Главная Случайная страница


Полезное:

Как сделать разговор полезным и приятным Как сделать объемную звезду своими руками Как сделать то, что делать не хочется? Как сделать погремушку Как сделать так чтобы женщины сами знакомились с вами Как сделать идею коммерческой Как сделать хорошую растяжку ног? Как сделать наш разум здоровым? Как сделать, чтобы люди обманывали меньше Вопрос 4. Как сделать так, чтобы вас уважали и ценили? Как сделать лучше себе и другим людям Как сделать свидание интересным?


Категории:

АрхитектураАстрономияБиологияГеографияГеологияИнформатикаИскусствоИсторияКулинарияКультураМаркетингМатематикаМедицинаМенеджментОхрана трудаПравоПроизводствоПсихологияРелигияСоциологияСпортТехникаФизикаФилософияХимияЭкологияЭкономикаЭлектроника






Фізичні і технічні засоби захисту інформації з обмеженим доступом





Засоби пов’язані з фізичним захистом треба розглядати в поєднанні з навколишнім середовищем.

Фізичні засоби для захисту будівлі охоплюють паркани, фізичний контроль доступу, міцні стіни, двері і вікна. Зони будівлі які підлягають захисту, треба захищати від несанкціонованого доступу за допомогою системи контролю фізичного доступу, охорони тощо. Доступ на режимні території, зони або приміщення повинен обмежуватися мінімальною кількістю необхідного персоналу, а подробиці порушень треба записувати в журналі. Все обладнання для діагностування та контролю треба надійно зберігати та ретельно контролювати під час використання.

Фізичні і технічні засоби захисту покликані усунути недоліки організаційних заходів, поставити бар’єр на шляху зловмисників та максимально виключити можливість ненавмисних (помилково або за недбалості) порушень персоналу та користувачів інформаційної системи.

Розглянемо засоби, котрими користуються злочинці для отримання інформації:

– спостереження за обладнанням і подіями;

– використання відкритої інформації;

– дослідження контейнерів для сміття;

– компрометація працівників.

Злочинці ходять по службовому приміщенню та шукають приклеєні до боку стола або шафи паролі, включені і залишені без нагляду монітори. Іноді злочинці видають себе за ремонтників або обслуговуючий персонал чи за особу, що доставила пакет (конверт).

Протистояти такому засобу можливо двома способами. По-перше, перевіряйте, що може побачити злочинець, а потім намагайтеся якнайкраще захистити інформацію і обладнання. Переконайтесь, що користувачі системи не залишають паролі, номери телефонів та іншу інформацію в місцях, де її легко отримати. По-друге, залучайте ваших працівників до програми забезпечення безпеки.

Відомо, що зловмисники діляться один з одним інформацією і технічними прийомами. Ці публікації доступні усім, їх читають працівники, що займаються інформаційною безпекою і працівники правоохоронних органів. Хоча в цих публікаціях можливо знайти цінну інформацію, часто вона не вірна і вводить в оману, іноді навмисно. Необхідно бути обережним під час використання таких повідомлень в якості джерела.

У суспільстві важко зберігати таємниці і поки найбільш ефективним засобом протидії загрозі полягає в тому, щоб знизити до мінімуму кількість важливої інформації, що публікується у відкритій пресі.

Дослідження вмісту контейнерів для сміття або збір відходів – це дуже простий напад. Відомо, що як тільки сміття винесли на вулицю, людина втрачає право на недоторканість приватного життя. Цей тип нападу не відноситься до злочинів. Якщо машинний носій інформації або папір викинутий, він нікому не потрібний (машинний носій інформації знищують подрібнення або нагрівання до стану, після чого поновлення інформації стає неможливим, папір спалюють, розчиняють, або хімічно розкладають, дроблять, перетворюють на м’яку безформну масу, дрібні частки не більше 2,5 мм ). В смітникових ящиках можливо знайти вживані машинні носії інформації, викинуті роздруківки та рукописи різних записів із яких можливо вибрати інформацію, необхідну для проникнення в інформаційну систему. Видалення файлу в дійсності означає не стирання інформації, а просто перезапис.

В багатьох випадках в якості засобу контролю доступу використовується пароль – доступ до інформації отримує будь-яка особа котра знає вірний пароль. Тому важливо обмежити коло осіб які знають пароль та прийняти запобіжні міри пов’язані з паролями, застосувати шифрування під час передачі матеріалів по мережі та додаткові засоби автентифікації (одноразові паролі, старт-карти).

Часто злочинцю зручніше використати компрометацію людини, щоб отримати інформацію у того, хто має до неї доступ – не потрібно проникати в систему (це вимагає чимало часу), не потрібно копатися в брудних контейнерах для сміття або збирати відходи – а тільки дати хабара або залякати.

Працівникам, які працюють з інформаційними системами, що обробляють інформацію з обмеженим доступом, необхідно бути обережними в розмовах стосовно проблем пов’язаних з питаннями забезпечення безпеки системи і мереж, а також підозрілих проблемах роботи системи (система швидше або повільніше реагує на команди, програма працює невірно тощо).

Не дозволяйте залишати важливу інформацію на екранах моніторів та робочих столах де її можливо подивитися. “Заплечники” – працівники, котрі в буквальному розумінні заглядають через плече – представляють загрозу для більшості організацій. Заборона на доступ до виробничих приміщень для тих, що не входять до числа працівників, які працюють в ньому – один із кращих засобів знизити ризик витоку інформації.


Фізичний захист повинен бути заснований на визначених периметрах безпеки і забезпечуватися шляхом установки ряду бар’єрів, розташованих у стратегічних місцях. Вимоги до кожного захисного бар’єра і його місця розташування повинні визначатися цінністю інформації, а також ризиком порушення безпеки і існуючих захисних мір. Кожен рівень фізичного захисту повинен мати визначені режимні території, зони або приміщення, у межах яких повинний бути забезпечений належний рівень захисту.

Пропонуються наступні рекомендації:

– режимні території, зони або приміщення повинні відповідати цінності інформації, що захищається;

– периметр безпеки повинний бути чітко визначений;

– допоміжне устаткування (ксерокс, факс тощо) повинні бути так розміщені, щоб зменшити ризик несанкціонованого доступу до інформації з обмеженим доступом;

– фізичні бар’єри повинні при необхідності простиратися від підлоги до стелі, щоб запобігти несанкціонованому доступу у режимні приміщення;

– не слід надавати стороннім особам інформацію про те, що робиться в режимних територіях, зонах або приміщеннях без потреби;

– доцільно розглянути можливість установлення заборони на роботу поодинці без належного контролю, це необхідно як для безпеки, так і для запобігання шкідливих дій;

– інформаційну систему варто розміщати у спеціально призначених для цього місцях, окремо від обладнання контрольованого стороннім підрозділами;

– у неробочий час режимні території, зони або приміщення повинні бути фізично недоступні (закриті на замок) і періодично перевірятися охороною. Персоналові, що здійснює технічне обслуговування, повинен бути наданий доступ до режимних територій, зон або приміщень тільки в разі потреби і після одержання письмового дозволу. Доступ такого персоналу варто обмежити, а їх дію відслідковувати;

– у межах режимних територій, зон або приміщень використання фотографічної, звукозаписної і відео апаратури повинно бути заборонено, за винятком санкціонованих випадків.

У режимних територіях, зонах або приміщеннях варто установити належний контроль доступу в приміщення, щоб тільки персонал, що має відповідний допуск та доступ, мав до них доступ. Розглянемо наступні засоби контролю:

– повинні контролюватися в режимний території, зоні або приміщені дата і час входу та виходу відвідувачів. Відвідувачам повинний бути наданий доступ до конкретної, дозволеної інформації;

– весь персонал, що працює в режимних територіях, зонах або приміщеннях, повинний носити на одязі помітні ідентифікаційні картки, крім того, варто запитувати перепустку у незнайомих осіб;

– необхідно негайно вилучати права доступу в режимні території, зони або приміщення в співробітників, що звільняються з даного місця роботи;

– дотримання персоналом пропускного та внутрішньооб’єктового режимів.

Внутрішньооб’ектовий режим – організаційні чи технічні заходи і правила щодо забезпечення режиму, встановлені в організації.

Основними завданнями внутрішньооб’ектовного режиму є:

– обмеження кола осіб, що допускаються до інформації з обмеженим доступом;


– проведення робіт з виконавцями щодо роз’яснення вимог роботи з документами, що мають гриф обмеження доступу та відповідальність за їх збереження;

– забезпечення встановленого порядку користування інформацією з обмеженим доступом.

У процесі реалізації основних технічних заходів захисту потрібно:

– установити засоби виявлення та індикації загроз і перевірити їхню працездатність;

– установити захищені засоби оброблення інформації, засоби технічного захисту інформації та перевірити їхню працездатність;

– застосувати програмні засоби захисту в засобах обчислювальної техніки, інформаційних системах, здійснити їхнє функціональне опитування в тестуванні на відповідність вимогам захищеності;

– застосувати спеціальні інженерно-технічні споруди, засоби (системи).

Вибір засобів забезпечення технічного захисту інформації зумовлюється фрагментами або комплексним способом захисту інформації.

Фрагментний захист забезпечує протидію певній загрозі. Комплексний захист забезпечує одночасну протидію безлічі загроз.

Засоби виявлення та індикації загроз застосовують для сигналізації та оповіщення власника (користувача, розпорядника) інформації з обмеженим доступом про витік інформації чи порушення її цілісності.

Засоби технічного захисту інформації застосовують автономно або спільно з технічними засобами забезпечення інформаційної діяльності для пасивного або активного приховування інформації з обмеженим доступом.

Для пасивного приховування застосовують фільтри-обмежувачі, лінійні фільтри, спеціальні абонентські пристрої захисту та електромагнітні екрани.

Для активного приховування застосовують вузько смугові й широкосмугові генератори лінійного та просторого зашумлення.

Програмні засоби застосовують для забезпечення:

– ідентифікації та автентифікації користувачів, персоналу і ресурсів системи оброблення інформації;

– розмежування доступу користувачів до інформації, засобів обчислювальної техніки і технічних засобів інформаційних систем;

– цілісності інформації та конфігурації інформаційних систем;

– реєстрація та облік дій користувачів;

– маскування оброблюваної інформації;

– реагування (сигналізації, відключення, зупинення робіт, відмови у запиті) на спроби несанкціонованих дій.

Спеціальні інженерно-технічні споруди, засоби та системи застосовують для оптичного, акустичного, електромагнітного та іншого екранування носіїв інформації.

До них належать спеціально обладнані світлопроникні технологічні та санітарно-технічні отвори, а також спеціальні камери, перекриття, навіси, канали тощо.

Розміщення, монтування та прокладення інженерно-технічних засобів, середніх систем заземлення та електроживлення засобів забезпечення інформаційної діяльності, слід здійснювати відповідно до вимог нормативних документів технічного захисту інформації.


Технічні характеристики, порядок застосування та перевірки засобів забезпечення технічного захисту інформації наводять у відповідній експлуатаційній документації.

Результати такої оцінки необхідні для розробки основної лінії та визначення належних дій і пріоритетів для керуванням захистом інформації з обмеженим доступом, а також для реалізації засобів контролю. Оцінка цих двох аспектів захисту залежить від наступних факторів:

– характеру інформації і інформаційної системи;

– виробничої мети, для якої інформація використовується;

– середовища, у якому система використовується і керується;

– забезпечення контролю.

Оцінка захищеності може виявити порушення, що вимагає реалізації додаткових засобів захищеності, чим ті, котрі застосовуються. Використання таких засобів захищеності інформації необхідно обґрунтувати виходячи з висновків, отриманих у результаті оцінки спроможності інформаційної системи забезпечити захист оброблюваної інформації від несанкціонованого доступу.

В процесі оцінки спроможності інформаційної системи забезпечити захист оброблюваної інформації від несанкціонованого доступу розглядаються вимоги двох видів:

– вимоги до функцій захисту (послуг безпеки);

– вимоги до гарантій.

За результатами виконання рекомендацій акта обстеження та реалізації заходів захисту інформації з обмеженим доступом слід скласти у довільній формі акт приймання робіт з технічного захисту інформації, який повинен підписати виконавець робіт, особа відповідальна за технічний захист інформації, та затвердити керівник організації. (За потреби акт приймання робіт може бути погоджений із зацікавленими установами).

Для визначення повноти та якості робіт з технічного захисту інформації слід провести атестацію. Атестація виконується установами, що мають ліцензію на право діяльності в галузі технічного захисту інформації.

Об’єктами атестації з системи забезпечення інформаційної діяльності та їхні окремі елементи, де циркулює інформація, що підлягає технічному захисту.

У ході атестації потрібно:

– встановити відповідність об’єкта, що атестується, вимогам технічного захисту інформації;

– оцінити якість та надійність заходів захисту інформації;

– оцінити повноту та доступність технічної документації для об’єкта атестації;

– визначити необхідність внесення змін і доповнень до організаційно-розпорядчих документів.

Порядок атестації встановлюється нормативними документами технічного захисту інформації.

Технічний захист інформації забезпечується застосуванням захищених програм і технічних засобів забезпечення інформаційної діяльності, програмних і технічних засобів захисту інформації та засобів контролю, які мають сертифікат відповідності вимогам нормативних документів з технічного захисту системи або дозвіл на їх використання від органу, уповноваженого Кабінетом Міністрів України, а також застосуванням спеціальних інженерно-технічних споруд, засобів і систем.

Засоби технічного захисту інформації можуть функціонувати автономно або спільно з технічними засобами забезпечення інформаційної діяльності у вигляді самостійних пристроїв або вбудованих в них складових елементів.

Склад засобів забезпечення технічного захисту інформації, перелік їх постачальників, а також послуг з установлення, монтажу, налагодження та обслуговування визначаються особами, які володіють, користуються і розпоряджається інформацією з обмеженим доступом самостійно або за рекомендаціями спеціалістів з технічного захисту інформації згідно з нормативними документами технічного захисту інформації.

На підставі матеріалів обстеження та окремої моделі загроз необхідно визначити головні задачі захисту інформації і скласти технічне завдання на розроблення системи захисту інформації.

Розробка політики інформаційної безпеки передбачає наступні етапи:

– аналіз ризиків;

– визначення вимог до засобів захисту;

– вибір основних рішень по забезпеченню режиму інформаційної безпеки;

– розробка планів забезпечення безперебійної роботи організації;

– документаційне оформлення політики інформаційної безпеки.

Аналіз ризиків передбачає вивчення і систематизацію загроз інформаційної безпеки, визначення вимог до засобів забезпечення інформаційної безпеки.

Вивчення і систематизація загроз інформаційної безпеки передбачає наступні етапи:

– вибір елементів інформаційної системи і інформаційних ресурсів, для яких буде провадитись аналіз. Повинні бути вибрані критичні елементи автоматизованої системи і критичні інформаційні ресурси, котрі можуть бути об’єктами атаки або сами є потенційним джерелом порушення режиму інформаційної безпеки;

– ідентифікація загроз і формування списку загроз. Формується детальний список загроз, складається матриця загрози/елементи інформаційної системи або інформаційні ресурси. Кожному елементу матриці повинен бути співставлений опис можливих дій загроз на відповідні елементи інформаційної системи або інформаційний ресурс. У процесі складання матриці уточнюється список загроз і виділених елементів;

– розробка методологій оцінки ризику. Повинна бути отримана оцінка допустимого і існуючого ризику здійснення загроз на протязі деякого часу. В ідеалі для кожної із загроз повинно бути отримано значення імовірності її здійснення на протязі певного часу. Це допоможе віднести оцінку можливого збитку з витратами на захист. На практиці для більшості загроз неможливо отримати достовірні дані про вірогідність реалізації загроз і приходиться обмежитись якістю оцінки. Під час розробки методології оцінки ризику можуть бути використані методи системного аналізу;

– оцінка збитків, пов’язаних із реалізацією загроз. Проводиться оцінка збитків, котрі можуть нанести діяльності установи реалізація загроз безпеки, із обліком можливих порушень конфіденційності, цілісності і доступності інформації;

– оцінка витрат на роботи, пов’язані з захистом і залишеного ризику. Проводиться попередня оцінка прямих витрат по кожному виду робіт без урахування витрат на роботи, які несуть комплексний характер;

– аналіз вартості/ефективності. Витрати на систему захисту інформації необхідно співвіднести з цінністю інформації яка захищається і інші інформаційні ресурси, що підвергаються ризику, а також із збитком, котрий може бути нанесений установі із-за реалізації загрози. В результаті аналізу уточнюються допустимі остаточні ризики і витрати по заходам пов’язаних із захистом інформації;

– підсумковий документ. По результатам проведеної роботи складається документ, який має:

• переліки загроз інформаційної безпеки, оцінки ризиків і рекомендації по зниженню вірогідності їх виникнення;

• захисні засоби, необхідні для нейтралізації загроз;

• аналіз вартості та ефективності, на основі якого робляться висновки про допустимі рівні остаточного ризику і доцільності застосування конкретних варіантів захисту.

Визначення вимог до засобів захисту передбачає:

– формулювання вимог до інформаційної безпеки, що витікають з аналізу функцій і задач інформаційної системи з урахуванням попереднього аналізу ризиків;

– вибір профілю захисту (клас захисту інформаційної системи від несанкціонованого доступу).

Загальні вимоги до засобів захисту, витікають із вибраного класу захищеності інформаційної системи і додаткових вимог, котрі можуть бути описані на основі функціонального підходу (по функціям і задачам інформаційної системи) або по підсистемам інформаційної системи.

Якщо використати функціональний підхід, повинні бути визначені функції безпеки, такі як:

– аудентифікація;

– управління доступом;

– конфіденційність;

– доступність тощо.

Для усіх функцій і задач інформаційної системи повинні бути визначенні відповідні функції безпеки. Функції безпеки з однаковими назвами можуть мати різні визначення для різних функцій і задач інформаційної системи.

Визначаються механізми безпеки, реалізуючі ці функції. Основні механізми інформаційної безпеки:

– управління доступом до інформації;

– ідентифікація і аутентифікація;

– криптографія;

– екранування;

– забезпечення цілісності і доступності даних;

– підтримання працездатності інформаційної системи при збоях, аваріях, надзвичайних ситуаціях;

– відслідкування подій, що представляють загрозу інформаційній безпеці;

– управління доступом до інформаційної системи;

– протоколювання дій і подій.

Якщо використовуються вимоги по підсистемам, повинні бути сформульовані додаткові вимоги, не регламентовані у вимогах вибраного профілю захисту (клас захищеності інформаційної системи від несанкціонованого доступу).

Можливо використання змішаного підходу, при якому додаткові вимоги описуються в термінах функцій безпеки.

При виборі та облаштуванні приміщення де обробляється інформація з обмеженим доступом необхідно прийняти до уваги можливість ушкодження інформаційної системи в результаті пожежі, повені тощо. Варто розглянути погрози безпеки, що представляють сусідні приміщення та будівлі.

Необхідно розглянути наступні:

– розмістити обладнання подалі від загальнодоступних місць та місць проїзду транспорту;

– будинки не повинні привертати уваги та видавати своє призначення (по можливості);

– не повинно бути явних ознак як зовні так і усередині будинку, що вказують на присутність інформаційних систем для обробки інформації з обмеженим доступом;

– телефонні довідники не повинні вказувати на місцезнаходження інформаційних систем для обробки інформації з обмеженим доступом;

– небезпечні і горючі матеріали слід зберігати на безпечній відстані від місця розташування інформаційних систем для обробки інформації з обмеженим доступом;

– резервне устаткування і машинні носії інформації, на яких зберігаються резервні копії, слід розмістити на безпечній відстані, щоб уникнути їхнього ушкодження у випадку аварій;

– слідує установити відповідне сигнальне та захисне устаткування (теплові і димові детектори, пожежну сигналізацію, засоби пожежегасіння тощо). Сигнальне і захисне устаткування необхідно регулярно перевіряти відповідно до інструкцій виробника;

– двері і вікна повинні бути надійно закриті, коли в приміщенні нікого немає.

Будівлі де розміщено ключове обладнання треба захищати від ударів блискавок. Також це обладнання безпосередньо треба захищати від цих ударів.

Захист інформаційної системи необхідний як для того, щоб зменшити ризик несанкціонованого доступу до даних, так і для того, щоб не допустити його втрату або ушкодження.

Пропонуються наступні рекомендації:

– устаткування слід розміщувати так, щоб по можливості, звести до мінімуму зайвий доступ до робочого приміщення. Робочі місця, де обробляється інформація з обмеженим доступом, повинні бути розміщені так, щоб вони були завжди на очах;

– бажано розглянути можливість ізоляції інформації, що вимагає спеціального захисту, щоб понизити загальний рівень захисту від несанкціонованого доступу;

– для ідентифікації можливих небезпек пропонується використовувати наступний контрольний список: пожежа, задимлення, затоплення, запилення, вібрація, вплив хімічних речовин, перешкоди в електроживленні;

– необхідно розглянути можливість небезпеки як в даному приміщені, так і в сусідніх приміщеннях.

Устаткування необхідно захищати від збоїв у системі електроживлення та інших недоліків в електричній мережі.

Слід розглянути необхідність використання резервного джерела електроживлення. Для інформаційних систем, що обробляють інформацію з обмеженим доступом, необхідно установити джерело безперебійного електропостачання. План дій у надзвичайних ситуаціях повинен включати засоби, які необхідно прийняти по закінченні строку придатності джерела безперебійного електропостачання.

Кабелі еклектичного живлення та зв’язку, які передають дані чи підтримують інформаційні послуги, потребують захисту від перехвату, пошкодження чи перевантаження. Кабелі мають бути фізично захищені від випадкового чи зловмисного пошкодження, вибрані та прокладені відповідно до їх призначення: ретельне планування, що передбачає майбутні розроблення, дозволяє уникнути багатьох проблем. Там, де це обґрунтовано і можливо, кабелі треба захищати від прослуховування.

Для зменшення ризику ушкодження кабелів еклектичного живлення та зв’язку у приміщеннях де розташована інформаційна система пропонується реалізувати:

– кабелі електричного живлення, що йдуть до інформаційної системи, повинні бути проведені під землею (по можливості) або захищені належним чином за допомогою інших засобів.

Необхідно розглянути заходи для захисту мережевих кабелів від несанкціонованого доступу до них, для цілей перехоплення даних та від ушкодження. Для зменшення такого ризику необхідно скористатись екранами або прокласти ці лінії так, щоб вони не проходили через загальнодоступні місця.

Необхідно здійснювати належне технічне обслуговування устаткування, щоб забезпечити його постійну роботоздатність та цілісність. Пропонується наступне:

– технічне обслуговування устаткування повинне здійснюватися через проміжки часу, що рекомендуються інструкціями;

– ремонт та обслуговування устаткування повинні виконувати тільки особи, що мають відповідні повноваження;

– необхідно реєструвати всі несправності в спеціальному журналі.

Використання обладнання інформаційних систем за межами організації повинно бути санкціоновано керівником (рівень захисту такого устаткування повинен бути таким же, як і для устаткування, розташованого на території організації). Пропонуються наступні рекомендації:

– працівникам забороняється використовувати персональні інформаційні системи для продовження роботи вдома;

– під час поїздок забороняється залишати носії інформації в загальнодоступних місцях без догляду. Портативні інформаційні системи варто перевозити як ручний багаж;

– під час поїздок портативні інформаційні системи уразливі стосовно крадіжок, втрати та несанкціонованого доступу. Для таких інформаційних систем варто забезпечити належний захист доступу, щоб запобігти несанкціонованому доступу до інформації з обмеженим доступом, що зберігається в них.

Ризики порушення безпеки (ушкодження, крадіжки, перехоплення тощо) можуть варіюватися від місця до місця, тому це варто враховувати при визначені захисних засобів.

Фізичний захист забезпечує фізичну безпеку інформаційної системи – споруди, приміщення де розташована інформаційна система (температура в приміщенні 10...26оС, вологість повітря 35...50%), самої інформаційної системи, допоміжного обладнання (принтера, сканера тощо), носіїв інформації (роздруківок, дисків тощо) і каналів передачі (отримання) інформації. Фізичний захист – сигнал для співробітників і відвідувачів наскільки важливо відносяться до питання безпеки.

Кожна одиниця обладнання має бути ретельно облікована та занесена до опису майна. Охоронцем необхідно перевіряти обладнання чи носії інформації на предмет винесення їх з кімнати, зони або будівлі.

Діапазон засобів фізичного захисту, який можливо застосувати з метою попередження катастроф або зведення її до мінімуму, дуже великий, починаючи від самих простих до дуже складних: установка системи пожежегасіння, контроль доступу в будівлю та приміщення де розташована інформаційна система тощо.

Перший „рубіж оборони” обмежує доступ в будівлю або приміщення де розміщена інформаційна система. З метою отримання доступу в будівлю і до системи бажано пройти перевірку на право доступу:

– щось відомо, наприклад пароль;

– щось мається, наприклад ключ, перепустка;

– щось притаманне, наприклад відбитки пальців (які співпадають з відбитками у файлі).

Ефективність фізичного захисту виміряється часом, який необхідний порушнику, щоб подолати засоби фізичного захисту. Задача цього захисту – затримати порушника до тих пір, поки спрацює система виявлення і прибуде охорона.

При оцінці фізичного захисту інформаційної системи бажано використовувати метод концентричних кіл. Починаючи з кола, найбільш віддалений від системи, можливо, проходить по вулиці та поступово підходячи до системи.

Необхідно проводити перевірки для вивчення і атестації програми засобів фізичного захисту:

– регулярно і систематично інспектувати фізичний захист;

– вибіркові перевірки, щоб співробітники не порушували засоби фізичного захисту, коли вони існують, що за ними не спостерігають;

– перевірка на проникнення в місцях підвищеного ризику.

Основні технічні заходи передбачають захист інформації з обмеженим доступом із використанням засобів забезпечення технічного захисту інформації.

Для технічного захисту інформації слід застосовувати заходи приховування або заходи технічної дезінформації.

Заходи захисту інформації з обмеженим доступом повинні:

– бути відповідними загрозам;

– бути розробленими з урахуванням можливої шкоди від їх реалізації і вартості захисних заходів і обмежень, що вносяться ними;

– забезпечувати задану ефективність захисту інформації на встановленому рівні протягом часу обмеження доступу до неї або можливості здіснення загроз.

Рівень захисту інформації визначується системою кількісних та якісних показників, які забезпечують розв’язання завдання захисту інформації на основі норм та вимог технічного захисту інформації.

Мінімально необхідний рівень захисту інформації забезпечують обмежувальними і фрагментарними заходами протидії найнебезпечнішій загрозі.

Підвищення рівня захисту інформації досягається нарощуванням технічних заходів протидії безлічі загроз.

Порядок розрахунку та інструментального визначення зон безпеки інформації, реалізація заходів технічного захисту інформації, розрахунку ефективності захисту та порядку атестації технічних засобів забезпечення інформаційної діяльності, робочих місць (приміщень) установлюються нормативними документами з технічного захисту інформації.

Технічне завдання на створення комплексної системи захисту інформації в інформаційній системі є засадчим організаційно-технічним документом для виконання робіт щодо забезпечення захисту інформації в системі.

Технічне завдання на комплексну систему захисту інформації розробляється у разі необхідності розробки або модернізації комплексної системи захисту інформації існуючої (що функціонує) інформаційною системою. В разі розробки комплексної системи захисту інформації в процесі проектування інформаційної системи допускається оформлення вимог захисту інформації в інформаційній системі у вигляді окремого (часткового) технічного завдання, доповнення до загального технічного завдання на систему або розділу загального технічного завдання на інформаційну систему.

Технічне завдання на комплексну систему захисту інформації повинно розроблятись з урахуванням комплексного підходу до побудови комплексної системи захисту інформації, який передбачає об’єднання в єдину систему усіх необхідних заходів і засобів захисту від різноманітних загроз безпеці інформації на всіх етапах життєвого циклу інформаційної системи.

В технічному завданні на комплексну систему захисту інформації викладаються вимоги до функціонального складу і порядку розробки і впровадження технічних засобів, що забезпечують безпеку інформації в процесі її оброблення в інформаційній системі. Додатково треба викласти вимоги до організаційних, фізичних та інших заходів захисту, що реалізуються поза інформаційною системою у доповнення до комплексу програмно-технічних засобів захисту інформації.

Перелік вимог з захисту інформації, які включаються в технічне завдання на комплексну систему захисту інформації, може бути для кожної конкретної інформаційної системи як розширений, так і скорочений.

Вимоги повинні передбачати розроблення та використання сучасних ефективних засобів і методів захисту, які дають можливість забезпечити виконання цих вимог з найменшими матеріальними затратами.

Технічне завдання на комплексну систему захисту інформації є одним із обов’язкових засадних документів під час проведення експертизи інформаційної системи на відповідність вимогам захищеності інформації.

Вихідними даними для розроблення технічного завдання на комплексну систему захисту інформації є функціональний профіль захищеності інформаційної системи від несанкціонованого доступу і вимогам до захищеності інформації від витоку технічними каналами.

Функціональний профіль захищеності інформації в конкретній інформаційній системі може бути визначений в результаті проведення аналізу загроз та оцінки ризиків або обраний на підставі класу інформаційної системи відповідно до НД ТЗІ 2.5-005-99 „Класифікація автоматизованих систем і стандартні функціональні класи захищеності оброблюваної інформації від несанкціонованого доступу”.

Вимоги до захищеності інформації від витоку технічними каналами визначається на підставі НД ТЗІ ТР ЕОТ-95 „Тимчасові рекомендації з технічного захисту інформації у засобах обчислювальної техніки, автоматизованих системах і мережах від витоку каналами побічних електромагнітних випромінювань і наводок” і ТР ПЕМВН-95 „Тимчасові рекомендації з технічного захисту інформації від витоку каналами побічних електромагнітних випромінювань і наводок”.

В технічному завданні повинно бути наведено обґрунтування вибору функціонального профілю захищеності і вимог до показників захищеності інформації від витоку технічними каналами.

Перелік основних робіт етапу формування технічного завдання такий:

– класифікація та опис ресурсів інформаційної системи (обчислювальної системи засобів зв’язку і комунікацій, її категорії, виду подання, місця зберігання, технології обробки тощо, обслуговуючого персоналу і користувачів, території і приміщень і т. ін.);

– розробка інформаційної моделі для існуючої інформаційної системи, тобто опис (формальний або неформальний) інформаційних потоків інформаційної системи, інтерфейсів між користувачами і інформаційною системою тощо;

– визначення переліку загроз і можливих каналів витоку інформації;

– експертна оцінка очікуваних втрат у разі здіснення загроз;

– визначення послуг безпеки, які треба реалізувати;

– обґрунтування необхідності проведення спецперевірки і спеціальних досліджень інформаційно-телекомунікаційної системи та інших технічних засобів, а також спеціального обладнання приміщень;

– визначення вимог до організаційних, фізичних та інших заходів захисту, що реалізуються у доповненні до комплексу програмно-технічних засобів захисту;

– визначення вимог до метрологічного забезпечення робіт;

– визначення переліку макетів, що розробляються і технологічних стендів;

– оцінка вартості і ефективності обраних засобів;

– прийняття остаточного рішення про склад комплексної системи захисту інформації.

Технічне завдання повинно включати основні розділи:

– вимоги до системи захисту інформації;

– вимоги до складу проектної та експлуатаційної документації;

– етапи виконання робіт;

– порядок внесення змін і доповнень до розділів технічного завдання;

– вимоги до порядку проведення випробування системи захисту.

Вимоги до забезпечення технічного захисту інформації під час організації проектування будівництва (нового будівництва, розширення, реконструкції та капітального ремонту) встановлюється ДБН А.2.2.-2-96.

Вимоги технічного захисту інформації повинні бути викладені в завданні на проектування заходів технічного захисту інформації і враховуватися в процесі проектування об’єкта, зокрема під час розробки:

– ситуаційного плану розміщення об’єкта;

– технології виробництва;

– принципових схем виробничих технологічних процесів;

– схеми генерального плану виробничого комплексу;

– архітектурно-будівельних рішень щодо об’єкта;

– принципових рішень з організації системи зв’язку, сигналізації, управління, автоматизування та інших систем;

– основних рішень з організації будівництва.

Завдання на проектування заходів технічного захисту інформації повинно бути складовою частиною загального завдання на проектування об’єкта.

Необхідність розробки проектної документації для будівництва об’єкта з урахуванням вимог технічного захисту інформації повинна бути визначена після виконання наступних підготовчих робіт:

– визначення переліку приміщень, в яких циркулює інформація, що підлягає технічному захисту;

– обґрунтування необхідності розроблення заходів захисту інформації з обмеженим доступом з урахуванням шкоди від її витоку або порушення цілісності;

– уточнення меж контрольованої території на основі аналізу загроз безпеці інформації;

– визначення головних задач технічного захисту інформації з обмеженим доступом;

– визначення шляхів і засобів реалізації заходів технічного захисту інформації з урахуванням технічної та економічної доцільності.

Основою функціонування системи захисту інформації є план технічного захисту інформації, що повинен містити такі документи:

– перелік розпорядчих, організаційно-методичних нормативних документів технічного захисту інформації, а також вказівки: щодо їхнього застосування;

– інструкції про порядок реалізації організаційних, первинних технічних та основних технічних заходів захисту;

– інструкції, що встановлюють обов’язки, права та відповідальність персоналу;

– календарний план технічного захисту інформації.

Технічне завдання і план технічного захисту інформації розробляють спеціалісти з технічного захисту інформації, узгоджують з зацікавленими підрозділами (організаціями). Затверджує їх керівник організації.

Вимоги з захисту інформації визначаються замовником, погоджуються з розробником інформаційної системи і виконавцем робіт по створенню комплексної системи захисту інформації в інформаційній системі. Виконавець повинен мати відповідну ліцензію Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України. У випадках, передбачених Положенням про технічний захист інформації в Україні, технічне завдання на комплексну систему захисту інформації погоджується з Департаментом.

Технічне завдання на комплексну систему захисту інформації оформляється відповідно до того ж самого стандарту, що і основне технічне завдання на інформаційну систему, і в загальному випадку повинно містити такі основні підрозділи:

– загальні відомості;

– мета і призначення комплексної системи захисту інформації;

– загальна характеристика інформаційної системи та умови її функціонування;

– вимоги до комплексної системи захисту інформації;

– вимоги до складу проектної та експлуатаційної документації;

– етапи виконання робіт;

– порядок внесення змін і доповнень до технічного завдання;

– порядок проведення випробувань комплексної системи захисту інформації.

Основні методи і засоби отримання та захисту інформації наведені в таблиці 4.1.

Таблиця 4.1– Основні методи і засоби отримання та захисту інформації

 

Типова ситуація Канали витоку інформації Методи і засоби
Отримання інформації захист інформації
Розмова в приміщенні та вулиці Акустичний Підслуховування (диктофон, мікрофон тощо) Шумові генератори, пошук закладних пристроїв, захисні фільтри, обмеження доступу
Віброакустичний   Стетоскоп, вібродатчик
Акустоєлектронний Спеціальні радіоприймачі
Розмова по телефону: Акустичний Підслуховування (диктофон, мікрофон тощо) Шумові генератори, пошук закладних пристроїв, захисні фільтри, обмеження доступу
Провідному Сигнал в лінії Паралельний телефон, пряме підключення, електромагнітний датчик, диктофон телефонна закладка Маскування, скремблювання, шифрування, спецтехніка
Наводки Спеціальні радіотехнічні пристрої Спецтехніка
Радіотелефону ВЧ-сигнал Радіоприймачі Маскування, скремблювання, шифрування, спецтехніка
Документ на паперовому носію: Безпосередньо документ Крадіжка, прочитування, копіювання, фотографування   Обмеження доступу, спецтехніка
Виготовлення Продавлення стрічки або паперу Крадіжка, причитування Оргтехзаходи
Акустичний шум принтера Апаратура акустичного контролю Пристрої шумоподавлення
Паразитні сигнали, наводки Спеціальні радіотехнічні засоби Екранування
Почтові відправлення Безпосередньо документ Крадіжка, причитування Спеціальні методи
Документ на машинному носію Носій Крадіжка, копіювання, причитування Контроль доступу, фізичний захист, криптозахист

Закінчення таблиці 4.1

 

Виготовлення Відображення на дисплеї Візуальний, копіювання, фотографування Контроль доступу, фізичний захист, криптозахист
Паразитні сигнали, наводки Спеціальні радіотехнічні пристрої Контроль доступу, криптозахист, пошук закладок, екранування
Електричні сигнали Апаратні закладки
Програмний продукт Програмні закладки
Передача документа по каналам зв’язку Електричні та оптичні сигнали Несанкціоноване підключення, імітація зареєстрованого користувача Криптозахист
Виробничий процес Відходи, випромі-нювання тощо Спецапаратура різного призначення Оргтехзаходи, фізичний захист

 

Загроза, котру людина представляє для інформаційної системи, залежить від декількох факторів:

– способу доступу;

– рівня кваліфікації;

– мотивації.

Ступінь збитків, нанесеного інформаційній системі залежить від рівня доступу, котрим володіє особа. Важливо обмежити коло осіб таким чином, щоб не тільки захищатись від обдуманого викрадення або перегляду інформації з обмеженим доступом, а також попередити нанесення випадкових збитків.

Чим вище кваліфікація порушника, тим ширше спектр загроз. Розробка вірусу вимагає більш глибоких знань про інформаційну систему, чім у більшості працівників, які займаються вводом (виводом) даних. Програміст може внести вірус або іншу запрограмовану загрозу, котра може в наступному нанести значних збитків. З іншої сторони, незнання також є джерелом великої загрози для системи. Працівник, котрий по незнанню загружає заражений вірусом програмний продукт представляє ризик для безпеки системи.

Що є мотивацією для працівника? Поряд з працівниками, котрі люблять свою роботу є працівники, котрі не отримали підвищення по службі або знаходяться на грані звільнення, ця категорія може представляти загрозу для автоматизованої інформаційної системи.

Не усі порушення здійснюються через погане відношення до конкретної організації. Деякі роблять „інтелектуальний виклик” або хочуть відчути владу. Інші бачать в цьому засіб нанесення відповідного удару по системі, одні займаються для отримання грошей, інші просто так.

Розглянемо перелік засобів, котрі можуть бути застосовані для захисту від працівників:

– вивчайте бібліографічні дані працівників до прийняття на роботу;

– перевіряйте усі угоди на постачання, щоб виявити, чи проводять постачальники перевірку своїх працівників і чи чітко обумовлена відповідальність постачальників в даній угоді;

– доводьте до працівників підходи до питань інформаційної безпеки. Викладаються усі аспекти цієї політики у письмовому вигляді. Управлінський персонал повинен її прийняти і укріплювати, а працівники її виконувати;

– навчайте працівників бути насторожі і повідомляти про підозрілі дії;

– не дозволяйте доступ окремим працівникам до обладнання або файлів поодинці;

– розділяйте функції санкціонування і експлуатації;

– впроваджуйте процедури перевірки безпеки;

– будьте готові до „реваншу” із сторони скривджених, звільнених працівників або покупців (замовників);

– намагайтесь, щоб усі правила і вимоги, стосовно використання системи, її програмного забезпечення та інших обмежень були ясними і чіткими. Приймайте міри у кожному випадку, коли ці правила порушуються;

– не представляйте привілеї автоматично;

– проводьте політику ротації обов’язків. Якщо час від часу змінювати обов’язки керівного складу, то є можливість виявити довготривалі атаки;

– коли працівник звільнився за власним бажанням:

перегляньте зобов’язання з цим працівником;

не дозволяйте цьому працівнику доступ до інформаційної системи. Замініть усі паролі;

відберіть перепустку, ключ тощо. Перевірте файли і збережіть їх;

якщо працівник мав статус привілеї або інші управлінські функції, замініть усі паролі в системі.

Усі злочини, пов’язані з несанкціонованим використанням інформації – унікальні. Для розслідування та притягнення до суду єдиного рецепту немає. Доцільно записувати все, що наробив злочинець, а також, що зроблено у ході розслідування кожним працівником і все, що має віддалене відношення до цієї справи. Ця інформація необхідна для кримінального переслідування злочинця, оцінки чи вірно зроблено в даному випадку, розробки дій в подібній ситуації.







Date: 2015-06-11; view: 1987; Нарушение авторских прав



mydocx.ru - 2015-2024 year. (0.096 sec.) Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав - Пожаловаться на публикацию