госы. ГОСы шпоры. Теория информационной безопасности и методология защиты информации Система обеспечения информационной безопасности в Российской Федерации. 1 Понятие система обеспечения информационной безопасности
 Скачать 2.75 Mb.
|
|
7. Объекты защиты информации. 7.1 Понятие «рубеж защиты информации». Рассмотренные методы защиты на практике реализуются применением различных средств защиты. На сегодняшний день существуют две группы средств защиты: формальные и неформальные. Первые выполняют функции по защите формально, то есть преимущественно без участия человека (технические). К неформальным относятся средства, основу которых составляет целенаправленная деятельность людей (законодательные, организационные, морально-этические). Названные средства рассматриваются как последовательность барьеров или рубежей защиты информации, последовательно преодолевая которые можно получить доступ к защищаемым объектам системы. Первый рубеж защиты, встающий на пути злоумышленника, является чисто правовым и связан с необходимостью соблюдения юридических норм при передаче, обработке и хранении информации. К законодательным средствам защиты относятся действующие в стране нормативные правовые акты, регламентирующие вопросы защиты информации. Этим они препятствуют несанкционированному использованию информации и являются сдерживающим фактором для потенциальных нарушителей. Второй рубеж защиты образуют морально-этические средства. Этический момент при соблюдении требований защиты играет большую роль. Важно, чтобы люди, имеющие доступ к компьютерам, работали в здоровом морально-этическом климате. К морально-этическим средствам относятся нормы поведения, которые традиционно складываются в обществе по мере развития информационных технологий. Они не являются обязательными, но их игнорирование ведет к падению престижа человека, группы лиц или организации. Третьим рубежом защиты являются организационные средства защиты, регламентирующие процесс функционирования КИС, использования ее ресурсов, деятельность персонала, порядок взаимодействия пользователей с системой с целью затруднения или исключения возможности реализации угроз безопасности. Важно отметить, что пока не будут разработаны и реализованы действенные средства организационной защиты применение другие средств будет неэффективным. Организационные средства защиты представляют мощный барьер на пути незаконного использования ресурсов системы и надежную базу для других уровней защиты. Четвертый рубеж защиты — технические средства защиты, реализуемы посредством физических, аппаратных, программных, криптографических устройств, выполняющие такие функции защиты, как создание физического препятствия на пути злоумышленника, идентификация и аутентификация субъектов и объектов системы, разграничение доступа к ресурсам, контроль целостности данных, обеспечение конфиденциальности, регистрация и анализ событий, резервирование ресурсов и компонентов системы электронного документооборота. 7.2 Классификация и особенности видов носителей информации с позиции обеспечения безопасности. Носитель информации - физическое лицо, или материальный объект, в том числе физическое поле, в которых информация находит свое отображение в виде символов, образов, сигналов, технических решений и процессов. Носители защищаемой информации можно классифицировать следующим образом: человек; документы; изделия (предметы); вещества и материалы; электромагнитные, тепловые, радиационные и другие излучения; гидроакустические, сейсмические и другие поля; геометрические формы строений, их размеры и т.п. Также защищенные носители информации в сфере IT Защищенные носители информации позволяют организовать двухфакторную аутентификацию пользователя, когда для входа в систему необходимо предоставить пароль или pin-код от носителя и само устройство.Выделяют следующие возможности использования носителей информации: Аутентификация пользователя в операционной системе, службах каталога и сетях (операционные системы Microsoft, Linux, Unix, Novell). Защита компьютеров от несанкционированной загрузки. Строгая аутентификация пользователей, разграничение доступа, защита передаваемых по сети данных в Web-ресурсах (Интернет-магазины, электронная коммерция). Электронная почта – формирование ЭЦП и шифрование данных, контроль доступа, защита паролей. Системы шифрования с открытым ключом (PKI), удостоверяющие центры – хранение сертификатов X.509, надежное и безопасное хранение ключевой информации, значительное снижение риска компрометации закрытого ключа. Организация защищенных каналов передачи данных (технология VPN, протоколы IPSec и SSL) – аутентификация пользователей, генерация ключей, обмен ключами. Системы документооборота – создание юридически значимого защищенного документооборота с использованием ЭЦП и шифрования (передача налоговой отчетности, договоров и прочей коммерческой информации по сети Интернет). Бизнес-приложения, базы данных, ERP системы – аутентификация пользователей, хранение конфигурационной информации, ЭЦП и шифрование передаваемых и хранящихся данных. Системы «Клиент-Банк», электронные платежи – обеспечение юридической значимости совершенных транзакций, строгая взаимная аутентификация и авторизация клиентов. Криптография − обеспечение удобного использования и безопасного хранения ключевой информации в сертифицированных средствах криптографической защиты информации(криптопровайдеры и криптобиблиотеки). Терминальный доступ и тонкие клиенты – аутентификация пользователей, хранение параметров и настроек сеанса работы. Шифрование дисков – разграничение и контроль доступа к защищенным данным, аутентификация пользователей, хранение ключей шифрования. Шифрование данных на дисках – аутентификация пользователей, генерация ключей шифрования, хранение ключевой информации. Поддержка унаследованных приложений и замены парольной защиты на более надежную двухфакторную аутентификацию. 7.3 Организация защиты информации на основе «Специальных требований и рекомендаций по технической защите конфиденциальной информации» (СТР-К): защита речевой конфиденциальной информации; защита конфиденциальной информации, обрабатываемой в автоматизированных системах; защита конфиденциальной информации при взаимодействии с сетями общего пользования. Звук: 4.2.2. Защищаемые помещения должны размещаться в пределах КЗ. При этом рекомендуется размещать их на удалении от границ КЗ, обеспечивающем эффективную защиту, ограждающие конструкции (стены, полы, потолки) не должны являться смежными с помещениями других учреждений (предприятий). Не рекомендуется располагать ЗП на первых этажах зданий. Для исключения просмотра текстовой и графической конфиденциальной информации через окна помещения рекомендуется оборудовать их шторами (жалюзи). 4.2.3. Защищаемые помещения рекомендуется оснащать сертифицированными по требованиям безопасности информации ОТСС и ВТСС либо средствами, прошедшими специальные исследования и имеющими предписание на эксплуатацию. 4.2.4. Специальная проверка ЗП и установленного в нем оборудования с целью выявления возможно внедренных в них электронных устройств перехвата информации "закладок" проводится, при необходимости, по решению руководителя предприятия. 4.2.5. Во время проведения конфиденциальных мероприятий запрещается использование в ЗП радиотелефонов, оконечных устройств сотовой, пейджинговой и транкинговой связи, переносных магнитофонов и других средств аудио и видеозаписи. 4.2.6. Для исключения возможности утечки информации за счет электроакустического преобразования рекомендуется использовать в ЗП в качестве оконечных устройств телефонной связи, имеющих прямой выход в городскую АТС, телефонные аппараты (ТА), прошедшие специальные исследования, либо оборудовать их сертифицированными средствами защиты информации от утечки за счет электроакустического преобразования. 4.2.10. Системы пожарной и охранной сигнализации ЗП должны строиться только по проводной схеме сбора информации (связи с пультом) и, как правило, размещаться в пределах одной с ЗП контролируемой зоне. 4.2.11. Звукоизоляция ограждающих конструкций ЗП, их систем вентиляции и кондиционирования должна обеспечивать отсутствие возможности прослушивания ведущихся в нем разговоров из-за пределов ЗП. 4.2.12. Для снижения вероятности перехвата информации по виброакустическому каналу следует организационно-режимными мерами исключить возможность установки посторонних (нештатных) предметов на внешней стороне ограждающих конструкций ЗП и выходящих из них инженерных коммуникаций (систем отопления, вентиляции, кондиционирования). 4.2.13. В случае, если указанные выше меры защиты информации от утечки по акустическому и виброакустическому каналам недостаточны или нецелесообразны, рекомендуется применять метод активного акустического или виброакустического маскирующего зашумления. АС: 5.1.3. В качестве основных мер защиты информации рекомендуются: · документальное оформление перечня сведений конфиденциального характера с учетом ведомственной и отраслевой специфики этих сведений; · реализация разрешительной системы допуска исполнителей (пользователей, обслуживающего персонала) к информации и связанным с ее использованием работам, документам; · ограничение доступа персонала и посторонних лиц в защищаемые помещения и помещения, где размещены средства информатизации и коммуникации, а также хранятся носители информации; · разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации; · регистрация действий пользователей АС и обслуживающего персонала, контроль за несанкционированным доступом и действиями пользователей, обслуживающего персонала и посторонних лиц; · учет и надежное хранение бумажных и машинных носителей информации, ключей (ключевой документации) и их обращение, исключающее их хищение, подмену и уничтожение; · использование СЗЗ, создаваемых на основе физико-химических технологий для контроля доступа к объектам защиты и для защиты документов от подделки; · необходимое резервирование технических средств и дублирование массивов и носителей информации; · использование сертифицированных серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации; · использование технических средств, удовлетворяющих требованиям стандартов по электромагнитной совместимости; · использование сертифицированных средств защиты информации; · размещение объектов защиты на максимально возможном расстоянии относительно границы КЗ; · размещение понижающих трансформаторных подстанций электропитания и контуров заземления объектов защиты в пределах КЗ; · развязка цепей электропитания объектов защиты с помощью защитных фильтров, блокирующих (подавляющих) информативный сигнал; · электромагнитная развязка между линиями связи и другими цепями ВТСС, выходящими за пределы КЗ, и информационными цепями, по которым циркулирует защищаемая информация; · использование защищенных каналов связи (защищенных ВОЛС и криптографических средств ЗИ; · размещение дисплеев и других средств отображения информации, исключающее несанкционированный просмотр информации; · организация физической защиты помещений и собственно технических средств с помощью сил охраны и технических средств, предотвращающих или существенно затрудняющих проникновение в здания, помещения посторонних лиц, хищение документов и информационных носителей, самих средств информатизации, исключающих нахождение внутри контролируемой зоны технических средств разведки или промышленного шпионажа; · криптографическое преобразование информации, обрабатываемой и передаваемой средствами вычислительной техники и связи (при необходимости, определяемой особенностями функционирования конкретных АС и систем связи); · предотвращение внедрения в автоматизированные системы программ-вирусов, программных закладок. Сети: 6.3.1. Подключение АП к Сети должно осуществляться в установленном порядке через провайдера Сети. 6.3.2. Подключение ЛВС предприятия (учреждения) к Сети должно осуществляться через средства разграничения доступа в виде МЭ (Firewall, Брандмауэр). Не допускается подключение ЛВС к Сети в обход МЭ. МЭ должны быть сертифицированы по требованиям безопасности информации. 6.3.3. Доступ к МЭ, к средствам его конфигурирования должен осуществляться только выделенным администратором с консоли. Средства удаленного управления МЭ должны быть исключены из конфигурации. 6.3.4. АП с помощью МЭ должен обеспечивать создание сеансов связи абонентов с внешними серверами Сети и получать с этих серверов только ответы на запросы абонентов. Настройка МЭ должна обеспечивать отказ в обслуживании любых внешних запросов, которые могут направляться на АП. 6.3.5. При использовании почтового сервера и Web-сервера предприятия, последние не должны входить в состав ЛВС АП и должны подключаться к Сети по отдельному сетевому фрагменту (через маршрутизатор). 6.3.7. Установку программного обеспечения, обеспечивающего функционирование АП, должны выполнять уполномоченные специалисты под контролем администратора. Абоненты АП не имеют права производить самостоятельную установку и модификацию указанного программного обеспечения, однако могут обращаться к администратору для проведения его экспертизы на предмет улучшения характеристик, наличия "вирусов", замаскированных возможностей выполнения непредусмотренных действий. 6.3.8. Устанавливаемые межсетевые экраны должны соответствовать классу защищаемого АП (АС) и отвечать требованиям РД Гостехкомиссии России "Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации". 6.3.10. Технические средства АП должны быть размещены либо в отдельном помещении (при автономной ПЭВМ, подключенной к Сети), либо в рабочих помещениях абонентов с принятием организационных и технических мер, исключающих несанкционированную работу в Сети. 8. Классификация методов и средств защиты информации. 8.1 Классификация и общая характеристика методов и средств защиты информации: инженерно-технические, программно-аппаратные, средства аудита информационной безопасности. Технические средства. Это различные по типу устройства, которые аппаратными средствами решают задачи защиты информации. Они препятствуют доступу к информации, в том числе с помощью её маскировки. Преимущества технических средств связаны с их надежностью, независимостью от субъективных факторов, высокой устойчивостью к модификации. Слабые стороны - недостаточная гибкость, относительно большие объём и масса, высокая стоимость. При защите информационных систем этот элемент имеет весьма важное значение, хотя стоимость средств технической защиты и охраны велика. Инженерно-технический элемент системы защиты включает в себя: - сооружения физической защиты от проникновения посторонних лиц на территорию, в здание и помещения; - средства обеспечения охраны территории, здания и помещений (средства наблюдения, оповещения, сигнализации, информирования и идентификации); - средства противопожарной охраны; - технические средства контроля, предотвращающие вынос персоналом из помещений специально маркированных предметов, документов, дискет, книг. Программно-аппаратная защита информации. Программные средства включают программы для идентификации пользователей, контроля доступа, удаления остаточной (рабочей) информации типа временных файлов, тестового контроля системы защиты и др. Преимущества программных средств - универсальность, гибкость, надежность, простота установки, способность к модификации и развитию. Недостатки - ограниченная функциональность сети, использование части ресурсов файл-сервера и рабочих станций, высокая чувствительность к случайным или преднамеренным изменениям, возможная зависимость от типов компьютеров (их аппаратных средств). |