сравнение по SPECint95 и SPECfp95.
Новая рабочая станция обладает графическими возможностями, которые раньше ассоциировались преимущественно с продуктами компании Silicon Graphics. По производительности Ultra 60 Elite3D превосходит станции Silicon Graphics и Hewlett-Packard, находящиеся в ценовом диапазоне 50 85 тысяч долларов.
Архитектура
На Рис. 2. представлена системная архитектура Ultra 60. Станция поставляется в одноили двухпроцессорной комплектации (UltraSPARC-II, 300 Mгц). От старших моделей серверов Sun она унаследовала коммутатор (структуру межсоединений) UPA. Характеристики процессора UltraSPARC и коммутатора UPA подробно описаны в статье А. Шадского “Семейство компьютеров Ultra компании Sun Microsystems” (см. Jet Info, 1997, 23-24). Как и в серверах Ultra Enterprise, процессоры монтируются на отдельных конструктивных модулях вместе с внешней кэшпамятью, что позволяет модернизировать станцию при появлении новых поколений процессоров.
От станций семейства Darwin Ultra 60 отличается наличием внешней и внутренней шин UltraSCSI. Эти шины имеют пропускную способность 40 Мб/с, но сохраняют совместимость с FastSCSI и стандартным SCSI.
Графический ускоритель Elite3D
Графический ускоритель Elite3D сохраняет программную совместимость с ускорителем Creator Graphics, но при этом обладает некоторыми дополнительными функциональными возможностями. Он выпускается в двух версиях Elite3D m3 и Elite3D m6.
Благодаря использованию трех графических процессоров с плавающей точкой, Elite3D m3 имеет на трехмерной графике вдвое более высокую производительность чем Creator3D series3. Elite3D m3 предназначен для станций Ultra 10, Ultra 30 и Ultra 60.
Шесть графических процессоров с плавающей точкой обеспечивают Elite3D m6 пятикратное повышение производительности по сравнению с Creator3D series 3. Elite3D m6 предназначен для станций Ultra 2, Ultra 30 и Ultra 60. Elite3D значительно ускоряет обработку пространственных покрытий и текстур.
На Рис. 3. представлена архитектура Elite3D m3 и Elite3D m6. Последний отличается удвоенным числом процессоров с плавающей точкой.
Паспорт антитеррористической защищенности объекта в 2022 году — это документ, в котором детально отражено, насколько параметры зданий соответствуют необходимым требованиями и какие меры предусмотрены для защиты населения в чрезвычайных обстоятельствах. Оперативные службы используют эти сведения для предотвращения всевозможных угроз.
Что такое антитеррористический паспорт и зачем он нужен
Это информационный справочник, в котором перечислены важные характеристики и требования к сооружениям и территориям, нацеленные на предотвращение терактов и других опасных явлений в местах массового пребывания посетителей. Его основная задача — проанализировать состояние объектов, смоделировать возможные угрозы и прописать комплекс мер, позволяющих улучшить безопасность этих сооружений. Их выполняют под строгим контролем силовых ведомств, которые проводят согласование документа.
Сегодня в условиях многочисленных угроз для гражданских объектов важность паспорта безопасности, заполненного по новым требованиям в 2022 г., трудно переоценить. Потребность в его заполнении вызвана необходимостью провести следующие действия:
- оценить, чем грозят конкретному объекту возможные нештатные ситуации;
- обнаружить определенные риски для сотрудников предприятия, посетителей и жителей близлежащих домов;
- разработать разные варианты по возможному развитию кризисных событий;
- определить, насколько организация подготовлена к чрезвычайным ситуациям и к устранению их последствий;
- выработать совокупность мер, чтобы усовершенствовать уровень подготовки и защиты от угроз.
Кто должен его оформлять
Антитеррористический справочник понадобится не любому объекту, а тем, которые относятся к местам массового пребывания граждан. По закону, это объекты, в которых одновременно находятся не менее 50 человек. Для них потенциальная опасность терактов и других ЧС выше.
Требования к антитеррористической защищенности утверждены в разных нормативных актах, в зависимости от назначения сооружений. В сфере образования их два: паспорт безопасности образовательного учреждения в 2022 году для школ и детсадов оформляют в соответствии с ПП № 1006 от 02.08.2019. В сфере науки и высшего образования — № 1421 от 07.11.2019. В остальных областях действуют другие постановления правительства:
- административные здания, бизнес-центры — № 272 от 25.03.2015;
- в сфере общепита (кафе, рестораны) — № 272 от 25.03.2015;
- в здравоохранении (поликлиники, больницы, лаборатории) — № 8 от 13.01.2017;
- в области гостиничного бизнеса (в том числе отели, детские лагеря, дома отдыха и другие помещения для проживания людей) — № 447 от 14.04.2017;
- в сфере торговли (в том числе магазины, торговые комплексы, ярмарки и рынки) — № 1273 от 19.10.2017;
- в области культуры (театры, музеи, дома культуры, библиотеки и др.) — № 176 от 11.02.2017;
- в области спорта (стадионы, спортзалы, бассейны и др.) — № 202 от 06.03.2015;
- в социальной сфере — № 410 от 13.05.2016 и др.
Список сооружений, для которых такой документ обязателен, определяют государственные ведомства по специальным критериям (п. 2, 3 постановления правительства № 272 от 25.03.2015).
Каждый объект проверяет специальная комиссия и указывает конкретную категорию опасности по количеству посетителей (п. 10 постановления № 272 от 25.03.2015). Всего их три:
- 1 категория — более 1000 человек;
- 2 категория — от 200 до 1000 человек;
- 3 категория — от 50 до 200 человек.
Разработка, согласование и внесение поправок возложены на владельца или директора компании, арендующей здание. Но обычно комиссию для проверки госорган созывает самостоятельно, приглашая туда представителя этого помещения. По-другому обстоят дела в сфере культуры, где руководство предприятий вправе самостоятельно инициировать обследование помещений (постановление № 176 от 11.02.2017).
Как оформить паспорт безопасности
Закон не предусматривает единого способа заполнения справочника для всех типов территорий. Многое зависит от назначения и регулирующего органа. Но если в нормативных актах для конкретных отраслей установлены типовые формы, они обязательны для применения.
Если объект относится, например, к культурной сфере, то директор самостоятельно инициирует проверку. Сначала следует отправить заявку в местную администрацию, чтобы узнать, входит ли сооружение в список мест высокой посещаемости. В зависимости от этого последует ответ, потребуется ли этот документ.
Чтобы правильно провести все мероприятия, ориентируйтесь на следующую пошаговую инструкцию:
- Издать приказ для инициирования комиссии, включив в ее состав представителей компании, профильного государственного ведомства, сотрудников МЧС, ФСБ, МВД, Росгвардии.
- Затем отправить запрос в ведомства для приглашения их представителей для участия в комиссии.
- Вместе со всеми участниками определить дату и провести осмотр зданий. Эксперты обследуют их, выявят потенциальные проблемы и сформируют рекомендации по предотвращению угроз.
- Издать акт в двух экземплярах и отметить в нем категорию объекта, которую установят специалисты.
- Затем с учетом этих сведений заполнить паспорт. Бланк следует попросить в местной администрации или ориентироваться на типовую форму для конкретной сферы.
Образец
Так выглядит титульный лист новой формы паспорта безопасности в образовании 2022 г., утвержденной постановлением правительства РФ от 24.09.2019 № 1243:
ФОРМА
паспорта безопасности объектов (территорий)
Федеральной службы по надзору в сфере образования и науки
и подведомственных ей организаций
Срок действия паспорта до «__»___ 20 ___г. |
(пометка или гриф) |
Экз. №
УТВЕРЖДАЮ
(руководитель Федеральной службы по надзору в сфере образования и науки
(руководитель подведомственной Рособрнадзору организации)
или уполномоченное им должностное лицо)
(подпись) (Ф.И.О.)
«__»____ 20__г.
СОГЛАСОВАНО (руководитель территориального органа безопасности или уполномоченное им должностное лицо) (подпись) (Ф.И.О.) «__»______ 20___г. |
CОГЛАСОВАНО (руководитель территориального органа Росгвардии или подразделения вневедомственной охраны войск национальной гвардии Российской Федерации либо уполномоченное им должностное лицо) (подпись) (Ф.И.О.) «__»_____20___г. |
ПАСПОРТ БЕЗОПАСНОСТИ
(наименование объекта (территории)
(наименование населенного пункта)
20___г.
А это пример паспорта безопасности школы в 2022 году, составленного по всем правилам:
Для других видов зданий антитеррористический справочник оформляется в соответствии с требованиями соответствующего нормативного акта.
Как согласовать и актуализировать документ
После утверждения необходимо провести согласование со всеми структурами. Для этого отправляют в каждое ведомство по экземпляру справочника, сопроводив специальным письмом. Представители госструктур отмечают согласие на заглавном листе.
Обычно количество экземпляров варьирует от 2 до 6, с учетом всех участников процесса: каждому госоргану — по одному, и еще один остается у собственника (п. 18 ПП № 272 от 25.03.2015).
По закону, на согласование паспорта отведено около 30 дней.
Обновлять (или актуализировать) его необходимо не менее одного раза в 3 года (например, для промышленности и развлекательной индустрии). Для некоторых объектов — раз в 5 лет (в области здравоохранения, образования, социальных объектов, гостиниц и др.). Это зависит от назначения и сферы деятельности. Конкретные сроки для каждой из них указаны в профильном постановлении.
Чаще этого срока придется вносить изменения в следующих ситуациях (п. 19 ПП № 272, п. 45 ПП № 176):
- поменялись значимость и профиль сооружения;
- провели реконструкцию или капитальный ремонт, что повлияло на изменение площади;
- произошла смена владельца;
- рядом построили новые здания.
Алгоритм шагов несложный. Если расширилась площадь, например, то сначала откорректируйте документ, внесите новые данные. Затем директор подпишет его, а после этого отправьте в госструктуры на утверждение. Обычно на это отводится 5 рабочих дней. Предыдущую копию выбрасывать нельзя, ее требуется сохранять 5 лет.
Сколько стоит оформление и внесение изменений
Самостоятельно разработать паспорт способен не любой сотрудник компании. Обычно за дело берутся сторонние специалисты. Цены за оформление варьируют от 20 000 до 35 000 рублей. Все зависит от сложности объекта. Для потенциально опасных объектов — от 45 000. За разработку акта категорирования — от 15 000, сопровождение обследования зданий — от 20 000, внесение корректировок — от 10 000 рублей.
Ответственность за отсутствие паспорта
За отсутствие паспорта отвечает владелец здания. Штрафы предусмотрены в части 1 статьи 20.35 КоАП РФ:
- для граждан — от 3000 до 5000 руб.;
- для должностных лиц — от 30 000 до 50 000 руб. (или дисквалификация от 6 месяцев до 3 лет);
- для юридических лиц — от 100 000 до 500 000 рублей.
1.
Карты безопасности
Сахаров В.
Покров 2014
2.
Что такое карта безопасности?
Карта безопасности – это схема
линии/оборудования, на которой отображены
потенциальные опасности, используемые СИЗ,
устройства безопасности оборудования и
источники энергии
2
3.
Зачем нужны карты безопасности?
Правильное
отключение
оборудования
Выявляем
опасные узлы
и детали
Определяем
применяемые
СИЗ
Ищем дефекты
оборудования
3
4.
Что мы определяем с помощью карты безопасности?
• Мы определяем оборудование, которое должно
быть выключено во время выполнения работ,
чтобы предотвратить травмы (например, кнопки
аварийного останова, защитные ограждения)
• Мы определяем источники энергии (электричество,
сжатый воздух, опасные вещества).
• Мы определяем опасности (острые края, лезвия,
ролики, горячие поверхности и пр.)
• Мы определяем какие средства индивидуальной
защиты для каких работ мы должны использовать
5.
Критерии правильной карты безопасности
Карта безопасности
Схематично, но
понятно
изображено
оборудование
Указаны все точки
отключения энергия
и все опасности
5
Обозначения
простые и изучение
занимает мало
времени
6.
Порядок составления карты безопасности
1. Используйте форму со схемой линии или оборудования
2. Заполните основную информацию – отдел, линия,
участок, дата
3. Обозначьте блокировки, кнопки аварийного останова,
источники энергии и опасности
4. Определите все точки выключения и запирания энергии
5. Определите необходимость использования СИЗ
6
7.
Схема составления карты безопасности
8.
Оформление карты безопасности
Схематично
Условные
обозначения
Все
возможные
опасности
Все точки
отключения
энергии
Используемые
СИЗ
9.
Представление карты безопасности команде
Форма
обсуждения
• Обсуждение должно быть в
формате дискуссии.
Время
• Время презентации должно
быть не более 10 минут
презентации
Вопросы
• Постарайтесь ответить на
все возникшие вопросы
10.
Утверждение карты безопасности
После того, как карта безопасности будет утверждена
представителями заинтересованных отделов необходимо:
1) Обратиться к владельцу данного инструмента для
присвоения ей номера и внесения в базу.
2) Согласовать карту безопасности с руководителем
производства, к которому относится данной
оборудование
11.
Пример оформления карты безопасности
1) Схематично изображено
оборудование
2) Использованы условные
обозначения
3) Отмечены точки отключения
энергии
4) Указаны возможные опасности
5) Указаны необходимые СИЗ
6) Выделены важные моменты с
пометкой “Внимание!!!”
12.
СПАСИБО ЗА ВНИМАНИЕ!
Реальность такова, что безопасникам приходится работать на два фронта: предотвращать угрозы ИБ и в то же время поддерживать юридическую защиту компании. Если с необходимостью первого все понятно, то второе снижает риск привлечения руководства к административной и уголовной ответственности. Проще говоря, спасает от штрафов, закрытия компании и прочих неприятностей. Так что без знания законов не обойтись.
Увы, систему законодательства в области защиты информации нельзя назвать понятной. Это кафкианское чудище, которое с трудом помещается в голове.
Под федеральными законами располагаются сотни постановлений правительства, указов президента, требований ФСТЭК, стандартов, методичек и информационных сообщений. В этом лабиринте сложно ориентироваться без постоянной практики.
Разные виды актов образуют иерархию и связаны между собой, но это только все усложняет
Часто, когда перед вами стоит конкретная задача, непонятно, с чего начать распутывать этот клубок. Конечно, можно читать все подряд, но это верный способ сойти с ума и просто пустая трата времени.
Для себя и наших клиентов мы рисуем памятки, которые помогают сориентироваться в ситуации.
Схема базовых нормативных актов в области защиты информации. Картинка кликабельная и в большом разрешении, но pdf-версия удобнее. В ней есть прямые ссылки на документы
Во главе схемы Федеральный закон «Об информации, информационных технологиях и о защите информации» (от 27.07.2006 N 149-ФЗ).
Здесь изображены далеко не все связанные с ним документы, а только те, что необходимы большинству наших клиентов в повседневной работе. Они касаются ГИС, ИСПДн, вопросов сертификации СЗИ, определения актуальности угроз.
Схема не включает банковскую, налоговую и другие виды тайн, защиту информации в КИИ, АСУ ТП и безопасность информации в финансовых организациях (если вам будет интересно, поговорим об этих направлениях в следующий раз). Но даже с такими ограничениями схема выглядит запутанно, так что будем разбираться на конкретном примере.
Как пользоваться схемой
Допустим, в интернет-магазине скоро откроется личный кабинет для клиентов. Там будут поля: имя, фамилия, телефон, адрес и т. д. В такой ситуации штатный безопасник должен разобраться, какие обязательства берет на себя компания, собирая эти данные, чем это грозит, и какие требования закона необходимо выполнить.
Такие исследования начинаются с 149-го Федерального закона. В нем, в статье 9, сказано, что существует информация ограниченного доступа. Ее можно разделить на государственную тайну и конфиденциальную информацию (информацию, не составляющую гостайну).
Вряд ли наш интернет-магазин имеет дело с гостайной, разве что он приторговывает запчастями для оборонки, поэтому идем направо.
Если не знаете, что относится к конфиденциальной информации, задержитесь и загляните в Указ президента «Об утверждении перечня сведений конфиденциального характера» (от 6 марта 1997 г. N 188).
Это справочный документ, никаких особых указаний там нет. Но из перечня ясно, что в конфиденциальную информацию входит целое семейство тайн: коммерческая, служебная, профессиональная и многие другие. Всего более 50 разновидностей. Каждой посвящен отдельный нормативный акт, например Федеральные закон «О коммерческой тайне» (от 29.07.2004 № 98-ФЗ).
В случае с личным кабинетом на сайте интернет-магазина не все так просто, ведь мы имеем дело с персональными данными.
О них рассказывает отдельный Федеральный закон «О персональных данных» (от 27.07.2006 N 152-ФЗ). Он перечисляет категории персональных данных, и из его положений вытекают обязательства, связанные с их обработкой. Их можно детально изучить в отдельных нормативно-правовых актах.
Постановление правительства №1119 (от 1 ноября 2012 года) поможет установить тип информационной системы и необходимый уровень защищенности в зависимости от объема данных, а 21 приказ ФСТЭК (от 18 февраля 2013 года) подскажет базовый перечень необходимых защитных мер. Это уже информация, необходимая на практике.
Наш случай не про ГИС, изучать ПП РФ №211 (от 21 марта 2012 года) не придется, биометрические данные мы тоже не обрабатываем, а вот без уведомления регулятора обойтись не получится. Поэтому также стоит прочитать Приказ РКН №94 (от 30 мая 2017 года). А еще не стоит забывать о требованиях ФСБ России.
Кстати, согласно пункту 6 приказа ФСТЭК №21 необходимо как минимум раз в три года проводить оценку эффективности и соответствия закону мер по безопасности персональных данных. В этом акте не уточняется, как именно это делать.
Порядок проведения испытаний можно определить самостоятельно (исключение — аттестация). Однако, если вы совсем растерялись, найдите ГОСТ 34.603. В этом документе описано, что такое программа и методика испытаний, протокол проведения испытаний, и как должны выглядеть завершающие акты.
А вообще, стандартный путь для оценки: ПиМИ — испытания — протокол — устранение недостатков — заключение и акт.
Теперь вернемся назад, к 152-му закону. Чтобы подобрать защиту под конкретную информационную систему, придется также определить, каким угрозам подвергаются персональные данные при обработке.
Это приводит нас к свежей методике оценки безопасности от ФСТЭК и банку угроз БДУ. Там собрано описание более 200 различных угроз с возможными источниками и объектами, которые им подвержены. Документы плохо «бьются» между собой, но регулятор работает над этим, а мы работаем с тем, что имеем.
К сожалению, это еще не конец путешествия, не все документы, которые придется изучить.
Теперь, когда мы выявили актуальные угрозы безопасности и разработали модель угроз, пришло время «обеспечить реализацию мер по обеспечению безопасности персональных данных». Для этого придется разработать техническое задание на систему защиты и проектное решение и найти ответ на вопрос: «Чем защищать ПДн?».
Требования не такие жесткие, как для государственных информационных систем, но в идеале СрЗИ все равно должны быть сертифицированы.
Придется вернуться к началу пути и пройти по другой ветке схемы.
Чтобы найти списки сертифицированных СЗИ пройдем мимо отдельного положения о сертификации средств защиты информации и приблизимся к спискам сертифицированных СрЗИ/СКЗИ.
Криптографическими средствами защиты информации заведует ФСБ, некриптографическими — ФСТЭК. ФСБ публикует выписку из перечня средств защиты в формате doc.
Реестр ФСТЭК на первый взгляд удобнее, Регулятор ведет его на сайте, но он просто забит аббревиатурами типа: ИТ.САВЗ.Б4.ПЗ, ЗБ, РД МЭ(2), РД НДВ(2) и т. д.
У всех этих сокращений четкая расшифровка, но, само собой, в отдельных документах. Без схемы на их поиски уйдет уйма времени.
Только после изучения руководящих документов и информационных сообщений можно понять, какое средство защиты информации из реестров выбрать для конкретной информационной системы с учетом ее класса защищенности.
Чтобы лишний раз не перечитывать эти документы, мы составили таблицу-шпаргалку. В ней указано, с какими средствами защиты информации совместимы различные классы сертификатов ФСТЭК.
Определившись с СЗИ можно будет наконец-то приступить к созданию системы защиты персональных данных.
На этом заканчивается наш маленький квест по поиску документов, необходимых интернет-магазину.
Мы сориентировались среди основных актов в области защиты информации, нашли требования к защите персональных данных, обнаружили сертифицированные СЗИ и, главное, избежали бесплодных поисков необходимых актов и пустой траты времени.
Конечно это только начало. Мы показали вам базовую цепочку актов. 152-ФЗ также указывает на необходимость создания целого пакета локальных нормативных актов по обработке и защите ПДн, предъявляет требования к техническим организационным мерам защиты и регулярно удивляет нововведениями (например, появлением персональных данных, разрешенных к распространению).
Для таких случаев мы готовим отдельные схемы и памятки. Они помогают быстро и четко отвечать на вопросы заказчиков и решать спорные кейсы, а также следить за появлением (а иногда и отменой) новых разъяснений и рекомендаций РКН.
Надеемся, наша памятка вам пригодится, особенно в ситуациях типа: «это нужно было еще вчера» и «где же указаны эти требования? Точно где-то видел…». Это поверхностная шпаргалка, но ее вполне достаточно для обучения на старте в ИБ, быстрого поиска необходимых актов и решения задач в ходе обеспечения защиты информации.
Если же вы столкнулись со сложной проблемой, карта не помогла, и поиски зашли в тупик, пишите на почту: hello@bastion-tech.ru, мы постараемся помочь.
PDF-версия карты законодательства РФ в области защиты информации — ссылка на скачивание.
Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.
Какой раздел законодательства разобрать в следующий раз?
15.28%
Критическая информационная инфраструктура
11
15.28%
Защита информации в финансовых организациях
11
6.94%
Защита информации в АСУ ТП
5
44.44%
Персональные данные и 152-ФЗ
32
5.56%
Другое — напишу в комментариях
4
Проголосовали 72 пользователя.
Воздержались 6 пользователей.
Следите за актуальными новостями — подписывайтесь на нашу рассылку.
Карта оценки профессиональных рисков сотрудников
В карте оценки профрисков указываются все опасности, которые могут произойти с сотрудником конкретного рабочего места при тех или иных обстоятельствах.
Основными задачами создания такой карты являются:
- прогнозирование и предотвращение несчастных случаев;
- создание документа, в котором будут собраны все возможные опасности;
- ознакомление сотрудника со всеми рисками его трудовой деятельности.
Форма карты оценки профессиональных рисков остается неизменной уже несколько лет. А если быть точнее, то точной формы, установленной на законодательном уровне — нет.
И в 2022, и 2023 году каждый работодатель вправе самостоятельно выбирать как будет выглядеть его образец донесения информации о возможных рисках до сотрудников.
Сегодня мы разберем один из методов составления карты — матричный, который рекомендует к использованию международная организация труда.
Выявление опасностей
На первом этапе составления карты оценки профессиональных рисков нам необходимо выявить все возможные опасности. Для этого необходимо:
Подумать, какие могут быть риски для здоровья сотрудника в различных ситуациях:
- обычная деятельность (рабочий процесс: на станке);
- редко выполняемые работы (принести документы из архива);
- регулярные действия (поход в столовую);
- аварийные ситуации (пожар).
После составления списка пробегитесь по нему глазами, представьте себе целый рабочий день сотрудника, от входа на территорию до выхода, и подумайте, что вы могли упустить.
В результате у вас должен получиться весьма внушительный список, в котором будут описаны все возможные опасности от самых незначительных, то повлекших смерть. Например:
- падение ящика на ногу;
- схождение снега с крыши на голову;
- удар током;
- порез верхних конечностей при работе со станком;
- падение на мокром полу;
- ожог от работы с горючими материалами;
- придавливание стеллажом;
- и др.
На составление карты влияют все факторы окружающие рабочее место. Для двух специалистов, работающих в разных филиалах на одной должности карта может отличаться. Ведь получить травму можно даже по пути в столовую: застряв в лифте, упав на лестнице, попав под машину.
Поэтому важно учитывать особенности не только рабочего места, но и всего предприятия в целом.
Проводить выявление опасностей может:
- специалист по охране труда (СОТ);
- внутренняя комиссия предприятия;
- эксперт, который занимается этим профессионально.
Чтобы стать таким специалистом или экспертом достаточно пройти небольшое обучение в учебном центре.
Оценка вероятности
Когда выявлены все опасности, можно переходить к оценке вероятности их реализации.
Для каждого возможного происшествия необходимо обозначить категорию вероятности.
Так, например, вы регулярно видите, как зимой сотрудники поскальзываются на ступеньках при выходе из здания, да и сами пару раз падали на этом месте.
Значит у опасности «падение на лестнице зимой» будет пятая категория — весьма вероятно.
Степень тяжести
После определения категории вероятности необходимо для каждого происшествия произвести оценку степени тяжести последствий:
Так, например в результате падения на скользких ступеньках сотрудник может получить не только обычный ушиб, но и серьезную травму головы или перелом конечностей. Поэтому данное происшествие будет отнесено к категории «Значительная».
В зависимости от тяжести последствий несчастного случая работодателю или ответственному может грозить как административная, так и уголовная ответственность.
Оценка профессионального риска
На основе выявленных тяжести и вероятности, необходимо свериться с таблицей и определить степень риска от 1 до 25:
Продолжаем пример: в компании существует риск поскользнуться на ступеньках зимой. Мы определили для этого происшествия вероятность и тяжесть, теперь соединяем их по таблице.
«Весьма вероятно» и «Значительная» дают нам оценку риска равную 15.
Снижение рисков
На этом этапе вы разрабатываем меры по снижению рисков, которые мы выявили для рабочего места и оценили.
Чем выше оценка профессионального риска, тем серьезнее и скорее должны быть меры по ее устранению. К таким мероприятиям могут быть отнесены:
- выдача средств индивидуальной защиты (СИЗ);
- установка средств коллективной защиты (СКЗ);
- контроль за техникой безопасности и соблюдением правил охраны труда;
- установка различных технических средств безопасности;
- и другое.
Так, например, если для сотрудника существует риск упасть на ступеньках зимой. то необходимо с наступлением холодов сразу заняться этим вопросов: установить перила, посыпать регулярно солью, отбивать лед.
Для сотрудников, работающих на высоте, выделяются средства страховки и проводится специальное обучение. Для водителей — организуют регулярные медосмотры.
Как в итоге должна выглядеть карта оценки профрисков?
Карта оценки профессиональных рисков может включать в себя следующие графы:
- должность, для которой составляется карта;
- место возможного происшествия;
- все выявленные опасности;
- оценка каждой опасности (по таблице);
- меры по снижению или исключению опасности.
Не лишним будет упомянуть:
- наименование компании;
- ИНН;
- адрес.
А также выделить графу для даты ознакомления с картой и подписи сотрудника.
Небольшой итог
Составление карты оценки профрисков — это очень трудоемкий процесс, который, однако, позволяет не только избежать травм и летальных исходов, но и предотвратить аварийные ситуации.
Важно понимать, что карта составляется не на конкретного сотрудника или профессию в целом, а для определенного рабочего места.
Если вы хотите стать специалистом по ОТ или подробнее изучить процесс создания карты оценки профрисков, то наш центр дополнительного профессионального образования «Проф-Ресурс» поможет подобрать для программу обучения по охране труда.
По всем вопросам обращайтесь к нам по телефону, в онлайн-чате или оставляйте данные в форме обратной связи. Наши специалисты свяжутся с вами и ответят на все вопросы. Консультация бесплатна.