Практикум по противодействию техническим разведкам
 Скачать 314.11 Kb.
|
|
МИНИСТЕРСТВО НАУКИ И ВЫСШЕГО ОБРАЗОВАНИЯ РФ Бийский технологический институт (филиал) Федерального государственного бюджетного образовательного учреждения высшего образования «Алтайский государственный технический университет им. И.И. Ползунова» (БТИ АлтГТУ) А.В. Ожогин ПРАКТИКУМ ПО ПРОТИВОДЕЙСТВИЮ ТЕХНИЧЕСКИМ РАЗВЕДКАМ Методические рекомендации к выполнению практических работ и организации самостоятельной работы студентов по дисциплине «Противодействие техническим разведкам» для студентов специальности 17.05.01 «Боеприпасы и взрыватели» специализации «Патроны и гильзы», 18.05.01 «Химическая технология энергонасыщенных материалов и изделий» специализации «Автоматизированное производство химических предприятий», 18.05.01 «Химическая технология энергонасыщенных материалов и изделий» специализации «Химическая технология полимерных композиций порохов и твёрдых ракетных топлив», 18.05.01 «Химическая технология энергонасыщенных материалов и изделий» специализации «Химическая технология органических соединений азота», 24.05.02 «Проектирование авиационных и ракетных двигателей» специализации «Проектирование ракетных двигателей твёрдого топлива» Бийск Издательство Алтайского государственного технического университета им. И.И. Ползунова 2021 УДК 667.62/63(076) О45 Рецензент: А.И. Легаев, к.т.н., доцент кафедры МАХиПП БТИ АлтГТУ, доцент О45 Ожогин, А.В. Практикум по противодействию техническим разведкам: методические рекомендации к выполнению практических работ и организации самостоятельной работы студентов по дисциплине «Противодействие техническим разведкам» для студентов специальности 17.05.01 «Боеприпасы и взрыватели» специализации «Патроны и гильзы», 18.05.01 «Химическая технология энергонасыщенных материалов и изделий» специализации «Автоматизированное производство химических предприятий», 18.05.01 «Химическая технология энергонасыщенных материалов и изделий» специализации «Химическая технология полимерных композиций порохов и твёрдых ракетных топлив», 18.05.01 «Химическая технология энергонасыщенных материалов и изделий» специализации «Химическая технология органических соединений азота», 24.05.02 «Проектирование авиационных и ракетных двигателей» специализации «Проектирование ракетных двигателей твёрдого топлива» / А.В. Ожогин; Алт. гос. техн. ун-т, БТИ. – Бийск: Изд-во Алт. гос. техн. ун-та, 2021. – 21 с. В практикум включены задачи для практических занятий, самостоятельного решения, а также краткая теория, необходимая для их решения. Методические рекомендации могут быть использованы для самостоятельной работы студентов. УДК 667.62/63(076) Методические рекомендации издаются в авторской редакции. Рассмотрены и одобрены на заседании кафедры ХТЭМИ. Протокол № 16 от 21.05.2021 г. © Ожогин А.В., 2021 © БТИ АлтГТУ, 2021 3 СОДЕРЖАНИЕ ПРАКТИЧЕСКАЯ РАБОТА №1 Требования к безопасности информационных систем в России …………………………… 4 ПРАКТИЧЕСКАЯ РАБОТА №2 Составление инструкции по обработке и хранению конфиденциальных документов…………. 7 ПРАКТИЧЕСКАЯ РАБОТА №3 Определение коэффициента важности, полноты, адекватности, релевантности, толерантности информации………………………………………………………….. 13 ПРАКТИЧЕСКАЯ РАБОТА №4 Оценка состояния безопас-ности ИС США…………………………………………. 17 СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ………………... 21 4 ПРАКТИЧЕСКАЯ РАБОТА №1. ТРЕБОВАНИЯ К БЕЗОПАСНО- СТИ ИНФОРМАЦИОННЫХ СИСТЕМ В РОССИИ 1.1 Цель работы: Закрепление теоретических знаний в области правового обеспечения информационной безопасности. 1.2 Краткие теоретические сведения: Подход к безопасности реализован в руководящем документе Государственной технической комиссией при Президенте РФ «Классификация автоматизированных систем и требований по защите информации», выпущенном в 1992 г. Требования всех приведенных ниже документов обязательны для исполнения только для тех государственных либо коммерческих организаций, которые обрабатывают информацию, содержащую государственную тайну. Для остальных коммерческих структур документы носят рекомендательный характер. В данном документе выделено 9 классов защищенности автоматизированных систем от несанкционированного доступа к информации, а для каждого класса определен минимальный состав необходимых механизмов защиты и требования к содержанию защитных функций каждого из механизмов в каждом из классов систем. Классы систем разделены на три группы, причем основным критерием деления на группы приняты специфические особенности обработки информации, а именно: третья группа — системы, в которых работает один пользователь, допущенный ко всей обрабатываемой информации, размещенной на носителях одного уровня конфиденциальности; к группе отнесены два класса, обозначенные ЗБ и ЗА; вторая группа — системы, в которых работает несколько пользователей, которые имеют одинаковые права доступа ко всей информации, обрабатываемой и/или хранимой на носителях различного уровня конфиденциальности; к группе отнесены два класса, обозначенные 2Б и 2А; первая группа — многопользовательские системы, в которых одновременно обрабатывается и/или хранится информация разных уровней конфиденциальности, причем различные пользователи имеют разные права на доступ к информации; к группе отнесено 5 классов: 1Д, 1Г, 1В, 1Б и 1А. 5 Требования к защите растут от систем класса ЗБ к классу 1 А. Все механизмы защиты разделены на 4 подсистемы следующего назначения: • управления доступом; • регистрации и учета; • криптографического закрытия; • обеспечения целостности. Содержание средств для каждой группы систем приведено в документе. Приведенная в руководящем документе Гостехкомиссии методика распространяется на защиту от несанкционированного доступа к информации, находящейся непосредственно в ЗУ ЭВМ и на сменных машиночитаемых носителях. Значительно раньше, в 1978 г., Гостехкомиссией были выпущены руководящие документы, определяющие требования к защите информации в автоматизированных системах от утечки по побочным электромагнитным излучениям и наводкам. При разработке названных требований учитывались следующие факторы: 1. Доля грифованной информации в общем объеме обрабатываемой информации. 2. Интенсивность обработки грифованной информации, выражаемая относительной долей времени ее обработки в течение суток. 3. Условия расположения аппаратуры автоматизированной системы. Наличие рассмотренных методик и закрепление их в официальных документах создает достаточно надежную базу для защиты информации на регулярной основе. Однако нетрудно видеть, что с точки зрения современной постановки задачи защиты информации имеющиеся методики являются недостаточными по ряду причин, а именно: 1) методики ориентированы на защиту информации только в средствах ЭВТ, в то время как имеет место устойчивая тенденция органического сращивания автоматизированных и традиционных технологий обработки информации; 2) учитываются далеко не все факторы, оказывающие существенное влияние на уязвимость информации, а поэтому и подлежащие учету при определении требований к защите; 3) в научном плане они обоснованы недостаточно за исключением требований к защите информации от утечки по техническим каналам. 6 1.3 Задание на выполнение работы: 1. Воспользуйтесь поиском для получения таблицы характеристик классов подсистем защищенности 2. Проанализируйте данную таблицу 3. Выпишите основные требования к информационной безопасности. 4. На основе полученных данных сформулируйте рекомендации по информационной безопасности. 1.4 Содержание отчета Отчет должен содержать: 1. наименование работы; 2. цель работы; 3. задание; 4. последовательность выполнения работы; 5. ответы на контрольные вопросы; 6. вывод о проделанной работе. 1.5 Контрольные вопросы 1. Сколько классов защищённости существует? 2. Обязательно ли выполнение всех требований изученного документа? 3. Учтены ли в изученном документе новые методы получения досту па? 7 ПРАКТИЧЕСКАЯ РАБОТА №2. СОСТАВЛЕНИЕ ИНСТ- РУКЦИИ ПО ОБРАБОТКЕ И ХРАНЕНИЮ КОНФИДЕНЦИ- АЛЬНЫХ ДОКУМЕНТОВ 2.1 Цель работы Составление алгоритма для работы с конфиденциальной инфор мацией. 2.2 Краткие теоретические сведения С появлением новых технологий (компьютеры и оргтехника) за щитить информацию становится все труднее. Множество конкурентов не упустят малейшей возможности получить конфиденциальную ин формацию фирмы-конкурента и использовать ее в своих целях. Для того чтобы избежать утечки информации, составляющей тайну фирмы, создаются службы по контролю за документами конфиденциального характера, их передвижением и хранением в организации. Безопасность ценной документируемой информации определяет ся степенью ее защищенности от последствий экстремальных ситуа ций, в том числе стихийных бедствий, а также пассивных и активных попыток злоумышленника создать потенциальную или реальную угро зу несанкционированного доступа к документам с использованием ор ганизационных и технических каналов, в результате чего могут про изойти хищение и неправомерное использование злоумышленником информации в своих целях, ее модификация, подмена, фальсификация, уничтожение. Злоумышленник – это недобросовестный конкурент, лицо, дей ствующее в интересах конкурента, противника или в личных корыст ных интересах (агенты иностранных спецслужб, промышленного и экономического шпионажа, криминальных структур, отдельные пре ступные элементы, психически больные лица и др.). Понятие «зло умышленник» тесно связано с понятием «постороннее лицо», то есть любое лицо, не имеющее непосредственного отношения к деятельно сти фирмы (работники коммунальных служб, экстремальной помощи, прохожие и др.), посетители фирмы, работники других организацион ных структур, а также сотрудники данной фирмы, не имеющие права доступа в определенные помещения, к конкретному документу, ин формации, базе данных. Документируемая информация, используемая предпринимателем в бизнесе и управлении предприятием, организацией, банком, компа нией или другой структурой (далее – фирма), является его собственной 8 или частной информацией, представляющей для него значительную ценность, его интеллектуальной собственностью. Ценность информации может быть стоимостной категорией, ха рактеризующей конкретный размер прибыли при ее использовании или размер убытков при ее утрате. Информация часто становится ценной ввиду ее правового значения для фирмы или развития бизнеса, напри мер учредительные документы, программы и планы, договоры с парт нерами и посредниками и т. д. Ценность информации может также от ражать ее перспективное научное, техническое или технологическое значение. Информация, имеющая интеллектуальную ценность для пред принимателя, обычно разделяется на два вида: техническая, технологическая: методы изготовления продукции, программное обеспечение, производственные показатели, химические формулы, результаты испытаний опытных образцов, данные контроля качества и т. п.; деловая: стоимостные показатели, результаты исследования рын ка, списки клиентов, экономические прогнозы, стратегия действий на рынке и т. п. Ценная информация охраняется нормами гражданского, патент ного и авторского права или включается в категорию информации, со ставляющую тайну фирмы. Выявление и регламентация реального состава информации, представляющей ценность для предпринимателя и составляющей тай ну фирмы, – основополагающие части системы защиты информации. Состав ценной информации фиксируется в специальном перечне, оп ределяющем срок и уровень (гриф) ее конфиденциальности (то есть недоступности для всех), список сотрудников фирмы, которым предос тавлено право использовать эти сведения в работе. Перечень, основу которого составляет типовой состав защищаемых сведений фирм дан ного профиля, является постоянным рабочим материалом руководства фирмы, служб безопасности и конфиденциальной документации. Он представляет собой классифицированный список типовой и конкрет ной ценной информации о проводимых работах, производимой про дукции, научных и деловых идеях, технологических новшествах. В перечень включаются действительно ценные сведения о каждой работе фирмы. Дополнительно может составляться перечень документов, в ко торых эти сведения отражаются (документируются). В перечень вклю чаются также документы, не содержащие защищаемую информацию, но представляющие ценность для фирмы и подлежащие охране. 9 Перечни формируются индивидуально каждой фирмой в соот ветствии с рекомендациями специальной комиссии и утверждаются первым руководителем фирмы. Эта же комиссия регулярно вносит те кущие изменения в перечни в соответствии с динамикой выполнения фирмой конкретных работ. Коммерческая ценность информации, как правило, недолговечна и определяется временем, необходимым конкуренту для выработки той же идеи или ее хищения и воспроизводства, опубликования и перехода информации в категорию общеизвестных. Степень ценности информа ции и надежность ее защиты находятся в прямой зависимости. Документы, содержащие ценную информацию, входят в состав информационных ресурсов фирмы, которые могут быть: а) открытыми (доступными для работы персонала без специального разрешения) и б) ограниченными для доступа к ним персонала (отнесенными к одному из видов тайны – государственной или негосударственной). Докумен ты, содержащие сведения, которые составляют негосударственную тайну (служебную, коммерческую, банковскую, тайну фирмы и др.) или содержат персональные данные, именуются конфиденциальными. Несмотря на то, что конфиденциальность является синонимом секретности, этот термин широко используется исключительно для обозначения информационных ресурсов ограниченного доступа, не отнесенных к государственной тайне. Конфиденциальность отражает ограничение, которое накладывает собственник информации на доступ к ней других лиц, то есть собственник устанавливает правовой режим этой информации в соответствии с законом. Вместе с тем к конфиден циальным документам нельзя относить учредительные документы, уставы предпринимательских структур, финансовую документацию, сведения о заработной плате персонала и другую документированную информацию, необходимую правоохранительным и налоговым госу дарственным органам. Под конфиденциальным документом понимается необходимым образом оформленный носитель документированной информации, со держащий сведения, которые относятся к негосударственной тайне и составляют интеллектуальную собственность юридического или физи ческого лица. Обязательным признаком конфиденциального документа является наличие в нем информации, подлежащей защите. К конфи денциальным относятся следующие документы: в государственных структурах – документы, проекты документов и сопутствующие материалы, относимые к служебной информации ограниченного распространения (называемые в чиновничьем обиходе документами для служебного пользования), содержащие сведения, от 10 несенные к служебной тайне, имеющие рабочий характер и не подле жащие опубликованию в открытой печати; в предпринимательских структурах и направлениях подобной деятельности – документы, содержащие сведения, которые их собст венник или владелец в соответствии с законодательством имеет право отнести к коммерческой (предпринимательской) тайне, тайне фирмы, тайне мастерства; независимо от принадлежности – документы и базы данных, фиксирующие любые персональные (личные) данные о гражданах, а также содержащие профессиональную тайну, технические и техноло гические новшества (до их патентования), тайну предприятий связи, сферы обслуживания и т. п. Называть конфиденциальные документы секретными или ста вить на них гриф секретности не допускается. Особенностью конфи денциального документа является то, что он одновременно представ ляет собой: массовый носитель ценной, защищаемой информации; основной источник накопления и объективного распространения этой информации, а также ее неправомерного разглашения или утечки; обязательный объект защиты. Конфиденциальность документов всегда имеет значительный разброс по срокам ограничения свободного доступа к ним персонала фирмы (от нескольких часов до многих лет). Следует учитывать, что основная масса конфиденциальных документов после окончания их исполнения или работы с ними теряет свою ценность и конфиденци альность. Например, переписка до заключения контракта может иметь гриф конфиденциальности, но после его подписания этот гриф с пись менного разрешения первого руководителя фирмы снимается. Оставшиеся конфиденциальными исполненные документы, со храняющие ценность для деятельности фирмы, формируются в дела в соответствии с номенклатурой дел. Период нахождения конфиденци альных документов в делах может быть кратковременным или долго временным в зависимости от ценности информации, содержащейся в документах дела. Период конфиденциальности документов определя ется по указанному выше перечню конфиденциальных сведений и за висит от специфики деятельности фирмы. Например, производствен ные, научно-исследовательские фирмы обладают более ценными до кументами, чем торговые, посреднические и др. Документы долговременного периода конфиденциальности (про граммы и планы развития бизнеса, технологическая документация ноу- хау, изобретения до их патентования и др.) имеют усложненный вари 11 ант обработки и хранения, обеспечивающий безопасность информации и ее носителя. Документы кратковременного периода конфиденциальности, имеющие оперативное значение для деятельности фирмы, обрабаты ваются и хранятся по упрощенной схеме и могут не выделяться из тех нологической системы обработки открытых документов при наличии в этой системе минимальных защитных, контрольных и аналитических элементов 2.3 Задание на выполнение работы Вариант 1 Вы руководитель фирмы Вам необходимо организовать процесс формирования «Перечня сведений конфиденциального характера». Опишите процесс организации. Вариант 2 Вы руководитель фирмы Вам необходимо организовать конфи денциальное делопроизводство. Опишите процесс организации. Вариант 3 Вы руководитель фирмы Вам необходимо организовать процесс осуществления защитных мер в отношении документопотоков. Опи шите процесс организации. Вариант 4 Вы руководитель фирмы и Вам необходимо организовать техно логическую систему обработки конфиденциальных документов. Опи шите процесс организации. 2.4 Содержание отчета Отчет должен содержать: 1. наименование работы; 2. цель работы; 3. задание; 4. последовательность выполнения работы; 5. ответы на контрольные вопросы; 6. вывод о проделанной работе. 2.5 Контрольные вопросы 1. Где фиксируется состав ценной информации? 2. Сформулируйте определение конфиденциальных документов? 3. Какие документы не относятся к конфиденциальным докумен 12 там? 4. Что является обязательным признаком конфиденциального до кумента? 5. Какие документы относятся к конфиденциальным? 13 ПРАКТИЧЕСКАЯ РАБОТА № 3 ОПРЕДЕЛЕНИЕ КОЭФ- ФИЦИЕНТА ВАЖНОСТИ, ПОЛНОТЫ, АДЕКВАТНОСТИ, РЕ- ЛЕВАНТНОСТИ, ТОЛЕРАНТНОСТИ ИНФОРМАЦИИ 3.1 Цель работы Работа в тестовой программе (Aida или CPU-z); основные на стройки базовой системы ввода вывода. 3.2 Краткие теоретические сведения Информация разнообразна по содержанию и виду обслуживае мой ею человеческой деятельности. Каждый вид информации имеет свои особенные технологии обработки, смысловую ценность, формы представления, требования точности и оперативности отражения явле ний и процессов. Однако для любого вида информации можно указать три объекта взаимодействия: источник информации, приемник (потребитель) ин формации и объект, который данная информация отражает. С точки зрения потребителя выделяют следующие свойства ин формации: релевантность — способность информации соответствовать за просу потребителя; точность — степень близости информации к реальному состоя нию объекта, процесса, явления; своевременность — способность информации соответствовать запросам потребителя в нужный момент времени; достоверность — свойство информации не иметь скрытых оши бок; доступность — свойство, характеризующее возможность ее по лучения данным потребителем; защищенность — свойство, характеризующее невозможность не санкционированного доступа к информации; эргономичность — удобство формы или объема информации для данного потребителя. Если вести речь о научной информации, то здесь наиболее важным свойством является адекватность — однозначное соответствие отображаемому объекту. Данное определение характери зует не взаимоотношение «информация — потребитель», а «информа ция — отображаемый объект». Среди внутренних свойств информации важнейшими являются количество информации, ее внутренняя организация и структура. По 14 способу внутренней организации информация делится на две группы: данные, или простой, логически неупорядоченный набор сведений, и логически упорядоченный, организованный набор данных. К свойствам информации, связанным с ее хранением, относятся: живучесть — свойство сохранять качество с течением времени; актуальность — степень соответствия информации текущему моменту времени. оценка достоверности информации Информация, используемая в процессе оценки, должна отвечать требованиям: достоверности; точности; комплексности; Используемая информация должна достоверно отражать ситуа цию, точно соответствовать целям оценки и комплексно учитывать внешние условия. Выделяют следующие свойства, характеризующие качество ин формации: Объективность информации характеризует её независимость от чьего-либо мнения или сознания, а также от методов получения. Более объективна та информация, в которую методы получения и обработки вносят меньший элемент субъективности. Полнота. Информацию можно считать полной, когда она содер жит минимальный, но достаточный для принятия правильного реше ния набор показателей. Как неполная, так и избыточная информация снижает эффективность принимаемых на основании информации ре шений. Достоверность — свойство информации быть правильно воспри нятой. Объективная информация всегда достоверна, но достоверная информация может быть как объективной, так и субъективной. Достоверность — несомненная верность чего-либо. Достовер ность следует отличать от истины. Достоверностью являются сведения для субъекта, который их воспринимает. Достоверность становится истиной, если она проверена на опыте и соответствует действительно сти. Адекватность — степень соответствия реальному объективному состоянию дела. Доступность информации — мера возможности получить ту или иную информацию. Актуальность информации — это степень соответствия инфор мации текущему моменту времени. Эмоциональность — свойство информации вызывать различные 15 эмоции у людей. Это свойство информации используют производители Медиа-информации. Чем сильнее вызываемые эмоции, тем больше вероятности обращения внимания и запоминания информации. В информатике понятие достоверности связывается с понятием информация - сведениями о людях, предметах, фактах, событиях т процессах независимо от формы их представления, а под достоверно стью информации - соответствии этих сведений реальной действитель ности. Особое значение достоверность имеет в отношении информации. Достоверная информация воспринимается как истина, а недостоверная информация - как ложь. Мы говорим, что информация достоверна, ес ли мы имеем возможность использовать ее без дополнительной про верки. Для принятия решений по ней также необходимы такие качества информации как полнота, актуальность, ценность и др. В случае не полной, недостоверной, противоречивой, неактуальной информации принятие решений по ней затруднительно. В этом случае, выполняют ся работы по увеличению достоверности, полноты и ценности инфор мации и попытки принятия решений в условиях неопределенности. Во многих областях деятельности добиться полноты и достоверности ин формации невозможно. Причинами недостоверности могут быть: - преднамеренное искажение (дезинформация); - непреднамеренное искажение субъективного свойства; - искажение в результате воздействия помех; - ошибки фиксации информации; В общем случае достоверность информации достигается: - указанием времени свершения событий, сведения о которых передаются; - сопоставлением данных, полученных из различных источников; - своевременным вскрытием дезинформации; - исключением искажённой информации и др. 3.3 Задание на выполнение работы Оцените результат поиска в сети Интернет и ответьте на вопро сы: 1. Какую поисковую систему ты использовал? 2. Адрес сайта, который ты изучал. 3. Название сайта. 4. Долго ли загружается страница? 16 5. Привлекательно ли она выглядит? 6. Легко ли читается? 7. Есть ли изображения? Какого качества? 8. Несут ли изображения дополнительную информацию? 9. Указаны ли имя и адрес электронной почты автора сайта? 10. Есть ли указание, когда был подготовлен (обновлен) сайт? 11. Есть ли возможность при переходе на следующие страницы автоматически вернуться на первую? 12. Достаточно ли полно заглавие сайта раскрывает его содержа ние? 13. Смог бы ты получить больше информации из печатного спра вочника? 14. Во всем ли ты согласен с автором? 15. Не попадалась ли тебе неверная информация? 16. Достаточно ли актуальна предложенная информация? 17. Есть ли на сайте отсылки к другим сайтам с похожей инфор мацией? 3.4 Содержание отчета Отчет должен содержать: 1. наименование работы; 2. цель работы; 3. задание; 4. последовательность выполнения работы; 5. ответы на контрольные вопросы; 6. вывод о проделанной работе. 3.5 Контрольные вопросы 1. Назовите причины недостоверности информации? 2. Каким требованиям должна соответствовать оценочная ин формация? 17 ПРАКТИЧЕСКАЯ РАБОТА №4 ОЦЕНКА СОСТОЯНИЯ БЕЗОПАСНОСТИ ИС США 4. 1. Цель работы Изучить Стандарт США "Критерии оценки гарантировано защи щенных вычислительных систем в интересах министерства обороны США". 4. 2. Краткие теоретические сведения Наиболее известным документом, четко определяющим крите рии, по которым должна оцениваться защищенность вычислительных систем, и те механизмы защиты, которые должны использоваться в системах обработки секретной (конфиденциальной — в более общей постановке) информации, является так называемая "Оранжевая книга", представляющая собой стандарт США "Критерии оценки гарантирова но защищенных вычислительных систем в интересах министерства обороны США" (Trusted Computer Systems Evaluation Criteria — TCSEC), принятый в 1983 году. Его принятию предшествовали пятна дцатилетние исследования, проводившиеся специально созданной ра бочей группой и национальным бюро стандартов США. Стандартом предусмотрено шесть фундаментальных требований, которым должны удовлетворять те вычислительные системы, которые используются для обработки конфиденциальной информации. Требо вания разделены на три группы: стратегия, подотчетность, гарантии — в каждой группе по два требования следующего содержания. 1. Стратегия. Требование 1 — стратегия обеспечения безопасности: необхо димо иметь явную и хорошо определенную стратегию обеспечения безопасности. Требование 2 — маркировка: управляющие доступом метки должны быть связаны с объектами. 2. Подотчетность. Требование 3 — идентификация: индивидуальные субъекты должны идентифицироваться. Требование 4 — подотчетность: контрольная информация долж на храниться отдельно и защищаться так, чтобы со стороны ответст венной за это группы имелась возможность отслеживать действия, влияющие на безопасность. 18 2. Гарантии. Требование 5 — гарантии: вычислительная система в своем со ставе должна иметь аппаратные/программные механизмы, допускаю щие независимую оценку на предмет достаточного уровня гарантий того, что система обеспечивает выполнение изложенных выше требо ваний (с первого по четвертое). Требование 6 — постоянная защита: гарантировано защищенные механизмы, реализующие перечисленные требования, должны быть постоянно защищены от "взламывания" и/или несанкционированного внесения изменений. В зависимости от конкретных значений, которым отвечают автоматизированные системы, они разделены на четыре группы (D, C, B, A), которые названы так: D — минимальная защита; C — индивидуальная защита; B — мандатная защита; А — верифицированная защита. Группы систем делятся на классы, причем все системы, относи мые к группе D, образуют один класс (D), к группе С — два класса (С1 и С2), к группе В — три класса (В1, В2 и В3), к группе А — один класс (А1 с выделением части систем вне класса). Ниже рассмотрим названия и краткую характеристику перечис ленных классов: D — минимальная защита — системы, подвергнутые оценива нию, но не отвечающие требованиям более высоких классов; С1 — защита, основанная на индивидуальных мерах — системы, обеспечивающие разделение пользователей и данных. Они содержат внушающие доверие средства, способные реализовать ограничения по доступу, накладываемые на индивидуальной основе, т.е. позволяющие пользователям иметь надежную защиту их информации и не дающие другим пользователям считывать или разрушать их данные. Допуска ется кооперирование пользователей по уровням секретности; С2 — защита, основанная на управляемом доступе — системы, осуществляющие не только разделение пользователей как в системах С1, но и разделение их по осуществляемым действиям; В1 — защита, основанная на присваивании имен отдельным средствам безопасности — системы, располагающие всеми возможно стями систем класса С, и дополнительно должны быть формальные модели механизмов обеспечения безопасности, присваивания имен защищаемым данным (включая и выдаваемые за пределы системы) и средства мандатного управления доступом ко всем поименованным субъектам и объектам; 19 В2 — структурированная защита — системы, построенные на основе ясно определенной и формально задокументированной модели, с мандатным управлением доступом ко всем субъектам и объектам, располагающие усиленными средствами тестирования и средствами управления со стороны администратора системы; В3 — домены безо пасности — системы, монитор обращений которых контролирует все запросы на доступ субъектов к объектам, не допускающие несанкцио нированных изменений. Объем монитора должен быть небольшим вместе с тем, чтобы его состояние и работу можно было сравнительно легко контролировать и тестировать. Кроме того, должны быть преду смотрены: сигнализация о всех попытках несанкционированных дейст вий и восстановление работоспособности системы; А1 — верификационный проект — системы, функционально эк вивалентные системам класса В3, но верификация которых осуществ лена строго формальными методами. Управление системой осуществ ляется по строго определенным процедурам. Обязательно введение администратора безопасности. 4.3. Задание на выполнение работы 1. Проанализируйте стандарт "Критерии оценки гарантировано защищенных вычислительных систем в интересах министерства обо роны США". 2. Согласно требованиям, предоставленным в стандарте, составь те характеристику вычислительной системы для обработки конфиден циальной информации. 3. Обоснуйте свой выбор решений по защите информации. 4.4 Содержание отчета Отчет должен содержать: 1. наименование работы; 2. цель работы; 3. задание; 4. последовательность выполнения работы; 5. ответы на контрольные вопросы; 6. вывод о проделанной работе. 4.5 Контрольные вопросы 1. Что такое политика безопасности? 20 2. Какие элементы включает в себя политика безопасности? 3. Что такое классы безопасности и уровни доверия? 4. Какие требования определяются классами С1 и С2? 5. Какие требования определяются классами В1, В2 и В3? 6. Ка кие требования определяются классом А1? 21 СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ 1. Зайцев, А.П. Технические средства и методы защиты информации / А.П. Зайцев, А.А. Шелупанова, Р.В. Мещеряков и др., – М.: ООО «Издательство Машиностроение», 2009. - 508 с. Учебное издание Ожогин Андрей Викторович ПРАКТИКУМ ПО ПРОТИВОДЕЙСТВИЮ ТЕХНИЧЕСКИМ РАЗВЕДКАМ Методические рекомендации к выполнению практических работ и организации самостоятельной работы студентов по дисциплине «Противодействие техническим разведкам» для студентов специальности 17.05.01 «Боеприпасы и взрыватели» специализации «Патроны и гильзы», 18.05.01 «Химическая технология энергонасыщенных материалов и изделий» специализации «Автоматизированное производство химических предприятий», 18.05.01 «Химическая технология энергонасыщенных материалов и изделий» специализации «Химическая технология полимерных композиций порохов и твёрдых ракетных топлив», 18.05.01 «Химическая технология энергонасыщенных материалов и изделий» специализации «Химическая технология органических соединений азота», 24.05.02 «Проектирование авиационных и ракетных двигателей» специализации «Проектирование ракетных двигателей твёрдого топлива» Подписано в печать 21.05.2021. Формат 60 84 1/16. Усл. п. л. 1,22. Тираж 50 экз. Заказ 2021-295. Печать – ризография, множительно-копировальный аппарат «RISOEZ300». Издательство Алтайского государственного технического университета им. И.И. Ползунова 656038, г. Барнаул, пр-т Ленина, 46. Оригинал-макет подготовлен на кафедре ХТЭМИ БТИ АлтГТУ. Отпечатано в ОИТ БТИ АлтГТУ 659305, г. Бийск, ул. имени Героя Советского Союза Трофимова, 27. |