- •2.5 Требования, предъявляемые к ксзи
- •2.5.1 Требования к организационной и технической составляющим ксзи
- •2.5.2 Требования по безопасности, предъявляемые к изделиям ит
- •2.5.2.1. Порядок задания требований
- •2.5.2.2. Разработка изделия ит
- •2.5.2.3. Обеспечение поддержки доверия к безопасности изделия ит при эксплуатации
- •2.5.2.4 Подтверждение соответствия изделий ит требованиям безопасности информации
- •2.5.2.5. Поставка и ввод в действие. Эксплуатация изделия
- •2.6 Этапы разработки ксзи
- •3. Факторы, влияющие на организацию ксзи
- •3.1 Влияние формы собственности на особенности защиты информации ограниченного доступа
- •3.2 Влияние организационно-правовой формы предприятия на особенности защиты информации ограниченного доступа
- •Юридические лица, являющиеся коммерческими организациями
- •3.3 Характер основной деятельности предприятия
- •3.4 Состав, объекты и степень конфиденциальности защищаемой информации
- •3.5 Структура и территориальное расположение предприятия
- •3.6 Режим функционирования предприятия
- •3.7 Конструктивные особенности предприятия
- •3.8 Количественные и качественные показатели ресурсообеспечения
- •3.9 Степень автоматизации основных процедур обработки защищаемой информации
- •4. Определение и нормативное закрепление состава защищаемой информации
- •4.1 Классификация информации по видам тайны и степеням конфиденциальности
- •4.2 Нормативно-правовые аспекты определения состава защищаемой информации
- •4.2.1. Решение Задачи 1
- •4.2.2 Решение задачи 2
- •4.2.3 Определение состава защищаемой информации, отнесенной к коммерческой тайне предприятия
- •4.3 Методика определения состава защищаемой информации
- •4.4 Порядок внедрения Перечня сведений, составляющих кт, внесение в него изменений и дополнений
- •5. Определение объектов защиты
- •5.1 Значение носителей защищаемой информации, как объектов защиты
- •5.2 Методика выявления состава носителей защищаемой информации
- •5.4 Особенности взаимоотношений с контрагентами, как объект защиты информации ограниченного доступа
- •5.5 Факторы, определяющие необходимость защиты периметра и здания предприятия
- •5.6 Особенности помещений для работы с защищаемой информацией, как объектов защиты
- •Основные принципы оборудования сигнализацией
- •5.7 Транспортные средства и особенности транспортировки
- •5.8 Состав средств обеспечения, подлежащих защите
- •6. Дестабилизирующие воздействия на информацию и их нейтрализация
- •6.1 Факторы и угрозы информационной безопасности. Последствия реализации угроз
- •6.2 Угрозы безопасности информации
- •6.3 Модели нарушителей безопасности ас
- •6.4 Подходы к оценке ущерба от нарушений иб
- •6.5 Обеспечение безопасности информации в непредвиденных ситуациях
- •6.6 Реагирование на инциденты иб
- •6.7 Резервирование информации и отказоустойчивость
5.7 Транспортные средства и особенности транспортировки
Перевозка носителей информации ограниченного доступа - совокупность операций, которым подвергаются носители ИОД в процессе их доставки от грузоотправителя до грузополучателя и включает в себя:
подготовку носителей и транспортных средств, прием носителей к перевозке, их погрузку в транспортное средство, оформление перевозочных документов, транспортирование носителей, перегрузку носителей с одного вида транспорта на другой, транзитное хранение носителей и их выгрузку.
Транспортировка должна предусматривать:
1. Постоянный контроль за грузом в пути следования, проверку при передаче под расписку лицам, которые обеспечивают сохранность в пути;
2. Непрерывную охрану груза с момента получения у грузоотправителя и до передачи под расписку грузополучателю, с целью не допустить досмотра, тайного доступа, полного или частичного хищения.
3. Перевозка обычно осуществляется без пересадок и перегрузки. Если же сквозную перевозку организовать невозможно, то принимаются особые меры по охране грузов в местах транзита:
если груз остается в транспорте – обеспечивается его непрерывная охрана;
если временное хранение груза осуществляется в помещениях – то помещения должны соответствовать требованиям, предъявляемым к помещениям для хранения носителей сведений ограниченного доступа соответствующего вида;
во всех случаях груз передается под расписку охраняющих лиц.
5.8 Состав средств обеспечения, подлежащих защите
Средства обеспечения объекта информатизации - технические средства и системы, их коммуникации, не предназначенные для обработки информации, но устанавливаемые вместе со средствами обработки информации на объекте информатизации. К ним относятся:
электробытовые приборы (нагревательные, осветительные, вентиляции и тп.);
средства часофикации;
системы кондиционирования воздуха;
электроосветительные приборы;
системы электроснабжения;
системы заземления;
электронные системы регулирования доступа в помещения;
средства видеонаблюдения;
системы отопления, водоснабжения, канализации, вентиляции;
системы сигнализации и оповещения;
системы пожаротушения;
средства механизации (бумагоуничтожающие машины, электронные и электрические замки, электрические звонки и т.п.).
6. Дестабилизирующие воздействия на информацию и их нейтрализация
6.1 Факторы и угрозы информационной безопасности. Последствия реализации угроз
Подлежащая защите на предприятии информация отражается в документах на бумажных носителях, передается по средствам телекоммуникаций, обрабатывается в автоматизированных системах (АС). В этом смысле можно говорить о мультимедийном характере системы документооборота. Для каждой среды характерны свои особенности обработки информации, а также различные факторы и угрозы ее безопасности. Как правило, защищаемая информация обрабатывается на тех или иных технических средствах. Поэтому введем понятие технического средства обработки информации (ТСОИ), под которым будем понимать любое изделие, в котором происходит обработка информации. На безопасность информации влияют как конструктивные особенности, характеристика ТСОИ, так и другие факторы. Рассмотрим подробнее факторы и угрозы безопасности информации, попробуем провести различие между этими понятиями.
Определение фактора, воздействующего на информацию, приведено в ГОСТ Р 51275-99: явление, действие или процесс, результатом которых могут быть утечка, искажение, уничтожение защищаемой информации, блокирование доступа к ней.
Формирование полного множества дестабилизирующих факторов и определение причинно-следственных связей между ними относится к числу ярко выраженных неформализованных задач. Попытки формирования такого множества предпринимались при исследовании проблем обеспечения качества информации. С точки зрения обеспечения безопасности информации дестабилизирующие факторы частично совпадают с факторами, влияющими на качество информации в целом, однако, в некоторых случаях имеют свою специфику проявления и влияния на процессы автоматизированной обработки данных в АС.
Одним из наиболее эффективных и адекватных методов выявления множества дестабилизирующих факторов является метод натурных экспериментов. При надлежащей организации экспериментов и достаточной их продолжительности можно наблюдать статистические данные, достаточные для обоснованного решения поставленной задачи. Однако этот путь является наиболее дорогостоящим и требует привлечения больших коллективов специалистов в течение длительного времени. Поэтому этот метод представляется целесообразным не для первоначального формирован множества дестабилизирующих факторов, а для его уточнения и пополнения. Для первоначального формирования множества целесообразно использовать экспертные оценки в совокупности с методами структурно-логического анализа. Структура общего алгоритма формирования множества дестабилизирующих факторов показана на рис. 6.1.
Анализ причин утечки информации в АС, проведенный по результатам конкретных факторов выявления несанкционированного доступа и в ходе моделирования различных ситуаций в АС, показывает, что с учетом архитектуры, технологии применения и условий функционирования АС полное множество дестабилизирующих факторов может быть разделено на следующие типы:
1. Количественная недостаточность системы защиты - совокупность факторов, не позволяющих перекрыть известное множество каналов утечки информации путем применения существующих средств защиты, которые по своим характеристикам могут полностью обеспечить безопасность информации в АС.
2. Качественная недостаточность системы защиты - совокупность факторов, не позволяющих перекрыть известное множество каналов утечки информации путем применения существующих средств защиты вследствие их несовершенства или несоответствия современному уровню развития средств несанкционированного доступа к информации (средств технических разведок).
3. Отказы - совокупность факторов, приводящих к потере системой защиты или одним из средств защиты способности выполнять свои функции.
4. Сбои - совокупность факторов, приводящих к кратковременному нарушению работы средств защиты или выходу характеристик их работы за допустимые интервалы значений.
5. Ошибки операторов АС - совокупность факторов, приводящих к нарушению технологии автоматизированной обработки информации в АС вследствие некорректных действий операторов.
6. Стихийные бедствия - совокупность факторов, приводящие к утечке информации вследствие физического разрушения элементов АС при воздействии на них сил природы без участия человека.
7. Злоумышленные действия - совокупность факторов, приводящих к изменению режимов функционирования АС, уничтожению, искажению или раскрытию информации в результате непосредственного целенаправленного воздействия нарушителя на компоненты АС.
8. Побочные явления - совокупность факторов, позволяющих нарушителю получить доступ к информации без непосредственного воздействия на компоненты АСУ.
Источниками дестабилизирующих факторов могут быть люди операторы АСУ и нарушители), технические устройства, модели, алгоритмы и программы выполнения различных операций обработки данных в АСУ, технология автоматизированной обработки информации и внешняя по отношению к АСУ среда. Поскольку в общем случае каждый из типов факторов может появляться вследствие активизации каждого из рассмотренных источников, то можно говорить о существовании (8х5)=40 различных групп дестабилизирующих факторов. Однако некоторые типы факторов не могут явиться из-за физической сущности рассматриваемых источников. Например, технические устройства наиболее часто порождают дестабилизирующие факторы, относящиеся к типам "сбой" и "отказ", однако говорить о факторах типа "ошибка" или "стихийное бедствие" в данном случае бессмысленно.
В упомянутом выше стандарте приведена классификация факторов, воздействующих на информацию. В основу классификации положено деление на следующие структурные компоненты:
подкласс;
группа;
подгруппа;
вид;
подвид.
В соответствии с данной классификацией все факторы делятся на два подкласса:
1) объективные;
2) субъективные.
Внутри каждого подкласса выделяются группы внутренних и внешних факторов.
К объективным внутренним факторам, воздействующим на защищаемую информацию, относятся:
передача сигналов по проводным, оптико-волоконным линиям связи;
излучения сигналов, функционально присущих ОИ (акустических, речевых, неречевых);
электромагнитные излучения и поля различных диапазонов;
побочные электромагнитные излучения и наводки (ПЭМИН) информационных цепей, либо модулированные сигналами от информационных цепей, в том числе, паразитные излучения;
акустоэлектрические преобразования в ТСОИ;
дефекты, сбои, отказы, аварии ТСОИ;
дефекты, сбои и отказы программного обеспечения.
К объективным внешним факторам, воздействующим на защищаемую информацию, относятся:
явления техногенного характера;
непреднамеренные электромагнитные облучения ОИ;
радиационные облучения ОИ;
сбои, отказы и аварии систем обеспечения ОИ;
природные явления, стихийные бедствия (пожары, наводнения, землетрясения, грозовые разряды, биологические факторы и т. д.).
К субъективным внутренним факторам, воздействующим на защищаемую информацию, относятся:
разглашение защищаемой информации лицами, имеющими к ней право доступа. Под разглашением понимается не только прямое разглашение, но и косвенное, то есть передача информации по открытым линиям связи, обработка информации на незащищенных ТСОИ, копирование информации на незарегистрированный носитель информации, утрата носителя с информацией;
неправомерные действия со стороны лиц, имеющих право доступа к защищаемой информации (несанкционированные изменение информации, ее копирование);
несанкционированный доступ к защищаемой информации за счет подключения к ТСОИ, использования закладочных устройств, использования программного обеспечения ТСОИ (маскарада пользователя, внедрения программных закладок и вирусов, дефектов ПО), хищения носителя защищаемой информации, нарушения функционирования ТСОИ;
неправильное организационное обеспечение защиты информации (неверно заданные требования по защите информации, их несоблюдение, неправильно организованный контроль эффективности защиты информации);
ошибки обслуживающего персонала ОИ (при эксплуатации ТС, программных средств, средств и систем защиты информации).
К субъективным внешним факторам, воздействующим на защищаемую информацию, относятся:
доступ к защищаемой информации с применением технических средств разведки (радиоэлектронной, оптико-электронной, фотографической, визуально-оптической, акустической, гидроакустической, компьютерной);
доступ к защищаемой информации с использованием эффекта «высокочастотного навязывания»;
несанкционированный доступ к защищаемой информации за счет подключения к ТСОИ, использования закладочных устройств, использования программного обеспечения ТСОИ (маскарада пользователя, внедрения программных закладок и вирусов, дефектов ПО), несанкционированного физического доступа на ОИ, хищения носителя защищаемой информации, нарушения функционирования ТСОИ;
блокирование доступа к защищаемой информации путем перегрузки ТСОИ ложными заявками на ее обработку;
действия криминальных групп и отдельных преступных субъектов;
диверсия в отношении ОИ.