ТИБМЗИ 2010 Загинайлов. Алтайский государственный технический
Скачать 1.4 Mb.
|
Глава 13 ОБЪЕКТЫ ЗАЩИТЫ ИНФОРМАЦИИ 13.1 Понятие и общая классификация объектов защиты информации Понятие объекта защиты информации. Одним из элементов проектирования системы защиты информации в организации является определение объектов защиты. Объект- любая часть, элемент, устройство, подсистема, функ- циональная единица, аппаратура или система, которые можно рас- сматривать в отдельности (Международный стандарт CEI IEC 50 (191). Надежность и качество услуг). Объект защиты информации - информация, или носитель ин- формации, или информационный процесс, которые необходимо защи- щать в соответствии с поставленной целью защиты информации. Стандартами и нормативными документами по защите информации к объектам защиты информации также относятся: -защищаемая информационная система; -защищаемый объект информатизации; -хранилища носителей информации ограниченного доступа. Состав основных объектов защиты информации представлен на рис.13.1. Рис.13.1 – Объекты защиты информации Объекты защиты информации Защищаемая информация Защищаемая информационная система Носитель защи- щаемой информа- ции Информационный процесс Защищаемый объ- ект информатиза- ции Хранилища но- сителей ИОД 187 Основные объекты защиты информации соответствуют основным объектам обеспечения информационной безопасности организации приведенным в главе 4. Состав защищаемой информации, её особенности и характери- стики, а также носители защищаемой информации, их классификация и характеристики, рассмотрены в главе 7. Носители защищаемой ин- формации являются конечными объектами защиты. Защищаемые информационные процессы. Информационные процессы – это процессы обработки информации с использованием информационных технологий и технических средств. Обработка ин- формации - совокупность операций сбора, накопления, ввода, вывода, приема, передачи, тиражирования, записи, хранения, регистрации, уничтожения, преобразования, отображения информации. Требования к защищённости информационных процессов реализуются через тре- бования к защищённости информационных и информационно- телекоммуникационных технологий, средств вычислительной техники, информационных систем, объектов информатизации. Защищаемая информационная система. Защищаемая инфор- мационная система - информационная система, предназначенная для обработки защищаемой информации с требуемым уровнем ее защи- щенности. Защищаемые объекты информатизации. Защищаемый объект информатизации - объект информатизации, предназначенный для об- работки защищаемой информации с требуемым уровнем ее защищен- ности. Состав типового объекта информатизации, как объекта защиты приводится в стандарте ГОСТ Р 51275-2006. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. В соответствии с этим стандартом объект информатизации это сово- купность (рис.13.1): информационных ресурсов; средств и систем обработки информации, используемых в со- ответствии с заданной информационной технологией; средств обеспечения объекта информатизации; помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров. 188 Рис.13.1 - Виды и состав объектов информатизации Исходя из логики составляющих защищаемого объекта инфор- матизации, существующих нормативных документов и стандартов в области защиты информации можно выделить два основных вида за- щищаемых объектов информатизации: 1-й вид. Защищаемые объекты информатизации предприятия, учреждения, организации, предназначенные для обработки, хранения, передачи информационных ресурсов ограниченного доступа. 2-й вид – защищаемые помещения и объекты, предназначенные для ведения конфиденциальных переговоров. Первый из указанных видов включает три типа защищаемых объектов информатизации: 1. Автоматизированные системы различного уровня и назначе- ния. 2. Системы связи, приема, обработки и передачи данных. 3. Системы отображения и размножения. Второй – один тип – помещения или объекты, предназначенные для ведения конфиденциальных переговоров. Классификация ЗОИ по видам и типам представлена на рис.13.2 С о с т а в ОИ ЗОИ - помещения и объекты для конфиденциальных пере- говоров Защищаемые объекты информатизации ЗОИ, предназначенные для обработки, хранения, передачи ИОД В И Д Ы Средства обес- печения ЗОИ Помещения, в которых уста- новлены сред- ства обработки Средства и системы об- работки ин- формации Информаци- онные ресурсы 189 Рис.13.2 – Классификация ЗОИ по видам и типам Хранилища носителей информации ограниченного доступа. Хранилища носителей ИОД являются объектами защиты информации, устанавливаются в охраняемых помещениях и являются одним из ру- бежей физической защиты, если отвечают определённым требованиям. В соответствии с ГОСТ Р 50862 — 96 «Системы безопасности. Ин- женерные средства защиты. Сейфы и хранилища ценностей. Требова- ния и методы испытаний на устойчивость к взлому и огнестойкость», в качестве хранилища ИОД могут быть: -хранилище ценностей — сооружение, представляющее собой же- лезобетонную оболочку (стены, пол, потолок), предназначенное для хранения ценностей, документов и носителей информации, с площа- дью основания изнутри более 2 м 2 , защищенное от взлома и устойчи- вое к воздействию опасных факторов пожара; - сейф — устройство, предназначенное для хранения ценностей, документов и носителей информации, с площадью основания из- нутри не более 2 м 2 и устойчивое к взлому. Они должны соответствовать следующим минимальным требова- ниям, обеспечивающим [Грибунин]: - регистрацию несанкционированного проникновения (путем оборудования сигнализацией на вскрытие, приспособлениями для опечатывания и т.п.); Системы ото- бражения и раз- множения Помещения и объекты для конфиденци- альных перего- воров Системы свя- зи, приема, обработки и передачи дан- ных АС различно- го уровня и назначения ЗОИ - помещения и объекты для конфиденциальных пере- говоров Защищаемые объекты информатизации ЗОИ, предназначенные для обработки, хранения, передачи ИОД В И Д Ы Т И П Ы 190 - невозможность выноса хранилища за пределы помещения; - защиту хранящихся носителей от физического разрушения (при пожаре, других стихийных бедствиях); - противодействие взлому конструкций и замков хранилища в те- чение заданного временного промежутка, достаточного для выявления факта несанкционированного воздействия и реакции подразделений охраны и безопасности. При соответствии требованиям хранилища носителей ИОД одно- временно являются объектами и средствами защиты. 13.2 Средства и системы обработки информации как объекты защиты информации Средства и системы обработки информации, как объекты защиты информации, составляют техническую основу ЗОИ, предназначенных для обработки, хранения и передачи ИОД. В специальных нормативных документах по защите информации ограниченного доступа они определены как «основные технические средства и системы». Основные технические средства и системы (ОТСС) - техниче- ские средства и системы, а также их коммуникации, используемые для обработки, хранения и передачи информации ограниченного доступа. К ОТСС относятся: 1. Автоматизированные системы различного уровня и назначе- ния. 2. Системы связи, приема, обработки и передачи данных. 3. Системы отображения и размножения. Автоматизированные системы. Автоматизированная система (АС) - система, состоящая из персонала и комплекса средств автомати- зации его деятельности, реализующая информационную технологию выполнения установленных функций. В качестве АС может рассмат- риваться информационная система и персонал. В зависимости от условий обработки на конкретном ЗОИ и степе- ни конфиденциальности (секретности) информационных ресурсов об- рабатываемы в АС, специальными нормативными (руководящими) до- кументами установлено 9 классов защищённости АС от НСД, на осно- ве которых эти АС аттестуются по требованиям безопасности инфор- мации. Типы объектов информатизации, основанные на типе систем и средств обработки информации (ОТСС) приведены в табл.13.1. 191 Табл.13.1- Типы объектов информатизации, основанные на типе систем и средств обработки информации Тип объекта информати- зации Характеристика или состав ОТСС 1. Автоматизированные системы (IT- система) Система, состоящая из персонала и ком- плекса средств автоматизации его деятельно- сти, реализующая информационную техноло- гию выполнения установленных функций. Создаются на базе СВТ (ОС, СУБД, другого общесистемного программного обеспечения, используемого для обработки ИОД) 2. Системы связи, приема, обработки и передачи данных Средства телефонии, звукозаписи, звукоусиле- ния, звуковоспроизведения, переговорные и те- левизионные устройства Информационно-телекоммуникационные сети (ИТКС) Другие технические средства обработки рече- вой, графической, видео, смысловой и буквенно - цифровой информации 3. Системы отображения и размножения Средства отображения (видеопроектор, LCD – экран для общего просмотра и т.п.) Средства изготовления, тиражирования доку- ментов (принтер, ксерокс, плоттер, сканер и т.п.) АС создаются на базе СВТ. Под СВТ понимается совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем. К ним относят общесистемные программные средства и опе- рационные системы (с учетом архитектуры ЭВМ): - операционные системы ( семейств Windows, NetWare, UNIX и др.), - СУБД (Oracle, Microsoft SQL Server, Informix и др.); - программное обеспечение (электронный документооборот, справочные системы, электронная бухгалтерия и т.п.) Требования по безопасности информации в СВТ, как объектах защиты информации определены в нормативном документе « Руково- дящий документ. Средства вычислительной техники. 192 Защита от несанкционированного доступа к информации Показатели защищенности от несанкционированного доступа к ин- формации». Руководящим документом установлены 7 классов защищённости СВТ. Выбор класса защищенности СВТ для автоматизированных сис- тем, создаваемых на базе защищенных СВТ, зависит от грифа конфи- денциальности (секретности) обрабатываемой в АС информации, ус- ловий эксплуатации и расположения объектов системы. Системы связи, приема, обработки и передачи данных. Сис- темы связи, приема, обработки и передачи данных создаются и функ- ционируют на основе соответствующих средств и сетей. К ним могут быть отнесены: -средства телефонии, звукозаписи, звукоусиления, звуковоспро- изведения, переговорные и телевизионные устройства; -информационно-телекоммуникационные сети (ИТКС); -другие технические средства обработки речевой, графической, видео, смысловой и буквенно - цифровой информации. Аттестуются по требованиям безопасности информации как объекты информатиза- ции. Требования безопасности установлены специальными норматив- ными документами по защите информации. Системы отображения и размножения. К системам отображе- ния и размножения, рассматриваемых в качестве ОТСС, относят: - средства отображения (видеопроектор, LCD –экран для общего просмотра (электронная доска) и т.п.) - средства изготовления, тиражирования документов (принтер, ксерокс, плоттер, сканер и т.п.). Аттестуются по требованиям безопасности информации как объ- екты информатизации. Требования безопасности установлены специ- альными нормативными документами по защите информации. Для аттестации указанных трёх типов защищаемых объектов ин- форматизации, также должны быть выполнены требования по безо- пасности для средств обеспечения объекта информатизации и предот- вращению утечки ИОД через эти средства и системы. 13.3 Средства обеспечения объекта информатизации Состав средств обеспечения объекта информатизации. Состав средств обеспечения объекта информатизации может быть представ- лен в виде трёх групп (табл.13.2): 193 Табл.13.2 – Средства обеспечения объекта информатизации Группа средств Средства обеспечения объекта информатизации ВТСС Различного рода телефонные средства и системы; Средства и системы передачи данных в системе ра- диосвязи; Средства и системы охранной и пожарной сигнализа- ции; Средства и системы оповещения и сигнализации; Контрольно-измерительная аппаратура; Средства и системы кондиционирования; Средства и системы проводной радиотрансляционной сети и приема программ радиовещания и телевидения (абонентские громкоговорители, системы радиовеща- ния, телевизоры и радиоприемники и т.д.); Средства электронной оргтехники; Средства и системы электрочасофикации; Иные технические средства и системы. Системы элек- тропитания и за- земления Системы электропитания Системы заземления Ограждающие конструкции и инженерные коммуникации Системы отопления Канализация Турникеты другие - вспомогательные технические средства и системы (ВТСС), ус- танавливаемые совместно с ОТСС или в помещениях для конфиденци- альных переговоров, - средства инженерных коммуникаций и ограждающие конструк- ции; - системы электропитания и заземления. Вспомогательные технические средства и системы (ВТСС) - технические средства и системы, не предназначенные для передачи, 194 обработки и хранения конфиденциальной информации, устанавливае- мые совместно с основными техническими средствами и системами или в защищаемых (выделенных) помещениях. Вспомогательные технические средства и системы. К ВТСС относятся: - различного рода телефонные средства и системы; - средства и системы передачи данных в системе радиосвязи; - средства и системы охранной и пожарной сигнализации; - средства и системы оповещения и сигнализации; - контрольно-измерительная аппаратура; - средства и системы кондиционирования; - средства и системы проводной радиотрансляционной сети и приема программ радиовещания и телевидения (абонентские громко- говорители, системы радиовещания, телевизоры и радиоприемники и т.д.); - средства электронной оргтехники; - средства и системы электрочасофикации; - иные технические средства и системы. Через ВТСС за счёт наводок возможна утечка информации по техническим каналам. Их расположение, использование не должно приводить к появлению каналов утечки ИОД. Их работа на объекте информатизации должна быть строго регламентирована. При аттеста- ции объекта информатизации по требованиям безопасности информа- ции осуществляется проверка и соответствие мероприятий, требовани- ям, определённым специальными нормативными документами для ВТСС на защищаемом объекте информатизации. Системы электропитания и заземления. Системы электропита- ния и заземления должны соответствовать стандартам и нормативным документам в этой области. Являются потенциальными техническими каналами утечки ИОД, если имеют выход за пределы контролируемой зоны. Требования по предотвращению утечки информации через сис- темы электропитания и заземления за счёт наводок определены в спе- циальных нормативных документах по защите информации. При атте- стации объекта информатизации по требованиям безопасности инфор- мации осуществляется проверка и соответствие мероприятий по пре- дотвращению утечки ИОД по каналам образуемым системами элек- тропитания и заземления. Ограждающие конструкции и инженерные коммуникации. К этой группе объектов относятся: системы отопления, канализация, турникеты, и другие конструкции и инженерные коммуникации. При аттестации объекта информатизации по требованиям безопасности 195 информации осуществляется проверка наличия каналов утечки ИОД через указанные элементы, при их наличии и соответствие мероприя- тий и средств защиты предотвращающих возможность утечки ИОД. 13.4 Помещения, в которых установлены средства обработки, и помещения для конфиденциальных переговоров как объекты за- щиты информации Общая характеристика помещений как объектов защиты ин- формации. Как объекты защиты, объекты информатизации не могут быть охарактеризованы без понятия контролируемой зоны. Контролируемая зона (КЗ) - это пространство (территория, здание, часть здания), в котором исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового допуска, и посторонних транспортных средств. Границей КЗ могут являться: - периметр охраняемой территории учреждения (предприятия); - ограждающие конструкции охраняемого здания или охраняемой части здания (помещения), если оно размещено на неохраняемой тер- ритории. В отдельных случаях на период обработки техническими сред- ствами конфиденциальной информации КЗ временно может устанав- ливаться большей, чем охраняемая территория предприятия. При этом должны приниматься организационно-режимные и технические меры, исключающие или существенно затрудняющие возможность ведения перехвата информации в этой зоне. Помещения, в которых установлены ОТСС, обрабатывающие ИОД, и помещения для конфиденциальных переговоров как объекты защиты характеризуются определёнными параметрами: - расположением в здании (этаж) – этажность; - расположением на территории предприятия и (или) здания; - наличием (количеством) окон, дверей их расположением; - прохождением систем тепло и водоснабжения, вентиляции и др. Указанные параметры и периметр контролируемой зоны влияют на необходимый перечень мер, методов и средств, для защиты инфор- мации на объекте информатизации. Помещения (здания) для работы с защищаемой информацией яв- ляются одним из рубежей, препятствующих несанкционированному доступу к объектам защиты. Они должны удовлетворять следующим требованиям [Гр.]: - обеспечивать защиту от проникновения злоумышленника (фи- 196 зическую защиту) на время, необходимое для выявления и пресечения нарушения; - исключать просмотр и прослушивание; - обеспечивать сохранность носителей защищаемой информации от хищений с использованием квалифицированных методов взлома; - обеспечивать безопасность персонала объектов и посетителей от вооруженных нападений; - соответствовать строительным нормам и правилам, санитарно- гигиеническим нормам, требованиям противопожарной безопасности; - при проведении работ с информацией обеспечивать ее защиту от утечки по техническим каналам; иметь условия для разграничения доступа к проводимым работам. Помещения, в которых установлены средства обработки за- щищаемой информации. Помещения, в которых установлены сред- ства обработки защищаемой информации, не являются самостоятель- ными объектами информатизации и защиты. При аттестации объекта информации по требованиям безопасности информации, помещения в которых установлены ОТСС обрабатывающие ИОД, должны соответ- ствовать требованиям и рекомендациям, установленным специальны- ми нормативными документами, а также стандартам для средств фи- зической защиты (укреплённости) помещений (стандарты определяю- щие требования к остеклению, дверям, замкам, стойкость к взлому стен, перекрытий, системам охранной и пожарной сигнализации, сис- темам контроля и управления доступом и др.). Помещения для конфиденциальных переговоров. Помещения для конфиденциальных переговоров относятся к отдельному типу за- щищаемых объектов информатизации – защищаемым помещениям. Защищаемые помещения (ЗП) – помещения (служебные кабинеты, актовые, конференц-залы и т.д.), специально предназначенные для проведения конфиденциальных мероприятий (совещаний, обсуждений, конференций, переговоров и т.п.). В помещениях для конфиденциальных переговоров информация не хранится постоянно. В связи с этим их относят к классу «выделенных» защищаемых помещений. Главной задачей защиты информации в помещениях для конфи- денциальных переговоров является защита речевой акустической ин- формации. Помещения должны удовлетворять следующим основным требованиям: - обеспечивать защиту от проникновения злоумышленника (фи- зическую защиту) на время, необходимое для выявления и пресечения нарушения ( предотвращение установки закладочных устройств); - исключать просмотр и прослушивание ИОД в период конфи- 197 денциальных переговоров. Перечень мероприятий и комплекс средств, для защиты таких по- мещений зависит от уровня конфиденциальности (секретности) огла- шаемой в период переговоров информации. Требования к «выделен- ным» помещениям, в которых оглашается сведения, составляющие го- сударственную тайну, определены в специальных нормативных доку- ментах по защите государственной тайны. Требования к «выделен- ным» помещениям, в которых оглашается сведения конфиденциально- го характера, определены в специальных нормативных документах по защите конфиденциальной информации. Для предотвращения применения со стороны злоумышленников (разведок) закладочных устройств защищаемые помещения подверга- ют специальным проверкам. Контрольные вопросы и задания 1. Что понимают под объектом защиты информации? 2. Перечислите основные объекты защиты информации 3. Какие существуют виды и типы объектов информатизации? 4. Что представляют собой хранилища носителей ИОД как объек- ты защиты информации? 5. Какие системы составляют основу защищаемых объектов ин- форматизации, и как они определяются в специальных нормативных документах? 6. На основе каких средств, создаются автоматизированные систе- мы, составляющие основу защищаемого объекта информатизации? 7. Что включают в себя ВТСС и какое влияние они оказывают на защищённость объекта информатизации? 8. Какими параметрами характеризуются помещения, в которых установлены ОТСС, обрабатывающие ИОД, и помещения для конфи- денциальных переговоров и на что они влияют? 9. Каким основным требованиям должны соответствовать поме- щения, в которых установлены средства обработки защищаемой ин- формации? 10. Что представляют собой помещения для конфиденциальных переговоров как объекты защиты, и каким основным требованиям они должны удовлетворять? |