ТИБМЗИ 2010 Загинайлов

Табл.13.1- Типы объектов информатизации, основанные на типе систем и средств обработки информации

АС создаются на базе СВТ. Под СВТ понимается совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем. К ним относят общесистемные программные средства и операционные системы (с учетом архитектуры ЭВМ):

-операционные системы ( семейств Windows, NetWare, UNIX и

др.),

-СУБД (Oracle, Microsoft SQL Server, Informix и др.);

-программное обеспечение (электронный документооборот, справочные системы, электронная бухгалтерия и т.п.)

Требования по безопасности информации в СВТ, как объектах защиты информации определены в нормативном документе « Руководящий документ. Средства вычислительной техники.

191

Защита от несанкционированного доступа к информации Показатели защищенности от несанкционированного доступа к информации».

Руководящим документом установлены 7 классов защищённости СВТ. Выбор класса защищенности СВТ для автоматизированных систем, создаваемых на базе защищенных СВТ, зависит от грифа конфиденциальности (секретности) обрабатываемой в АС информации, условий эксплуатации и расположения объектов системы.

Системы связи, приема, обработки и передачи данных. Сис-

темы связи, приема, обработки и передачи данных создаются и функционируют на основе соответствующих средств и сетей. К ним могут быть отнесены:

-средства телефонии, звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства;

-информационно-телекоммуникационные сети (ИТКС); -другие технические средства обработки речевой, графической,

видео, смысловой и буквенно - цифровой информации. Аттестуются по требованиям безопасности информации как объекты информатизации. Требования безопасности установлены специальными нормативными документами по защите информации.

Системы отображения и размножения. К системам отображе-

ния и размножения, рассматриваемых в качестве ОТСС, относят:

-средства отображения (видеопроектор, LCD –экран для общего просмотра (электронная доска) и т.п.)

-средства изготовления, тиражирования документов (принтер, ксерокс, плоттер, сканер и т.п.).

Аттестуются по требованиям безопасности информации как объекты информатизации. Требования безопасности установлены специальными нормативными документами по защите информации.

Для аттестации указанных трёх типов защищаемых объектов ин-

форматизации, также должны быть выполнены требования по безопасности для средств обеспечения объекта информатизации и предотвращению утечки ИОД через эти средства и системы.

13.3 Средства обеспечения объекта информатизации

Состав средств обеспечения объекта информатизации. Состав средств обеспечения объекта информатизации может быть представлен в виде трёх групп (табл.13.2):

192

Табл.13.2 – Средства обеспечения объекта информатизации

-вспомогательные технические средства и системы (ВТСС), устанавливаемые совместно с ОТСС или в помещениях для конфиденциальных переговоров,

-средства инженерных коммуникаций и ограждающие конструк-

ции;

-системы электропитания и заземления.

Вспомогательные технические средства и системы (ВТСС) -

технические средства и системы, не предназначенные для передачи,

193

обработки и хранения конфиденциальной информации, устанавливаемые совместно с основными техническими средствами и системами или в защищаемых (выделенных) помещениях.

Вспомогательные технические средства и системы. К ВТСС относятся:

-различного рода телефонные средства и системы;

-средства и системы передачи данных в системе радиосвязи;

-средства и системы охранной и пожарной сигнализации;

-средства и системы оповещения и сигнализации;

-контрольно-измерительная аппаратура;

-средства и системы кондиционирования;

-средства и системы проводной радиотрансляционной сети и приема программ радиовещания и телевидения (абонентские громкоговорители, системы радиовещания, телевизоры и радиоприемники и т.д.);

-средства электронной оргтехники;

-средства и системы электрочасофикации;

-иные технические средства и системы.

Через ВТСС за счёт наводок возможна утечка информации по техническим каналам. Их расположение, использование не должно приводить к появлению каналов утечки ИОД. Их работа на объекте информатизации должна быть строго регламентирована. При аттестации объекта информатизации по требованиям безопасности информации осуществляется проверка и соответствие мероприятий, требованиям, определённым специальными нормативными документами для ВТСС на защищаемом объекте информатизации.

Системы электропитания и заземления. Системы электропита-

ния и заземления должны соответствовать стандартам и нормативным документам в этой области. Являются потенциальными техническими каналами утечки ИОД, если имеют выход за пределы контролируемой зоны. Требования по предотвращению утечки информации через системы электропитания и заземления за счёт наводок определены в специальных нормативных документах по защите информации. При аттестации объекта информатизации по требованиям безопасности информации осуществляется проверка и соответствие мероприятий по предотвращению утечки ИОД по каналам образуемым системами электропитания и заземления.

Ограждающие конструкции и инженерные коммуникации. К

этой группе объектов относятся: системы отопления, канализация, турникеты, и другие конструкции и инженерные коммуникации. При аттестации объекта информатизации по требованиям безопасности

194

информации осуществляется проверка наличия каналов утечки ИОД через указанные элементы, при их наличии и соответствие мероприятий и средств защиты предотвращающих возможность утечки ИОД.

13.4 Помещения, в которых установлены средства обработки, и помещения для конфиденциальных переговоров как объекты защиты информации

Общая характеристика помещений как объектов защиты ин-

формации. Как объекты защиты, объекты информатизации не могут быть охарактеризованы без понятия контролируемой зоны.

Контролируемая зона (КЗ) - это пространство (территория, здание, часть здания), в котором исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового допуска, и посторонних транспортных средств.

Границей КЗ могут являться:

-периметр охраняемой территории учреждения (предприятия);

-ограждающие конструкции охраняемого здания или охраняемой части здания (помещения), если оно размещено на неохраняемой территории.

Вотдельных случаях на период обработки техническими средствами конфиденциальной информации КЗ временно может устанавливаться большей, чем охраняемая территория предприятия. При этом должны приниматься организационно-режимные и технические меры, исключающие или существенно затрудняющие возможность ведения перехвата информации в этой зоне.

Помещения, в которых установлены ОТСС, обрабатывающие ИОД, и помещения для конфиденциальных переговоров как объекты защиты характеризуются определёнными параметрами:

-расположением в здании (этаж) – этажность;

-расположением на территории предприятия и (или) здания;

-наличием (количеством) окон, дверей их расположением;

-прохождением систем тепло и водоснабжения, вентиляции и др. Указанные параметры и периметр контролируемой зоны влияют

на необходимый перечень мер, методов и средств, для защиты информации на объекте информатизации.

Помещения (здания) для работы с защищаемой информацией являются одним из рубежей, препятствующих несанкционированному доступу к объектам защиты. Они должны удовлетворять следующим требованиям [Гр.]:

- обеспечивать защиту от проникновения злоумышленника (фи-

195

зическую защиту) на время, необходимое для выявления и пресечения нарушения;

-исключать просмотр и прослушивание;

-обеспечивать сохранность носителей защищаемой информации от хищений сиспользованием квалифицированных методов взлома;

-обеспечивать безопасность персонала объектов и посетителей от вооруженных нападений;

-соответствовать строительным нормам и правилам, санитарногигиеническим нормам, требованиям противопожарной безопасности;

-при проведении работ с информацией обеспечивать ее защиту от утечки по техническим каналам;

иметь условия для разграничения доступа к проводимым работам.

Помещения, в которых установлены средства обработки за-

щищаемой информации. Помещения, в которых установлены средства обработки защищаемой информации, не являются самостоятельными объектами информатизации и защиты. При аттестации объекта информации по требованиям безопасности информации, помещения в которых установлены ОТСС обрабатывающие ИОД, должны соответствовать требованиям и рекомендациям, установленным специальными нормативными документами, а также стандартам для средств физической защиты (укреплённости) помещений (стандарты определяющие требования к остеклению, дверям, замкам, стойкость к взлому стен, перекрытий, системам охранной и пожарной сигнализации, системам контроля и управления доступом и др.).

Помещения для конфиденциальных переговоров. Помещения для конфиденциальных переговоров относятся к отдельному типу защищаемых объектов информатизации – защищаемым помещениям.

Защищаемые помещения (ЗП) – помещения (служебные кабинеты, актовые, конференц-залы и т.д.), специально предназначенные для проведения конфиденциальных мероприятий (совещаний, обсуждений, конференций, переговоров и т.п.).

В помещениях для конфиденциальных переговоров информация не хранится постоянно. В связи с этим их относят к классу «выделенных» защищаемых помещений.

Главной задачей защиты информации в помещениях для конфиденциальных переговоров является защита речевой акустической информации. Помещения должны удовлетворять следующим основным требованиям:

-обеспечивать защиту от проникновения злоумышленника (физическую защиту) на время, необходимое для выявления и пресечения нарушения ( предотвращение установки закладочных устройств);

-исключать просмотр и прослушивание ИОД в период конфи-

196

денциальных переговоров.

Перечень мероприятий и комплекс средств, для защиты таких помещений зависит от уровня конфиденциальности (секретности) оглашаемой в период переговоров информации. Требования к «выделенным» помещениям, в которых оглашается сведения, составляющие государственную тайну, определены в специальных нормативных документах по защите государственной тайны. Требования к «выделенным» помещениям, в которых оглашается сведения конфиденциального характера, определены в специальных нормативных документах по защите конфиденциальной информации.

Для предотвращения применения со стороны злоумышленников (разведок) закладочных устройств защищаемые помещения подвергают специальным проверкам.

Контрольные вопросы и задания

1.Что понимают под объектом защиты информации?

2.Перечислите основные объекты защиты информации

3.Какие существуют виды и типы объектов информатизации?

4.Что представляют собой хранилища носителей ИОД как объекты защиты информации?

5.Какие системы составляют основу защищаемых объектов информатизации, и как они определяются в специальных нормативных документах?

6.На основе каких средств, создаются автоматизированные системы, составляющие основу защищаемого объекта информатизации?

7.Что включают в себя ВТСС и какое влияние они оказывают на защищённость объекта информатизации?

8.Какими параметрами характеризуются помещения, в которых установлены ОТСС, обрабатывающие ИОД, и помещения для конфиденциальных переговоров и на что они влияют?

9.Каким основным требованиям должны соответствовать помещения, в которых установлены средства обработки защищаемой информации?

10.Что представляют собой помещения для конфиденциальных переговоров как объекты защиты, и каким основным требованиям они должны удовлетворять?

197

Глава 14 КЛАССИФИКАЦИЯ ВИДОВ, СПОСОБОВ, МЕТОДОВ И

СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ

14.1 Виды защиты информации и сферы их действия

Виды защиты информации. Вид защиты информации характеризуется общими принципами защиты, группой используемых методов и средств, имеющих самостоятельное значение и обеспечивающих защиту информации или объекта информатизации. Такими видами являются:

правовая защита информации;

организационная защита информации;

техническая защита информации;

криптографическая защита информации;

физическая защита информации.

Перечисленные виды защиты являются сложившимися и в рамках каждого вида разработано достаточно большое количество способов и средств защиты. Сфера действия каждого из видов защиты приведена в табл.14.1.

Правовая защита информации. Правовая защита информации -

это защита информации правовыми методами, включающая в себя разработку законодательных и нормативных правовых документов (актов), регулирующих отношения субъектов по защите информации, применение этих документов (актов), а также надзор и контроль за их исполнением.

Сфера действия правовой защиты информации охватывает всю территорию государства. В современных условиях эта сфера расширена международными соглашениями, предусматривающими возможность ответственности за правонарушения (преступления) в сфере компьютерной информации и интеллектуальной собственности, а также международными конвенциями о признании преступлений и привлечении к ответственности злоумышленников нарушающих законодательство других стран на территории России. Поэтому уместно говорить о масштабах правовой защиты в рамках цивилизованных стран вступивших в правоохранительные международные организации. Объектами защиты являются: конфиденциальная информация, информационные ресурсы и информационные системы (программное обеспечение). Правовая защита также рассматривается как обеспечивающий вид защиты в комплексной системе защиты информации на предпри-

198

ятии.

Табл. 14.1- Виды защиты информации и сферы их действия

Организационная защита информации. Сфера действия органи-

зационной защиты, суть которой в организации деятельности по защите, регламентировании доступа к защищаемым ресурсам и на объекты информатизации, охватывает территорию организации, помещения и персонал. Организационная защита также рассматривается как обеспечивающий вид защиты. Организационная защита направлена на предотвращение утечки ИОД и несанкционированного (неправомерного) доступа к ней по организационным каналам.

Техническая защита информации. Техническая защита ин-

формации. Защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации (данных), подлежащей (подлежащих) защите в соответствии с действующим законодательством, с применением технических, программных и про-

199

граммно-технических средств. Техническую защиту разделяют на ин- женерно-техническую и программно-аппаратную.

Инженерно-техническая защита направлена на предотвраще-

ние утечки конфиденциальной информации по техническим каналам и противодействие техническим средствам разведки. Сфера действия – контролируемая зона или помещение.

Программно - аппаратная защита направлена на защиту ин-

формации в СВТ и АС функционирующих на их основе, а также в ИТКС от НСД и НСВ. Она включает способы и средства защиты информации от утечки по инфо - телекоммуникационным и системно – программным каналам. Сфера действия охватывает масштабы от одного отдельного компьютера до вычислительной сети (локальная, корпоративная, глобальная). Для ЛВС, она ограничивается масштабами объекта информатизации или помещения организации. Программноаппаратная защита информации является основным видом обеспечения безопасности информационных технологий в компьютерных системах.

Криптографическая защита информации. Криптографическая защита информации – это защита информации с помощью ее криптографического преобразования. Она предназначена для обеспечения передачи конфиденциальной информации в зашифрованном виде по каналам связи, ИТКС, подтверждения подлинности электронных документов и обеспечения их целостности, придания электронным документам юридической силы, защиты парольных систем. Криптографические способы и средства используются как основа для создания защищённых виртуальных сетей.

Сфера действия ограничивается масштабами сети связи или ИТКС. Криптографические средства обеспечивают конфиденциальность сообщений при использовании сети Интернет.

Физическая защита информации. Физическая защита инфор-

мации- это защита информации путем применения организационных мероприятий и совокупности средств, создающих препятствия для проникновения или доступа неуполномоченных физических лиц к объекту защиты. Организационные мероприятия по обеспечению физической защиты информации предусматривают установление режимных, временных, территориальных, пространственных ограничений на условия использования и распорядок работы объекта защиты. К объектам физической защиты информации могут быть отнесены: охраняемая территория, здание (сооружение), выделенное помещение, информация и (или) информационные ресурсы объекта информатизации. Сфера действия - контролируемая зона, здание или помещение (в т.ч

200