Лекция 11 (1). Лекция 11 казанский национальный исследовательский техногогический университет казань 2019 Учебные вопросы
 Скачать 0.93 Mb.
|
ОБЪЕКТЫ ЗАЩИТЫ ИНФОРМАЦИИЛекция 11КАЗАНСКИЙ НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ ТЕХНОГОГИЧЕСКИЙ УНИВЕРСИТЕТ Казань 2019 Учебные вопросы:1. Понятие и общая классификация объектов защиты информации.2. Средства и системы обработки информации как объекты защиты информации.3. Средства обеспечения объекта информатизации.4. Помещения, в которых установлены средства обработки, и помещения для конфиденциальных переговоров как объекты защиты информацииПервый вопрос: Понятие и общая классификация объектов защиты информации.Понятие объекта защиты информации. Одним из элементов проектирования системы защиты информации в организации является определение объектов защиты. Объект – любая часть, элемент, устройство, подсистема, функциональная единица, аппаратура или система, которые можно рассматривать в отдельности (Международный стандарт CEI IEC 50 (191).Надежность и качество услуг). Объект защиты информации – информация, или носитель информации, или информационный процесс, которые необходимо защищать в соответствии с поставленной целью защиты информации. Понятие объекта защиты информации. Стандартами и специальными нормативными документами по защите информации к объектам защиты информации также относятся: – защищаемая информационная система; – защищаемый объект информатизации; – хранилища носителей информации ограниченного доступа. Состав основных объектов защиты информации. Защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации. Собственником информации может быть: государство, юридическое лицо, группа физических лиц, отдельное физическое лицо. В соответствии с правовыми документами (законодательством России) к защищаемой информации могут быть отнесены ): - информация с ограниченным доступом; - общедоступная информация; - объекты интеллектуальной собственности. Основные объекты защиты информации соответствуют основным объектам обеспечения информационной безопасности организации. Объекты обеспечения информационной безопасности в контексте безопасности системы информационных технологий организации именуются активами. Активы (А) - все, что имеет ценность для организации. Актив системы информационных технологий является компонентом или частью общей системы, в которую организация напрямую вкладывает средства, и который, соответственно, требует защиты со стороны организации. Могут существовать следующие типы активов : 1. Информация/данные: а) информация в форме сведений (сведения об участниках организации, о состоянии рынка, престиж (имидж) организации и доброе имя участников организации и т.п.); б) информация в форме сообщений (документированная информация: документы, закрепляющие права собственников организации на материальные и нематериальные активы, документация бухгалтерского учёта, налоговые декларации, договоры на выполнение работ и оказание услуг, документация на выпускаемые изделия и.т.п.); в) информация (данные) - информационные ресурсы в информационных системах организации Носитель информации – физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин. Все носители защищаемой информации условно можно разделить на две группы. Первая группа – это непосредственные (первичные) носители информации. Вторая группа – опосредованные (вторичные) носители информации. Носители защищаемой информации являются конечными объектами защиты. Защищаемые информационные процессы. Информационные процессы – это процессы обработки информации с использованием информационных технологий и технических средств. Обработка информации – совокупность операций сбора, накопления, ввода, вывода, приема, передачи, тиражирования, записи, хранения, регистрации, уничтожения, преобразования, отображения информации. Требования к защищённости информационных процессов реализуются через требования к защищённости информационных и информационно-телекоммуникационных технологий, средств вычислительной техники, информационных систем, объектов информатизации. Защищаемая информационная система - информационная система, предназначенная для обработки защищаемой информации с требуемым уровнем ее защищенности. Защищаемый объект информатизации (ЗОИ) – объект информатизации, предназначенный для обработки защищаемой информации с требуемым уровнем ее защищенности. Классификация объектов информатизации. Состав типового объекта информатизации, как объекта защиты, приводится в стандарте ГОСТ Р 51275-2006. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. В соответствии с этим стандартом объект информатизации это совокупность: – информационных ресурсов; – средств и систем обработки информации, используемых в соответствии с заданной информационной технологией; – средств обеспечения объекта информатизации; – помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров. Виды и состав объектов информатизации. Согласно нормативных документов и стандартов в области защиты информации выделяют два основных вида защищаемых объектов информатизации Первый вид – защищаемые объекты информатизации предприятия, учреждения, организации, предназначенные для обработки, хранения, передачи информационных ресурсов ограниченного доступа. Первый из указанных видов включает три типа защищаемых объектов информатизации: 1) автоматизированные системы различного уровня и назначения; 2) системы связи, приема, обработки и передачи данных; 3) системы отображения и размножения. Второй вид – защищаемые помещения и объекты, предназначенные для ведения конфиденциальных переговоров. Второй – один тип – помещения или объекты, предназначенные для ведения конфиденциальных переговоров. Классификация ЗОИ по видам и типам Хранилища носителей информации ограниченного доступа. В качестве объектов защиты информации рассматриваются: – сейф (устройство, предназначенное для хранения ценностей, документов и носителей информации, с площадью основания изнутри не более 2 м2 и устойчивое к взлому. По конструктивному исполнению сейфы подразделяют на простые и модульные.). – хранилище (сооружение, представляющее собой железобетонную оболочку (стены, пол, потолок), предназначенное для хранения ценностей, документов и носителей информации, с площадью основания изнутри более 2 м2, защищенное от взлома и устойчивое к воздействию опасных факторов пожара. Подразделяются на: монолитные; сборные из панелей; комбинированные. Хранилища носителей информации ограниченного доступа. Хранилища и сейфы для хранения носителей ИОД являются одним из рубежей физической защиты, если отвечают определённым требованиям . Минимальные требования должны обеспечить: – регистрацию несанкционированного проникновения (путем оборудования сигнализацией на вскрытие, приспособлениями для опечатывания и т.п.); – невозможность выноса хранилища за пределы помещения; – защиту хранящихся носителей от физического разрушения (при пожаре, других стихийных бедствиях); Хранилища носителей информации ограниченного доступа. Минимальные требования должны обеспечить: –противодействие взлому конструкций и замков хранилища в течение заданного временного промежутка, достаточного для выявления факта несанкционированного воздействия и реакции подразделений охраны и безопасности. Полные требования к этой категории объектов защиты информации установлены ГОСТ Р 50862-2012. Сейфы, сейфовые комнаты и хранилища. Требования и методы испытаний на устойчивость к взлому и огнестойкость. При соответствии требованиям хранилища носителей ИОД одновременно являются объектами и средствами защиты. Второй вопрос: Средства и системы обработки информации как объекты защиты информации.Средства и системы обработки информации, как объекты защиты информации, составляют техническую основу ЗОИ, предназначенных для обработки, хранения и передачи ИОД. В специальных нормативных документах по защите информации ограниченного доступа они определены как «основные технические средства и системы». Основные технические средства и системы (ОТСС) - технические средства и системы, а также их коммуникации, используемые для обработки, хранения и передачи информации ограниченного доступа. К ОТСС относятся: 1) автоматизированные системы различного уровня и назначения. 2) системы связи, приема, обработки и передачи данных. 3) системы отображения и размножения. Автоматизированные системы. Автоматизированная система (АС) – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций. В качестве АС может рассматриваться информационная система и персонал. В зависимости от условий обработки на конкретном ЗОИ и степени конфиденциальности (секретности) информационных ресурсов обрабатываемы в АС, специальными нормативными (руководящими) документами установлено 9 классов защищённости АС от НСД, на основе которых эти АС аттестуются по требованиям безопасности информации.
Типы объектов информатизации, основанные на типе систем и средств обработки информации
Типы объектов информатизации, основанные на типе систем и средств обработки информации
Типы объектов информатизации, основанные на типе систем и средств обработки информации АС создаются на базе СВТ. Под СВТ понимается совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем. К ним относят общесистемные программные средства и операционные системы (с учетом архитектуры ЭВМ): – операционные системы – СУБД – программное обеспечение (электронный документооборот, справочные системы, электронная бухгалтерия и т.п.) Требования по безопасности информации в СВТ, как объектах защиты информации определены в нормативном документе « Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации». Руководящим документом установлены семь классов защищённости СВТ. Выбор класса защищенности СВТ для автоматизированных систем, создаваемых на базе защищенных СВТ, зависит от грифа конфиденциальности (секретности) обрабатываемой в АС информации, условий эксплуатации и расположения объектов системы. Системы связи, приема, обработки и передачи данных. Системы связи, приема, обработки и передачи данных создаются и функционируют на основе соответствующих средств и сетей. К ним могут быть отнесены: – средства телефонии, звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства; – информационно-телекоммуникационные сети (ИТКС); – другие технические средства обработки речевой, графической, видео, смысловой и буквенно - цифровой информации. Аттестуются по требованиям безопасности информации как объекты информатизации. Требования безопасности установлены специальными нормативными документами по защите информации. Системы отображения и размножения. К системам отображения и размножения, рассматриваемых в качестве ОТСС, относят: – средства отображения (видеопроектор, LCD –экран для общего просмотра (электронная доска) и т.п.) – средства изготовления, тиражирования документов (принтер, ксерокс, плоттер, сканер и т.п.). Аттестуются по требованиям безопасности информации как объекты информатизации. Требования безопасности установлены специальными нормативными документами по защите информации. Для аттестации указанных трёх типов защищаемых объектов информатизации, также должны быть выполнены требования по безопасности для средств обеспечения объекта информатизации и предотвращению утечки ИОД через эти средства и системы. Третий вопрос: Средства обеспечения объекта информатизацииСостав средств обеспечения объекта информатизации. Состав средств обеспечения объекта информатизации может быть представлен в виде трёх групп : вспомогательные технические средства и системы (ВТСС), устанавливаемые совместно с ОТСС или в помещениях для конфиденциальных переговоров, – средства инженерных коммуникаций и ограждающие конструкции; – системы электропитания и заземления.
Средства обеспечения объекта информатизации
Средства обеспечения объекта информатизации Вспомогательные технические средства и системы Вспомогательные технические средства и системы (ВТСС) –технические средства и системы, не предназначенные для передачи, обработки и хранения конфиденциальной информации, устанавливаемые совместно с основными техническими средствами и системами или в защищаемых (выделенных) помещениях. . Вспомогательные технические средства и системы Через ВТСС за счёт наводок возможна утечка информации по техническим каналам. Их расположение, использование не должно приводить к появлению каналов утечки ИОД. Их работа на объекте информатизации должна быть строго регламентирована. При аттестации объекта информатизации по требованиям безопасности информации осуществляется проверка и соответствие мероприятий, требованиям, определённым специальными нормативными документами для ВТСС на защищаемом объекте информатизации. Системы электропитания и заземления. Системы электропитания и заземления должны соответствовать стандартам и нормативным документам в этой области. Являются потенциальными техническими каналами утечки ИОД, если имеют выход за пределы контролируемой зоны. Требования по предотвращению утечки информации через системы электропитания и заземления за счёт наводок определены в специальных нормативных документах по защите информации. При аттестации объекта информатизации по требованиям безопасности информации осуществляется проверка и соответствие мероприятий по предотвращению утечки ИОД по каналам образуемым системами электропитания и заземления. Ограждающие конструкции и инженерные коммуникации. К этой группе объектов относятся: системы отопления, канализация, турникеты, и другие конструкции и инженерные коммуникации. При аттестации объекта информатизации по требованиям безопасности информации осуществляется проверка наличия каналов утечки ИОД через указанные элементы, при их наличии и соответствие мероприятий и средств защиты предотвращающих возможность утечки ИОД. Четвертый вопрос Помещения, в которых установлены средства обработки, и помещения для конфиденциальных переговоров как объекты защиты информации Общая характеристика помещений как объектов защиты информации. Как объекты защиты, объекты информатизации не могут быть охарактеризованы без понятия контролируемой зоны. Контролируемая зона (КЗ) – это пространство (территория, здание, часть здания), в котором исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового допуска, и посторонних транспортных средств. Границей КЗ могут являться: – периметр охраняемой территории учреждения (предприятия); – ограждающие конструкции охраняемого здания или охраняемой части здания (помещения), если оно размещено на неохраняемой территории. Общая характеристика помещений как объектов защиты информации. В отдельных случаях на период обработки техническими средствами конфиденциальной информации КЗ временно может устанавливаться большей, чем охраняемая территория предприятия. При этом должны приниматься организационно-режимные и технические меры, исключающие или существенно затрудняющие возможность ведения перехвата информации в этой зоне. Общая характеристика помещений как объектов защиты информации. Помещения, в которых установлены ОТСС, обрабатывающие ИОД, и помещения для конфиденциальных переговоров как объекты защиты характеризуются определёнными параметрами: – расположением в здании (этаж) – этажность; – расположением на территории предприятия и (или) здания; – наличием (количеством) окон, дверей их расположением; – прохождением систем тепло и водоснабжения, вентиляции и др. Указанные параметры и периметр контролируемой зоны влияют на необходимый перечень мер, методов и средств, для защиты информации на объекте информатизации. Помещения (здания) для работы с защищаемой информацией являются одним из рубежей, препятствующих несанкционированному доступу к объектам защиты. Они должны удовлетворять следующим требованиям: – обеспечивать защиту от проникновения злоумышленника (физическую защиту) на время, необходимое для выявления и пресечения нарушения; – исключать просмотр и прослушивание; – обеспечивать сохранность носителей защищаемой информации от хищений с использованием квалифицированных методов взлома; Они должны удовлетворять следующим требованиям: – обеспечивать безопасность персонала объектов и посетителей от вооруженных нападений; – соответствовать строительным нормам и правилам, санитарно-гигиеническим нормам, требованиям противопожарной безопасности; – при проведении работ с информацией обеспечивать ее защиту от утечки по техническим каналам; – иметь условия для разграничения доступа к проводимым работам. Помещения, в которых установлены средства обработки защищаемой информации. Помещения, в которых установлены средства обработки защищаемой информации, не являются самостоятельными объектами информатизации и защиты. При аттестации объекта информации по требованиям безопасности информации, помещения в которых установлены ОТСС обрабатывающие ИОД, должны соответствовать требованиям и рекомендациям, установленным специальными нормативными документами, а также стандартам для средств физической защиты (укреплённости) помещений (стандарты определяющие требования к остеклению, дверям, замкам, стойкость к взлому стен, перекрытий, системам охранной и пожарной сигнализации, системам контроля и управления доступом и др.). Помещения для конфиденциальных переговоров. Помещения для конфиденциальных переговоров относятся к отдельному типу защищаемых объектов информатизации – защищаемым помещениям. Защищаемые помещения (ЗП) – помещения (служебные кабинеты, актовые, конференц-залы и т.д.), специально предназначенные для проведения конфиденциальных мероприятий (совещаний, обсуждений, конференций, переговоров и т.п.). В помещениях для конфиденциальных переговоров информация не хранится постоянно. В связи с этим их относят к классу «выделенных» защищаемых помещений. Главной задачей защиты информации в помещениях для конфиденциальных переговоров является защита речевой акустической информации. Помещения должны удовлетворять следующим основным требованиям: – обеспечивать защиту от проникновения злоумышленника (физическую защиту) на время, необходимое для выявления и пресечения нарушения ( предотвращение установки закладочных устройств); – исключать просмотр и прослушивание ИОД в период конфиденциальных переговоров. Перечень мероприятий и комплекс средств, для защиты таких помещений зависит от уровня конфиденциальности (секретности) оглашаемой в период переговоров информации. Требования к «выделенным» помещениям, в которых оглашается сведения, составляющие государственную тайну, определены в специальных нормативных документах по защите государственной тайны. Требования к «выделенным» помещениям, в которых оглашается сведения конфиденциального характера, определены в специальных нормативных документах по защите конфиденциальной информации. Для предотвращения применения со стороны злоумышленников (разведок) закладочных устройств защищаемые помещения подвергают специальным проверкам. СПАСИБО ЗА ВНИМАНИЕ! |