ТИБМЗИ 2010 Загинайлов. Алтайский государственный технический

187
Основные объекты защиты информации соответствуют основным объектам обеспечения информационной безопасности организации приведенным в главе 4.
Состав защищаемой информации, её особенности и характери- стики, а также носители защищаемой информации, их классификация и характеристики, рассмотрены в главе 7. Носители защищаемой ин- формации являются конечными объектами защиты.
Защищаемые информационные процессы. Информационные
процессы – это процессы обработки информации с использованием информационных технологий и технических средств. Обработка ин- формации - совокупность операций сбора, накопления, ввода, вывода, приема, передачи, тиражирования, записи, хранения, регистрации, уничтожения, преобразования, отображения информации. Требования к защищённости информационных процессов реализуются через тре- бования к защищённости информационных и информационно- телекоммуникационных технологий, средств вычислительной техники, информационных систем, объектов информатизации.
Защищаемая информационная система. Защищаемая инфор-
мационная система - информационная система, предназначенная для обработки защищаемой информации с требуемым уровнем ее защи- щенности.
Защищаемые объекты информатизации. Защищаемый объект
информатизации - объект информатизации, предназначенный для об- работки защищаемой информации с требуемым уровнем ее защищен- ности.
Состав типового объекта информатизации, как объекта защиты приводится в стандарте ГОСТ Р 51275-2006. Защита информации.
Объект информатизации. Факторы, воздействующие на информацию.
В соответствии с этим стандартом объект информатизации это сово- купность (рис.13.1):
 информационных ресурсов;
 средств и систем обработки информации, используемых в со- ответствии с заданной информационной технологией;
 средств обеспечения объекта информатизации;
 помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров.

188
Рис.13.1 - Виды и состав объектов информатизации
Исходя из логики составляющих защищаемого объекта инфор- матизации, существующих нормативных документов и стандартов в области защиты информации можно выделить два основных вида за- щищаемых объектов информатизации:
1-й вид. Защищаемые объекты информатизации предприятия, учреждения, организации, предназначенные для обработки, хранения, передачи информационных ресурсов ограниченного доступа.
2-й вид – защищаемые помещения и объекты, предназначенные для ведения конфиденциальных переговоров.
Первый из указанных видов включает три типа защищаемых объектов информатизации:
1. Автоматизированные системы различного уровня и назначе- ния.
2. Системы связи, приема, обработки и передачи данных.
3. Системы отображения и размножения.
Второй – один тип – помещения или объекты, предназначенные для ведения конфиденциальных переговоров.
Классификация ЗОИ по видам и типам представлена на рис.13.2
С о с т а в ОИ
ЗОИ - помещения и объекты для конфиденциальных пере- говоров
Защищаемые объекты информатизации
ЗОИ, предназначенные для обработки, хранения, передачи ИОД
В И Д Ы
Средства обес- печения
ЗОИ
Помещения, в которых уста- новлены сред- ства обработки
Средства и системы об- работки ин- формации
Информаци- онные ресурсы

189
Рис.13.2 – Классификация ЗОИ по видам и типам
Хранилища носителей информации ограниченного доступа.
Хранилища носителей ИОД являются объектами защиты информации, устанавливаются в охраняемых помещениях и являются одним из ру- бежей физической защиты, если отвечают определённым требованиям.
В соответствии с ГОСТ Р 50862 — 96 «Системы безопасности. Ин- женерные средства защиты. Сейфы и хранилища ценностей. Требова- ния и методы испытаний на устойчивость к взлому и огнестойкость», в качестве хранилища ИОД могут быть:
-хранилище ценностей — сооружение, представляющее собой же- лезобетонную оболочку (стены, пол, потолок), предназначенное для хранения ценностей, документов и носителей информации, с площа- дью основания изнутри более 2 м
2
, защищенное от взлома и устойчи- вое к воздействию опасных факторов пожара;
- сейф — устройство, предназначенное для хранения ценностей, документов и носителей информации, с площадью основания из- нутри не более 2 м
2
и устойчивое к взлому.
Они должны соответствовать следующим минимальным требова- ниям, обеспечивающим [Грибунин]:
- регистрацию несанкционированного проникновения (путем оборудования сигнализацией на вскрытие, приспособлениями для опечатывания и т.п.);
Системы ото- бражения и раз- множения
Помещения и объекты для конфиденци- альных перего- воров
Системы свя- зи, приема, обработки и передачи дан- ных
АС различно- го уровня и назначения
ЗОИ - помещения и объекты для конфиденциальных пере- говоров
Защищаемые объекты информатизации
ЗОИ, предназначенные для обработки, хранения, передачи ИОД
В И Д Ы
Т И П Ы

190
- невозможность выноса хранилища за пределы помещения;
- защиту хранящихся носителей от физического разрушения (при пожаре, других стихийных бедствиях);
- противодействие взлому конструкций и замков хранилища в те- чение заданного временного промежутка, достаточного для выявления факта несанкционированного воздействия и реакции подразделений охраны и безопасности.
При соответствии требованиям хранилища носителей ИОД одно- временно являются объектами и средствами защиты.
13.2 Средства и системы обработки информации как объекты
защиты информации
Средства и системы обработки информации, как объекты защиты информации, составляют техническую основу ЗОИ, предназначенных для обработки, хранения и передачи ИОД.
В специальных нормативных документах по защите информации ограниченного доступа они определены как «основные технические средства и системы».
Основные технические средства и системы (ОТСС) - техниче- ские средства и системы, а также их коммуникации, используемые для обработки, хранения и передачи информации ограниченного доступа.
К ОТСС относятся:
1. Автоматизированные системы различного уровня и назначе- ния.
2. Системы связи, приема, обработки и передачи данных.
3. Системы отображения и размножения.
Автоматизированные системы. Автоматизированная система
(АС) - система, состоящая из персонала и комплекса средств автомати- зации его деятельности, реализующая информационную технологию выполнения установленных функций. В качестве АС может рассмат- риваться информационная система и персонал.
В зависимости от условий обработки на конкретном ЗОИ и степе- ни конфиденциальности (секретности) информационных ресурсов об- рабатываемы в АС, специальными нормативными (руководящими) до- кументами установлено 9 классов защищённости АС от НСД, на осно- ве которых эти АС аттестуются по требованиям безопасности инфор- мации.
Типы объектов информатизации, основанные на типе систем и средств обработки информации (ОТСС) приведены в табл.13.1.

191
Табл.13.1- Типы объектов информатизации, основанные на типе систем и средств обработки информации
Тип объекта информати- зации
Характеристика или состав ОТСС
1. Автоматизированные системы
(IT- система)
Система, состоящая из персонала и ком- плекса средств автоматизации его деятельно- сти, реализующая информационную техноло- гию выполнения установленных функций.
Создаются на базе СВТ (ОС, СУБД, другого общесистемного программного обеспечения, используемого для обработки ИОД)
2. Системы связи, приема, обработки и передачи данных
Средства телефонии, звукозаписи, звукоусиле- ния, звуковоспроизведения, переговорные и те- левизионные устройства
Информационно-телекоммуникационные сети
(ИТКС)
Другие технические средства обработки рече- вой, графической, видео, смысловой и буквенно
- цифровой информации
3. Системы отображения и размножения
Средства отображения (видеопроектор, LCD –
экран для общего просмотра и т.п.)
Средства изготовления, тиражирования доку- ментов (принтер, ксерокс, плоттер, сканер и т.п.)
АС создаются на базе СВТ. Под СВТ понимается совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем. К ним относят общесистемные программные средства и опе- рационные системы (с учетом архитектуры ЭВМ):
- операционные системы ( семейств Windows, NetWare, UNIX и др.),
- СУБД (Oracle, Microsoft SQL Server, Informix и др.);
- программное обеспечение (электронный документооборот, справочные системы, электронная бухгалтерия и т.п.)
Требования по безопасности информации в СВТ, как объектах защиты информации определены в нормативном документе « Руково- дящий документ.
Средства вычислительной техники.

192
Защита от несанкционированного доступа к информации
Показатели защищенности от несанкционированного доступа к ин- формации».
Руководящим документом установлены 7 классов защищённости
СВТ. Выбор класса защищенности СВТ для автоматизированных сис- тем, создаваемых на базе защищенных СВТ, зависит от грифа конфи- денциальности (секретности) обрабатываемой в АС информации, ус- ловий эксплуатации и расположения объектов системы.
Системы связи, приема, обработки и передачи данных. Сис- темы связи, приема, обработки и передачи данных создаются и функ- ционируют на основе соответствующих средств и сетей. К ним могут быть отнесены:
-средства телефонии, звукозаписи, звукоусиления, звуковоспро- изведения, переговорные и телевизионные устройства;
-информационно-телекоммуникационные сети (ИТКС);
-другие технические средства обработки речевой, графической, видео, смысловой и буквенно - цифровой информации. Аттестуются по требованиям безопасности информации как объекты информатиза- ции. Требования безопасности установлены специальными норматив- ными документами по защите информации.
Системы отображения и размножения. К системам отображе- ния и размножения, рассматриваемых в качестве ОТСС, относят:
- средства отображения (видеопроектор, LCD –экран для общего просмотра (электронная доска) и т.п.)
- средства изготовления, тиражирования документов (принтер, ксерокс, плоттер, сканер и т.п.).
Аттестуются по требованиям безопасности информации как объ- екты информатизации. Требования безопасности установлены специ- альными нормативными документами по защите информации.
Для аттестации указанных трёх типов защищаемых объектов ин- форматизации, также должны быть выполнены требования по безо- пасности для средств обеспечения объекта информатизации и предот- вращению утечки ИОД через эти средства и системы.
13.3 Средства обеспечения объекта информатизации
Состав средств обеспечения объекта информатизации. Состав средств обеспечения объекта информатизации может быть представ- лен в виде трёх групп (табл.13.2):

193
Табл.13.2 – Средства обеспечения объекта информатизации
Группа средств
Средства обеспечения объекта информатизации
ВТСС
Различного рода телефонные средства и системы;
Средства и системы передачи данных в системе ра- диосвязи;
Средства и системы охранной и пожарной сигнализа- ции;
Средства и системы оповещения и сигнализации;
Контрольно-измерительная аппаратура;
Средства и системы кондиционирования;
Средства и системы проводной радиотрансляционной сети и приема программ радиовещания и телевидения
(абонентские громкоговорители, системы радиовеща- ния, телевизоры и радиоприемники и т.д.);
Средства электронной оргтехники;
Средства и системы электрочасофикации;
Иные технические средства и системы.
Системы элек- тропитания и за- земления
Системы электропитания
Системы заземления
Ограждающие конструкции и инженерные коммуникации
Системы отопления
Канализация
Турникеты другие
- вспомогательные технические средства и системы (ВТСС), ус- танавливаемые совместно с ОТСС или в помещениях для конфиденци- альных переговоров,
- средства инженерных коммуникаций и ограждающие конструк- ции;
- системы электропитания и заземления.
Вспомогательные технические средства и системы (ВТСС) - технические средства и системы, не предназначенные для передачи,

194
обработки и хранения конфиденциальной информации, устанавливае- мые совместно с основными техническими средствами и системами или в защищаемых (выделенных) помещениях.
Вспомогательные технические средства и системы. К ВТСС относятся:
- различного рода телефонные средства и системы;
- средства и системы передачи данных в системе радиосвязи;
- средства и системы охранной и пожарной сигнализации;
- средства и системы оповещения и сигнализации;
- контрольно-измерительная аппаратура;
- средства и системы кондиционирования;
- средства и системы проводной радиотрансляционной сети и приема программ радиовещания и телевидения (абонентские громко- говорители, системы радиовещания, телевизоры и радиоприемники и т.д.);
- средства электронной оргтехники;
- средства и системы электрочасофикации;
- иные технические средства и системы.
Через ВТСС за счёт наводок возможна утечка информации по техническим каналам. Их расположение, использование не должно приводить к появлению каналов утечки ИОД. Их работа на объекте информатизации должна быть строго регламентирована. При аттеста- ции объекта информатизации по требованиям безопасности информа- ции осуществляется проверка и соответствие мероприятий, требовани- ям, определённым специальными нормативными документами для
ВТСС на защищаемом объекте информатизации.
Системы электропитания и заземления. Системы электропита- ния и заземления должны соответствовать стандартам и нормативным документам в этой области. Являются потенциальными техническими каналами утечки ИОД, если имеют выход за пределы контролируемой зоны. Требования по предотвращению утечки информации через сис- темы электропитания и заземления за счёт наводок определены в спе- циальных нормативных документах по защите информации. При атте- стации объекта информатизации по требованиям безопасности инфор- мации осуществляется проверка и соответствие мероприятий по пре- дотвращению утечки ИОД по каналам образуемым системами элек- тропитания и заземления.
Ограждающие конструкции и инженерные коммуникации. К этой группе объектов относятся: системы отопления, канализация, турникеты, и другие конструкции и инженерные коммуникации. При аттестации объекта информатизации по требованиям безопасности

195
информации осуществляется проверка наличия каналов утечки ИОД через указанные элементы, при их наличии и соответствие мероприя- тий и средств защиты предотвращающих возможность утечки ИОД.
13.4 Помещения, в которых установлены средства обработки, и
помещения для конфиденциальных переговоров как объекты за-
щиты информации
Общая характеристика помещений как объектов защиты ин-
формации. Как объекты защиты, объекты информатизации не могут быть охарактеризованы без понятия контролируемой зоны.
Контролируемая зона (КЗ) - это пространство (территория, здание, часть здания), в котором исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового допуска, и посторонних транспортных средств.
Границей КЗ могут являться:
- периметр охраняемой территории учреждения (предприятия);
- ограждающие конструкции охраняемого здания или охраняемой части здания (помещения), если оно размещено на неохраняемой тер- ритории.
В отдельных случаях на период обработки техническими сред- ствами конфиденциальной информации КЗ временно может устанав- ливаться большей, чем охраняемая территория предприятия. При этом должны приниматься организационно-режимные и технические меры, исключающие или существенно затрудняющие возможность ведения перехвата информации в этой зоне.
Помещения, в которых установлены ОТСС, обрабатывающие
ИОД, и помещения для конфиденциальных переговоров как объекты защиты характеризуются определёнными параметрами:
- расположением в здании (этаж) – этажность;
- расположением на территории предприятия и (или) здания;
- наличием (количеством) окон, дверей их расположением;
- прохождением систем тепло и водоснабжения, вентиляции и др.
Указанные параметры и периметр контролируемой зоны влияют на необходимый перечень мер, методов и средств, для защиты инфор- мации на объекте информатизации.
Помещения (здания) для работы с защищаемой информацией яв- ляются одним из рубежей, препятствующих несанкционированному доступу к объектам защиты. Они должны удовлетворять следующим требованиям [Гр.]:
- обеспечивать защиту от проникновения злоумышленника (фи-

196
зическую защиту) на время, необходимое для выявления и пресечения нарушения;
- исключать просмотр и прослушивание;
- обеспечивать сохранность носителей защищаемой информации от хищений с использованием квалифицированных методов взлома;
- обеспечивать безопасность персонала объектов и посетителей от вооруженных нападений;
- соответствовать строительным нормам и правилам, санитарно- гигиеническим нормам, требованиям противопожарной безопасности;
- при проведении работ с информацией обеспечивать ее защиту от утечки по техническим каналам; иметь условия для разграничения доступа к проводимым работам.
Помещения, в которых установлены средства обработки за-
щищаемой информации. Помещения, в которых установлены сред- ства обработки защищаемой информации, не являются самостоятель- ными объектами информатизации и защиты. При аттестации объекта информации по требованиям безопасности информации, помещения в которых установлены ОТСС обрабатывающие ИОД, должны соответ- ствовать требованиям и рекомендациям, установленным специальны- ми нормативными документами, а также стандартам для средств фи- зической защиты (укреплённости) помещений (стандарты определяю- щие требования к остеклению, дверям, замкам, стойкость к взлому стен, перекрытий, системам охранной и пожарной сигнализации, сис- темам контроля и управления доступом и др.).
Помещения для конфиденциальных переговоров. Помещения для конфиденциальных переговоров относятся к отдельному типу за- щищаемых объектов информатизации – защищаемым помещениям.
Защищаемые помещения (ЗП) – помещения (служебные кабинеты, актовые, конференц-залы и т.д.), специально предназначенные для проведения конфиденциальных мероприятий (совещаний, обсуждений, конференций, переговоров и т.п.).
В помещениях для конфиденциальных переговоров информация не хранится постоянно. В связи с этим их относят к классу «выделенных» защищаемых помещений.
Главной задачей защиты информации в помещениях для конфи- денциальных переговоров является защита речевой акустической ин- формации. Помещения должны удовлетворять следующим основным требованиям:
- обеспечивать защиту от проникновения злоумышленника (фи- зическую защиту) на время, необходимое для выявления и пресечения нарушения ( предотвращение установки закладочных устройств);
- исключать просмотр и прослушивание ИОД в период конфи-

197
денциальных переговоров.
Перечень мероприятий и комплекс средств, для защиты таких по- мещений зависит от уровня конфиденциальности (секретности) огла- шаемой в период переговоров информации. Требования к «выделен- ным» помещениям, в которых оглашается сведения, составляющие го- сударственную тайну, определены в специальных нормативных доку- ментах по защите государственной тайны. Требования к «выделен- ным» помещениям, в которых оглашается сведения конфиденциально- го характера, определены в специальных нормативных документах по защите конфиденциальной информации.
Для предотвращения применения со стороны злоумышленников
(разведок) закладочных устройств защищаемые помещения подверга- ют специальным проверкам.
Контрольные вопросы и задания
1. Что понимают под объектом защиты информации?
2. Перечислите основные объекты защиты информации
3. Какие существуют виды и типы объектов информатизации?
4. Что представляют собой хранилища носителей ИОД как объек- ты защиты информации?
5. Какие системы составляют основу защищаемых объектов ин- форматизации, и как они определяются в специальных нормативных документах?
6. На основе каких средств, создаются автоматизированные систе- мы, составляющие основу защищаемого объекта информатизации?
7. Что включают в себя ВТСС и какое влияние они оказывают на защищённость объекта информатизации?
8. Какими параметрами характеризуются помещения, в которых установлены ОТСС, обрабатывающие ИОД, и помещения для конфи- денциальных переговоров и на что они влияют?
9. Каким основным требованиям должны соответствовать поме- щения, в которых установлены средства обработки защищаемой ин- формации?
10. Что представляют собой помещения для конфиденциальных переговоров как объекты защиты, и каким основным требованиям они должны удовлетворять?

198