Спойлер все лабы с КАВКАЗА
.pdfРаботы, выполняемые при проектировании:
|
разработка |
задания и проекта на строительные, |
строительно- |
||||||
|
|
работы (или реконструкцию) объекта информатизации; |
|||||||
монтажные |
|
||||||||
|
разработка раздела технического проекта на объект информатизации |
||||||||
части реализации мероприятий по защите информации; |
|
||||||||
|
строительно-монтажные работы, размещение и монтаж технических |
||||||||
|
|
|
|
|
|
|
|
|
|
средств и систем; |
|
|
|
|
|||||
|
разработка |
организационно-технических |
мероприятий |
по защите |
|||||
|
|
|
|
в соответствии с предъявляемыми требованиями; |
|
||||
информации |
|
|
|
||||||
|
закупка сертифицированных |
образцов |
серийно |
выпускаемых |
|||||
|
|
|
|
|
технических средств, либо их сертификация; |
|
|||
защищенных |
|
|
|||||||
|
закупка |
сертифицированных |
технических, программных и |
||||||
программно -технических средств защиты информации и их установка;разработка (доработка) или закупка и последующая сертификация
по требованиям безопасности информации программных средств защиты
информации (в случае необходимости);организация охраны и физической защиты помещений объекта
информатизации разработка разрешительной системы доступа пользователей
и эксплуатационного персонала к защищаемой информации;
определение и обучение подразделений и лиц, ответственных за
эксплуатацию средств защиты информации;разработкаэксплуатационнойдокументациинаобъект
информатизации, средства защиты информации, и организационно-
р аспорядительной документации по ЗИ.
Результатом проектирования является разработка технического проекта, эксплуатационной документации на ОИ, СЗИ, организационно-
распорядительной документации по ЗИ. Ввод в действие СЗИ
При вводе в эксплуатацию выполняются следующие мероприятия: опытная эксплуатация средств защиты информации с другими
техническими и программными средствами для проверки их
работоспособности в комплексе и отработки технологического процесса
обработки (передачи) информации;
приемо-сдаточные испытания средств защиты информации по
результатам опытной эксплуатации.
При этом разрабатываются и передаются заказчику следующие документы :
Приемо-сдаточный акт, подписываемый разработчиком (поставщиком)
изаказчиком;
Акты внедрения средств защиты информации по результатам их
приемо -сдаточных испытаний; Приказ (указание, решение) о назначении лиц, ответственных за
эксплуатацию объекта информатизации;
Приказ (указание, решение) о разрешении обработки в АС (ЗП) информации ограниченного доступа.
Основные организационно-технических мероприятия по защите информации
Основными организационно-техническими мероприятиями, которые проводятся государственной системой защиты информации, следует считать:
|
государственное лицензирование деятельности предприятий в |
||||
области защиты информации; |
|
|
|
||
|
|
|
|
|
|
|
аттестация объектов информации по требованиям безопасности |
||||
информации, |
предназначенная |
для |
оценки |
подготовленности |
|
систем и средств |
информатизации и |
связи |
к обработке информации, |
||
содержащей государственную, служебную или коммерческую тайну;
|
сертификация систем защиты информации; |
|
·категорирование предприятий, выделенных помещений и объектов |
||
|
вычислительной техники по степени важности обрабатываемой информации.
Последовательность и содержание организации комплексной защиты
информации представлена на рис. 1.
К организационно-техническим мероприятиям, проводимым государственной системой защиты информации, также относятся:
введениетерриториальных,частотных,энергетических, пространственных и временных ограничений в режимах эксплуатации
технических средств, подлежащих защите;
создание и применение информационных и автоматизированных
систем управления в защищенном исполнении; разработка и внедрение технических решений и элементов защиты
информации при создании вооружения и военной техники и при
проектировании, строительстве и эксплуатации объектов информатизации, систем и средств автоматизации и связи.
Рис. 1. Примерная схема контроля защиты информации
Мероприятия по обеспечению защиты информации.
Защита от утечки конфиденциальной информации сводится к выявлению, учету и контролю возможных каналов утечки в конкретных условиях и к проведению организационных, организационно-технических и технических мероприятий по их ликвидации.
Защита от несанкционированного доступа к конфиденциальной информации обеспечивается путем выявления, анализа и контроля
возможных способов несанкционированного доступа и проникновения к источникам конфиденциальной информации и реализацией организационных, организационно-технических и технических мероприятий по противодействию нсд.
Организационная защита информации - это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией, и включает в себя организацию режима охраны, организацию работы с сотрудниками, с документами, организацию использования технических средств и работу по анализу угроз информационной безопасности.
Обеспечение защиты средств обработки информации и автоматизированных рабочих мест от несанкционированного доступа достигается системой разграничения доступа субъектов к объектам. Данная система реализуется в программно-технических комплексах, в рамках операционной системы, систем управления базами данных или прикладных программ, в средствах реализации ЛВС, в использовании криптографических преобразований, методов контроля доступа.
Защита информации организационными средствами предполагает защиту без использования технических средств. Иногда, задача решается простым удалением ОТСС от границы контролируемой зоны на максимально возможное расстояние. Так же возможен вариант размещения, например, трансформаторной подстанции и контура заземления в пределах контролируемой зоны. К организационно-техническим можно отнести так же удаление ВТСС, линии которых выходят за пределы контролируемой зоны, запрещение использования ОТСС с паразитной генерацией для обработки информации, проведение специальных проверок технических средств на отсутствие закладочных устройств. Необходимо помнить, что организационно-технические меры требуют выполнение комплекса мер, предписанных нормативными документами.
При разработке СЗИ так же следует принимать во внимание то, что вся система состоит из более мелких систем. К ним относится подсистема управления доступом, подсистема регистрации и учета, криптографическая защита информации и подсистема обеспечения целостности.
Общие принципы организации защиты конфиденциальной информации, применяемые при разработке СЗИ:
Непрерывность
Комплекс
Достаточность
Достаточность
Согласованность
Эффективность Для реализации мер защиты конфиденциальной информации должны
применяться сертифицированные в установленном порядке технические средства защиты информации.
К мерам противодействия угрозам безопасности относят правовые, морально-этические, технологические, физические и технические. Моральноэтические меры побуждают к созданию правовых мер (примером может быть неприязнь того, что кто-либо незнакомый Вам, может узнать Ваши фамилию имя и отчество, состояние здоровья или иную информацию личного характера). В свою очередь правовые меры побуждают к реализации организационных мер (разработка необходимых норм и правил при собирании, обработке, передаче и хранении информации), которые связаны с физическими и техническими мерами (технические средства защиты информации, физические барьеры на пути злоумышленника и т.д.).
Система безопасности - это организованная совокупность специальных органов, служб, средств, методов и мероприятий, обеспечивающих защиту жизненно важных интересов личности, предприятия, государства от внутренних и внешних угроз, в задачи которой входит разработка и осуществление мер по защите информации, формирование, обеспечение и продвижение средств обеспечения безопасности и восстановление объектов защиты, пострадавших в результате каких-либо противоправных действий.
Все эти задачи помогают в достижении целей своевременного выявления угроз, оперативного предотвращения, нейтрализации или пресечения, локализации угроз, отражения атак и уничтожении угроз.
Организационные мероприятия - это мероприятия ограничительного характера, сводящиеся основном, к регламентации доступа и использования технических средств обработки информации. Они, как правило, проводятся силами самой организации путем использования простейших организационных мер.
В общем плане организационные мероприятия предусматривают проведение следующих действий:
определение границ охраняемой зоны (территории): Охраняемая зона - это и есть кабинет директора (в моём варианте). Сама комната описана
пункте 1. данной работы;
определение технических средств, используемых для обработки конфиденциальной информации в пределах контролируемой территории: используются такие ТС как телефон, компьютер;
определение "опасных", с точки зрения возможности образования каналов утечки информации, технических средств и конструктивных особенностей зданий и сооружений: данный вопрос описан в пункте 2.. Основными каналами утечки информации на данном объекте являются: телефонные линии связи, акустический канал, ПЭМИН, цепи заземления;
выявление возможных путей проникновения к источникам конфиденциальной информации со стороны злоумышленников: данный вопрос описан в пункте 3.;
реализация мер по обнаружению, выявлению и контролю за обеспечением защиты информации всеми доступными средствами: данный вопрос описан в пункте 4..
Организационные мероприятия выражаются в тех или иных ограничительных мерах. Можно выделить такие ограничительные меры, как территориальные, пространственные и временные.
Территориальные ограничения сводятся к умелому расположению источников на местности или в зданиях и помещениях, исключающих подслушивание переговоров или перехват сигналов радиоэлектронных средств.
Пространственные ограничения выражаются в выборе направлений излучения тех или иных сигналов в сторону наименьшей возможности их перехвата злоумышленниками.
Временные ограничения проявляются в сокращении до минимума времени работы технических средств, использовании скрытых методов связи, шифровании и других мерах защиты.
Одной из важнейших задач организационной деятельности является определение состояния технической безопасности объекта, его помещений, подготовка и выполнение организационных мер, исключающих возможность неправомерного овладения конфиденциальной информацией, воспрещение ее разглашения, утечки и несанкционированного доступа к охраняемым секретам.
Организационно-технические мероприятия обеспечивают блокирование разглашения и утечки конфиденциальных сведений через технические средства обеспечения производственной и трудовой деятельности, а также противодействие техническим средствам промышленного шпионажа с помощью специальных технических средств, устанавливаемых на элементы конструкций зданий, помещений и технических средств, потенциально образующих каналы утечки информации. В этих целях возможно использование:
технических средств пассивной защиты, например фильтров, ограничителей и тому подобных средств развязки
электрических и электромагнитных систем защиты сетей телефонной связи, энергоснабжения, радио- и часофикации и др.;
технических средств активной защиты: датчиков акустических шумов
иэлектромагнитных помех.
Организационно-технические мероприятия по защите информации
можно подразделить на пространственные, режимные и энергетические.
Пространственные меры выражаются в уменьшении ширины диаграммы направленности, ослаблении боковых и заднего лепестков
диаграммы направленности излучения радиоэлектронных средств (РЭС).
Режимные меры сводятся к использованию скрытых методов передачи информации по средствам связи: шифрование, квазипеременные частоты
передачи и др.
Энергетические - это снижение интенсивности излучения и работа РЭС
на пониженных мощностях.
Технические мероприятия - это мероприятия, обеспечивающие приобретение, установку и использование в процессе производственной деятельности специальных, защищенных от побочных излучений (безопасных) технических средств или средств, ПЭМИН которых не
превышают границу охраняемой территории.
Технические мероприятия по защите конфиденциальной информации
можно подразделить на скрытие, подавление и дезинформацию.
Скрытие выражается в использовании радиомолчания и создании пассивных помех приемным средствам злоумышленников.
Подавление - это создание активных помех средствам злоумышленников .
Дезинформация - это организация ложной работы технических средств связи и обработки информации; изменение режимов использования частот и регламентов связи; показ ложных демаскирующих признаков деятельности и
опознавания .
Защитные меры технического характера могут быть направлены на конкретное техническое устройство или конкретную аппаратуру и выражаются в таких мерах, как отключение аппаратуры на время ведения конфиденциальных переговоров или использование тех или иных защитных устройств типа ограничителей, буферных средств, фильтров и устройств
зашумления .
Можно так классифицировать потенциальные угрозы, против которых
направлены технические меры защиты информации:
Потери информации из-за сбоев оборудования:
|
перебои электропитания; |
|
сбои дисковых систем; |
||
|
|
сбои работы серверов, рабочих станций, сетевых карт и т.д. |
|
Потери информации из-за некорректной работы программ: |
||
|
||
|
потеря или изменение данных при ошибках ПО; |
|
потери при заражении системы компьютерными вирусами; |
||
|
||
Потери, связанные с несанкционированным доступом: |
||
|
||
|
несанкционированное копирование, уничтожение или подделка |
|
|
|
|
информации ; |
||
|
ознакомление с конфиденциальной информацией. |
|
Ошибки обслуживающего персонала и пользователей: |
||
|
||
случайное уничтожение или изменение данных;
|
|
некорректное использование программного и аппаратного обеспечения , |
|||
ведущее к уничтожению или изменению данных. |
|
||||
|
Сами технические меры защиты можно разделить на: |
|
|
||
|
|
|
|||
|
средства аппаратной защиты, |
включающие средства |
защиты |
||
|
|
||||
|
|
|
|
|
|
кабельн ой системы, систем электропитания, и т.д. |
|
||||
|
|
программные средства защиты, в том числе: криптография, |
|||
антивирусные программы, системы разграничения полномочий, |
средства |
||||
|
|
|
доступа и т.д. |
|
|
контроля |
|
|
|
||
|
|
административные меры защиты, |
включающие подготовку и |
||
обучение персонала, организацию тестирования и приема в эксплуатацию
программ , контроль доступа в помещения и т.д. Следует отметить, что подобное деление достаточно условно,
поскольку современные технологии развиваются в направлении сочетания программных и аппаратных средств защиты. Наибольшее распространение такие программно-аппаратные средства получили, в частности, в области контроля доступа, защиты от вирусов и т.д.
Практическое задание
Выделите информацию, не подлежащую защите согласно нормативноправовым актам, и выполнить проектирование организационных и технических мер по защите этой информации.
Выполните построение комплексной системы организационных мер для выбранного предприятия.
Контрольные вопросы
Что понимается под информационной безопасностью? Назовите основные способы защиты информации.
Назовите способы несанкционированного получения конфиденциальной информации.
Какие задачи решаются в ходе разработки и внедрения КСЗИ? Назовите этапы создания системы защиты.