Загинайлов Теория ИБ-1 главы с 4 по 10
.pdf
Защищаемые объекты информатизации
|
В |
И |
Д |
Ы |
|
|
|
|
|
|
|
|
|
|
|
|
|
ЗОИ, предназначенные для |
ЗОИ - помещения и объекты |
||||||||||||||
обработки, хранения, |
для конфиденциальных пере- |
||||||||||||||
|
передачи ИОД |
|
|
|
|
|
говоров |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
С |
О |
С Т |
А В ОИ |
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
Информаци- |
|
|
Средства |
|
|
Средства |
|
|
Помещения, |
||||||
онные |
|
|
и системы |
|
|
обеспечения |
|
|
в которых |
||||||
ресурсы |
|
|
обработки |
|
|
ЗОИ |
|
|
установлены |
||||||
|
|
|
|
|
информации |
|
|
|
|
|
|
средства |
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
обработки |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Рисунок 13.2 – Виды и состав объектов информатизации
Первый вид – защищаемые объекты информатизации предприятия, учреждения, организации, предназначенные для обработки, хранения, передачи информационных ресурсов ограниченного доступа.
Второй вид – защищаемые помещения и объекты, предназначенные для ведения конфиденциальных переговоров.
Первый из указанных видов включает три типа защищаемых объектов информатизации:
1) автоматизированные системы различного уровня и назначе-
ния;
2)системы связи, приема, обработки и передачи данных;
3)системы отображения и размножения.
Второй – один тип – помещения или объекты, предназначенные для ведения конфиденциальных переговоров.
Классификация защищаемых объектов информатизации по видам и типам представлена на рисунке 13.3.
191
Защищаемые
объекты
информатизации
В И Д Ы
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ЗОИ, предназначенные для |
|
|
ЗОИ - помещения и объекты |
||||||||||||
обработки, хранения, |
|
|
для конфиденциальных пере- |
||||||||||||
|
передачи ИОД |
|
|
|
|
говоров |
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
Т |
|
И |
П |
|
Ы |
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
АС различно- |
|
|
Системы свя- |
|
|
Системы ото- |
|
|
Помещения и |
||||||
го уровня и |
|
|
зи, приема, |
|
бражения и раз- |
|
|
объекты для |
|||||||
назначения |
|
|
обработки и |
|
|
|
множения |
|
|
конфиденци- |
|||||
|
|
|
|
|
передачи дан- |
|
|
|
|
|
|
|
альных перего- |
||
|
|
|
|
|
ных |
|
|
|
|
|
|
|
воров |
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Рисунок 13.3 – Классификация ЗОИ по видам и типам
Хранилища носителей информации ограниченного доступа.
Вкачестве объектов защиты информации рассматриваются:
–сейф (устройство, предназначенное для хранения ценностей,
документов и носителей информации, с площадью основания изнутри не более 2 м2 и устойчивое к взлому. По конструктивному исполнению сейфы подразделяют на простые и модульные.).
–хранилище (сооружение, представляющее собой железобетонную оболочку (стены, пол, потолок), предназначенное для хранения
ценностей, документов и носителей информации, с площадью основания изнутри более 2 м2, защищенное от взлома и устойчивое к воздействию опасных факторов пожара. Подразделяются на: монолитные; сборные из панелей; комбинированные).
Хранилища и сейфы для хранения носителей ИОД являются одним
из рубежей физической защиты, если отвечают определённым требованиям. Минимальные требования должны обеспечить:
– регистрацию несанкционированного проникновения (путем оборудования сигнализацией на вскрытие, приспособлениями для опечатывания и т.п.);
192
–невозможность выноса хранилища за пределы помещения;
–защиту хранящихся носителей от физического разрушения (при пожаре, других стихийных бедствиях);
–противодействие взлому конструкций и замков хранилища в течение заданного временного промежутка, достаточного для выявления факта несанкционированного воздействия и реакции подразделений охраны и безопасности.
Полные требования к этой категории объектов защиты информации установлены ГОСТ Р 50862-2005. Сейфы, сейфовые комнаты и хранилища. Требования и методы испытаний на устойчивость к взлому и огнестойкость. При соответствии требованиям хранилища носителей ИОД одновременно являются объектами и средствами защиты.
13.2Средства и системы обработки информации как объекты защиты информации
Средства и системы обработки информации, как объекты защиты информации, составляют техническую основу ЗОИ, предназначенных для обработки, хранения и передачи ИОД.
В специальных нормативных документах по защите информации ограниченного доступа они определены как «основные технические средства и системы».
Основные технические средства и системы (ОТСС) - техниче-
ские средства и системы, а также их коммуникации, используемые для обработки, хранения и передачи информации ограниченного доступа.
КОТСС относятся:
1)автоматизированные системы различного уровня и назначе-
ния.
2)системы связи, приема, обработки и передачи данных.
3)системы отображения и размножения.
Автоматизированные системы. Автоматизированная система
(АС) – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций. В качестве АС может рассматриваться информационная система и персонал.
В зависимости от условий обработки на конкретном ЗОИ и степени конфиденциальности (секретности) информационных ресурсов обрабатываемы в АС, специальными нормативными (руководящими) документами установлено 9 классов защищённости АС от НСД, на ос-
193
нове которых эти АС аттестуются по требованиям безопасности информации.
Типы объектов информатизации, основанные на типе систем и средств обработки информации (ОТСС) приведены в таблице 13.1.
Таблица 13.1 – Типы объектов информатизации, основанные на типе систем и средств обработки информации
Тип объекта |
Характеристика |
|
информатизации |
или состав ОТСС |
|
|
|
|
1 |
2 |
|
1. Автоматизированные |
Система, состоящая из персонала и ком- |
|
системы |
плекса средств автоматизации его деятельно- |
|
(ITсистема) |
сти, реализующая информационную техноло- |
|
|
гию выполнения установленных функций. |
|
|
Создаются на базе СВТ (ОС, СУБД, другого |
|
|
общесистемного программного обеспечения, |
|
|
используемого для обработки ИОД) |
|
|
|
|
2. Системы связи, |
Средства телефонии, звукозаписи, звуко- |
|
приема, обработки и |
усиления, звуковоспроизведения, переговорные |
|
передачи данных |
и телевизионные устройства |
|
|
|
|
|
Информационно-телекоммуникационные |
|
|
сети (ИТКС) |
|
|
Другие технические средства обработки ре- |
|
|
чевой, графической, видео, смысловой и бук- |
|
|
венно - цифровой информации |
|
3. Системы отображе- |
Средства отображения |
(видеопроектор, |
ния и размножения |
LCD –экран для общего просмотра и т.п.) |
|
|
|
|
|
Средства изготовления, тиражирования до- |
|
|
кументов (принтер, ксерокс, плоттер, сканер и |
|
|
т.п.) |
|
|
|
|
АС создаются на базе СВТ. Под СВТ понимается совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем. К ним относят общесистемные программные средства и операционные системы (с учетом архитектуры ЭВМ):
194
– операционные системы ( семейств Windows, NetWare, UNIX и
др.),
–СУБД (Oracle, Microsoft SQL Server, Informix и др.);
–программное обеспечение (электронный документооборот, справочные системы, электронная бухгалтерия и т.п.)
Требования по безопасности информации в СВТ, как объектах защиты информации определены в нормативном документе « Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации».
Руководящим документом установлены семь классов защищённости СВТ. Выбор класса защищенности СВТ для автоматизированных систем, создаваемых на базе защищенных СВТ, зависит от грифа конфиденциальности (секретности) обрабатываемой в АС информации, условий эксплуатации и расположения объектов системы.
Системы связи, приема, обработки и передачи данных. Сис-
темы связи, приема, обработки и передачи данных создаются и функционируют на основе соответствующих средств и сетей. К ним могут быть отнесены:
–средства телефонии, звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства;
–информационно-телекоммуникационные сети (ИТКС);
–другие технические средства обработки речевой, графической, видео, смысловой и буквенно - цифровой информации. Аттестуются по требованиям безопасности информации как объекты информатизации. Требования безопасности установлены специальными нормативными документами по защите информации.
Системы отображения и размножения. К системам отображе-
ния и размножения, рассматриваемых в качестве ОТСС, относят:
–средства отображения (видеопроектор, LCD –экран для общего просмотра (электронная доска) и т.п.)
–средства изготовления, тиражирования документов (принтер, ксерокс, плоттер, сканер и т.п.).
Аттестуются по требованиям безопасности информации как объекты информатизации. Требования безопасности установлены специальными нормативными документами по защите информации.
Для аттестации указанных трёх типов защищаемых объектов ин-
форматизации, также должны быть выполнены требования по безопасности для средств обеспечения объекта информатизации и предотвращению утечки ИОД через эти средства и системы.
195
13.3 Средства обеспечения объекта информатизации
Состав средств обеспечения объекта информатизации. Состав средств обеспечения объекта информатизации может быть представлен в виде трёх групп (таблица 13.2):
Таблица13.2 – Средства обеспечения объекта информатизации
Группа |
Средства обеспечения |
средств |
объекта информатизации |
|
|
1 |
2 |
|
Различного рода телефонные средства и системы; |
|
|
ВТСС |
Средства и системы передачи данных в системе ра- |
диосвязи; |
|
|
Средства и системы охранной и пожарной сигнали- |
|
зации; |
|
Средства и системы оповещения и сигнализации; |
|
Контрольно-измерительная аппаратура; |
|
Средства и системы кондиционирования; |
|
Средства и системы проводной радиотрансляцион- |
|
ной сети и приема программ радиовещания и телеви- |
|
дения (абонентские громкоговорители, системы ра- |
|
диовещания, телевизоры и радиоприемники и т.д.); |
|
Средства электронной оргтехники; |
|
Средства и системы электрочасофикации; |
|
Иные технические средства и системы. |
Системы |
Системы электропитания |
электропитания |
Системы заземления |
и заземления |
|
Ограждающие |
Системы отопления |
конструкции |
Канализация |
и инженерные |
Турникеты |
коммуникации |
|
другие |
|
|
|
–вспомогательные технические средства и системы (ВТСС), устанавливаемые совместно с ОТСС или в помещениях для конфиденциальных переговоров,
–средства инженерных коммуникаций и ограждающие конструкции;
–системы электропитания и заземления.
196
Вспомогательные технические средства и системы (ВТСС) –
технические средства и системы, не предназначенные для передачи, обработки и хранения конфиденциальной информации, станавливаемые совместно с основными техническими средствами и системами или в защищаемых (выделенных) помещениях.
Вспомогательные технические средства и системы. К ВТСС относятся:
–различного рода телефонные средства и системы;
–средства и системы передачи данных в системе радиосвязи;
–средства и системы охранной и пожарной сигнализации;
–средства и системы оповещения и сигнализации;
–контрольно-измерительная аппаратура;
–средства и системы кондиционирования;
–средства и системы проводной радиотрансляционной сети и приема программ радиовещания и телевидения (абонентские громкоговорители, системы радиовещания, телевизоры и радиоприемники и т.д.);
–средства электронной оргтехники;
–средства и системы электрочасофикации;
–иные технические средства и системы.
Через ВТСС за счёт наводок возможна утечка информации по техническим каналам. Их расположение, использование не должно приводить к появлению каналов утечки ИОД. Их работа на объекте информатизации должна быть строго регламентирована. При аттестации объекта информатизации по требованиям безопасности информации осуществляется проверка и соответствие мероприятий, требованиям, определённым специальными нормативными документами для ВТСС на защищаемом объекте информатизации.
Системы электропитания и заземления. Системы электропи-
тания и заземления должны соответствовать стандартам и нормативным документам в этой области. Являются потенциальными техническими каналами утечки ИОД, если имеют выход за пределы контролируемой зоны. Требования по предотвращению утечки информации через системы электропитания и заземления за счёт наводок определены в специальных нормативных документах по защите информации. При аттестации объекта информатизации по требованиям безопасности информации осуществляется проверка и соответствие мероприятий по предотвращению утечки ИОД по каналам образуемым системами электропитания и заземления.
197
Ограждающие конструкции и инженерные коммуникации. К
этой группе объектов относятся: системы отопления, канализация, турникеты, и другие конструкции и инженерные коммуникации. При аттестации объекта информатизации по требованиям безопасности информации осуществляется проверка наличия каналов утечки ИОД через указанные элементы, при их наличии и соответствие мероприятий и средств защиты предотвращающих возможность утечки ИОД.
13.4Помещения, в которых установлены средства обработки,
ипомещения для конфиденциальных переговоров как объекты
защиты информации
Общая характеристика помещений как объектов защиты информации. Как объекты защиты, объекты информатизации не могут быть охарактеризованы без понятия контролируемой зоны.
Контролируемая зона (КЗ) – это пространство (территория, здание, часть здания), в котором исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового допуска, и посторонних транспортных средств.
Границей КЗ могут являться:
–периметр охраняемой территории учреждения (предприятия);
–ограждающие конструкции охраняемого здания или охраняемой части здания (помещения), если оно размещено на неохраняемой территории.
В отдельных случаях на период обработки техническими средствами конфиденциальной информации КЗ временно может устанавливаться большей, чем охраняемая территория предприятия. При этом должны приниматься организационно-режимные и технические меры, исключающие или существенно затрудняющие возможность ведения перехвата информации в этой зоне.
Помещения, в которых установлены ОТСС, обрабатывающие ИОД, и помещения для конфиденциальных переговоров как объекты защиты характеризуются определёнными параметрами:
–расположением в здании (этаж) – этажность;
–расположением на территории предприятия и (или) здания;
–наличием (количеством) окон, дверей их расположением;
–прохождением систем тепло и водоснабжения, вентиляции и др. Указанные параметры и периметр контролируемой зоны влияют
на необходимый перечень мер, методов и средств, для защиты информации на объекте информатизации.
198
Помещения (здания) для работы с защищаемой информацией являются одним из рубежей, препятствующих несанкционированному доступу к объектам защиты. Они должны удовлетворять следующим требованиям:
–обеспечивать защиту от проникновения злоумышленника (физическую защиту) на время, необходимое для выявления и пресечения нарушения;
–исключать просмотр и прослушивание;
–обеспечивать сохранность носителей защищаемой информации от хищений с использованием квалифицированных методов взлома;
–обеспечивать безопасность персонала объектов и посетителей от вооруженных нападений;
–соответствовать строительным нормам и правилам, санитарногигиеническим нормам, требованиям противопожарной безопасности;
–при проведении работ с информацией обеспечивать ее защиту от утечки по техническим каналам;
–иметь условия для разграничения доступа к проводимым ра-
ботам.
Помещения, в которых установлены средства обработки за-
щищаемой информации. Помещения, в которых установлены средства обработки защищаемой информации, не являются самостоятельными объектами информатизации и защиты. При аттестации объекта информации по требованиям безопасности информации, помещения в которых установлены ОТСС обрабатывающие ИОД, должны соответствовать требованиям и рекомендациям, установленным специальными нормативными документами, а также стандартам для средств физической защиты (укреплённости) помещений (стандарты определяющие требования к остеклению, дверям, замкам, стойкость к взлому стен, перекрытий, системам охранной и пожарной сигнализации, системам контроля и управления доступом и др.).
Помещения для конфиденциальных переговоров. Помещения для конфиденциальных переговоров относятся к отдельному типу защищаемых объектов информатизации – защищаемым помещениям.
Защищаемые помещения (ЗП) – помещения (служебные кабинеты, актовые, конференц-залы и т.д.), специально предназначенные для проведения конфиденциальных мероприятий (совещаний, обсуждений, конференций, переговоров и т.п.).
В помещениях для конфиденциальных переговоров информация не хранится постоянно. В связи с этим их относят к классу «выделенных» защищаемых помещений.
199
Главной задачей защиты информации в помещениях для конфиденциальных переговоров является защита речевой акустической информации. Помещения должны удовлетворять следующим основным требованиям:
–обеспечивать защиту от проникновения злоумышленника (физическую защиту) на время, необходимое для выявления и пресечения нарушения ( предотвращение установки закладочных устройств);
–исключать просмотр и прослушивание ИОД в период конфиденциальных переговоров.
Перечень мероприятий и комплекс средств, для защиты таких помещений зависит от уровня конфиденциальности (секретности) оглашаемой в период переговоров информации. Требования к «выделенным» помещениям, в которых оглашается сведения, составляющие государственную тайну, определены в специальных нормативных документах по защите государственной тайны. Требования к «выделенным» помещениям, в которых оглашается сведения конфиденциального характера, определены в специальных нормативных документах по защите конфиденциальной информации.
Для предотвращения применения со стороны злоумышленников (разведок) закладочных устройств защищаемые помещения подвергают специальным проверкам.
Контрольные вопросы и задания
1.Что понимают под объектом защиты информации?
2.Перечислите основные объекты защиты информации
3.Какие существуют виды и типы объектов информатизации?
4.Что представляют собой хранилища носителей ИОД как объекты защиты информации?
5.Какие системы составляют основу защищаемых объектов информатизации, и как они определяются в специальных нормативных документах?
6.На основе каких средств, создаются автоматизированные системы, составляющие основу защищаемого объекта информатизации?
7.Что включают в себя ВТСС и какое влияние они оказывают на защищённость объекта информатизации?
8.Какими параметрами характеризуются помещения, в которых установлены ОТСС, обрабатывающие ИОД, и помещения для конфиденциальных переговоров и на что они влияют?
200