tpzas / Документ Microsoft Word
.docx
|
37. ЗАЩИТА ИНФОРМАЦИИ В АС ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА. СИСТЕМА ЗАЩИТЫ ПРОГРАММНЫХ СРЕДСТВ ОТ КОПИРОВАНИЯ И ИССЛЕДОВАНИЯ. Создание копий программных средств для изучения или несанкционированного использования осуществляется с помощью устройств вывода или каналов связи. Угроза несанкционированного копирования информации блокируется методами, которые могут быть распределены по двум группам: ‑ методы, затрудняющие считывание скопированной информации; ‑ методы, препятствующие использованию информации Методы из первой группы основываются на придании особенностей процессу записи информации, которые не позволяют считывать полученную копию на других накопителях, не входящих в защищаемую АС. Методы, препятствующие использованию скопированной информации - группа методов имеет целью затруднить использование полученных копированием данных. Скопированная информация может быть программой или данными. Данные и программы могут быть защищены, если они хранятся на ВЗУ в преобразованном криптографическими методами виде. Программы, кроме того, могут защищаться от несанкционированного исполнения и тиражирования, а также от исследования. Защита программных средств от исследования Изучение логики работы программы может выполняться в одном из двух режимов: статическом и динамическом. Сущность статического режима заключается в изучении исходного текста программы. Для получения листингов исходного текста выполняемый программный модуль дизассемблируют, то есть получают из программы на машинном языке программу на языке Ассемблер. Динамический режим изучения алгоритма программы предполагает выполнение трассировки программы. . Поэтому для защиты программ от изучения необходимо иметь средства противодействия как дизассемблированию, так и трассировке. Существует несколько методов противодействия дизассемблированию: ‑ шифрование; ‑ архивация: ‑ использование самогенерирующих кодов; ‑ «обман» дизассемблера. 38. МЕРЫ И СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ В АС ОТ УТЕЧКИ ПО ТЕХНИЧЕСКИМ КАНАЛАМ. МЕТОДЫ ЗАЩИТЫ ИНФОРМАЦИИ ОТ УТЕЧКИ ЧЕРЕЗ ПЭМИН. Известно два основных метода защиты: активный и пассивный. Активный метод предполагает применение специальных широкополосных передатчиков помех. Метод хорош тем, что устраняется не только угроза утечки информации по каналам побочного излучения компьютера, но и многие другие угрозы. Пассивный метод. Заключается он в экранировании источника излучения (доработка компьютера), размещении источника излучения (компьютера) в экранированном шкафу или в экранировании помещения целиком. В целом, конечно, для защиты информации пригодны оба метода. Но при одном условии: если у вас есть подтверждение того, что принятые меры действительно обеспечивают требуемую эффективность защиты.
43. ЗАЩИТА АС ОТ СИЛОВЫХ ДЕСТРУКТИВНЫХ ВОЗДЕЙСТВИЙ. РЕКОМЕНДАЦИИ ПО ЗАЩИТЕ КОМПЬЮТЕРНЫХ СИСТЕМ ОТ СИЛОВОГО ДЕСТРУКТИВНОГО ВОЗДЕЙСТВИЯ.
Общие организационно-технические мероприятия 1. Провести анализ схем электроснабжения, внутренних и внешних коммуникационных каналов объекта, а также линий аварийно-охранно-пожарной сигнализации для выявления возможных путей СДВ К анализу привлекаются квалифицированные специалисты-электрики и связисты 2. Произвести разделение объекта на зоны защиты и рубежи обороны: 1-й рубеж- защита по периметру объекта; 2-й рубеж- защита поэтажная; 3-й рубеж-индивидуальная защита Для небольших объектов (офисов) 1-й рубеж может отсутствовать, а 2-й рубеж сокращается до защиты отдельного помещения 3. После проведения монтажа системы безопасности провести тестирование на реальные воздействия Для тестирования используются специальные имитаторы СДВ 4. Разработать документы ограничительного характера, направленные на уменьшение возможности использования ТС СДВ Например, запретить использование розеток выделенной сети для пылесосов и другого оборудования, в которые могут быть встроены ТС СДВ 5. Ремонтные работы и текущее обслуживание электрооборудования, линий связи и цепей сигнализации системы безопасности необходимо производить под контролем службы безопасности 44. СРЕДСТВА КОНТРОЛЯ ЭФФЕКТИВНОСТИ ЗАЩИТЫ ИНФОРМАЦИИ В АС. КЛАССИФИКАЦИЯ МЕТОДОВ И СРЕДСТВ КОНТРОЛЯ ЭФФЕКТИВНОСТИ ЗИ В АС. 1. Классификация методов и средств контроля эффективности ЗИ в АС Контроль эффективности защиты информации в АС является неотъемлемой частью комплекса системы мер безопасности не объекте информатизации. Он направлен на: - проверку соответствия предпринимаемых защитных мер предъявленным к ним требованиям; - выявление уязвимостей реализованной системы защиты. Контроль эффективности защиты должен включать в себя применение организационных мероприятий и программно-технических методов. Основные направления контроля эффективности ЗИ в АС: - инспектирование повседневной работы защитных служб и элементов; - проверка соответствия фактически реализованных и спроектированных (запланированных) мер; - тестирование программно-технических средств ЗИ; - моделирование угроз системе безопасности. Инспектирование может быть: - плановым, - случайным, - комплексным, - выборочным. Система обеспечения адаптивной безопасности сети должна включать в себя компоненты: - анализа защищённости (security assessment); - поиска уязвимостей (vulnerabilities assessment); - обнаружения атак (intrusion detection); - настройки (адаптации) и управления. При анализе защищённости обычно идентифицируются: - «люки» в системах (back door) и программы типа «троянский конь»; - слабые пароли; - восприимчивость к проникновению из внешних систем и атакам типа «отказ в обслуживании»; - необходимых обновлений (patch, hotfix) операционных систем; - неправильная настройка межсетевых экранов, Web-серверов и баз данных. Функционировать такие средства могут: - на сетевом уровне (network-based), - уровне операционной системы (host-based). - уровне приложения (application-based).
|
39. 40 МЕРЫ И СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ В АС ОТ УТЕЧКИ ПО ТЕХНИЧЕСКИМ КАНАЛАМ. СРЕДСТВА И МЕТОДЫ ОБНАРУЖЕНИЯ ТЕХНИЧЕСКИХ КАНАЛОВ УТЕЧКИ ИНФОРМАЦИИ. Мероприятиями по выявлению технических каналов утечки информации являются:
Специальная проверка (СП) — проверка компонентов автоматизированной системы, осуществляемая с целью поиска и изъятия закладочного устройства. Специальная проверка технических средств и систем состоит из следующих этапов:
Специальные обследования (СО) выделенных помещений – комплекс инженерно-технических мероприятий, проводимых с использованием необходимых, в том числе и специализированных, технических средств. Цель СО – выявление возможно внедренных специальных электронных средств перехвата информации, содержащей государственную тайну, в ограждающих конструкциях, предметах мебели и интерьера выделенных помещений. На этапе подготовки к проведению СО производится:
Оценка условий предполагает:
На основе анализа потенциального злоумышленника и объекта защиты определяются:
45. СРЕДСТВА КОНТРОЛЯ ЭФФЕКТИВНОСТИ ЗАЩИТЫ ИНФОРМАЦИИ В АС. СКАНЕРЫ БЕЗОПАСНОСТИ АС. Существует два основных механизма, при помощи которых сканер проверяет наличие уязвимости - сканирование (scan) и зондирование (probe). Сканирование - механизм пассивного анализа, с помощью которого сканер пытается определить наличие уязвимости без фактического подтверждения её наличия - по косвенным признакам. Зондирование - механизм активного анализа, который позволяет убедиться, присутствует или нет на анализируемом узле уязвимость. Зондирование выполняется путём имитации атаки, использующей проверяемую уязвимость. «Проверка заголовков» (banner check) Указанный механизм представляет собой ряд проверок типа «сканирование», позволяющий делать вывод об уязвимости, опираясь на информацию в заголовке ответа на запрос сканера. «Активные зондирующие проверки» (active probing check) Относятся к механизму «сканирования». Однако они основаны не на проверках версий программного обеспечения в заголовках, а на сравнении «цифрового слепка» (fingerprint) фрагмента программного обеспечения со слепком известной уязвимости. «Имитация атак» (exploit check) Данные проверки относятся к механизму «зондирования» и основаны на эксплуатации различных дефектов в программном обеспечении. Этапы сканирования Практически любой сканер проводит анализ защищённости в несколько этапов: 1) Сбор информации о сети. На данном этапе идентифицируются все активные устройства в сети и определяются запущенные на них сервисы и демоны. 2) Обнаружение потенциальных уязвимостей. Сканер использует описанную выше базу данных для сравнения собранных данных с известными уязвимостями при помощи проверки заголовков или активных зондирующих проверок. В некоторых системах все уязвимости ранжируются по степени риска. 3) Подтверждение выбранных уязвимостей. Сканер использует специальные методы и моделирует (имитирует) определённые атаки для подтверждения факта наличия уязвимостей на выбранных узлах сети. 4) Генерация отчётов. На основе собранной информации система анализа защищённости создаёт отчёты, описывающие обнаруженные уязвимости. 5) Автоматическое устранение уязвимостей. Этот этап очень редко реализуется в сетевых сканерах, но широко применяется в системных сканерах (например, System Scanner).
|
41. ЗАЩИТА АС ОТ СИЛОВЫХ ДЕСТРУКТИВНЫХ ВОЗДЕЙСТВИЙ. КАНАЛЫ СИЛОВОГО ДЕСТРУКТИВНОГО ВОЗДЕЙСТВИЯ НА КОМПЬЮТЕРНЫЕ СИСТЕМЫ. СДВ - резкий всплеск напряжения в сетях питания, коммуникаций или сигнализаций с амплитудой, длительностью и энергией всплеска, способными привести к сбоям в работе оборудования или к его полной деградации. 1. Каналы силового деструктивного воздействия на компьютерные системы Компьютер или любое другое электронное оборудование могут быть подвергнуты силовому деструктивному воздействию по трём основным каналам (КСДВ):
Для проникновения энергии СДВ по сети питания имеется два основных канала:
Для проникновения энергии СДВ по проводным линиям необходимо преодолеть предельную поглощающую способность компонентов, которые могут быть использованы во входных цепях. Отсюда можно сделать вывод, что для СДВ по проводным каналам требуется энергия на несколько порядков ниже, чем по сети питания и деструктивное воздействие может быть реализовано с помощью относительно простых технических средств, обеспечивающих высокую вероятность вывода объекта атаки из строя. Наиболее скрытым и эффективным является канал силового деструктивного воздействия по эфиру с использованием мощного короткого электромагнитного импульса. Можно реализовать компактные электромагнитные технические средства СДВ, размещаемые за пределами объекта атаки на достаточном для маскировки атаки удалении
42. ЗАЩИТА АС ОТ СИЛОВЫХ ДЕСТРУКТИВНЫХ ВОЗДЕЙСТВИЙ. КЛАССИФИКАЦИЯ СРЕДСТВ СИЛОВОГО ДЕСТРУКТИВНОГО ВОЗДЕЙСТВИЯ.
|
|
46. ОСНОВЫ ПОСТРОЕНИЯ КОМПЛЕКСНЫХ СИСТЕМ ЗАЩИТЫ ИНФОРМАЦИИ В АС. КОНЦЕПЦИЯ СОЗДАНИЯ ЗАЩИЩЁННЫХ АС. При разработке и построении комплексной системы защиты информации в компьютерных системах необходимо придерживаться определённых методологических принципов проведения исследований, проектирования, производства, эксплуатации и развития таких систем. Системы защиты информации (СЗИ) относятся к классу сложных систем и для их построения могут использоваться основные принципы построения сложных систем с учётом специфики решаемых задач:
Первый из приведённых принципов построения СЗИ требует проведения одновременной параллельной разработки АС и механизмов защиты. Только в этом случае возможно эффективно обеспечить реализацию всех остальных принципов. Принцип системности является одним из основных концептуальных и методологических принципов построения защищённых АС. Он предполагает:
Например, для отдельного объекта АС можно выделить 6 уровней (рубежей) защиты:
Для осуществления централизованного управления в СЗИ должны быть предусмотрены специальные средства дистанционного контроля, распределения ключей, разграничения доступа, изготовления атрибутов идентификации и другие. блочной архитектуры. Применение данного принципа позволяет получить целый ряд преимуществ:
При разработке сложной АС, например, вычислительной сети, необходимо предусматривать возможность её развития в двух направлениях: увеличения числа пользователей и наращивания возможностей сети по мере совершенствования информационных технологий.
|
47. ОСНОВЫ ПОСТРОЕНИЯ КОМПЛЕКСНЫХ СИСТЕМ ЗАЩИТЫ ИНФОРМАЦИИ В АС. МОДЕЛИРОВАНИЕ КОМПЛЕКСНЫХ СИСТЕМ ЗАЩИТЫ ИНФОРМАЦИИ. обычно разработка таких систем включает следующие этапы:
Одним из основных этапов разработки КСЗИ является этап разработки технического задания. Именно на этом этапе решаются практически все специфические задачи, характерные именно для разработки КСЗИ. Процесс разработки систем, заканчивающийся выработкой технического задания, называют научно-исследовательской разработкой, а остальную часть работы по созданию сложной системы называют опытно-конструкторской разработкой. Опытно-конструкторская разработка аппаратно-программных средств ведётся с применением систем автоматизации проектирования, алгоритмы проектирования хорошо изучены и отработаны. Поэтому особый интерес представляет рассмотрение процесса научно-исследовательского проектирования. 48. ОБЩАЯ ХАРАКТЕРИСТИКА ПРОЦЕССА ПРОЕКТИРОВАНИЯ АС В ЗАЩИЩЕННОМ ИСПОЛНЕНИИ. ОСНОВНЫЕ СТАДИИ ПРОЕКТИРОВАНИЯ СИСТЕМ ЗАЩИТЫ ИНФОРМАЦИИ. 1. Основные стадии проектирования систем защиты информации Некоторые определения: Проект – это замысел, план, прототип, прообраз какого либо объекта. Объект проектирования есть система получения взаимосвязанных проектных решений – моделей будущего. Объект проектирования раскрывается в логической схеме проектирования через систему проектных решений; Процесс проектирования – это информационно-логический процесс, состоящий из операций принятия проектных решений, выполняемых согласно некоторой методологии и приводящих к преобразованию цели в результат, т.е. вид целенаправленной деятельности человека (или коллектива специалистов) по решению задач проектирования, направленной на создание устройств или систем, соответствующих техническому заданию, оптимально удовлетворяющих поставленным требованиям и удовлетворительно функционирующих в течение заданного промежутка времени при прогнозируемых условиях. Современное проектирование - это сложный и трудоёмкий творческий процесс, связанный с разработкой и обоснованием технических решений и путей их реализации, а также с разработкой, оформлением и согласованием проектной документации. Проектирование СЗИ для АС или АС в защищённом исполнении включает в себя три стадии: - предпроектную стадию, - стадию разработки проекта СЗИ - стадию ввода в действие СЗИ. 1) Предпроектная стадия - Обследование объекта и обоснование необходимости создания СЗИ; - Формирование требований пользователя к СЗИ; -Разработка требований пользователя к СЗИ 2) Разработка проекта СЗИ - Разработка вариантов концепции СЗИ и выбор целесообразного варианта - Оформление отчёта о выполненной работе - Разработка и утверждение технического задания на создание СЗИ (АС в защищённом исполнении‑ АСЗИ) - Разработка предварительных проектных решений по системе в целом и её частям - Разработка документации на СЗИ и её части - Разработка проектных решений по системе в целом и её частям - Разработка документации на СЗИ и её части - Разработка и оформление документации на поставку изделий для комплектования СЗИ (АСЗИ) - Разработка заданий на проектирование в смежных частях проекта объекта автоматизации - Разработка рабочей документации на систему в целом и её части - Разработка или адаптация программ 3) Ввод в действие СЗИ - Подготовка СЗИ (АСЗИ) к вводу в действие - Подготовка персонала - Комплектация СЗИ (АСЗИ) поставляемыми изделиями (программными и техническими средствами) - Строительно-монтажные работы - Пуско-наладочные работы
|
49. ОБЩАЯ ХАРАКТЕРИСТИКА ПРОЦЕССА ПРОЕКТИРОВАНИЯ АС В ЗАЩИЩЕННОМ ИСПОЛНЕНИИ. ТИПОВОЕ СОДЕРЖАНИЕ РАБОТ В ПРЕДПРОЕКТНОЙ СТАДИИ. Предпроектная стадия 1-й этап «Обследование объекта и обоснование необходимости создания СЗИ» Типовое содержание работ по защите информации: - Сбор данных о проводимых работах на объектах информатизации, объединяемых АСЗИ, по обработке информации различной степени секретности. - Определение факторов, воздействующих на информацию в соответствии с требованиями ГОСТ Р 51275-2006«Объект информатизации. Факторы, воздействующие на информацию». - Оценка целесообразности создания СЗИ. Определение: Объект информатизации (ОИ) ‑ совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров. На этапе «Обследование объекта и обоснование необходимости создания СЗИ» в общем случае проводят: - сбор данных об объекте информатизации; - оценку качества функционирования объекта и осуществляемых видов деятельности, выявление возможных угроз; - оценку (технико-экономической, социальной и т. п.) целесообразности создания СЗИ. 2-й этап: «Формирование требований пользователя к СЗИ» Типовое содержание работ по защите информации: - Подготовка исходных данных для формирования требований по ЗИ на АСЗИ и процессов её создания и эксплуатации. - Разработка предварительных требований к СЗИ. - Предварительное обоснование класса защищённости АСЗИ 3-й этап: «Оформление отчёта о выполняемой работе и заявки на разработку СЗИ» Типовое содержание работ по защите информации: - Разработка предложений по ЗИ в отчётной нормативно-технической документации. - Оформление отчёта о выполненных работах по ЗИ на данных стадиях. - Оформление предложений по ЗИ в заявку на разработку СЗИ. - Формирование предложений по ЗИ в техническом задании (ТЗ) на СЗИ.
|
|
50. ОБЩАЯ ХАРАКТЕРИСТИКА ПРОЦЕССА ПРОЕКТИРОВАНИЯ АС В ЗАЩИЩЕННОМ ИСПОЛНЕНИИ. ТИПОВОЕ СОДЕРЖАНИЕ РАБОТ ПРИ РАЗРАБОТКЕ ПРОЕКТА. 1-й этап: «Дополнительное изучение объекта» - Уточнение условий эксплуатации АСЗИ и СЗИ и категорий важности обрабатываемой информации. - Формирование перечня угроз защищаемой информации. - Определение требуемого класса защищённости. - Уточнение номенклатуры требований, предъявляемых к СЗИ и АСЗИ. 2-й этап: «Проведение необходимых НИР» Поиск путей реализации требований по ЗИ в АС. - Оценка возможности реализации требований по ЗИ в АС. - Оформление и утверждение отчёта о НИР по ЗИ или разделов по ЗИ в отчёт о НИР по созданию СЗИ в АС. 3-й этап: « Разработка вариантов концепции СЗИ и выбор целесообразного варианта» - Разработка альтернативных вариантов концепции ЗИ в АС и облика СЗИ и процессов её создания. - Выбор оптимального варианта концепции СЗИ в АС (разработка замысла ЗИ). - Технико-экономическое обоснование выбранного варианта СЗИ и процессов её создания и эксплуатации 4-й этап: 2.4.Оформление отчёта о выполненной работе - Подготовка и оформление отчёта о выполненных работах по ЗИ на данной стадии создания СЗИ в АСЗИ. - Согласование концепции ЗИ в АСЗИ и предложений по вариантам СЗИ. - Предложения по ЗИ в отчётную нормативно-техническую документацию этапа работ. - Согласование и получение заключения ФСБ на разработку шифровальных средств. 5-й этап: «Разработка и утверждение технического задания на создание СЗИ (АСЗИ)» - Разработка требований по ЗИ в раздел ТЗ (ЧТЗ) на создание СЗИ (АСЗИ). - Разработка, оформление, согласование и утверждение ТЗ (ЧТЗ). 6-й этап: «Разработка предварительных проектных решений по системе в целом и её частям» - Разработка предварительных проектных решений СЗИ. - Технико-экономическое обоснование эффективности вариантов системы ЗИ. - Разработка ТЗ на средства ЗИ и средства контроля эффективности ЗИ. 7-й этап: «Разработка документации на СЗИ и её части» - Разработка, оформление, согласование и утверждение документации по ЗИ и разделов эскизного проекта СЗИ в части ЗИ. - Экспертиза документации отчётной научно-технической документации и технической документации 8-й этап: «Разработка проектных решений по системе в целом и её частям» - Разработка средств ЗИ и средств контроля. - Разработка технического проекта системы ЗИ и предложений по ЗИ в технический проект СЗИ. 9-й этап: «Разработка и оформление документации на поставку изделий для комплектования СЗИ (АСЗИ)» - Подготовка и оформление технической документации на поставку технических и программных средств для АСЗИ и системы ЗИ. - Поставка средств ЗИ. - Испытания средств ЗИ. - Сертификация средств ЗИ и системы ЗИ на соответствие требованиям по безопасности информации. - Специсследования (спецпроверки) приобретённых технических средств. - Тестирование программных средств. 10-й этап: «Разработка заданий на проектирование в смежных частях проекта объекта автоматизации» Проектирование помещений для АС в защищённом исполнении с учётом требований нормативных документов по защите информации. 11-й этап: «Разработка рабочей документации на систему в целом и её части» - Участие в разработке рабочей конструкторской документации СЗИ (АСЗИ) в части учёта требований по ЗИ. - Разработка рабочей конструкторской документации системы ЗИ. - Участие в экспертизе рабочей конструкторской документации. 12-й этап: «Разработка или адаптация программ» - Разработка программных средств для СЗИ. - Тестирование программных средств. - Сертификация программных средств по требованиям безопасности информации |
51. ОБЩАЯ ХАРАКТЕРИСТИКА ПРОЦЕССА ПРОЕКТИРОВАНИЯ АС В ЗАЩИЩЕННОМ ИСПОЛНЕНИИ. ТИПОВОЕ СОДЕРЖАНИЕ РАБОТ ПРИ ВВОДЕ В ЭКСПЛУАТАЦИЮ СИСТЕМЫ ЗАЩИТЫ. 1-й этап: «Подготовка СЗИ (АСЗИ) к вводу в действие» Типовое содержание работ по защите информации: - Реализация проектных решений по организационной структуре системы ЗИ. - Требования к организационным мерам ЗИ 2-й этап: Подготовка персонала Типовое содержание работ по защите информации: - Проверка способности персонала обеспечить функционирование СЗИ и АС в защищённом исполнении. - Проверка специалистов службы безопасности АСЗИ (объектов информатизации) по обслуживанию СЗИ. 3-й этап: «Комплектация СЗИ (АСЗИ) поставляемыми изделиями (программными и техническими средствами)» Типовое содержание работ по защите информации: - Получение комплектующих изделий для системы ЗИ. - Проверка качества поставляемых комплектующих изделий 4-й этап: «Строительно-монтажные работы» Типовое содержание работ по защите информации: - Участие в работах по надзору за выполнением требований по ЗИ строительными организациями. - Участие в испытаниях технических средств по вопросам ЗИ. - Проведение специсследований технических средств 5-й этап: «Пуско-наладочные работы» Типовое содержание работ по защите информации: - Проведение автономных наладок технических и программных средств ЗИ, загрузка информации в базу данных и её проверка. - Участие в комплексной наладке всех средств АСЗИ с точки зрения обеспечения ЗИ 53. ОБЩАЯ ХАРАКТЕРИСТИКА ПРОЦЕССА ПРОЕКТИРОВАНИЯ АС В ЗАЩИЩЕННОМ ИСПОЛНЕНИИ. ЗАДАЧИ ПО ЗАЩИТЕ ИНФОРМАЦИИ. Любая задача защиты информации характеризуется, по крайней мере, четырьмя характеристиками, такими как:
В общем смысле цель защиты - это желаемый результат защиты. Объект защиты - это или информация, или объект информатизации, или конкретные элементы объекта информатизации. Время защиты – это тот период времени, в течение которого обеспечивается защита информации. Эффективность защиты – это степень достижения ожидаемого результата защиты. Из изложенного видно, что формально задачу защиты можно представить в виде фрейма - четвёрки записей следующим образом: Qi = <Цi>, <Оi>, <Тi>, <Эi>, где соответственно Цi, Oi, Ti, Эi– слоты фрейма для описания цели, объекта, периода времени и требуемой эффективности решения i – ой задачи защиты информации. Фрейм — в системном анализе, искусственном интеллекте, инженерии знаний: структура, содержащая описание объекта в виде атрибутов и их значений. Слот — элемент фрейма, содержащий атрибут и его значение.
|
52. ОБЩАЯ ХАРАКТЕРИСТИКА ПРОЦЕССА ПРОЕКТИРОВАНИЯ АС В ЗАЩИЩЕННОМ ИСПОЛНЕНИИ. ВАЖНЕЙШИЕ АСПЕКТЫ ПРОЕКТИРОВАНИЯ СИСТЕМ ЗАЩИТЫ ИНФОРМАЦИИ. Организации-участники работ по созданию СЗИ (АСЗИ) должны иметь лицензии на право проведения работ в области защиты информации. Лицензирование организаций и предприятий осуществляется в установленном порядке. Для создания АСЗИ могут применяться как серийно выпускаемые, так и вновь разработанные технические и программные средства обработки информации, а также технические, программные, программно-технические, шифровальные средства ЗИ и средства для контроля эффективности. Важно! Выпускаемые средства должны иметь сертификаты соответствия, полученные в соответствующих системах сертификации по требованиям безопасности информации. Вновь разработанные средства должны быть сертифицированы в установленном порядке до начала опытной эксплуатации АСЗИ. Процесс создания и применения СЗИ должен быть документирован в полном соответствии с требованиями ГОСТ 34.201-89 «Виды, комплектность и обозначение документов при создании автоматизированных систем», в том числе и нормативных документов по защите обрабатываемой информации. За обеспечение создания АСЗИ несут ответственность: - заказчик - в части включения в ТЗ (ЧТЗ) на АСЗИ и её компонентов, а также в техническую, программную, конструкторскую и эксплуатационную документацию обоснованных требований по защите обрабатываемой информации и контроля их выполнения в процессе экспертизы документации, испытаний и приёмки как АСЗИ в целом, так и её компонентов; - предприятие-разработчик - в части обеспечения соответствия разрабатываемой АСЗИ и системы ЗИ требованиям ТЗ по защите обрабатываемой информации, действующим стандартам, нормам и другим нормативным документам; - предприятие-изготовитель - в части осуществления технических мер по обеспечению соответствия изготавливаемых технических средств и программной продукции заданным требованиям по защите обрабатываемой информации, реализованным в конструкторской и программной документации. Наиболее сложным и существенным для защиты информации в АСЗИ является анализ уязвимых звеньев АСЗИ и определение возможных угроз безопасности информации. При этом анализируются следующие исходные данные об АСЗИ: - назначение и выполняемые функции каждым элементом АСЗИ; - состав и назначение аппаратных и программных средств; - структурная и (или) функциональная схема; - состав и размещение элементов АСЗИ; - структура и состав информационной базы; - ожидаемые ограничения по допуску лиц к информации различной категории конфиденциальности; - перечень и время сохранение сведений, составляющих тот или иной вид тайны; - состав, количество и виды внутренних и выходных документов; - описание функциональных задач прикладного программного обеспечения; - состав и выполняемые функции должностных лиц – пользователей и обслуживающего персонала; - режим работы (закрытый или открытый, круглосуточный или с перерывами) и т.д.
|