Aercom.by - Новости безопасности в Беларуси и СНГ

24 сентября 2017 г., воскресенье

Отраслевые мероприятия (Беларусь)

8 сентября, 2017

Видео учебно-практического семинара – «Построение интегрированных систем безопасности на основе оборудования и программного обеспечения TRASSIR, SIGUR (ранее «Сфинкс»)»

10 августа, 2017

Образовательный проект для специалистов по безопасности

20 июня, 2017

IDC DAY MINSK 2017: Infrastructure Efficiency, Cloud, Virtualization & IT Security Roadshow

24 мая, 2017

В первый день «Центр безопасности. 2017» более 1000 специалистов посетили выставку-форум

23 мая, 2017

Памятка посетителям и участникам выставки-форума «Центр безопасности 2017»

22 мая, 2017

Выставка-форум «Центр безопасности. 2017»: технологии, диалог, бизнес

Отраслевые мероприятия (зарубежные)

5 сентября, 2017

Охрана периметра – от камер видеонаблюдения до противотаранных барьеров Полищука

22 августа, 2017

Участники выставки Securika St. Petersburg рассказывают о продукции, которую представят на выставке

7 июня, 2017

Итоги форума «CISO FORUM 2017: Суровые будни CISO»

13 февраля, 2017

«Нетрис» стал Генеральным спонсором конференции «Возможности облачных технологий и Интернета вещей для бизнеса»

9 декабря, 2016

Форум директоров по информационной безопасности

23 ноября, 2016

23 ноября открывается Форум All-over-IP 2016: присоединяйтесь к лидерам!

Каталог предприятий

Видео

Журнал "Технологии
безопасности"

Методы обеспечения защиты объектов (РБ)
4 мая, 2009

В настоящее время разработка комплексных систем безопасности для объектов различных категорий является актуальной проблемой.

Методы обеспечения эффективной информационной и инженерно-технической защиты объектов различных форм собственности

Учреждение образования «Учебный центр Департамента охраны»
Министерства Внутренних Дел Республики Беларусь, г. Минск, Республика Беларусь

В настоящее время разработка комплексных систем безопасности для объектов различных категорий является актуальной проблемой. Важным этапом в данном темы безопасности существующим угрозам, что реализуется в процессе анализа рисков [1]. Ошибки в анализе рисков приводят к неадекватному определению:
— перечня сил и средств защиты, необходимых для обеспечения гарантированной безопасности объекта;
— соотношения задействованных сил и средств защиты реальным угрозам безопасности, расстановки приоритетов в реализации алгоритмов противодействия;
— возможного экономического ущерба.

Одной из важных целей обеспечения эффективной защиты является работка профилей безопасности объектов и их классификация по категориям безопасности для применения при проектировании систем комплексной защиты объектов различных форм собственности.

Под безопасностью объекта будем понимать свойство, выражающееся в способности противодействия нанесению ущерба при различных (преднамеренных и непреднамеренных) воздействиях на него, а также ликвидации последствий таких воздействий. Профиль безопасности объекта — совокупность требований для объекта определенной категории, реализация которых гарантирует противодействие соответствующим им угрозам.

Для осуществления комплексной классификации объектов по признакам физической и информационной безопасности с учетом особенностей доступа, введем следующие категории безопасности: организационная структура управления объектом, функционально-экономическое построение процесса организации деятельности объекта, оценка риска.

Проведем классификацию указанных категорий безопасности:
1. Организационная структура управления объектом – в качестве базовой предлагается система уровневой классификации объектов по признаку государственных приоритетов системы национальной безопасности:
— республиканский уровень административного управления (Совет министров, Совет национальной безопасности и т.д. );
— региональный уровень административного управления (областные органы управления и власти);
— местный уровень административного управления (городские/районные органы управления и власти).
2. Функционально-экономическое построение процесса организации деятельности объекта — в качестве базовой предлагается система уровневой классификации объектов по признаку функционально-экономической организации деятельности и регулирования со стороны государства:
— частная собственность с участием только иностранного капитала (деятельность не регулируется государством);
— частная собственность с участием смешанного (государственного/иностранного) капитала (деятельность частично регулируется государством);
— государственная собственность (деятельность регулируется государством).
3. Оценка риска — в качестве базовой предлагается система суммарной критичности ресурсов объекта, которая определяется критериями: ущерб репутации организации, безопасность персонала, разглашение коммерческих сведений, финансовые потери и др. [2].

Под общей оценкой риска (risk assessment) будем понимать процесс, в который входят идентификация, анализ и оценка риска. В качестве критериев значимости возможного уровня экономического ущерба можно использовать следующую классификацию:
1. особо крупный ущерб – ущерб на сумму более 1000 базовых величин;
2. крупный ущерб – ущерб на сумму от 250 до 1000 базовых величин;
3. значительный ущерб – ущерб на сумму от 40 до 250 базовых величин;
4. средний ущерб – ущерб на сумму от 10 до 40 базовых величин;
5. мелкий ущерб — ущерб на сумму менее 10 базовых величин.

С учетом изложенного выше предлагается введение новой классификации объектов, учитывая особенности доступа к ним:
1. Упрощенный доступ:
— контроль доступа к ресурсам объекта осуществляется региональными и местными органами административного управления;
— несанкционированный доступ к ресурсам объектов может привести к мелкому или среднему экономическому ущербу.
2. Ограниченный доступ:
— контроль доступа к ресурсам объекта осуществляется региональными и местными органами административного управления;
— несанкционированный доступ к ресурсам объектов может привести к значительному экономическому ущербу.
3. Важный доступ:
— контроль доступа к ресурсам объекта осуществляется республиканскими и региональными органами административного управления;
— несанкционированный доступ к ресурсам особо важных объектов [3]включенных в Перечень объектов, подлежащих обязательной охране Департаментом охраны МВД Республики Беларусь [4], может привести к крупному экономическому ущербу.
4. Доступ с расширенной защитой:
— контроль доступа к ресурсам объекта осуществляется республиканскими органами административного управления;
— деятельность объекта напрямую регулируется государством не в полном объеме или деятельность объекта напрямую не регулируется государством;
— несанкционированный доступ к ресурсам особо важных объектов включенных в Перечень объектов, подлежащих обязательной охране Департаментом охраны МВД Республики Беларусь, может привести к особокрупному экономическому ущербу.
5. Доступ с максимальной защитой:
— контроль доступа к ресурсам объекта осуществляется республиканскими органами административного управления;
— деятельность объекта регулируется государством;
— несанкционированный доступ к ресурсам особо важных объектов включенных в Перечень объектов, подлежащих обязательной охране Департаментом охраны МВД Республики Беларусь, может привести к особокрупному экономическому ущербу.

Вводимая классификация объектов согласована с требованиями международного стандарта ISO/IEC 15408:1999:
— функциональные требования, соответствующие активному аспекту защиты, предъявляемые к функциям (сервисам) безопасности и реализующим их механизмам;
— требования доверия, соответствующие пассивному аспекту: они предъявляются к технологии и процессу разработки и эксплуатации.

Процесс обеспечения безопасности в ISO/IEC 15408:1999 рассматривается не статично, а в соответствии с жизненным циклом объекта оценки, который предстает в контексте среды безопасности, характеризующейся определенными условиями и угрозами.
Согласно требованиям ISO/IEC 15408:1999 происходит формирование двух базовых видов нормативных документов:
а) профиль защиты — представляет собой типовой набор требований, которым должны удовлетворять аппаратно-программные средства и/или системы определенного класса. б) задание по безопасности — содержит совокупность требований к конкретной разработке, их выполнение позволит решить поставленные задачи по обеспечению безопасности.

С учетом вышеизложенного предлагается введение новой структуры профиля безопасности объекта в следующем составе:
1. Политика безопасности объекта — совокупность руководящих принципов, правил, процедур и практических приемов в области безопасности, которыми руководствуется организация в своей деятельности.
2. Уровень безопасности объекта — совокупность нормативно-правовых, программно-технических и физических средств / систем защиты объекта, обеспечивающих противодействие угрозам несанкционированного доступа.
3. Аудит безопасности объекта – независимая оценка состояния системы безопасности объекта, устанавливающая уровень ее соответствия определенным критериям и предоставление результатов в виде рекомендаций.

Политику безопасности объекта предлагается формировать в соответствии со следующими этапами:
— проведение формализованного описания защищаемого объекта с оценкой текущего уровня безопасности на основе имеющейся информации о структуре / ресурсах объекта, а также установленных средствах защиты;
— составление перечня угроз и сценариев атак по этапам жизненного цикла системы;
— формирование и корректировка политики безопасности с учетом типовых рекомендаций нормативно-правовых документов (ISO/IEC 15408:1999, BS 7799:1995 и др.) и перечнем угроз и сценариев атак по этапам жизненного цикла системы.

Результатом формирования политики безопасности объекта будет являться итоговый нормативный документ, который описывает и структуризирует основные направления в области защиты организации (предприятия), определяет методику реагирования на инциденты безопасности.

Основной задачей практической реализации заданного уровня безопасности объекта будет являться выполнение установленного нормативными документами минимального набора требований к защите объекта, обеспечиваемого введенными средствами и системами защиты с учетом:
1. Статистических данных по вопросам информационной и физической безопасности, имущественных преступлений.
2. Классификации угроз и сценариев атак по этапам жизненного цикла системы. Основные элементы классификации: нормативно-правовые, программно-технические, физические угрозы.
3. Специализированных сигнатурных баз, построенных по алгоритму масштабирования и позволяющих определить базовый перечень средств безопасности для защищаемого объекта. Исходная полнота сигнатурной базы должна соответствовать современному уровню угроз и сценарию атак.
4. Модульной конструкторско-технологической структуры построения системы безопасности объектов в зависимости от заданного/анализируемого уровня угроз. При функционировании системы должен осуществляется контроль всех функциональных модулей объекта.

Результатом проведения аудита безопасности объекта будет являться экспертная оценка надежности обеспечения защиты объекта, с учетом профиля безопасности, носящая разовый/ постоянный характер проведения и выполняемая:
— штатными специалистами организации (предприятия);
— специалистами сторонних организаций.

Важным этапом обеспечения безопасности объектов различных категорий является соотнесение заданного уровня угроз к совокупности требований, реализация которых гарантирует защиту от несанкционированного доступа. В качестве действенного способа соотнесения угроз к совокупности требований защиты от несанкционированного доступа предлагается введение их привязки к этапам жизненного цикла системы защиты [5].

Одной из целей обеспечения защиты объектов является разработка методики классификации угроз иерархической системе информационной и инженерно-технической защиты объектов с учетом этапов жизненного цикла.
Для проведения классификации угроз иерархической системе информационной и инженерно-технической защиты с учетом обеспечения комплексной безопасности (нормативно-правовые, программно-технические, физические угрозы и пути их реализации), предлагается использование следующей комбинации этапов жизненного цикла системы защиты объектов:
1. Проектирование и построение.
2. Внедрение.
3. Эксплуатация.
4. Модернизация / утилизация.

На сновании изложенного выше, проведем классификацию угроз иерархической системы информационной и инженерно-технической защиты объектов с учетом этапов жизненного цикла по следующей методике:
1. Описание уровня системы защиты объектов.
1.1. Объектовый уровень.
1.2. Уровень каналов сопряжения и телекоммуникации.
1.3. Уровень обеспечения и управления безопасностью.
2. Описание этапов жизненного цикла системы защиты.
2.1. Проектирование и построение.
2.2. Внедрение.
2.3. Эксплуатация.
2.4. Модернизация / утилизация.
3. Наименование вида угроз с привязкой к этапам жизненного цикла системы защиты.
4. Описание угроз: характер воздействия, цель воздействия, условия начала осуществления воздействия, механизм реализации.
6. Классификация угроз.
7. Статистика реализации угроз.

На основании изложенного выше достигнуты следующие результаты:
1. Разработана методика классификации объектов, позволяющая учесть особенности доступа на объект, его организационную структуру управления, функционально-экономическую организацию процесса и выполнить оценку риска. Введенные категории безопасности позволяют провести детализированную оценку значимости ресурсов объекта. Предложенная структура профиля безопасности объекта включает нормативные требования и правила по обеспечению безопасности объекта, комплекс средств и систем защиты, методику проведения итоговой экспертной оценки, что позволяет упростить процесс проектирования и обеспечить гарантированную защиту объектов различных форм собственности.
2. Разработана методика проведения классификации угроз иерархической системы информационной и инженерно-технической защиты объектов с учетом этапов жизненного цикла, с применением методов и средств системной инженерии, которая позволяет значительно усовершенствовать процесс проектирования и обеспечить гарантированную защиту объектов различных форм собственности.

Литература

1. Навстречу переменам: рынок информационной безопасности 2007—2008 [Электрон. ресурс]. Режим доступа: http://leta.ru/research2008/.
2. Recommended Security Controls for Federal Information Systems. NIST Special Publication SP 800 – 53, Second Public Draft. – U.S. Department of Commerce, NIST, September, 2004.
3. РД 28/3.006-2005 МВД Республики Беларусь. Технические средства и системы охраны. Тактика применения технических средств охранной сигнализации.
4. Указ Президента Республики Беларусь от 25 октября 2007 года № 534 «О мерах по совершенствованию охранной деятельности».
5. ISO/IEC 15288:2008 [Электрон. ресурс]. Режим доступа: http://www.iso.org/iso/catalogue_detail?csnumber=43564.

Оставить комментарий

Заметьте: Включена проверка комментариев. Нет смысла повторно отправлять комментарий.