Компьютерная система как объект информационной безопасности
Скачать 79.5 Kb.
|
Практическая работа №1 Тема: Компьютерная система как объект информационной безопасности Цель работы: - исследование терминологической базы - закрепление знаний основного понятийного аппарата, применяемого в области защиты информации - формирование навыка работы с нормативными документами по исследуемому вопросу - описание выбранного объекта защиты информации для дальнейшего исследования Теоретическая часть: Современные методы обработки, передачи и накопления информации способствовали появлению угроз, связанных с возможностью потери, искажения и раскрытия данных, адресованных или принадлежащих конечным пользователям. Поэтому обеспечение информационной безопасности компьютерных систем является одним из ведущих направлений развития информационных технологий. В ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения» приведены основные понятия защиты информации и информационной безопасности компьютерных систем. Защита информации — деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию. Объект защиты — информация или носитель информации, или информационный процесс, которые необходимо защищать в соответствии с целью защиты информации. Цель защиты информации — заранее намеченный результат защиты информации. Целью защиты информации может быть предотвращение ущерба собственнику, владельцу, пользователю информации в результате возможной утечки информации и/или несанкционированного и непреднамеренного воздействия на информацию. Эффективность защиты информации — степень соответствия результатов защиты информации поставленной цели. Защита информации от утечки — защита информации, направленная на предотвращение неконтролируемого распространения защищаемой информации в результате ее разглашения и несанкционированного доступа к ней, а также на исключение (затруднение) получения защищаемой информации [иностранными] разведками и другими заинтересованными субъектами. Защита информации от разглашения — защита информации, направленная на предотвращение несанкционированного доведения защищаемой информации до заинтересованных субъектов (потребителей), не имеющих права доступа к этой информации. Защита информации от НСД — защита информации, направленная на предотвращение получения защищаемой информации заинтересованными субъектами с нарушением установленных нормативными и правовыми документами (актами) или обладателями информации прав или правил разграничения доступа к защищаемой информации. Система защиты информации — совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты информации, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области защиты информации. Под информационной безопасностью понимают защищенность информации от незаконного ознакомления, преобразования и уничтожения, а также защищенность информационных ресурсов от воздействий, направленных на нарушение их работоспособности. Природа этих воздействий может быть самой разнообразной. Это и попытки проникновения злоумышленников, и ошибки персонала, и выход из строя аппаратных и программных средств, и стихийные бедствия (землетрясение, ураган, пожар) и т. п. Современная автоматизированная система (АС) обработки информации представляет собой сложную систему, состоящую из большого числа компонентов различной степени автономности, которые связаны между собой и обмениваются данными. Практически каждый компонент может подвергнуться внешнему воздействию или выйти из строя. Компоненты АС можно разбить на следующие группы: • аппаратные средства — компьютеры и их составные части (процессоры, мониторы, терминалы, периферийные устройства — дисководы, принтеры, контроллеры, кабели, линии связи и т. д.); • программное обеспечение — приобретенные программы, исходные, объектные, загрузочные модули; ОС и системные программы (компиляторы, компоновщики и др.), утилиты, диагностические программы и т. д.; • данные — хранимые временно и постоянно, на магнитных носителях, печатные, архивы, системные журналы и т. д.; • персонал — обслуживающий персонал и пользователи. Одной из особенностей обеспечения информационной безопасности в АС является то, что таким абстрактным понятиям, как информация, объекты и субъекты системы, соответствуют физические представления в компьютерной среде: • для представления информации — машинные носители информации в виде внешних устройств компьютерных систем (терминалов, печатающих устройств, различных накопителей, линий и каналов связи), оперативной памяти, файлов, записей и т. д.; • объектам системы — пассивные компоненты системы, хранящие, принимающие или передающие информацию. Доступ к объекту означает доступ к содержащейся в нем информации; • субъектам системы — активные компоненты системы, которые могут стать причиной потока информации от объекта к субъекту или изменения состояния системы. В качестве субъектов могут выступать пользователи, активные программы и процессы. Информационная безопасность компьютерных систем достигается обеспечением конфиденциальности, целостности и достоверности обрабатываемых данных, а также доступности и целостности информационных компонентов и ресурсов системы. Перечисленные выше базовые свойства информации нуждаются в более полном толковании. Литература: Доктрина информационной безопасности Российской Федерации, утвержденная Президентом Российской Федерации 9 сентября 2000 г. № Пр-1895. Стратегия развития информационного общества в Российской Федерации, утверждённая Президентом Российской Федерации 07.02.2008 № Пр-212. Федеральный закон Российской Федерации от 28 декабря 2010 г № 380 - ФЗ "О безопасности" Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите и информации» «Положение о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам», утверждено постановлением Совета Министров – Правительства Российской Федерации от 15.09.1993 г. № 912-51. Указ Президента Российской Федерации от 6 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера». Специальные требования и рекомендации по технической защите конфиденциальной информации. Утвержден приказом Гостехкомиссии России от 30 августа 2002 г. № 282. Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных». Приказ ФСБ РФ от 9 февраля 2005 г. № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)». Федеральный закон от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании». Федеральный закон РФ от 29 июля 2004 г № 98-ФЗ «О коммерческой тайне». Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации, Решение председателя Гостехкомиссии России от 30 марта 1992 г. Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения, Решение председателя Гостехкомиссии России от 30 марта 1992 г. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации, Решение председателя Гостехкомиссии России от 30 марта 1992 г. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации, Решение председателя Гостехкомиссии России от 30 марта 1992 г. Руководящий документ. Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники, Решение председателя Гостехкомиссии России от 30 марта 1992 г. Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа. Показатели защищенности от несанкционированного доступа к информации Решение председателя Гостехкомиссии России от 25 июля 1997 г. Руководящий документ. Безопасность информационных технологий. Критерии оценки безопасности информационных технологий. Утвержден приказом Гостехкомиссии России от 19 июня 2002 г. № 187 (часть 1, часть 2, часть 3). Руководящий документ. Безопасность информационных технологий. Положение по разработке профилей защиты и заданий по безопасности, Гостехкомиссия России, 2003 год. Руководящий документ. Безопасность информационных технологий. Руководство по регистрации профилей защиты, Гостехкомиссия России, 2003 год. Руководящий документ. Безопасность информационных технологий. Руководство по формированию семейств профилей защиты, Гостехкомиссия России, 2003 год. Руководство по разработке профилей защиты и заданий по безопасности, Гостехкомиссия России, 2003 год. ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования. Госстандарт России. ГОСТ Р 50922-96. Защита информации. Основные термины и определения. Госстандарт России. ГОСТ Р 51188-98. Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство. Госстандарт России. ГОСТ Р 51275-99. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. Госстандарт России. ГОСТ Р ИСО 7498-1-99. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель. Госстандарт России. ГОСТ Р 51583-2000. Защита информации. Порядок создания автоматизированных систем в защищённом исполнении. Общие положения. ГОСТ Р 51624-2000. Защита информации. Автоматизированные системы в защищённом исполнении. Общие требования. ГОСТ Р ИСО/МЭК 15408-1-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель. Госстандарт России. ГОСТ Р ИСО/МЭК 15408-2-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности. Госстандарт России. ГОСТ Р ИСО/МЭК 15408-3-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности. Госстандарт России. Задание (оформить в виде отчета): Выбрать объект защиты информации (ОЗИ) из предложенного перечня. Указать наименование и назначение ОЗИ. Описать пространственную модель ОЗИ, включающую (в качестве основы можно взять таблицу из приложения №1): описание помещения, где находится ОЗИ, инженерные конструкции, коммуникации, средства связи, основные параметры электронных устройств, находящихся в одном помещении с ОЗИ, технические средства безопасности. Наименование объекта защиты информации: Одиночно стоящий компьютер в бухгалтерии. Сервер в бухгалтерии. Почтовый сервер. Веб-сервер. Компьютерная сеть материальной группы. Одноранговая локальная сеть без выхода в Интернет. Одноранговая локальная сеть с выходом в Интернет. Сеть с выделенным сервером без выхода в Интернет. Сеть с выделенным сервером с выхода в Интернет. Телефонная база данных (содержащая и информацию ограниченного пользования) в твердой копии и на электронных носителях. Телефонная сеть. Средства телекоммуникации (радиотелефоны, мобильные телефоны, пейджеры). Банковские операции (внесение денег на счет и снятие). Операции с банковскими пластиковыми карточками. Компьютер, хранящий конфиденциальную информацию о сотрудниках предприятия. Компьютер, хранящий конфиденциальную информацию о разработках предприятия. Материалы для служебного пользования на твердых носителях в производстве. Материалы для служебного пользования на твердых носителях на закрытом предприятии. Материалы для служебного пользования на твердых носителях в архиве. Материалы для служебного пользования на твердых носителях в налоговой инспекции. Приложение №1 Пример оформления пространственной модели контролируемых зон
. |