- •Защита информационных процессов в компьютерных системах краснодар
- •Классификационная схема понятий в предметной области защита информации
- •Глава 1. Методология защиты информационных процессов в компьютерных системах
- •1.1 Проблема защиты информации в компьютерных системах.
- •1.2 Угрозы и каналы утечки информации в компьютерных системах.
- •Р ис. 1.2.4. Обобщенная модель физического взаимодействия информационной системы с внешней средой
- •1. По природе возникновения.
- •2. По степени преднамеренности проявления.
- •3. По непосредственному источнику.
- •4. По положению источника.
- •5. По степени зависимости от активности ас.
- •6. По степени воздействия на ас.
- •7. По этапам доступа пользователей или программ к ресурсам ас.
- •8. По способу доступа к ресурсам ас.
- •9. По текущему месту расположения информации, хранимой и обрабатываемой в ас.
- •В этой связи все возможные ник целесообразно разделять на:
- •1.3 Политика и модели безопасности информации в компьютерных системах.
- •Политика безопасности верхних уровней – правового и административного
- •Политика безопасности среднего уровня – процедурного
- •Перечень защищаемых ресурсов ас
- •Политика безопасности нижнего уровня – программно-аппаратного
- •1. Модель дискреционного (дискретного) доступа.
- •2. Модель мандатного управления доступом Белла-Лападула.
- •3. Модели распределенных систем (синхронные и асинхронные).
- •12. Модель системы безопасности с полным перекрытием.
- •13. Модель гарантированно защищенной системы обработки информации.
- •14. Субъектно-объектная модель.
- •Модель Белла и Лападула
- •Модель понижения уровня субъекта.
- •Модель понижения уровня объекта.
- •Объединение моделей безопасности.
- •1.4. Концепция защиты информации от нсд.
- •Глава 2. Защита информации в автоматизированных системах
- •2.1. Комплексная система защиты информации в автоматизированных системах.
- •Классификатор средств и методов защиты
- •2.2. Организационно-правовая защита информации в автоматизированных системах.
- •Основные государственные правовые акты по защите информации в ас
- •2.3. Реализация методов защиты информации от нсд.
- •2.4. Критерии и стандарты защищенности автоматизированных систем.
- •2.4.1. Критерии оценки безопасности ас сша.
- •Группа d. Минимальная защита
- •Группа с. Дискреционная защита
- •Группа в. Мандатное управление доступом
- •Группа а. Верифицированная защита
- •Интерпретация и развитие tcsec
- •2.4.2 Европейские критерии безопасности информационных технологий
- •Основные понятия
- •Функциональные критерии
- •Критерии адекватности
- •2.4.3. Федеральные критерии безопасности информационных технологий.
- •Основные положения.
- •Профиль защиты
- •Функциональные требования к продукту информационных технологий
- •Структура функциональных требований
- •Ранжирование функциональных требований
- •Требования к процессу разработки продукта информационных технологий
- •2.5 Показатели защищенности свт и ас от нсд.
- •2.5.1 Показатели защищенности свт по защите информации от нсд.
- •Показатели защищенности свт
- •Требования к показателям защищенности шестого класса
- •Требования к показателям пятого класса защищенности
- •Требования к показателям четвертого класса защищенности
- •Требования к показателям третьего класса защищенности
- •Требования к показателям второго класса защищенности
- •Требования к показателям первого класса защищенности
- •2.5.2 Классификация ас и требования по защите информации.
- •Требования к классу защищенности 3б.
- •Требования к классу защищенности 3а.
- •Требования к классу защищенности 2б.
- •Требования к классу защищенности 2а.
- •Требования к классу защищенности 1д.
- •Требования к классу защищенности 1г.
- •Требования к классу защищенности 1в:
- •Требования к классу защищенности 1б:
- •Требования к классу защищенности 1а:
- •2.6 Лицензирование деятельности в области защиты информации.
- •Перечень
- •Перечень
- •Подлежащих лицензированию фапси
- •Особенности сертификации средств защиты информации
Перечень защищаемых ресурсов ас
Таблица 1.3.7.
N
|
Защищаемый ресурс |
К ресурсу допущены |
|||
Наименование |
Гриф |
Катего-рия |
|||
Полное |
Условное |
||||
1 |
Помещения с серверами |
SQL |
СС |
П 1 |
Администратор ЛВС |
2 |
Помещения подразделения защиты информации |
OBI15 |
СС |
П 2 |
Сотрудники службы защиты информации |
3 |
Ключевой набор данных |
RNLM 2 |
СС |
N 1 |
Администратор БИ |
4 |
АРМ сотруд. проектного отдела |
ARM01 |
С |
ТС 3 |
Сотрудники проектного отдела |
5 |
АРМ начальника проектного отдела |
ARM12 |
СС |
ТС 3 |
Начальник проектного отдела |
6 |
АРМ сотруд. отдела кадров |
ARM07 |
С |
ТС 3 |
Сотр. отдела кадров |
7 |
БД справочной системы |
Access10 |
С |
N 3 |
Сотруд. проект.отдела |
8 |
Задача «Расчёт конструкции» |
RCCA8 |
СС |
N 2 |
Нач. и зам. нач. проектного отдела |
9 |
БД спр. системы отдела кадров |
Access20 |
CC |
N 2 |
Сотр. отдела кадров |
10 |
Данные по наличию бланков учёта |
ZZZ.doc |
НС |
N 4 |
Сотр. отдела кадров |
... |
………………………………. |
……….. |
…… |
……….. |
…………………….. |
... |
…………………………….. |
……….. |
…… |
……….. |
…………………….. |
28 |
Сервер ЛВС |
С01 |
ОВ |
ТС 1 |
Администратор ЛВС |
… |
……………………………… |
……….. |
……. |
………... |
..…………………… |
39 |
ОС Windows NT 4.0 |
ОС1812 |
НС |
ПС 3 |
Администратор БИ |
В организации имеется большое число категорий пользователей и обслуживающего личного состава, которые должны иметь различные полномочия по доступу к информационным, программным и другим ресурсам АС. Ниже приводится условная классификация пользователей АС:
U1 – пользователи, имеющие неограниченные полномочия по доступу к информации;
U2 – пользователи, имеющие неограниченные полномочия по управлению АС;
U3 – пользователи, имеющие дополнительные полномочия по доступу к секретной информации;
U4 – пользователи, имеющие общие полномочия по доступу к секретной информации;
U5 – удалённые пользователи;
U6 – пользователи, имеющие право обрабатывать только несекретную информацию.
На основе проведённого категорирования защищаемых ресурсов и Перечня защищаемых ресурса на ОВТ организации составляется Таблица разграничения полномочий пользователей АС организации. Ее пример представлен в таблице 1.3.8.
Таблица разграничения полномочий пользователей АС
Таблица 1.3.8
N |
В. звание, Ф.И.О. |
Должность |
Защищаемые ресурсы |
|||
Защищаемый ресурс |
Условное обозначение |
Категория |
Права по доступу |
|||
1
|
Петров А.С. |
Админ. безопасности информации |
Помещение N 220 |
SQl |
П1 |
|
Помещение N 225 |
OBI 5 |
П2 |
||||
Сервер БИ |
SEC 2 |
ТС1 |
||||
ОС Windows NT 4.0 |
ОС1812 |
ПС3 |
||||
Системный журнал безопасности |
GS44 |
N2 |
Чтение Запись Удаление |
|||
. |
…….. |
…………. |
….………….. |
……. |
……. |
……. |
8 |
Ежов И.П. |
Начальник проектного отдела |
Помещение N 18 |
ОО100 |
П2 |
|
АРМ N12 |
ARM12 |
ТС3 |
||||
БД справочная система
|
Access10 |
N3 |
Чтение Запись Удаление |
|||
Задача “Расчёт конструкции” |
RCCA8 |
N2 |
Чтение Запись |
|||
Наиболее уязвимыми компонентами АС являются сетевые рабочие станции (АРМ сотрудников отделов и служб). Именно с них могут быть предприняты наиболее многочисленные попытки НСД в сети и попытки совершения несанкционированных действий (непреднамеренных и умышленных). С рабочих станций осуществляется управление процессами обработки информации (в том числе на серверах), запуск программ, ввод и корректировка данных, на дисках рабочих станций могут размещаться важные данные и программы обработки. На мониторы и печатающие устройства рабочих станций выводится информация при работе пользователей (операторов), выполняющих различные функции и имеющих разные полномочия по доступу к данным и другим ресурсам системы. Нарушения конфигурации аппаратно-программных средств рабочих станций и неправомерное вмешательство в процессы их функционирования могут приводить к блокированию информации, невозможности своевременного решения важных задач и выходу из строя отдельных АРМ и подсистем.
Особой защите должны подвергаться выделенные файловые серверы, серверы БД и серверы приложений. Здесь злоумышленник, прежде всего, может искать возможности получения доступа к защищаемой информации и оказания влияния на работу различных подсистем серверов, используя недостатки протоколов обмена и средств разграничения удаленного доступа к ресурсам серверов. При этом могут предприниматься попытки как удаленного (со станций сети) так и непосредственного (с консоли сервера) воздействия на работу серверов и их средств защиты.
Мосты, шлюзы, маршрутизаторы, коммутаторы и другие сетевые устройства, каналы и средства связи также должны быть защищены. Они могут быть использованы нарушителями для реструктуризации и дезорганизации работы сети, перехвата передаваемой информации, анализа трафика и реализации других способов вмешательства в процессы обмена данными.