Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4614 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Национальный исследовательский университет «МИЭТ»
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
КСЗИ часть 1.doc
Скачиваний:
50
Добавлен:
12.11.2019
Размер:
649.73 Кб
Скачать
►Содержание►

5.7 Транспортные средства и особенности транспортировки

Перевозка носителей информации ограниченного доступа - совокупность операций, которым подвергаются носители ИОД в процессе их доставки от грузоотправителя до грузополучателя и включает в себя:

подготовку носителей и транспортных средств, прием носителей к перевозке, их погрузку в транспортное средство, оформление перевозочных документов, транспортирование носителей, перегрузку носителей с одного вида транспорта на другой, транзитное хранение носителей и их выгрузку.

Транспортировка должна предусматривать:

1. Постоянный контроль за грузом в пути следования, проверку при передаче под расписку лицам, которые обеспечивают сохранность в пути;

2. Непрерывную охрану груза с момента получения у грузоотправителя и до передачи под расписку грузополучателю, с целью не допустить досмотра, тайного доступа, полного или частичного хищения.

3. Перевозка обычно осуществляется без пересадок и перегрузки. Если же сквозную перевозку организовать невозможно, то принимаются особые меры по охране грузов в местах транзита:

если груз остается в транспорте – обеспечивается его непрерывная охрана;

если временное хранение груза осуществляется в помещениях – то помещения должны соответствовать требованиям, предъявляемым к помещениям для хранения носителей сведений ограниченного доступа соответствующего вида;

во всех случаях груз передается под расписку охраняющих лиц.

5.8 Состав средств обеспечения, подлежащих защите

Средства обеспечения объекта информатизации - технические средства и системы, их коммуникации, не предназначенные для обработки информации, но устанавливаемые вместе со средствами обработки информации на объекте информатизации. К ним относятся:

  • электробытовые приборы (нагревательные, осветительные, вентиляции и тп.);

  • средства часофикации;

  • системы кондиционирования воздуха;

  • электроосветительные приборы;

  • системы электроснабжения;

  • системы заземления;

  • электронные системы регулирования доступа в помещения;

  • средства видеонаблюдения;

  • системы отопления, водоснабжения, канализации, вентиляции;

  • системы сигнализации и оповещения;

  • системы пожаротушения;

  • средства механизации (бумагоуничтожающие машины, электронные и электрические замки, электрические звонки и т.п.).

6. Дестабилизирующие воздействия на информацию и их нейтрализация

6.1 Факторы и угрозы информационной безопасности. Последствия реализации угроз

Подлежащая защите на предприятии информация отражается в документах на бумажных носителях, передается по средствам телекоммуникаций, обрабатывается в автоматизированных системах (АС). В этом смысле можно говорить о мультимедийном характере системы документооборота. Для каждой среды характерны свои особенности обработки информации, а также различные факторы и угрозы ее безопасности. Как правило, защищаемая информация обрабатывается на тех или иных технических средствах. Поэтому введем понятие технического средства обработки информации (ТСОИ), под которым будем понимать любое изделие, в котором происходит обработка информации. На безопасность информации влияют как конструктивные особенности, характеристика ТСОИ, так и другие факторы. Рассмотрим подробнее факторы и угрозы безопасности информации, попробуем провести различие между этими понятиями.

Определение фактора, воздействующего на информацию, приведено в ГОСТ Р 51275-99: явление, действие или процесс, резуль­татом которых могут быть утечка, искажение, уничтожение защищаемой информации, блокирование доступа к ней.

Формирование полного множества дестабилизирующих факторов и определение причинно-следственных связей между ними относится к числу ярко выраженных неформализованных задач. Попытки формирования такого множества предпринимались при исследовании проблем обеспечения качества информации. С точки зрения обеспечения безопасности информации дестабилизирующие факторы частично совпадают с факторами, влияющими на качество информации в целом, однако, в некоторых случаях имеют свою специфику проявления и влияния на процессы автоматизированной обработки данных в АС.

Одним из наиболее эффективных и адекватных методов выявления множества дестабилизирующих факторов является метод натурных экспериментов. При надлежащей организации экспериментов и достаточной их продолжительности можно наблюдать статистические данные, достаточные для обоснованного решения поставленной задачи. Однако этот путь является наиболее дорогостоящим и требует привлечения больших коллективов специалистов в течение длительного времени. Поэтому этот метод представляется целесообразным не для первоначального формирован множества дестабилизирующих факторов, а для его уточнения и пополнения. Для первоначального формирования множества целесообразно использовать экспертные оценки в совокупности с методами структурно-логического анализа. Структура общего алгоритма формирования множества дестабилизирующих факторов показана на рис. 6.1.

Анализ причин утечки информации в АС, проведенный по результатам конкретных факторов выявления несанкционированного доступа и в ходе моделирования различных ситуаций в АС, показывает, что с учетом архитектуры, технологии применения и условий функционирования АС полное множество дестабилизирующих факторов может быть разделено на следующие типы:

1. Количественная недостаточность системы защиты - совокупность факторов, не позволяющих перекрыть известное множество каналов утечки информации путем применения существующих средств защиты, которые по своим характеристикам могут полностью обеспечить безопасность информации в АС.

2. Качественная недостаточность системы защиты - совокупность факторов, не позволяющих перекрыть известное множество каналов утечки информации путем применения существующих средств защиты вследствие их несовершенства или несоответствия современному уровню развития средств несанкционированного доступа к информации (средств технических разведок).

3. Отказы - совокупность факторов, приводящих к потере системой защиты или одним из средств защиты способности выполнять свои функции.

4. Сбои - совокупность факторов, приводящих к кратковременному нарушению работы средств защиты или выходу характеристик их работы за допустимые интервалы значений.

5. Ошибки операторов АС - совокупность факторов, приводящих к нарушению технологии автоматизированной обработки информации в АС вследствие некорректных действий операторов.

6. Стихийные бедствия - совокупность факторов, приводящие к утечке информации вследствие физического разрушения элементов АС при воздействии на них сил природы без участия человека.

7. Злоумышленные действия - совокупность факторов, приводящих к изменению режимов функционирования АС, уничтожению, искажению или раскрытию информации в результате непосредственного целенаправленного воздействия нарушителя на компоненты АС.

8. Побочные явления - совокупность факторов, позволяющих нарушителю получить доступ к информации без непосредственного воздействия на компоненты АСУ.

Источниками дестабилизирующих факторов могут быть люди операторы АСУ и нарушители), технические устройства, модели, алгоритмы и программы выполнения различных операций обработки данных в АСУ, технология автоматизированной обработки информации и внешняя по отношению к АСУ среда. Поскольку в общем случае каждый из типов факторов может появляться вследствие активизации каждого из рассмотренных источников, то можно говорить о существовании (8х5)=40 различных групп дестабилизирующих факторов. Однако некоторые типы факторов не могут явиться из-за физической сущности рассматриваемых источников. Например, технические устройства наиболее часто порождают дестабилизирующие факторы, относящиеся к типам "сбой" и "отказ", однако говорить о факторах типа "ошибка" или "стихийное бедствие" в данном случае бессмысленно.

В упомянутом выше стандарте приведена классификация факторов, воздействующих на информацию. В основу классификации положено деление на следующие структурные компоненты:

  • подкласс;

  • группа;

  • подгруппа;

  • вид;

  • подвид.

В соответствии с данной классификацией все факторы делятся на два подкласса:

1) объективные;

2) субъективные.

Внутри каждого подкласса выделяются группы внутренних и внешних факторов.

К объективным внутренним факторам, воздействующим на защищаемую информацию, относятся:

  • передача сигналов по проводным, оптико-волоконным линиям связи;

  • излучения сигналов, функционально присущих ОИ (акустических, речевых, неречевых);

  • электромагнитные излучения и поля различных диапазонов;

  • побочные электромагнитные излучения и наводки (ПЭМИН) информационных цепей, либо модулированные сигналами от информационных цепей, в том числе, паразитные излучения;

  • акустоэлектрические преобразования в ТСОИ;

  • дефекты, сбои, отказы, аварии ТСОИ;

  • дефекты, сбои и отказы программного обеспечения.

К объективным внешним факторам, воздействующим на защищаемую информацию, относятся:

  • явления техногенного характера;

  • непреднамеренные электромагнитные облучения ОИ;

  • радиационные облучения ОИ;

  • сбои, отказы и аварии систем обеспечения ОИ;

  • природные явления, стихийные бедствия (пожары, наводнения, землетрясения, грозовые разряды, биологические факторы и т. д.).

К субъективным внутренним факторам, воздействующим на защищаемую информацию, относятся:

  • разглашение защищаемой информации лицами, имеющими к ней право доступа. Под разглашением понимается не только прямое разглашение, но и косвенное, то есть передача информации по открытым линиям связи, обработка информации на незащищенных ТСОИ, копирование информации на незарегистрированный носитель информации, утрата носителя с информацией;

  • неправомерные действия со стороны лиц, имеющих право доступа к защищаемой информации (несанкционированные изменение информации, ее копирование);

  • несанкционированный доступ к защищаемой информации за счет подключения к ТСОИ, использования закладочных устройств, использования программного обеспечения ТСОИ (маскарада пользователя, внедрения программных закладок и вирусов, дефектов ПО), хищения носителя защищаемой информации, нарушения функционирования ТСОИ;

  • неправильное организационное обеспечение защиты информации (неверно заданные требования по защите информации, их несоблюдение, неправильно организованный контроль эффективности защиты информации);

  • ошибки обслуживающего персонала ОИ (при эксплуатации ТС, программных средств, средств и систем защиты информации).

К субъективным внешним факторам, воздействующим на защищаемую информацию, относятся:

  • доступ к защищаемой информации с применением технических средств разведки (радиоэлектронной, оптико-электронной, фотографической, визуально-оптической, акустической, гидроакустической, компьютерной);

  • доступ к защищаемой информации с использованием эффекта «высокочастотного навязывания»;

  • несанкционированный доступ к защищаемой информации за счет подключения к ТСОИ, использования закладочных устройств, использования программного обеспечения ТСОИ (маскарада пользователя, внедрения программных закладок и вирусов, дефектов ПО), несанкционированного физического доступа на ОИ, хищения носителя защищаемой информации, нарушения функционирования ТСОИ;

  • блокирование доступа к защищаемой информации путем перегрузки ТСОИ ложными заявками на ее обработку;

  • действия криминальных групп и отдельных преступных субъектов;

  • диверсия в отношении ОИ.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности