ОИБ 5ЛБ. Выбор мер защиты информации для автоматизированного рабочего места. (4ч)
Скачать 27.09 Kb.
|
Министерство науки и высшего образования Российской Федерации ФГАОУ ВО “Северо-Восточный федеральный университет им. М.К.Аммосова” Колледж Инфраструктурных Технологий ЛАБОРАТОРНАЯ РАБОТА №5 Тема: Выбор мер защиты информации для автоматизированного рабочего места. (4ч) Выполнил: Игнатьев Прокопий Группа: ОИБАС 21-1 1 подгруппы Проверила(а): Батюшкина Т.Ю Якутск 2021 ЛАБОРАТОРНАЯ РАБОТА №5 Тема: Выбор мер защиты информации для автоматизированного рабочего места. (4ч) Цель: научиться выбрать мер защиты информации для автоматизированного рабочего места Способствовать формированию компетенций: ОК.01-04. Средства для выполнения работы: аппаратные: ПК; СЭДО СВФУ (Мoodle) Портал электронного обучения СВФУ ОП. 01 Основы информационной безопасности; Подготовка к выполнению лабораторной работы: 1. Изучение теоретического материала работы по ОП.01 Основы информационной безопасности по теме: «Выбор мер защиты информации для автоматизированного рабочего места» 2. Зайти в СЭДО СВФУ (Мoodle) портал электронного обучения СВФУ ОП.01 Основы информационной безопасности, открыть Лабораторную работу №5. 3. Открыть файл «Задания» и на первой строке написать Фамилию, имя, группу. Размер шрифта 14, Тimes New Roman. I. Теоретическая часть Требования и рекомендации в зависимости от типа АС Защита конфиденциальной информации на автоматизированных рабочих местах на базе автономных ПЭВМ Автоматизированные рабочие места (АРМ), построенные на базе автономных ПЭВМ (то есть не соединенных друг с другом), являются автоматизированными системами, следовательно, должны удовлетворять законодательным требованиям. Обмен информацией в таких АС осуществляется посредством носителей информации (дисков, флешек, бумаги и т.п.). В соответствии с классификацией АС, рассмотренной ранее, АС на базе автономных ПЭВМ должны быть отнесены к: o к III группе АС, если в ней работает только один пользователь, допущенный ко всей информации АС; o ко II и I группе АС, если в ней последовательно работают несколько пользователей с равными или разными правами доступа (полномочиями), соответственно. При использовании на автономной ПЭВМ технологии обработки информации на съемных накопителях большой емкости, классификация АС производится на основании анализа режима доступа пользователей АС к информации на используемом съемном накопителе (либо одновременно используемом их комплексе). Что подразумевается под "технологией обработки информации на накопителях большой емкости"? Данная технология предполагает запись на съемный накопитель информации большой емкости одновременно общесистемного (ОС, СУБД) и прикладного программного обеспечения, а также обрабатываемой информации одного или группы пользователей. В качестве накопителей могут быть использованы накопители разной конструкции – встроенные или выносные. Основным требованием для АС данного типа является исключение хранения защищаемой информации на съемных накопителях в нерабочее время. Это может позволить защищать информацию без применения сертифицированных средств защиты информации от НСД и использования средств физической защиты помещений. На этапе предпроектного обследования необходимо обратить внимание на технологию и особенности обмена информацией между АРМами в АС с целью предотвращения попадания конфиденциальной информации на неучтенные носители или НСД к ней. Обмен защищаемой информацией должен осуществляться только на учтенных носителях людьми, имеющими доступ в соответствии с установленным порядком. На рабочих местах исполнителей не должно быть неучтенных носителей информации в рабочее время. В случае использования, как текстовой, так и графической информации, представленной на неконфиденциальных накопителях информации, последние должны быть "закрыты на запись". В случае использования Flash-Bios(FB) необходимо обеспечить целостность записываемой на них информации, и проверять ее перед работой и по окончании. При обнаружении нарушения целостности необходимо восстановить (записать первоначальную версию) FB, поставить об этом в известность руководителя подразделения и службу безопасности, а также выяснить причины изменения FB. В организации должна быть разработана и согласована с руководителем и службой безопасности технология обработки конфиденциальной информации. В ней подробным образом должны описываться вышеизложенные и другие вопросы защиты информации, касающиеся эксплуатации АРМ, учета носителей и прочее, вытекающее из особенности работы АС данного типа. Защита информации в локальных вычислительных сетях Характерными особенностями ЛВС являются распределенное хранение файлов, удаленная обработка данных (вычисления) и передача сообщений (электронная почта), а также сложность проведения контроля за работой пользователей и состоянием общей безопасности ЛВС. Средства защиты информации должны располагаться на каждом узле ЛВС вне зависимости от того, обрабатывается ли на нем конфиденциальная информация. Каждый администратор и пользователь ЛВС должен иметь уникальный пароль, идентификатор и , в случае использования криптографических средств защиты, ключ шифрования. Класс защищенности ЛВС определяется в соответствии с рассмотренной выше классификацией АС. Состав пользователей ЛВС должен утверждаться руководителем организации и строго контролироваться. Все изменения состава пользователей, их прав и привилегий должны регистрироваться. Защита информации при межсетевом взаимодействии Межсетевое взаимодействие подразумевает под собой взаимодействие ЛВС, ни одна из которых не имеет выхода в Интернет. В данном случае коммуникационное оборудование (маршрутизаторы, коммутаторы, концентраторы и пр.) и все соединения с локальными периферийными устройствами ЛВС должны располагаться в пределах контролируемой зоны. При конфигурировании коммуникационного оборудования ) и прокладке кабельной системы ЛВС рекомендуется учитывать разделение трафика по отдельным сетевым фрагментам на производственной основе и видам деятельности предприятия. При подключении ЛВС к АС с другим классом защищенности необходимо использовать межсетевой экран в соответствии с Руководящим Документом Гостехкомиссии России "Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации". Для защиты конфиденциальной информации при ее передаче по каналам связи из одной АС в другую необходимо использовать: o в АС класса 1Г - МЭ не ниже класса 4; Если каналы связи выходят за пределы контролируемой зоны, необходимо использование защищенных каналов связи, волоконно-оптических линии связи либо сертифицированных криптографических средств защиты. Защита информации при работе с системами управления базами данных При работе с системами управления базами данных (СУБД) и базами данных (БД) необходимо учитывать следующие особенности защиты информации от НСД: o в БД может накапливаться большой объем интегрированной информации по различным тематическим направлениям, предназначенной для различных пользователей; o БД могут быть физически распределены по различным устройствам и узлам сети; o БД могут включать информацию различного уровня конфиденциальности; o разграничение доступа пользователей к БД средствами операционной системы и/или СЗИ НСД может осуществляться только на уровне файлов БД; o разграничение доступа пользователей к объектам БД: таблицам, схемам, процедурам, записям, полям записей в базах данных и т.п., может осуществляться только средствами СУБД, если таковые имеются; o регистрация действий пользователей при работе с объектами БД может осуществляться также только средствами СУБД, если таковые имеются; o СУБД могут обеспечивать одновременный доступ многих пользователей (клиентов) к БД с помощью сетевых протоколов, при этом запросы пользователя к БД обрабатываются на сервере и результаты обработки направляются пользователям (клиентам). С учетом указанных особенностей при создании БД рекомендуется: o при выборе СУБД ориентироваться на операционные системы и СУБД, включающие либо штатные сертифицированные средства защиты информации от НСД, либо имеющие соответствующие сертифицированные дополнения в виде СЗИ НСД; o при использовании СУБД, не имеющих средств разграничения доступа, производить разбиение БД на отдельные файлы, разграничение доступа к которым можно проводить средствами ОС и/или СЗИ НСД; o при использовании современных СУБД, основанных на модели клиент-сервер, использовать их штатные средства защиты информации от НСД, применять средства регистрации (аудита) и разграничение доступа к объектам БД на основе прав, привилегий, ролей, представлений (VIEW), процедур и т.п. Порядок обеспечения защиты информации при взаимодействии с информационными сетями общего пользования. Приведенные ниже рекомендации определены для АС, обрабатывающих конфиденциальную информацию, не относящихся к государственным информационным ресурсам. Подключение к сети абонентского пункта должно утверждаться руководителем организации на основании обоснования необходимости данного подключения. Абонентский пункт (АП) - средства вычислительной техники учреждения (предприятия), подключаемые к Сетям с помощью коммуникационного оборудования. Обоснование подключения должно содержать: o наименование Сети, реквизиты организации-владельца Сети и провайдера Сети; o состав технических средств для оборудования АП; o предполагаемые виды работ и используемые прикладные сервисы Сети (E-Mail, FTP, Telnet, HTTP и т.п.) для АП в целом и для каждого абонента, в частности: режим подключения АП и абонентов к Сети (постоянный, в т.ч. круглосуточный, временный); состав общего и телекоммуникационного программного обеспечения АП и абонентов (ОС, клиентские прикладные программы для сети - Browsers и т.п.); Меры и средства защиты информации от НСД, которые будут применяться на АП, организация-изготовитель, сведения о сертификации, установщик, конфигурация, правила работы с ними; перечень сведений конфиденциального характера, обрабатываемых (хранимых) на АП, подлежащих передаче и получаемых из Сети. Если АП обрабатывает открытую информацию и представляет собой автономную ПЭВМ с модемом, то можно не использовать средства защиты информации от НСД. АП, на которых обрабатывается не открытая информация, должны быть оборудованы средствами защиты и удовлетворять требованиям законодательства. Подключение ЛВС организации к Сети должно осуществляться через межсетевой экран, сертифицированный по требованиям безопасностиинформации. Доступ к МЭ и его конфигурированию должен быть только у выделенных администраторов. МЭ должен быть сконфигурирован так, чтобы запросы пользователей ЛВС обрабатывались, а внешние запросы отбрасывались и не проникали в ЛВС. Почтовый сервер и Web-сервер не должны входить в состав ЛВС и должны подключаться к Сети по отдельному сетевому фрагменту (через маршрутизатор). На технических средствах АП должно находится только то ПО, которое необходимо для выполнения работ в соответствии с обоснованием необходимости подключения. Установка и конфигурирование ПО осуществляется назначенным администратором, абонент АП не должен иметь на это прав. СЗИ НСД, устанавливаемая на автономную ПЭВМ, рабочие станции и серверы внутренней ЛВС организации при обработке на них конфиденциальной информации, должна осуществлять: o идентификацию и аутентификацию пользователей при доступе к автономной ПЭВМ, рабочим станциям и серверам внутренней ЛВС по идентификатору и паролю; o контроль доступа к ресурсам автономной ПЭВМ, рабочих станций и серверов внутренней ЛВС на основе дискреционного принципа; o регистрацию доступа к ресурсам автономной ПЭВМ, рабочих станций и серверов внутренней ЛВС, включая попытки НСД; o регистрацию фактов отправки и получения абонентом сообщений (файлов, писем, документов). При этом СЗИ НСД должна запрещать запуск абонентом произвольных программ, не включенных в состав программного обеспечения АП. Модификация конфигурации программного обеспечения АП должна быть доступна только со стороны администратора, ответственного за эксплуатацию АП. Средства регистрации и регистрируемые данные должны быть недоступны для абонента. СЗИ НСД должна быть целостной, т.е. защищенной от несанкционированной модификации и не содержащей путей обхода механизмов контроля. Тестирование всех функций СЗИ НСД с помощью специальных программных средств должно проводится не реже одного раза в год[11.1]. При создании АП рекомендуется: o при предоставлении абонентам прикладных сервисов исходить из принципа минимальной достаточности. То есть, если абоненту нужна только электронная почта, предоставить доступ только к ней. o использовать операционные системы со встроенными средствами защиты от НСД (например, Windows) или использовать сертифицированные СЗИ от НСД. o максимально использовать имеющиеся у маршрутизаторов средства фильтрации. o контролировать исходящую и входящую во внутреннюю сеть информацию. Копии исходящей почты (файлов) хранить в отдельном месте с целью дальнейшего анализа со стороны администратора (службы безопасности). o контролировать информацию, публикуемую на Web-серверах; II. Практическая часть: Задание 1: Ответить на вопросы: Способы (методы) защиты информации: Препятствие - создание на пути угрозы преграды, преодоление которой сопряжено с возникновением сложностей для злоумышленника или дестабилизирующего фактора. Управление - оказание управляющих воздействий на элементы защищаемой системы. Маскировка - действия над защищаемой системой или информацией, приводящие к такому их преобразованию, которое делает их недоступными для злоумышленника. (Сюда можно, в частности, отнести криптографические методы защиты ). Регламентация - разработка и реализация комплекса мероприятий, создающих такие условия обработки информации, которые существенно затрудняют реализацию атак злоумышленника или воздействия других дестабилизирующих факторов. Принуждение - метод заключается в создании условий, при которых пользователи и персонал вынуждены соблюдать условия обработки информации под угрозой ответственности (материальной, уголовной, административной) Побуждение - метод заключается в создании условий, при которых пользователи и персонал соблюдают условия обработки информации по морально-этическим и психологическим соображениям. Средства защиты информации: Физические средства - механические, электрические, электромеханические, электронные, электронно-механические и т. п. устройства и системы, которые функционируют автономно, создавая различного рода препятствия на пути дестабилизирующих факторов. Аппаратные средства - различные электронные и электронно-механические и т.п. устройства, схемно встраиваемые в аппаратуру системы обработки данных или сопрягаемые с ней специально для решения задач защиты информации. Программные средства - специальные пакеты программ или отдельные программы, включаемые в состав программного обеспечения с целью решения задач защиты информации. Организационные средства - организационно-технические мероприятия, специально предусматриваемые в технологии функционирования системы с целью решения задач защиты информации. Законодательные средства - нормативно-правовые акты, с помощью которых регламентируются права и обязанности, а также устанавливается ответственность всех лиц и подразделений, имеющих отношение к функционированию системы, за нарушение правил обработки информации, следствием чего может быть нарушение ее защищенности. Психологические (морально-этические средства) - сложившиеся в обществе или данном коллективе моральные нормы или этические правила, соблюдение которых способствует защите информации, а нарушение их приравнивается к несоблюдению правил поведения в обществе или коллективе. 2) Система защиты информации — совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты информации, организованная и функционирующая в соответствии с требованиями о защите информации. 3) Принимаемые организационные и технические меры защиты информации: должны обеспечивать доступность обрабатываемой в автоматизированной системе управления информации (исключение неправомерного блокирования информации), ее целостность (исключение неправомерного уничтожения, модифицирования информации), а также, при необходимости, конфиденциальность (исключение неправомерного доступа, копирования, предоставления или распространения информации). 4) Аппаратные средства защиты информации Программно-аппаратные средства защиты информации — это сервисы безопасности, встроенные в сетевые операционные системы. К аппаратным средствам защиты информации относятся электронные и электронно-механические устройства, включаемые в состав технических средств КС и выполняющие (самостоятельно или в едином комплексе с программными средствами) некоторые функции обеспечения информационной безопасности. 5) Инженерно-техническая защита (ИТЗ) – это совокупность технических средств и мероприятий, нацеленных на предотвращение утечек, разглашения информации, и несанкционированного доступа в сетевые ресурсы организации. 6) Организационная защита информации - это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией, и включает в себя организацию режима охраны, организацию работы с сотрудниками, с документами, организацию использования технических средств и работу по анализу угроз информационной безопасности. Задание 2: Функциональная структура системы физической защиты включает: – службу безопасности (управление и координация всей деятельности по физической защите); – силы охраны (охрана зон); – комплекс физических барьеров и инженерных сооружений; – комплекс технических и программных средств и систем (обнаружение, наблюдение, управление доступом, сбор, обработка и отображение информации, связь). Задание 6:
|