Как вы наверное знаете, на этапах адаптации базового набора мер защиты информации или уточнения адаптированного базового набора мер защиты информации могут разрабатываться иные (компенсирующие) меры защиты информации, обеспечивающие адекватное блокирование (нейтрализацию) угроз безопасности информации.
В методическом документе ФСТЭК России “Меры защиты информации в государственных информационных системах” есть некоторые пояснения по поводу применения компенсирующих мер, следуя которым необходимо провести и документально зафиксировать обоснование. Попробуем подготовить его для одного примера.
Пусть у нас класс ИС = K1 или УЗ1.
Рассмотрим требование УПД.17 “Обеспечение доверенной загрузки средств вычислительной техники”. Для реализации данного требование должна “осуществляться доверенная загрузка …, реализованные на основе программно-аппаратного модуля” (далее для данной меры будем использовать обозначение – электронный замок).
Далее, по каждому пункту будет несколько вариантов из которых необходимо выбрать один или несколько наиболее подходящих для вашей ситуации.
Обоснование применения компенсирующих мер защиты информации
1. Изложение причин исключения меры (мер) защиты информации:
·
Высокая стоимость приобретения. Как правило, электронные замки в 2-4 раза дороже чем программные СЗИ от НСД. При этом Электронные замки будут реализовывать для нас только одну меру, а СЗИ от НСД 5-10 мер .
·
Высокая стоимость внедрения. Работы по внедрению Электронных замков проводятся непосредственно на каждом объекте, на каждом техническом средстве, выводят из эксплуатации техническое средство на определенное время, разбирают корпус технического средства, устанавливают электронный замок, собирают корпус, настраивают электронный замок на месте. Как можно заметить стоимость внедрения Электронных замков пропорциональна их количеству. Для сравнения другие программные СЗИ, как правило настраиваются один раз для каждого типа защищаемых узлов и далее распространяются автоматически. Итого, трудозатраты на внедрение Электронных замков, как правило выше в 5-100 раз.
·
Неприемлемо большие сроки реализации. Пункт связан с предыдущим. Если есть жесткие сроки внедрение ИС (ФЗ, ПП, указ, распоряжение и т.п.), и большое количество распределенных пользователей, то увеличение сроков внедрения в 5-100 раз, по сравнению с другими программными СЗИ может никак не вписываться в требования.
·
Высокая стоимость эксплуатации. Как правило, изменение конфигурации, обслуживание, перезагрузка сервера, решение проблем с электронными замками – все это требует непосредственного присутствия администратора на объекте (об этой проблеме я писал в одной из предыдущих статей ). Аналогичные работы с програмнными СЗИ можно выполнять удаленно. Затраты на эксплуатацию выше в 2-3 раза.
·
Отсутствие технических решений, работающих на всех защищаемых узлах. Электронные замки разных производителей гарантированно заработают только на небольшом белом перечне протестированных технических средств. Есть черные списки с которыми точно не работают – например, сжигают материнскую плату. Большинство технических средств находится в серой зоне – пользователям придется самостоятельно проводить эксперименты. Не поддерживается большое количество современных ноутбуков. Не поддерживаются планшеты с полноценной ОС типаWindows8, на которые отлично устанавливается СЗИ от НСД. (об этой проблеме я уже писал в одной из предыдущих статей )
2. Сопоставление исключаемой меры (мер) защиты информации с блокируемой (нейтрализуемой) угрозой (угрозами) безопасности информации:
·
Актуальна угроза локальной загрузки операционной системы с нештатного машинного носителя. Например, нарушитель использует слабости контроля физического доступа к защищаемым техническим средствам чтобы подключить собственный машинный носитель, загрузить с него другую ОС и из неё получить несанкционированные действия с защищаемой информацией.
·
Актуальна угроза нарушения целостности программной среды. Например, злоумышленник может запустить ОС в безопасном режиме, в котором СЗИ не функционируют в полном объеме и отключить их.
·
Актуальна угроза нарушения состава компонентов аппаратного обеспечения средств вычислительной техники. Например, злоумышленник подменяет обычную клавиатуру на клавиатуру с кейлогером.
Если все приведенные угрозы неактуальны, то есть вариант обойтись без обоснования применения компенсирующих мер – вместо этого сделать краткое пояснение к мерам исключенным на этапе адаптации базового набора мер.
На этом первая часть статьи подошла к концу. В продолжении смотрите разделы Обоснования:
3. Описание содержания компенсирующих мер защиты информации.
4. Сравнительный анализ компенсирующих мер защиты информации с исключаемыми мерами защиты информации.
5. Аргументация, того что предлагаемые компенсирующие меры защиты информации обеспечивают адекватное блокирование (нейтрализацию) угроз безопасности информации.