Курсовая. Теоретические аспекты изучения обеспечения служебной и конфиденциальной информации
 Скачать 96.29 Kb.
|
|
ГЛАВА 2. ХАРАКТЕРИСТИКА ДЕЯТЕЛЬНОСТИ ПАО СБЕРБАНК, СВЯЗАННОЙ СО СЛУЖЕБНОЙ И КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИЕЙ 2.1 Нормативно-правовой элемент защиты информации ПАО Сбербанк Стратегия информационной безопасности банков весьма сильно отличается от аналогичных стратегий других компаний и организаций. Это обусловлено прежде всего специфическим характером угроз, а также публичной деятельностью банков, которые вынуждены делать доступ к счетам достаточно легким с целью удобства для клиентов. Обычная компания строит свою информационную безопасность, исходя лишь из узкого круга потенциальных угроз - главным образом защита информации от конкурентов (в российских реалиях основной задачей является защита информации от налоговых органов и преступного сообщества с целью уменьшения вероятности неконтролируемого роста налоговых выплат и рэкета). Такая информация интересна лишь узкому кругу заинтересованных лиц и организаций и редко бывает ликвидна, т.е. обращаема в денежную форму. Информационная безопасность банка должна учитывать следующие специфические факторы: Хранимая и обрабатываемая в банковских системах информация представляет собой реальные деньги. На основании информации компьютера могут производиться выплаты, открываться кредиты, переводиться значительные суммы. Вполне понятно, что незаконное манипулирование с такой информацией может привести к серьезным убыткам. Эта особенность резко расширяет круг преступников, покушающихся именно на банки (в отличие от, например, промышленных компаний, внутренняя информация которых мало кому интересна). Информация в банковских системах затрагивает интересы большого количества людей и организаций - клиентов банка. Как правило, она конфиденциальна, и банк несет ответственность за обеспечение требуемой степени секретности перед своими клиентами. Естественно, клиенты вправе ожидать, что банк должен заботиться об их интересах, в противном случае он рискует своей репутацией со всеми вытекающими отсюда последствиями. Конкурентоспособность банка зависит от того, насколько клиенту удобно работать с банком, а также насколько широк спектр предоставляемых услуг, включая услуги, связанные с удаленным доступом. Поэтому клиент должен иметь возможность быстро и без утомительных процедур распоряжаться своими деньгами. Но такая легкость доступа к деньгам повышает вероятность преступного проникновения в банковские системы. Информационная безопасность банка (в отличие от большинства компаний) должна обеспечивать высокую надежность работы компьютерных систем даже в случае нештатных ситуаций, поскольку банк несет ответственность не только за свои средства, но и за деньги клиентов. Банк хранит важную информацию о своих клиентах, что расширяет круг потенциальных злоумышленников, заинтересованных в краже или порче такой информации. «Защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу». [25, c. 160] Режим защиты информации устанавливается: в отношении сведений, отнесенных к государственной тайне, уполномоченными органами на основании Закона Российской Федерации «О государственной тайне»; в отношении конфиденциальной документированной информации собственник информационных ресурсов или уполномоченным лицом на основании настоящего Федерального закона; в отношении персональных данных - федеральным законом». Федеральный закон РФ «Об информации, информатизации и защите информации» от 20 февраля 1995 г. №24-ФЗ. [20] В сфере защиты информации ПАО Сбербанк руководствуется следующими нормативно-правовыми актами: Федеральный закон РФ «Об информации, информатизации и защите информации» от 20 февраля 1995 г. №24-ФЗ [1]; Закон Российской Федерации «О государственной тайне» (с изменениями от 27 марта 1996 года), принят Верховным Советом Российской Федерации 21.07.93, 5485-1[3]; Закон Российской Федерации «Об информации, информатизации и защите информации», принят Государственной думой 25.01.95 [4]; Указ Президента Российской Федерации «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации» от 3.04.95, 334 [2]; Постановление Правительства РСФСР «О перечне сведений, которые не могут составлять коммерческую тайну» от 5.12.91 35 [5]; Постановление Правительства Российской Федерации «Об утверждении правил отнесения сведений, составляющих Государственную тайну, к различным степеням секретности» 870 от 4.09.95 [8]; Указ Президента Российской Федерации «О мерах по упорядочению разработки, производства, реализации, приобретения в целях продажи, ввоза в Российскую Федерацию и вывоза за ее пределы, а также использования специальных технических средств, предназначенных для негласного получения информации» от 9.01.96 [10]; Закон Российской Федерации «О правовой охране программ для электронных вычислительных машин и баз данных», принят Верховным Советом РФ 23.09.92, 3523-1 [7]; Закон Российской Федерации «О правовой охране топологий интегральных микросхем», принят Верховным Советом РФ 23.09.92, 3526-1 [6]; Указ Президента Российской Федерации «Об утверждении перечня сведений конфиденциального характера» 188 от 6.03.97 [10]; Указ Президента Российской Федерации «Об утверждении перечня сведений, отнесенных к государственной тайне» 1203 от 30.11.95 [8]; Указ Президента Российской Федерации «О Межведомственной комиссии по защите государственной тайны» 1108 от 8.11.95 [7]; Постановление Правительства Российской Федерации «О сертификации средств защиты информации» (с изменениями от 23 апреля 1996 года) 608 от 26.06.95 [9]; Федеральный закон «О банках и банковской деятельности» от 25.06.1993 года [12]. На основе перечисленных документов строится правовая защита информации, призванная обеспечить государственную законодательную базу и нормативное обоснование комплексной системы защиты информации в ПАО Сбербанк. 2.2 Организационный элемент защиты информации в ПАО Сбербанк «Это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз». Организационный элемент системы защиты информации содержит меры управленческого, ограничительного (режимного) и технологического характера, определяющие основы и содержание системы защиты, побуждающие персонал соблюдать правила защиты конфиденциальной информации фирмы. Организационная защита выполняет функции по: организации охраны, режима, работу с кадрами, с документами; использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз. Организационный элемент СЗИ включает: организацию режима и охраны для исключения возможности тайного проникновения на территорию и в помещения посторонних лиц; организация и поддержание надежного пропускного режима и контроля сотрудников и посетителей; организацию работы с сотрудниками по обучению правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации; организацию работы с документами, включая разработки и использование документов и носителей КИ, их учет, исполнение, возврат, хранение и уничтожение; организацию использования технических средств сбора, обработки, накопления и хранения КИ; регламентацию разрешительной системы разграничения доступа персонала к защищаемой информации; организацию ведения всех видов аналитической работы; регламентация действий персонала в экстремальных ситуациях; регламентацию организационных вопросов защиты персональных компьютеров, информационных систем, локальных сетей; организацию защиты информации - создание службы информационной безопасности или назначение ответственных сотрудников за защиту информации. [26, c. 188] Естественно организационные мероприятия должны четко планироваться, направляться и осуществляться службой информационной безопасности, в состав которой входят специалисты по безопасности. Таким образом, организационной защиты является основным элементом комплексной СЗИ и во многом от того, каким образом реализован организационный элемент, зависит безопасности организации. Инженерно-технический элемент защиты информации в ПАО Сбербанк предназначен для пассивного и активного противодействия средствам технической разведки и формирования рубежей охраны территории, здания, помещений и оборудования с помощью комплексов технических средств. По функциональному назначению средства инженерно-технической защиты можно условно разделить: физические средства, включающие различные средства и сооружения, препятствующие физическому проникновению (доступу) злоумышленников на объекты защиты (территорию, в здание и помещения) и материальными носителями. Например, заборы, стальные двери, кодовые замки, сейфы и т.д.; средства защиты технических каналов утечки информации, возникающих при работе ЭВМ, средств связи, копировальных аппаратов, принтеров, факсов и др. технических средств управления; средства обеспечения охраны территории, здания и помещений (средства наблюдения, оповещения, сигнализации, информирования и идентификации); средства обнаружения приборов и устройств технической разведки (подслушивающих и передающих устройств, тайно установленной миниатюрной звукозаписывающей и телевизионной аппаратуры и т.п.); технические средства контроля, предотвращающие вынос персоналом из помещения специально маркированных предметов, документов, дискет, книг и т.п. средства противопожарной охраны; средства защиты помещений от визуальных способов технической разведки. Программно-аппаратный элемент защиты информации в ПАО Сбербанк предназначен для защиты конфиденциальной информации, обрабатываемой и хранящейся в компьютерах, серверах и рабочих станциях ЛВС и различных информационных системах. [22, c. 251] Аппаратные средства защиты информации представлены техническими устройствами, предназначенными для защиты информации от разглашения, утечки или несанкционированного доступа. Аппаратные средства могут быть: - средствами выявления; - средствами защиты от несанкционированного доступа. Программные средства защиты имеют следующие разновидности специальных программ: идентификации технических средств, файлов и аутентификации пользователей; регистрации и контроля работы технических средств и пользователей; обслуживания режимов обработки информации ограниченного пользования; защиты операционных средств ЭВМ и программ пользователей; уничтожения информации в защитные устройства после использования; сигнализирующих нарушения использования ресурсов; вспомогательных программ защиты различного назначения. ГЛАВА 3. ОПТИМИЗАЦИЯ МЕХАНИЗМА СЛУЖЕБНОЙ БЕЗОПАСНОСТИ В ДОПОЛНИТЕЛЬНОМ ОФИСЕ №9038/0770 ПАО СБЕРБАНК 3.1. Организация системы защиты конфиденциальной информации в дополнительном офисе №9038/0770 ПАО Сбербанк Наиболее разумными усилиями большинство специалистов считает проведение следующих «защитных» мероприятий: адекватное определение перечня сведений, подлежащих защите; выявление уровней доступности и прогнозирование возможных уязвимых мест в доступе к информации; принятие мер по ограничению доступа к информации или объекту; организация охраны помещения и постоянного контроля за сохранностью информации (в частности, необходимость наличия закрывающихся шкафов, сейфов, кабинетов, телевизионных камер слежения и т.п.); наличие четких правил обращения с документами и их размножения. Как известно, изобретение множительной техники буквально вызвало всплеск промышленного шпионажа; наличие на документах надписей «Секретно», «Для служебного пользования», а на дверях – «Посторонним вход воспрещен»; подписание с сотрудниками организации, фирмы договора о неразглашении тайны. Каждый носитель информации (документ, диск и др.) должен иметь соответствующее обозначение и место хранения (помещение, сейф, металлический ящик). [10, c. 687] Основным средством защиты информации остаются в настоящее время режимные меры, направленные на предотвращение утечки конкретных сведений. Принятие этих мер зависит, прежде всего, от владельцев информации, складывающейся в их сфере деятельности конкурентной обстановки, ценности, которую представляет для них производственная или коммерческая информация, других факторов. В числе мер защиты информации можно выделить внешние и внутренние. К внешним мероприятиям относятся: изучение партнеров, клиентов, с которыми приходится вести коммерческую деятельность, сбор информации об их надежности, платежеспособности и других данных, а также прогнозирование ожидаемых действий конкурентов и преступных элементов. По возможности выясняются лица, проявляющие интерес к деятельности организации (фирмы), к персоналу, работающему в организации. Внутренние мероприятия по обеспечению безопасности включают вопросы подбора и проверки лиц, поступающих на работу: изучаются их анкетные данные, поведение по месту жительства и на прежней работе, личные и деловые качества, психологическая совместимость с сотрудниками; выясняются причины ухода с прежнего места работы, наличие судимостей и пр. В процессе работы продолжается изучение и анализ поступков сотрудника, затрагивающих интересы организации, проводится анализ его внешних связей. Сотрудники - важнейший элемент системы безопасности. Они могут сыграть значительную роль в защите коммерческой тайны, но в то же время могут быть и основной причиной ее утечки. Часто это случается по причине невнимательности, неграмотности. Поэтому регулярное и доходчивое обучение персонала вопросам секретности является важнейшим условием сохранения тайны. Однако нельзя исключать случаи умышленной передачи (продажи) работником секретов фирмы. Мотивационную основу таких поступков составляют либо корысть, либо месть, например, со стороны уволенного работника. Практика подобных действий уходит своими корнями в глубокую древность. Защита информации предполагает использование специальных технических средств, электронных устройств, что позволяет не только сдерживать их утечку, но и останавливать такой вид деятельности, как промышленный (коммерческий) шпионаж. Большую их часть составляют технические средства обнаружения и средства противодействия устройствам прослушивания: телефонный нейтрализатор (для подавления работы мини-передатчика и нейтрализации снятия аудиоинформации); телефонный подавитель устройств прослушивания; профессиональный детектор (используется для «грубого» определения местонахождения радиозакладок); мини-детектор передатчиков (используется для точного определения местонахождения радиозакладок); генератор шума. Организации, располагающие ценной информацией, должны хранить ее в специальных несгораемых шкафах или сейфах, не допускать утери ключей от них или передачи на хранение другим лицам, даже из числа особо доверенных. [19, c. 288] Одним из распространенных методов защиты интеллектуальной собственности является патент, то есть свидетельство, выдаваемое изобретателю или его правопреемнику на право исключительного пользования сделанным им изобретением. Патент призван защитить изобретателя (автора) от воспроизводства, продажи и использования его изобретения другими лицами. Осуществление специальных внутренних и внешних мер защиты ценных информационных систем должно возлагаться на специально подготовленных лиц. С этой целью предприниматель может обращаться за помощью к частным детективным фирмам, специализирующимся на сыске и охране собственности. Могут создаваться и собственные службы безопасности. Так как защитные мероприятия требуют значительных затрат, предприниматель сам должен решить, что ему выгоднее: мириться с утечкой информации или привлекать специализированные службы для ее защиты. К инженерно-техническим мерам относятся меры, реализуемые путем установки новых или модернизации используемых инженерных и технических средств защиты информации. Основу организационных мер инженерно-технической зашиты информации составляют меры, определяющие порядок использования этих средств. Организационные меры инженерно-технической защиты информации ПАО Сбербанк включают в себя, прежде всего, мероприятия по эффективному использованию технических средств регламентации и управления доступом к защищаемой информации, а также по порядку и режимам работы технических средств защиты информации. Организационные меры инженерно-технической защиты информации являются частью ее организационной защиты, основу которой составляют регламентация и управление доступом. Регламентация предусматривает: установление границ контролируемых и охраняемых зон; определение уровней защиты информации в зонах; регламентация деятельности сотрудников и посетителей (разработка распорядка дня, правил поведения сотрудников в организации и вне ее и т.д.); определение режимов работы технических средств, в том числе сбора, обработки и хранения защищаемой информации на ПЭВМ, передачи документов. Управление доступом к информации в ПАО Сбербанк включает следующие мероприятия: идентификацию лиц и обращений; проверку полномочий лип и обращений; регистрацию обращений к защищаемой информации; реагирование на обращения к информации. Идентификация пользователей, сотрудников, посетителей, обращений к каналам телекоммуникаций проводится с целью их надежного опознавания. ПАО Сбербанк использует следующие способы идентификации: носимые (карточки, ключи). знания (пароль, коды, способ использования). в некоторых помещениях биометрические идентификаторы (цифровое изображение лица (3D и 2D), отпечаток пальца и изображение радужной оболочки глаза). С помощью биометрических систем безопасности Банк ограничивает или разрешает доступ: для сотрудников - в служебные помещения банка (касса, серверная, бухгалтерия, кабинеты руководства); в депозитарий для клиентов; для клиента - к своей ячейке; для особо важных клиентов - в ряд специальных помещений. При этом биометрия решает следующие задачи: существенно понижает вероятность проникновения нежелательной личности в зону с ограниченным доступом; создает психологический барьер для потенциального злоумышленника; документально подтверждает факт прохода в охраняемые помещения каждой личности. [8, c. 272] Проверка полномочий заключается в определении прав лиц и обращений по каналам связи на доступ к защищаемой информации. Для доступа к информации уровень полномочий обращения не может быть ниже разрешенного. С целью обеспечения контроля над прохождением носителей с закрытой информацией производится регистрация (протоколирование) обращений к ним путем записи в карточках, журналах, на магнитных носителях. Реагирование на любое обращение к информации заключается либо в разрешении доступа к информации, либо в отказе. Отказ может сопровождаться включением сигнализации, оповещением службы безопасности или правоохранительных органов, задержанием злоумышленника при его попытке несанкционированного доступа к защищаемой информации. Меры контроля, также как и защиты, представляют совокупность организационных и технических мероприятий, проводимых с целью проверки выполнения установленных требований и норм по защите информации. Технические меры контроля проводятся с использованием технических средств радио - и электроизмерений, физического анализа и обеспечивают проверку: напряженности полей с информацией на границах контролируемой зоны; уровней опасных сигналов и помех в проводах и экранах кабелей, выходящих за пределы контролируемой зоны; степени зашумления генераторами помех структурных звуков в ограждениях; В системе безопасности ПАО Сбербанк применяются специальные средства видеоконтроля. Сетевой программно-аппаратный комплекс видеоконтроля и автоматизированного управления интегрированными системами безопасности «Инспектор+» сочетает в себе высокое качество компьютерных цифровых технологий с возможностью объединения автономных компонентов системы безопасности банка в профессиональную интегрированную систему безопасности. [12, c. 591] Одним из основных требований к подсистеме видеоконтроля банка является работа с повышенными разрешениями (768х288 и 768х576) и скоростями записи / видео отображения от 3-6 FPS до 25 FPS. Инспектор+ позволяет распределить приоритеты между видеоканалами таким образом, что в момент тревоги тревожной камере выделяется максимальный ресурс по скорости записи, который даже в режиме мультиплексирования составляет до 10-12,5 FPS (без мультиплексирования - 25 FPS). Помимо качественного видеоконтроля «Инспектор+» осуществляет синхронно с видеоконтролем аудиоконтроль. Наличие в системе синхронного звука на порядок повышает информативность отображаемого и записываемого видеоряда. Систем безопасности филиальной сети банка объединена в единый комплекс не только по оптоволоконным сетям, но даже по низкоскоростным сетям связи, таким как X25, коммутируемым телефонным линиям. При этом система безопасности функционирует как автономная система. Объединение сети банка в единое пространство безопасности в технологии «Инспектор+» происходит через видеошлюз, который призван сопрягать высокоскоростные характеристики локальных сетей с медленной работой межсетевых соединений. Помимо видеошлюза в арсенале технологии «Инспектор+» содержатся и другие полезные модули. Модуль резервного копирования, или иначе - модуль видеоархивации - это объект, управляющий процессами архивации видеоданных. Модуль видеоархивации позволяет создавать централизованный архив видеоданных. Как правило, данная функция используется при решении задач долговременного хранения большого объема информации или информации, имеющей стратегическое значение. [16, c. 208] Модуль телеметрического управления используется для дистанционного управления камерами, установленными на двухкоординатных поворотных устройствах и снабженными вариообъективами с сервоприводом. Использоваться различные приемники телеметрического управления. Управление всеми камерами может осуществляться как с любой клавиатуры, так и посредством управляющих окон на экране компьютера. Для защиты банкоматов ПАО Сбербанк от возможных угроз в технологии «Инспектор+» существует подсистема «Банкомат Инспектор». «Банкомат Инспектор» позволяет создать интегрированную систему защиты требуемой конфигурации как для одного банкомата, так и для территориально-распределенной сети банкоматов, что является наиболее сложной задачей, которую невозможно решить обычными средствами обеспечения безопасности. В системе Банкомат Инспектор полностью интегрированы устройства видеонаблюдения, сенсоры и оборудование передачи сигналов с возможностью гибкой настройки логики системных реакций на входные события. Система позволяет передавать видеоряд о тревожных событиях на пост охраны сети банкоматов в трех различных режимах: удаленный видеоконтроль в режиме on-line; немедленной реакции (сразу после происшествия или сразу после окончания обслуживания клиента); по расписанию (как правило, передача видеоархива за прошедший день в ночное время). Системы охраны по периметру, берут под охрану не только помещение, но и прилегающую территорию. Подключение пультов-концентраторов к компьютеру, позволяет наблюдать за контролируемым объектом в целом на схематическом изображении. Дополнительно появляется возможность управлять всей сигнализацией с клавиатуры, а также управлять интегрированной системой контроля доступа и видеонаблюдения. Система охранно-пожарной сигнализации - составляющая интегрированного охранного комплекса, обеспечивающая пожарную безопасность на объекте, позволяющая выявлять, ликвидировать и локализировать источники возгорания. [14, c. 176] Для реализации программного элемента защиты информации в ПАО Сбербанк используется комплексная система защиты информации «Панцирь-К». Комплексная система защиты информации (КСЗИ) «Панцирь-К» для ОС Windows 2000/XP/2003 - программный комплекс защиты конфиденциальной информации и персональных данных, предназначенная для защиты, как автономных компьютеров, так и компьютеров в составе сети предприятия. КСЗИ реализована программно. Одна и та же клиентская часть установлена на различные ОС семейства Windows (XP/2003/2008). Реализованные подходы к построению обеспечивают высокую надежность функционирования КСЗИ и независимость от установленных обновлений (path-ей) ОС и приложений - основные компоненты КСЗИ - системные драйверы протестированы с использованием соответствующих средств отладки производителя ОС. Все механизмы защиты реализованы собственными средствами, не использован ни один встроенный в ОС механизм защиты, многие из которых обладают серьезными архитектурными недостатками. КСЗИ «Панцирь-К» собственными средствами реализует все требования, предъявляемые к защите конфиденциальной информации от несанкционированного доступа. КСЗИ сертифицирована ФСТЭК по 5 классу СВТ (сертификат №1144, ограничения по использованию в сертификате отсутствуют) и выполняет все требования к классу защищенности 1Г для АС. К комплексной системе защиты КСЗИ может быть отнесена, ввиду того, что она служит для эффективного противодействия, как известным, так и потенциально возможным атакам на защищаемые ресурсы, что обеспечивается устранением архитектурных недостатков защиты современных ОСWindows, т.е. позволяет решать задачи защиты информации в общем виде (что невозможно при использовании всевозможных средств контроля); КСЗИ может применяться для защиты, как от внешних, так и от внутренних ИТ-угроз, обеспечивая эффективное противодействие атакам и со стороны хакеров, и со стороны инсайдеров (санкционированных пользователей, допущенных к обработке информации на защищаемом вычислительном средстве). КСЗИ также может использоваться для эффективного противодействия вирусным атакам, эксплойтам, вредоносным и шпионским и любым иным деструктивным программам, атакам на ошибки программирования в системном и прикладном ПО; содержит в своем составе, как механизмы защиты от несанкционированного доступа, так и механизмы криптографической защиты данных. [13, c. 48] В части криптографической защиты конфиденциальности информации в КСЗИ реализована возможность шифрования данных (на жестком диске и на отчуждаемых накопителях, локальных и разделенных в сети), при этом обеспечивается шифрование «на лету» (прозрачно для пользователя) любого заданного администратором файлового объекта (диска, папки, файла). Реализованная ключевая политика позволяет защитить данные от раскрытия даже при хищении компьютера и при наличии ключа шифрования, позволяет осуществлять коллективный доступ к локальным и разделенным в сети зашифрованным объектам. Для шифрования данных в КСЗИ интегрированы возможности использования сертифицированных криптопровайдеров «Signal-COM CSP» и «КриптоПро CSP 3.0 (3.6 для ОС Vista)» (соответствующих требованиям ФСБ РФ к шифрованию конфиденциальной информации по классам «КС1» и «КС2»). КСЗИ «Панцирь-К» предоставляет следующие возможности: Использование аппаратных решений для авторизации пользователей при входе в систему и при доступе к критичным файловым объектам (смарт-карта, Aladdin eToken, ruToken, iButton); Разграничения и аудит работы пользователей с локальными и сетевыми ресурсами (файловые ресурсы - FAT/NTFS/DFS/любые монтируемые ФС), ресурсы реестра ОС, сменные носители, принтеры, сервисы олицетворения, буфер обмена и т.д.); Разграничения и аудит работы программ (приложений) с локальными и сетевыми ресурсами; Разграничения и аудит работы пользователей с устройствами с использованием их серийных номеров (Flash-диски, CD/DVD, USB, WiFi, Bluetooth, IrDA, IEEE1394/ FireWire, PCMCIA, COM/LPT и т.д.); Разграничения и аудит работы пользователей и приложений с локальными и глобальными сетями (ЛВС, Internet/Intranet) - персональный Firewall; Шифрование данных «на лету» (3DES, AES, DES, ГОСТ 28147-89), включая сетевые ресурсы, скрытие, разграничение доступа, а также гарантированное удаление остаточной информации, реализации коллективного доступа к зашифрованным данным; Контроль рабочего времени пользователя, в том числе, средствами компьютерного видео наблюдения; К механизмам формирования объекта защиты в КСЗИ относятся: Механизм обеспечения замкнутости программной среды. В КСЗИ могут задаваться папки (это каталоги Windows (для разрешения запуска системных процессов), Program Files и др.), из которых разрешен запуск программ (в них администратор должен штатными средствами ОС инсталлировать приложения), и которые запрещено модифицировать - какая-либо несанкционированная модификация этих папок предотвращается, даже при наличии у злоумышленника системных прав. В итоге, принципиально предотвращается возможность запуска любой деструктивной программы (вируса, трояна, шпионской программы, эксплойта и др.), причем при попытке их запуска, как удаленно, так и локально - инсайдером. Весь компьютер может быть «заражен» подобными программами, но запустить их при этом невозможно. Механизм управления подключением (монтированием) к системе устройств. Этот механизм призван обеспечить жестко заданный набор устройств, подключение которых разрешается к системе. Только при реализации подобного механизма можно однозначно описать объект защиты (автономный он или сетевой, с возможностью или без использования отчуждаемых накопителей и каких, и т.д., и т.п.). Важен он и в том смысле, что к устройствам, которые разрешено монтировать к системе, должны разграничиваться права доступа - и без реализации данного механизма потребуется разграничивать доступ ко всем устройствам (что, попросту, глупо). КСЗИ позволяет разрешить монтирование к системе только необходимых для работы пользователя устройств (в отличие от ОС Windows XP, в КСЗИ реализована разрешительная политика управления подключением устройств - это единственно возможное корректное решение задачи защиты), причем с учетом серийных номеров их производителей (например, два Flash - устройства могут быть различимы между собою - монтировать можно разрешить не просто устройства, а конкретные устройства, идентифицируемые их серийными номерами). Для каждой учетной записи определяются файловые объекты (папки), в которых будет храниться информация, обрабатываемая в рамках реализации роли (Приложение Д); Механизмами разграничения доступа к ресурсам, монтирование которых разрешено к системе (файловые объекты, локальные и разделенные в сети, на жестком диске и на внешних накопителях; сетевые ресурсы, принтеры и т.д.), разграничиваются права доступа между учетными записями, применительно к реализации ролевой модели; Изолируется возможность обмена информацией между учетными записями различных ролей (в КСЗИ реализуется механизмом разделения между учетными записями файловых объектов, не разделяемых системой и приложениями, механизмом разделения буфера обмена - в ОС Windows буфер обмена принадлежит не учетной записи, а «рабочему столу» - не разделяется системой при многопользовательском режиме, например, при запуске программы по правой кнопке «мыши» под другой учетной записью). [7, c. 128] |