Техническое обеспечение информационной безопасности
Техническое обеспечение ИБ включает технологии, механизмы и средства, позволяющие реализовать заданный уровень информационной безопасности каждой конкретной сети, информационной системы, ресурса, автоматизированного рабочего места компонентов информационной инфраструктуры путем выполнения комплекса организационно-технических мероприятий.
При выполнении мероприятий по обеспечению ИБ должны быть реализованы требования ИБ к информационно-технологическим процессам обработки информации с учетом специфики конкретных информационных комплексов, к технологии создания и применения систем защиты объектов ИБ (на основе модели жизненного цикла информационной системы), а также требования ИБ к механизмам и средствам защиты.
Требующие защиты технологические процессы обработки информации должны быть однозначно определены в нормативно-методических документах соответствующей организации финансовой системы.
Результаты технологических операций по обработке информации защищаемых технологических процессов должны быть контролируемы и удостоверены уполномоченными лицами. Лица, осуществляющие обработку критичной информации и контроль (проверку) результатов обработки, должны быть независимы друг от друга.
ИБ должна обеспечиваться на всех стадиях жизненного цикла информационных систем, автоматизирующих технологические процессы обработки финансовой информации.
|
|
|
При заказе информационной системы (ИС) стадии, этапы работ и процессы, относящиеся к жизненным циклам, рекомендуется определять в соответствии с ГОСТ. Владелец ИС в процессе ее жизненного цикла должен обеспечить выполнение мероприятий в области защиты информации с учетом установленных требований.
На стадиях, связанных с разработкой ИС (определение требований заинтересованных сторон, анализ требований, архитектурное проектирование, реализация, интеграция и верификация, поставка, ввод в действие), разработчиком должны применяться технологии разработки, позволяющие избежать:
неверной формулировки требований к ИС;
выбора неадекватной модели жизненного цикла ИС, в том числе неадекватного выбора процессов создания, эксплуатации ИС и вовлеченных в них участников;
принятия неверных проектных решений;
внесения разработчиком дефектов на уровне архитектурных решений;
внесения разработчиком недокументированных возможностей в ИС;
неадекватной (неполной, противоречивой, некорректной и пр.) реализации требований к ИС;
разработки некачественной документации;
приемки ИС, не отвечающей требованиям заказчика.
На стадии эксплуатации в соответствии с документом ISO TR 13569 должна быть обеспечена защита от следующих угроз:
|
|
|
умышленное несанкционированное раскрытие, модификация или уничтожение информации;
неумышленная модификация или уничтожение информации;
недоставка или ошибочная доставка информации;
отказ в обслуживании или ухудшение обслуживания.
Кроме этого, актуальной является угроза отказа от авторства сообщения.
На всех стадиях жизненного цикла ИС должен быть организован авторский надзор и сопровождение ИС. В процессе сопровождения ИС должна быть обеспечена защита от угроз:
внесения изменений в ИС, приводящих к нарушению ее функциональности либо к появлению недокументированных возможностей;
невнесения разработчиком/поставщиком изменений, необходимых для поддержки правильного функционирования и правильного состояния ИС, если это не противоречит требованиям системы сертификации.
Эксплуатация ИС должна осуществляться в соответствии с утвержденной организационно-распорядительной и эксплуатационной документацией. В единой информационной среде и на объектах защиты в процессе эксплуатации необходимо вести мониторинг и контроль состояния защищенности, проводить необходимые доработки и модернизация ИС.
|
|
|
На стадии снятия с эксплуатации должно быть обеспечено удаление из всех технических средств (из устройств долговременной памяти) информации, несанкционированное использование которой может нанести ущерб деятельности организации. С внешних носителей информация удаляется в соответствии со сроками ее хранения.
Состав и содержание работ, проектной, проектно-сметной и эксплуатационной документации на каждой из стадий жизненного цикла ИС определяются действующими нормативно-техническими документами и договорами на выполнение работ. Требования ИБ должны включаться во все договора и контракты (технические задания) на проведение работ или оказание услуг на всех стадиях жизненного цикла ИС.
В соответствии с задачами обеспечения ИБ открытых и конфиденциальных информационных ресурсов требования ИБ применительно к ИС и ресурсам могут классифицироваться следующим образом:
требования к технологиям защиты информации;
требования к функциям систем защиты информации;
требования к управлению функциями защиты информации;
требования к аудиту систем защиты информации;
требования к организации систем защиты информации.
Для технического обеспечения базового уровня информационной безопасности финансовых информационных комплексов должны быть реализованы следующие требования:
|
|
|
- по управлению доступом, регистрации и учету, обеспечению целостности на средствах защиты общесистемного программного обеспечения (операционных систем и систем управления базами данных), дополняемые специальными программно-техническими средствами цифровых сертификатов;
- по антивирусной защите и по криптозащите на средствах специального программного обеспечения защиты;
- по резервному копированию и восстановлению данных, по контролю и управлению защитой на специальных программно-технических средствах защиты.
Требования ИБ к изделию информационных технологий (ИТ), именуемые также как Профиль защиты, должны представлять собой документ, разрабатываемый в соответствии с ГОСТ Р ИСО/МЭК 15408. Профиль защиты должен представлять собой совокупность требований безопасности для некоторой категории изделий ИТ, не зависящих от конкретной реализации. Для базового уровня ИБ квалификационный минимум технического обеспечения ИБ должен включать следующие документы:
общие технические требования информационной безопасности;
технические требования базового уровня общесистемного программного обеспечения;
технические требования базового уровня систем управления базами данных;
технические требования базового уровня локальных вычислительных сетей;
технические требования базового уровня при взаимодействии с внешними сетями;
технические требования базового уровня интернет порталов;
технические требования базового уровня систем электронного документооборота, а также техническую документацию на средства защиты информации (СЗИ), разрабатываемую по требованиям госстандартов.
На основании технических требований для реализации минимального набора требований ИБ по защите информации в ИС, содержащей сведения конфиденциального характера, должно быть выполнено:
выделение информации с ограниченным доступом, подлежащей защите на основе перечней сведений конфиденциального характера, разрабатываемых органами власти, на предприятиях и в организациях с учетом особенностей автоматизированной обработки информации, а также определение порядка отнесения информации к категории конфиденциальной;
реализация разрешительной системы допуска исполнителей (пользователей, обслуживающего персонала) к работам, документам и информации с ограниченным доступом;
ограничение доступа персонала и посторонних лиц в помещения, где размещены средства информатизации и коммуникации, на которых обрабатывается (хранится, передается) информация с ограниченным доступом, непосредственно к самим средствам информатизации и коммуникациям;
разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;
учет документов, информационных массивов, регистрация действий пользователей ИС и обслуживающего персонала, контроль за санкционированным и несанкционированным доступом и действиями пользователей, обслуживающего персонала и посторонних лиц;
надежное хранение традиционных и машинных носителей информации, ключей (ключевой документации) и их обращение, исключающее их хищение, подмену и уничтожение;
необходимое резервирование технических средств и дублирование массивов и носителей информации;
использование сертифицированных средств защиты информации при обработке конфиденциальной информации;
использование технических средств, удовлетворяющих требованиям стандартов по электромагнитной совместимости;
физическая защита помещений и собственно технических средств ИС с помощью сил охраны и технических средств, предотвращающих или существенно затрудняющих проникновение в здания, помещения посторонних лиц, хищение документов и информационных носителей;
криптографическое преобразование информации, обрабатываемой и передаваемой средствами вычислительной техники и связи (при необходимости, определяемой особенностями функционирования конкретных ИС);
предотвращение внедрения в автоматизированные системы программ-вирусов, программных закладок;
использование волоконно-оптических линий связи для передачи информации с ограниченным доступом;
использование защищенных каналов связи;
использование средств мониторинга событий ИБ и катастрофоустойчивости данных, функционирующих в составе инфраструктуры комплекса средств информационной безопасности (КСИБ) под управлением центра мониторинга и центра защищенного резервного хранения данных.
Рассмотренные требования составляют необходимый квалификационный минимум требований технического обеспечения ИБ при формировании базового уровня любой информационной системы и ресурса, содержащих открытую и конфиденциальную информацию.
21. Состав средств и меры защиты информации в АС.
В настоящее время на рынке представлено большое разнообразие средств защиты информации, которые условно можно разделить на несколько групп:
• средства, обеспечивающие разграничение доступа к информации в автоматизированных системах;
средства, обеспечивающие защиту информации при передаче ее по каналам связи;
средства, обеспечивающие защиту от утечки информации по различным физическим полям, возникающим при работе технических средств автоматизированных систем;
средства, обеспечивающие защиту от воздействия программ-вирусов;
• материалы, обеспечивающие безопасность хранения, транспортировки носителей информации и защиту их от копирования.
Основное назначение средств защиты первой группы - разграничение доступа к локальным и сетевым информационным ресурсам автоматизированных систем. СЗИ этой группы обеспечивают:
• идентификацию и аутентификацию пользователей автоматизированных систем;
разграничение доступа зарегистрированных пользователей к информационным ресурсам;
• регистрацию действий пользователей;
защиту загрузки операционной системы с гибких магнитных дисков и CD-ROM;
• контроль целостности СЗИ и информационных ресурсов.
В качестве идентификаторов пользователей применяются, как правило, условные обозначения в виде набора символов. Для аутентификации пользователей применяются пароли.
Ввод значений идентификатора пользователя и его пароля осуществляется по запросу СЗИ с клавиатуры. Многие современные СЗИ используют и другие типы идентификаторов - магнитные карточки, радиочастотные бесконтактные карточки, смарт-карточки, электронные таблетки Touch Memory и другие. Отдельно стоит сказать об использовании в качестве идентификатора индивидуальных биологических параметров (отпечаток пальца, радужная оболочка глаза), присущих каждому человеку. Использование в качестве идентификаторов индивидуальных биологических параметров характеризуется, с одной стороны, высшим уровнем конфиденциальности, а с другой - очень высокой стоимостью таких систем.
Разграничение доступа зарегистрированных пользователей к информационным ресурсам осуществляется СЗИ в соответствии с установленными для пользователей полномочиями. Как правило, СЗИ обеспечивают разграничение доступа к гибким и жестким дискам, логическим дискам, директориям, файлам, портам и устройствам. Полномочия пользователей устанавливаются с помощью специальных настроек СЗИ. По отношению к информационным ресурсам средствами защиты могут устанавливаться такие полномочия, как разрешение чтения, записи, создания, запуска исполняемых файлов и другие.
Системы защиты информации предусматривают ведение специального журнала, в котором регистрируются определенные события, связанные с действиями пользователей, например запись (модификация) файла, запуск программы, вывод на печать и другие, а также попытки несанкционированного доступа к защищаемым ресурсам и их результат.
Особо стоит отметить наличие в СЗИ защиты загрузки операционной системы с гибких магнитных дисков и CD-ROM, которая обеспечивает защиту самих средств защиты от "взлома" с использованием специальных технологий. В различных СЗИ существуют программные и аппаратно-программные реализации этой защиты, однако практика показывает, что программная реализация не обеспечивает необходимой стойкости.
Контроль целостности средств защиты и защищаемых файлов заключается в подсчете и сравнении контрольных сумм файлов. При этом используются различной сложности алгоритмы подсчета контрольных сумм.
Несмотря на функциональную общность средств защиты информации данной группы, СЗИ различных производителей различаются:
условиями функционирования (операционная среда, аппаратная платформа, автономные компьютеры и вычислительные сети);
сложностью настройки и управления параметрами СЗИ;
используемыми типами идентификаторов; перечнем событий, подлежащих регистрации;
стоимостью средств защиты.
С развитием сетевых технологий появился новый тип СЗИ - межсетевые экраны (firewalls), которые обеспечивают решение таких задач, как защита подключений к внешним сетям, разграничение доступа между сегментами корпоративной сети, защита корпоративных потоков данных, передаваемых по открытым сетям.
Защита информации при передаче ее по каналам связи осуществляется средствами криптографической защиты (СКЗИ). Характерной особенностью этих средств является то, что они потенциально обеспечивают наивысшую защиту передаваемой информации от несанкционированного доступа к ней. Помимо этого, СКЗИ обеспечивают защиту информации от модификации (использование цифровой подписи и имитовставки).
Как правило, СКЗИ функционируют в автоматизированных системах как самостоятельное средство, однако в отдельных случаях СКЗИ может функционировать в составе средств разграничения доступа как функциональная подсистема для усиления защитных свойств последних.
Обеспечивая высокую степень защиты информации, в то же время применение СКЗИ влечет ряд неудобств:
• стойкость СКЗИ является потенциальной, т.е. гарантируется при соблюдении ряда дополнительных требований, реализация которых на практике осуществляется довольно сложно (создание и функционирование ключевой системы, распределение ключей, обеспечение сохранности ключей, необходимость в получении лицензии на право эксплуатации средств, планирование и организация мероприятий при компрометации ключевой системы);
• относительно высокая стоимость эксплуатация таких средств.
В целом, при определении необходимости использования средств криптографической защиты информации, необходимо учитывать то, что применение СКЗИ оправдано в случаях явного перехвата действительно конфиденциальной информации.
Целью статьи не является широкое обсуждение средств защиты от утечки информации по различным физическим полям, возникающим при работе технических средств автоматизированных систем, однако отметим, что для защиты информации от утечки по физическим полям используются следующие методы и средства защиты:
электромагнитное экранирование устройств или помещений, в которых расположена вычислительная техника;
активная радиотехническая маскировка с использованием широкополосных генераторов шумов, которые широко представлены на нашем рынке.
Радикальным способом защиты информации от утечки по физическим полям является электромагнитное экранирование технических устройств и помещений, однако это способ требует значительных капитальных затрат и практически не применяется.
И несколько слов о материалах, обеспечивающих безопасность хранения, транспортировки носителей информации и защиту их от копирования. В основном это специальные тонкопленочные материалы с изменяющейся цветовой гаммой или голографические метки, которые наносятся на документы и предметы (в том числе и на элементы компьютерной техники автоматизированных систем). Они позволяют:
• идентифицировать подлинность объекта, контролировать несанкционированный доступ к ним.
б.Составление плана ТЗИ на объекте,
Предупреждение возможных угроз и противоправных действий может быть обеспечено самыми различными мерами и средствами, начиная от создания климата глубоко осознанного отношения сотрудников к проблеме безопасности и защиты информации до создания глубокой, эшелонированной системы защиты физическими, аппаратными, программными и криптографическими средствами.
Предупреждение угроз возможно и путем получения нформации о готовящихся противоправных актах, планируемых хищениях, подготовительных действиях и других элементах преступных деяний. Для этих целей необходима работа сотрудников службы безопасности с информаторами в интересах наблюдения и объективной оценки ситуации как внутри коллектива сотрудников, особенно главных участков ее фирмы, так и вне, среди конкурентов и преступных формирований.
В предупреждении угроз весьма существенную роль играет информационно-аналитическая деятельность службы безопасности на основе глубокого анализа криминогенной обстановки и деятельности конкурентов и злоумышленников.
Выявление имеет целью проведение мероприятий по сбору, накоплению и аналитической обработке сведений о возможной подготовке преступных действий со стороны криминальных структур или конкурентов на рынке производства и сбыта товаров и продукции. Особое внимание в этом виде деятельности должно отводиться изучению собственных сотрудников. Среди них могут быть и недовольные, и неопытные, и "внедренные".
Обнаружение угроз - это действия по определению конкретных угроз и их источников, приносящих тот или иной вид ущерба. К таким действиям можно отнести обнаружение фактов хищения или мошенничества, а также фактов разглашения конфиденциальной информации или случаев несанкционированного доступа к источникам коммерческих секретов. В числе мероприятий по обнаружению угроз значительную роль могут сыграть не только сотрудники СБ, но и сотрудники линейных подразделений и служб фирмы, а также технические средства наблюдения и обнаружения правонарушений.
Пресечение или локализация угроз - это действия, направленные на устранение действующей угрозы и конкретных преступных действий. Например, пресечение подслушивания конфиденциальных переговоров за счет акустического канала утечки информации по вентиляционным системам.
Ликвидация последствий имеет целью восстановление состояния, предшествовавшего наступлению угрозы. Например, возврат долгов со стороны заемщиков. Это может быть и задержание преступника с украденным имуществом, и восстановление разрушенного здания от подрыва и др.
Все эти способы имеют целью защитить информационные ресурсы от противоправных посягательств и обеспечить:
1. предотвращение разглашения и утечки конфиденциальной информации;
воспрещение несанкционированного доступа к источникам конфиденциальной информации; сохранение целостности, полноты и доступности информации;
соблюдение конфиденциальности информации;
обеспечение авторских прав.
Защита от разглашения сводится в общем плане к разработке перечня сведений, составляющих коммерческую тайну предприятия. Эти сведения должны быть доведены до каждого сотрудника, допущенного к ним, с обязательством этого сотрудника сохранять коммерческую тайну. Одним из важных мероприятий является система контроля за сохранностью коммерческих секретов.
Защита от утечки конфиденциальной информации сводится к выявлению, учету и контролю возможных каналов утечки в конкретных условиях и к проведению организационных, организационно-технических и технических мероприятий по их ликвидации.
Защита от несанкционированного доступа к конфиденциальной "формации обеспечивается путем выявления, анализа и контроля возможных способов несанкционированного доступа и проникновения к источникам конфиденциальной информации и реализацией организационных, организационно-технических и технических мероприятий по противодействию
На практике в определенной степени все мероприятия по использованию технических средств защиты информации подразделяются на три группы:
организационные (в части технических средств);
организационно-технические;
технические.
Организационные мероприятия - это мероприятия ограничительного характера, сводящиеся основном, к регламентации доступа и использования технических средств обработки информации. Они, как правило, проводятся силами самой организации путем использования простейших организационных мер.
В общем плане организационные мероприятия предусматривают проведение следующих действий:
определение границ охраняемой зоны (территории): Охраняемая зона - это и есть кабинет директора (в моём варианте). Сама комната описана в пункте 1. данной работы;
определение технических средств, используемых для обработки конфиденциальной информации в пределах контролируемой территории: используются такие ТС как телефон, компьютер;
3. определение "опасных", с точки зрения возможности образования каналов утечки информации, технических средств и конструктивных особенностей зданий и сооружений: данный вопрос описан в пункте 2.. Основными каналами утечки информации на данном объекте являются: телефонные линии связи, акустический канал, ПЭМИН, цепи заземления;
выявление возможных путей проникновения к источникам конфиденциальной информации со стороны злоумышленников: данный вопрос описан в пункте 3.;
реализация мер по обнаружению, выявлению и контролю за обеспечением защиты информации всеми доступными средствами: данный вопрос описан в пункте 4..
Организационные мероприятия выражаются в тех или иных ограничительных мерах. Можно выделить такие ограничительные меры, как территориальные, пространственные и временные.
Территориальные ограничения сводятся к умелому расположению источников на местности или в зданиях и помещениях, исключающих подслушивание переговоров или перехват сигналов радиоэлектронных средств.
Пространственные ограничения выражаются в выборе направлений излучения тех или иных сигналов в сторону наименьшей возможности их перехвата злоумышленниками.
Временные ограничения проявляются в сокращении до минимума времени работы технических средств, использовании скрытых методов связи, шифровании и других мерах защиты.
Одной из важнейших задач организационной деятельности является определение состояния технической безопасности объекта, его помещений, подготовка и выполнение организационных мер, исключающих возможность неправомерного овладения конфиденциальной информацией, воспрещение ее разглашения, утечки и несанкционированного доступа к охраняемым секретам.
Организационно-технические мероприятия обеспечивают блокирование разглашения и утечки конфиденциальных сведений через технические средства обеспечения производственной и трудовой деятельности, а также противодействие техническим средствам промышленного шпионажа с помощью специальных технических средств, устанавливаемых на элементы конструкций зданий, помещений и технических средств, потенциально образующих каналы утечки информации. В этих целях возможно использование:
технических средств пассивной защиты, например фильтров, ограничителей и тому подобных средств развязки акустических, электрических и электромагнитных систем защиты сетей телефонной связи, энергоснабжения, радио- и часофикации и др.;
технических средств активной защиты: датчиков акустических шумов и электромагнитных помех.
Организационно-технические мероприятия по защите информации можно подразделить на пространственные, режимные и энергетические.
Пространственные меры выражаются в уменьшении ширины диаграммы направленности, ослаблении боковых и заднего лепестков диаграммы направленности излучения радиоэлектронных средств (РЭС).
Режимные меры сводятся к использованию скрытых методов передачи информации по средствам связи: шифрование, квазипеременные частоты передачи и др.
Энергетические - это снижение интенсивности излучения и работа РЭС на пониженных мощностях.
Технические мероприятия - это мероприятия, обеспечивающие приобретение, установку и использование в процессе производственной деятельности специальных, защищенных от побочных излучений (безопасных) технических средств или средств, ПЭМИН которых не превышают границу охраняемой территории.
Технические мероприятия по защите конфиденциальной информации можно подразделить на скрытие, подавление и дезинформацию.
Скрытие выражается в использовании радиомолчания и создании пассивных помех приемным средствам злоумышленников.
Подавление - это создание активных помех средствам злоумышленников.
Дезинформация - это организация ложной работы технических средств связи и обработки информации; изменение режимов использования частот и регламентов связи; показ ложных демаскирующих признаков деятельности и опознавания.
Защитные меры технического характера могут быть направлены на конкретное техническое устройство или конкретную аппаратуру и выражаются в таких мерах, как отключение аппаратуры на время ведения конфиденциальных переговоров или использование тех или иных защитных устройств типа ограничителей, буферных средств, фильтров и устройств зашумления.
22. Организация охраны объектов информатизации.
Дата добавления: 2019-07-15; просмотров: 3820; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!