Файловый архив студентов. Файловый архив студентов.
1301 вуз, 5089 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Киевский национальный университет им. Т. Шевченко
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Л3 ПОРЯДОК РОЗРОБКИ ПЛАНУ ЗАХИСТУ ІНФОРМАЦІЇ В...doc
Скачиваний:
0
Добавлен:
01.04.2025
Размер:
171.01 Кб
Скачать
►Содержание►

КИЇВСЬКИЙ НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ

ІМЕНІ ТАРАСА ШЕВЧЕНКА

Радіофізичний факультет

Кафедра Радіотехніки та радіоелектронних систем

МЕТОДИЧНІ ВКАЗІВКИ

ЩОДО ПРОВЕДЕННЯ ЗАНЯТТЯ

НА ТЕМУ

ПОРЯДОК РОЗРОБКИ ПЛАНУ ЗАХИСТУ ІНФОРМАЦІЇ В КОМПЮТЕРНИХ СИСТЕМАХ

ЛЕКЦІЯ 2 ГОДИНИ.

КИЇВ – 2013

Навчальні цілі. Опанування теоретичними та практичними навичками експлуатації захищених комп’ютерних систем відповідно до заданого рівня якості їхньої захищеності.

Виховні цілі. Організація творчої думки студентів, активізація їх роздумів над проблемамі, пов’язаними з експлуатаціею захищених комп’ютерних систем. Зразуміння основних понять та положень щодо надійності захищених комп’ютерних систем.

Час: 2 академічних години (45 хв. + 45 хв.)

План проведення лекції та розрахунок часу

Вступ (15 хвилин)

Загальна характеристика плану захисту інформації у комп’ютерній системі.

Навчальні питання

Питання 1 (10 хвилин). Загальна характеристика плана захисту інформації у комп’ютерній системі (мережі). Завдання захисту інформації у комп’ютерній системі (мережі). Забезпечення режиму таємності при обробки критичної інформації у комп’ютерній системі (мережі).

Питання 2 (10 хвилин). Класифікація інформації, що обробляється в комп’ютерній системі.

Питання 3 (10 хвилин). Опис компонентів комп’ютерної системи та технології оброблення інформації.

Питання 4 (10 хвилин). Загрози комп’ютерній системі: модель загроз та порядок її побудови.

Питання 5 (10 хвилин). Загальна характеристика політики безпеки комп’ютерної системи.

Питання 6 (10 хвилин). Система документів із забезпечення захисту інформації у комп’ютерній системі.

Заключення (15 хвилин)

  • підведення ітогів лекційного заняття;

  • уточнення переліку материала, з яким слідует ознайомитися к наступному заняттю.

Література

  1. Положення про забезпечення режиму таємности в процесі обробки інформації, яка є державною таємницею, в автоматизованих системах. Затверджено постановою Кабінета Міністрів України № 180 від 16.02.98 р.

  2. НД ТЗІ 1.1-002-99 Загальні положення щодо захисту інформації в комп’ютерних системах від несанкціонованого доступу. Затверджено наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 28 квітня № 22.

  3. НД ТЗІ 1.1-003-99 Термінологія в галузі захисту інформації в комп’ютерних системах від несанкціонованого доступу. Затверджено наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 28 квітня № 22.

  4. НД ТЗІ 3.7-001-99 Методичні вказивки щодо розробки технічного завдання на створення комплексної системи захисту інформації в автоматизованій системі. Затверджено наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 28 квітня № 22.

  5. НД ТЗІ 2.5-005-99 Класифікація автоматизованих систем і стандартні функціональні прфилі захищеності оброблюваної інформації від несанкціонованого доступу. Затверджено наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 28 квітня № 22.

  6. НД ТЗІ 1.4-001-2000 Типове положення про службу захисту інформації. Затверджено наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 4 грудня № 53.

Навчально-матеріальне забезпечення

Слайди по темі Лекції № 3.

Навчальні матеріали і. Текст лекції

Введення

Постановою Кабінету міністрів України № 180 від 16.02.98 р. затверджено Положення про забезпечення режиму секретності під час обробки інформації, що становить державну таємницю, в автоматизованих системах.

Це положення визначає основи організації та порядок забезпечення режиму секретності під час обробки інформації, що становить державну таємницю, в автоматизованих системах, а також завдання, права, обов’язкі суб’єктів відносин, повязаних із забезпеченням режиму секретності під час обробки інформації в автоматизованих системах.

У відповідності з рекомендаціями цього Положення … в систему документів щодо забезпечення режиму секретності в автоматизованій системі входить План захисту інформації в автоматизованій системі.

Навчальні питання

1. Загальна характеристика плана захисту інформації у комп’ютерній системі (мережі). Завдання захисту інформації у комп’ютерній системі (мережі). Забезпечення режиму таємності при обробки критичної інформації у комп’ютерній системі (мережі).

У відповідності з НД ТЗІ 1.1-002-99 Загальні положення щодо захисту інформації в комп’ютерних системах від несанкціонованого доступу для забезпечення безпеки інформації під час її обробки в автоматизованій системі створюється Комплексна система захисту інформації (КСЗІ), процес управління якою повинен підтримуватися протягом усього життєвого циклу автоматизованої системи.

НД ТЗІ 1.1-003-99 Термінологія в галузі захисту інформації в комп’ютерних системах від несанкціонованого доступу Комплексна система захисту інформації - сукупність организаційних та інженерних заходів, програмно-апаратних засобів, які забезпечують захист інформації в автоматизованій системі.

При створенні КСЗІ слід керуватися положеннями та рекомендаціями НД ТЗІ 3.7-001-99 Методичні вказівки щодо розробки технічного завдання на створення комплексної системи захисту інформації в автоматизованій системі. Цей документ встановлює вимоги до порядку розроблення, складу та змісту технічного завдання на створення КСЗІ в автоматизованій системі, призначеної для обробки, зберігання і передачі інформації з обмеженим до неї доступом або інформації, захист якої гаранується державою.

На стадії розробки метою керування КСЗІ є створення засобів захисту, які б змогли ефективно протистояти ймовірним загрозам і вподальшому забезпечували б дотримання політики безпеки під час обробки інформації.

НД ТЗІ 1.1-003-99 Термінологія в галузі захисту інформації в компютерних системах від несанкціонованого доступу.

Політика безпеки інформації – сукупність законів, правил, обмежень, рекомендацій та інструкцій, які регламентують порядок обробки інформації.

На стадії експлуатації автоматизованої системи метою процесу управління КСЗІ є оцінка ефективності створеної КСЗІ і розробка додаткових (уточнюючих) вимог для доопрацювання Комплексної системи захисту інформації з метою забезпечення її адекватності при зміні початкових умов (характеристик обчислювальних систем, оброблюваної інформації, навколишнього середовища, персоналу, призначення автоматизированної системи, політики безпеки і т.д.).

На кожному етапі повинні бути виконані сбір і підготовка даних, їх аналіз і прийняття рішення. При цьому результати виконаного на певному етапі аналізу і прийняття на їх основі рішення нарівні з уточненими вимогами слугують вихідними даними для аналізу на наступному етапі. На будь-якій стадії або етапі може виникнути необхідність уточнення початкових умов і повернення на більш ранні етапи.

Створення КСЗІ має починатися з аналізу об’єкту захисту і можливих загроз. Перш за все повинні бути визначені ресурси автоматизованої системи, які підлягають захисту. Загрози повинні бути виражені в термінах ймовірності їх реалізації і величини можливих збитків. На основі аналізу загроз, присутніх в системі вразливостей, ефективності вже реалізованих заходів захисту для всіх ресурсів, які підлягають захисту, повинні бути визначені ризики. Ризик являє собою функцію ймовірності реалізації певної загрози, виду і величини очікуваних збитків. Величина ризику може бути виражена в грошовому вимірі або у вигляді формальної оцінки (високої, низької і т.д.). На основі виконаної роботи повинні бути виконані заходи захисту, втілення яких в життя дозволило б знизити рівень залишкового ризику до прийнятого (встановленого) рівня. Підсумком цього етапу робіт повинна стати сформульована або скоригована політика безпеки.

На основі проведеного аналізу ризиків сформульованої політики безпеки розробляється План захисту, який включає в себе опис послідовності і зміст всіх стадій і етапів життєвого циклу КСЗІ, які повинні відповідати стадіям і етапам життєвого циклу автоматизованої системи. Вартість заходів щодо захисту інформації повинна бути адекватною розміру можливих збитків.

План захисту інформації в автоматизованій системі (сукупність документів) визначає:

  • завдання захисту, класифікацію інформації, опис технології обробки секретної інформації;

  • модель загроз інформації в автоматизованої системі;

  • політику (основні правила) захисту інформації в автоматизованій системі;

  • перелік нормативних, розпорядчих, організаційно-технічних та інших документів, відповідно до яких реалізован захист інформації в автоматизованої системі;

  • календарний план робіт із захисту інформації в автоматизованої системі.

Завдання захисту інформації в автоматизованої системі можуть бути викладені таким чином:

Система безпеки автоматизованої системи повинна забезпечувати такі показники:

  • готовність даних і прикладних програм (дані і програми повинні бути доступні в будь-який момент часу для авторизованого користувача);

  • конфіденціальність и интегрованість даних і прикладних програм (інформація доступна тільки особам, які мають відповідні права та повноваження, при цьому виключається внесення навмисних або ненавмисних змін в дані і програми, створення даних або невірне, неповне або імітаційне використання прикладних програм);

  • гарантована функціональність прикладних програм (виконання вимог повної відповідальності заявленої та реалізованої виробничо-економічними прикладними програмами функціональності).

При цьому слід розробити рекомендації к конфігураціям всіх систем з метою забезпечення достатнього рівня надійності при заданих характеристиках.

Рівень надійності всіх компонент автоматизованої системи повинен врахувати логічні рівні систем захисту:

  • робочих місць (персональних комп’ютерів);

  • прикладних програм;

  • баз даних;

  • операційних систем;

  • мережевого оточення.

Для всіх рівнів необхідно розробити спеціальні або задіяти існуючі функціональні рішення, які стосуються:

  • автоматизованої системи;

  • СУБД, які використовуються;

  • Операційних систем;

  • Апаратних платформ (кластери, а також дзеркальні диски).

Кожне з рішень повинно відповідати за надійності роботи системи на своєму рівні і одночасно бути невід’ємною частиною системи захисту в цілому.

Класифікація інформації, що обробляється в комп’ютерній системі.

При аналізі проблеми захисту від несанкціонованого доступу інформації, яка може циркулювати в комп’ютерній системі, як правило, розглядаються лише інформаційні об’єкти, які служать приймачами/джерелами інформації, і інформаційні потоки (порції інформації, котрі пересилаються між об’єктами) безвідносно до фізичних характеристик їх носіїв.

Загрози оброблюваної в автоматизованій системі інформації залежать від характеристик обчислювальної системи, навколишнього середовища, персоналу і оброблюваної інформації. З усього беліччя способів классифікації загроз найбільш прийнятою для анализу є класифікація загроз за результатами їх впливу на інформацію, тобто порушення конфіденційості, цілістності та доступності інформації.

Інформація зберігає конфиденційність, якщо дотримуються встановлені правила ознайомлення з нею.

Інформація зберігає цілісність, якщо дотримуються встановлені правила її модифікації (видалення).

Інформація зберігає доступність, якщо зберігається можливість ознайомлення з нею або можливість її модифікації відповідно до встановлених правил протягом якогось певного проміжку часу.

Опис компонентів комп’ютерної системи та технології оброблення інформації.

У процесі створення Комплексної системи захисту інформації на початковому етапі слід розробити Технічне завдання на Комплексну систему захисту інформації, в якому викладаются вимоги до функціонального складу і порядку розробки і впровадження технічних засобів, які забезпечують безпеку інформації в процесі її обробки в обчислювальної системі автоматизованій системи.

У перелік основних робіт на етапі формування Технічного завдання входить класифікація та опис ресурсів автоматизованої системи (обчисльювальні системи, засоби з’вязку та комунікації, інформації, її категорій, виду подачі, місця зберігання, технології обробки, обслуговуючого персоналу і користувачів, території та приміщень і т.д.).

Загальна характеристика автоматизированої системи та умов її функціонування оформляються в Технічному завданні на Комплексну систему захисту інформації окремим підрозділом. В ньому доцільно відобразити такі моменти, які впливають на безпеку інформації під час її обробки в автоматизованій системі і на загальні вимоги реалізації Системи захисту інформації:

  • загальну структурну схему і склад обчислювальних систем автоматизованої системи (перелік і склад устаткування, технічних і програмних засобів, їх з’вязки, особливості конфігурації та архітектури, особливості підключення до локальних і глобальних мереж);

  • технічні характеристики каналів з’вязку (пропускна здатність, типи кабельних ліній, види з’вязку з віддаленими сегментами автоматизованої системи та користувачами);

  • характеристики інформації, яка обробляється (категорії інформації, вищий гриф секретності );

  • характеристика персоналу (колличество користувачей і категорій користувачів, форми допуску);

  • характеристика навколишнього середовища (наявність категорійованих приміщень, територіальне розміщення компонентів автоматизованої системи, їх фізичні параметри, вплив на них факторів навколишнього середовища, захищеність від засобів техніченої розвідки);

  • загальна технічна характеристика автоматизованої системи (обсяги основних інформаційних масивів і потоків, швидкість обміну інформацією і продуктивність системи під час вирішення функціональних завдань, тривалість процедури підготовки автоматизованої системи до роботи після подачі живленняя на її компоненти, тривалість часу відновлення працездатності після збоїв, наявність засобів підвищення надійності та живучості);

  • особливості функціонування автоматизованої системи (надання машинного часу або обладнання в оренду стороннім організаціям, цілодобовий режим роботи без вимикання живлення);

  • особливості реалізованих або припустимих організаційних, фізичних та інших заходів захисту (режимні заходи в поміщеннях і на території, охорона, сигналізація, протипожежна охорона);

  • потенційні загрози іинформації (способи здійснення несанкціонованого доступу, можливі технічні канали витоку інформації та умови їх формування, стихійні лиха), а також можливі наслідки їх реалізації;

  • клас автоматизованої системи відповідно до НД ТЗІ 2.5-005-99 “Классифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблюваної інформації від несанкціонованого доступу”.

Крім того, необхідно описати функціонуючі в складі автоматизованої системи (для діючої автоматизованої системи) засоби захисту, а також засоби захисту, реалізовані в компонентах, які планується використовувати для побудови автоматизованої системи. При цьому слід врахувати, що функції захисту, які реалізуються засобами імпортного виробництва, не мають пов’язаного з ними рівня гарантій. Використання таких засобів у складі Комплексної системи захисту інформації можливо тільки при наявності експертного висновку, зареєстрованого Департаментом спеціальных телекомунікаційних систем та захисту інформації Служби безпеки України. У розділі не вказуються ті характеристики та умови функціонування автоматизованої системи, опис яких є в Технічному завданні на автоматизовану систему або в інших документах. Даються тільки посилання на розділи цих документів.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности