Загинайлов Теория ИБ-1 главы с 4 по 10
.pdf
ной (секретной) информации по техническим каналам и незаконного получения её третьими лицами (разведками).
Эта подсистема включает элементы (рисунок 16.6):
–средства защиты от утечки по каналам ПЭМИН;
–средства защиты от перехвата по каналам связи;
–средства защиты от утечки по оптическим каналам;
–средства защиты от утечки по акустическим каналам;
–средства защиты от утечки по материально-вещественному ка-
налу;
– средства оценки эффективности ТЗИ и ПДТР.
Подсистема защиты от утечки по техническим каналам
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Средства |
|
|
|
Средства |
|
|
|
|
Средства |
|
Средства |
|||||
|
защиты |
|
|
|
защиты от |
|
|
|
|
защиты |
|
защиты |
|||||
|
от утечки |
|
|
|
перехвата по |
|
|
|
от утечки по |
|
от утечки по |
||||||
|
по |
|
|
|
каналам |
|
|
|
оптическим |
|
акустиче- |
||||||
|
ПЭМИН |
|
|
|
связи |
|
|
|
|
каналам |
|
ским каналам |
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Средства защиты |
|
|
|
|
|
Средства оценки |
||||||||||
|
от утечки по материально- |
|
|
|
|
|
эффективности |
||||||||||
|
вещественному каналу |
|
|
|
|
|
ТЗИ и ПДТР |
||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Рисунок 16.6 – Подсистема защиты от утечки по техническим каналам
Основными нормативными документами, содержащими требования к указанным подсистемам являются:
–Специальные требования и рекомендации по защите информации, составляющей государственную тайну, от утечки по техническим каналам (СТР);
–Специальные требования и рекомендации по технической защите конфиденциальной информации ( СТР-К).
241
Подсистема противодействия техническим разведкам
(ПДТР). Подсистема ПДТР – предназначена для скрытия объектов защиты, его отдельных характеристик, свойств, навязывания разведкам ложного представления о состоянии, возможностях или предназначении защищаемого объекта.
Скрытие осуществляется путём проведения технических и организационных мероприятий. Требования по ПДТР определяются нормативными и методическими документами федерального органа исполнительной власти уполномоченного в области технической защиты информации и противодействия техническим разведкам.
Одним из важных требований является требование разработки и введение в действие на предприятии руководства по технической защите информации и противодействию техническим разведкам.
16.3 Автоматизированные системы как основной объект защиты КСЗИ
Современная теория и практика показывает, что в качестве основного защищаемого объекта информатизации рассматриваются автоматизированные системы. Это обусловлено тем, что современный документооборот предприятий различных форм собственности невозможен без использования компьютерной техники и информационных технологий. АС являются средством хранения, накопления, обработки и представления информации для её использования. Именно поэтому АС, а следовательно и системы их защиты, получили наибольшее развитие.
В настоящее время АС имеющие СЗИ, в соответствии с требованиями по защите в них информации ограниченного доступа, получили название «Автоматизированные системы в защищённом исполнении».
Автоматизированная система в защищенном исполнении (АСЗИ)
– автоматизированная система, реализующая информационную технологию выполнения установленных функций в соответствии с требованиями стандартов и/или нормативных документов по защите информации.
Система защиты информации автоматизированной системы – совокупность технических, программных и программно-технических средств защиты информации и средств контроля эффективности защиты информации.
Функции СЗИ АС и требования к АСЗИ как объектам информатизации определены в государственных стандартах системы ГОСТ Р.
242
Требования по защищённости АСЗИ от НСД определены в специальных нормативных документах.
Приведенные стандарты и нормативные документы являются нормативной и методической основной для всех категорий специалистов в области защиты информации при проектировании, обслуживании, эксплуатации АСЗИ. Они являются обязательными для учреждений, организаций и предприятий, в АС которых хранится, обрабатывается и используется информация, составляющая государственную или служебную тайну, а также имеющих информационные системы персональных данных (в установленных случаях). Они носят рекомендательный характер для других категорий информации ограниченного доступа (сведений конфиденциального характера).
Классификация АС в соответствии с требованиями по защите в них информации от НСД. Классификация АС и требования к каждому классу содержит Руководящий документ Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации».
В соответствии с этим документом все АС по условиям обработки разделяются на три группы. Каждая группа содержит несколько классов. Требования по защите от НСД сформулированы применительно к каждому классу. Класс АС зависит от уровня конфиденциальности (секретности) обрабатываемых сведений. Для государственной тайны, служебной тайны требования являются обязательными. Для других видов тайны они носят рекомендательный характер.
Определяющими признаками, по которым производится группировка автоматизированных систем, являются:
–наличие в АС информации различного уровня конфиденциаль-
ности;
–уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;
–режим обработки данных в АС: коллективный или индивидуальный.
Группы, отличаются следующими особенностями обработки информации:
–третья группа классифицирует АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на
носителях одного уровня конфиденциальности. Эта группа включает 2 класса: ЗА, ЗБ;
243
–вторая группа классифицирует АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности. Эта группа включает 2 класса: 2А, 2Б;
–первая группа классифицирует многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности и не все пользователи имеют право доступа ко всей информации АС. Содержит 5 классов: 1Д, 1Г, 1В, 1Б, 1А.
Определяющие признаки АС для группирования классов и соответствующие им классы приведены в таблице 16.1.
Таблица 16.1 – Разделение классов АС на группы для определения требований по защите информации
|
Определяющие признаки АС для |
|
|
||
№ |
группирования классов |
Классы для КИ |
|
||
группы |
|
|
|
Классы Для ГТ |
|
|
Режим |
Уровень |
Уровни кон- |
||
|
обработки |
полномочий |
фиденциаль- |
||
|
данных |
субъектов |
ности ин- |
||
|
в АС |
доступа |
формации |
|
|
Третья |
Индивидуаль |
Ко всей |
Один |
|
|
группа |
ный (один |
информации |
уровень |
3Б |
3А |
|
пользова- |
|
|
|
|
|
тель) |
|
|
|
|
|
|
Одинаковые |
Различные |
|
|
Вторая |
Коллектив- |
права доступа |
уровни |
2Б |
2А |
группа |
ный |
ко всей |
|
|
|
|
|
информации |
|
|
|
Первая |
|
Различные |
Различные |
1Д |
1В |
группа |
Коллектив- |
права |
уровни |
1Г |
1Б |
|
ный |
доступа |
|
|
1А |
|
|
|
|
|
|
Защита информации от НСД является составной частью общей проблемы обеспечения безопасности информации. Мероприятия по защите информации от НСД должны осуществляться взаимосвязано с мероприятиями по специальной защите основных и вспомогательных средств вычислительной техники, средств и систем связи от технических средств разведки и промышленного шпионажа.
244
Вобщем случае, комплекс программно-технических средств и организационных (процедурных) решений по защите информации от НСД реализуется в рамках системы защиты информации от НСД (СЗИ НСД), условно состоящей из следующих четырех подсистем:
– управления доступом;
– регистрации и учета;
– криптографической;
– обеспечения целостности.
Взависимости от класса АС в рамках этих подсистем должны быть реализованы соответствующие требования для каждого класса. Кроме этого документ содержит комплекс организационных мероприятий, включающий разработку соответствующей организационнораспорядительной и эксплуатационной документации.
Поскольку АСЗИ создаются на базе СВТ (ОС, СУБД, ПО), эти СВТ должны иметь класс не ниже указанного в Руководящих документах.
При разработке АС, предназначенной для обработки или хранения информации, являющейся собственностью государства и отнесенной к категории секретной, необходимо ориентироваться в соответствии с РД «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» на классы защищенности АС не ниже (по группам) 3А, 2А, 1А, 1Б, 1В и использовать сертифицированные СВТ:
– не ниже 4 класса – для класса защищенности АС 1В;
– не ниже 3 класса – для класса защищенности АС 1Б;
– не ниже 2 класса – для класса защищенности АС 1А.
Кроме этого к АСЗИ предъявляются требования на отсутствие недекларированных возможностей (программных закладок), требования по антивирусной защите (защите от НСВ), и требования по межсетевой защите с помощью межсетевых экранов, если осуществляется межсетевое взаимодействие и (или) соединение с ИТКС общего пользования.
Рекомендуемые классы защищённости для служебной, коммерческой тайны и персональных данных содержаться в специальных требованиях и рекомендациях по технической защите конфиденциальной информации.
Втаблице 16.2 показан результат анализа этих документов по соответствию минимальных значений классов защищенности и уровней контроля ПО, при работе с информацией, имеющей различные грифы конфиденциальности (секретности).
245
Таблица 16.2 – Минимально необходимые классы защищенности АСЗИ для работы с информацией ограниченного доступа
Гриф |
|
Классы АСЗИ |
|
|
Уровень контроля ПО |
||
конфиденци- |
|
|
АС |
|
Класс СВТ |
Класс МЭ |
|
альности |
|
|
АВС |
|
|||
или вид |
|
|
|
|
|||
1 |
|
2 |
3 |
||||
ИОД |
группа |
|
группа |
группа |
|||
|
|
|
|
||||
|
|
|
|
|
|
|
|
«КТ» 1 категор. |
1Д |
|
2Б |
3Б |
6 |
5 |
- |
ПДн |
А5 |
|
А5 |
А5, Б5 |
|
|
(4) |
«КТ» 2 категор. |
1Г |
|
2Б |
3Б |
5 |
4 |
4 |
ДСП |
А4 |
|
А4 |
А4, Б4 |
|
|
|
ПДн |
|
|
|
|
|
|
|
Секретно |
1В |
|
2А |
3А |
4 |
3 |
3 |
|
А4 |
|
А4 |
А4, Б4 |
|
|
|
Совершенно |
1Б |
|
2А |
3А |
3 |
2 |
2 |
секретно |
А3 |
|
А3 |
А3, Б3 |
|
|
|
|
|
|
|
|
|
|
|
Особой |
1А |
|
2А |
3А |
2 |
1 |
1 |
важности |
А2 |
|
А2 |
А2, Б2 |
|
|
|
|
|
|
|
|
|
|
|
Впределах каждой группы АС, также как для классов АВС, СВТ, МЭ и уровней контроля ПО, соблюдается иерархия требований по защите, в зависимости от ценности (конфиденциальности) информации.
Однако, как видно из таблицы, для каждого уровня секретности может иметь место и межгрупповое изменение требований для АС и АВС. Устанавливается одиннадцать классов АВС.
Каждый класс характеризуется определенной минимальной совокупностью требований по защите.
Классы подразделяются на две группы, отличающиеся особенностями обработки информации.
Впределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности информации и, следовательно, иерархия классов АВС.
Первая группа классифицирует АВС, предназначенные для применения в СВТ выполняющих функции автоматизированных рабочих мест операторов (пользователей) - рабочих станциях. Группа содержит шесть классов – А1, А2, АЗ, А4, А5 и А6. Самый низкий класс – А6, самый высокий – А1.
246
Вторая группа классифицирует АВС, предназначенные для применения в СВТ выполняющих функции предоставления доступа и обслуживания разделяемых ресурсов - серверах. Группа содержит пять классов – Б1, Б2, БЗ, Б4 и Б5. Самый низкий класс – Б5, самый высокий – Б1.
Выбор класса АВС для применения в определенной АС производится заказчиком и разработчиком с привлечением специалистов по защите информации и АВС.
При обработке информации, составляющей государственную тайну, должны применятся АВС классов не ниже А4 и Б4.
При обработке конфиденциальной информации должны применяться АВС классов не ниже А5 и Б5.
Применение АВС совместно с СЗИ НСД может быть использовано для повышения гарантий качества антивирусной защиты за счет специальных функций реализованных в СЗИ НСД.
Контрольные вопросы и задания
1.В чём заключается идея принципа комплексности?
2.Какие показатели задают необходимый комплекс мероприятий
исредств по защите информации на предприятии?
3.Какие факторы влияют на организацию системы защиты информации на предприятии?
4.Что понимается под комплексной системой защиты информации предприятия (дайте определение)?
5.Какие компоненты в виде подсистем включает в себя КСЗИП?
6.Для чего предназначена подсистема управления КСЗИП, и какие элементы она включает?
7.Для чего предназначена система защиты информации от НСД в АС и ИТКС, и какие элементы она включает?
8.Для чего предназначена подсистема защиты от физического НСД, и какие элементы она включает?
9.Для чего предназначена подсистема защиты от вредоносных программ (подсистема антивирусной защиты) и какие элементы она включает?
10.Для чего предназначена подсистема защиты информации от утечки по техническим каналам, и какие элементы она включает?
11.Для чего предназначена подсистема противодействия техническим разведкам (ПДТР)?
12.По каким признакам классифицируются и группируются по
247
группам АС с учётом требований по защите информации?
13. Какие классы АС определены нормативными документами и как влияет на класс степень конфиденциальности (секретности) информации?
248
Список литературы
1.Об информации, информационных технологиях и о защите информации [Текст] : федер. закон РФ от 27 июля 2006 года № 149-ФЗ
//Собрание законодательства РФ. – 2006. – № 31 (ч. 1). – Ст. 3448.
2.Об утверждении правил отнесения сведений, составляющих государственную тайну, к различным степеням секретности [Текст] : постановление Правительства РФ от 04 сентября 1995 года № 870 // Собрание законодательства РФ. – 1995. – № 37. – Ст. 3619.
3.Об утверждении перечня сведений конфиденциального характера [Текст] : указ Президента РФ от 6 марта 1997 года. № 188 // Собрание законодательства РФ. – 1997. – № 10. – Ст. 1127.
4.Об утверждении перечня сведений, отнесенных к государственной тайне [Текст] : указ Президента РФ от 30 ноября 1995 года № 1203 // Собрание законодательства РФ. – 1995. – № 49. – Ст. 4775.
5.Доктрина информационной безопасности Российской Федерации [Текст] : утв. Президентом РФ 09.09.2000 года № Пр-1895 // Рос. газ. – 2000. – № 187.
6.Стратегия развития информационного общества в Российской Федерации [Текст] : утв. Президентом РФ 07.02.2008 года № Пр-212 // Рос. газ. – 2008. – № 34.
7.Стратегия национальной безопасности Российской Федерации до 2020 года [Текст] : указ Президента РФ от 12 мая 2009 года № 537 // Собрание законодательства РФ. – 2009. – № 20. – Ст. 2444.
8.О безопасности [Текст] : федер. закон РФ от 28 декабря 2010 года № 390-ФЗ // Собраниезаконодательства РФ. – 2011. – № 1. – Ст. 2.
9.О государственной тайне [Текст] : закон РФ от 21 июля 1993 г. № 5485-1 // Собрание законодательства РФ. – 1997. – № 41. – Ст. 82208235.
10.О коммерческой тайне [Текст] : федер. закон РФ от 29 июля 2004 года № 98-ФЗ // Собрание законодательства РФ. – 2004. – № 32. – Ст. 3283.
11.О персональных данных [Текст] : федер. закон РФ от 27 июля 2006 года № 152-ФЗ // Собрание законодательства РФ. – 2006. – № 31 (ч. 1). – Ст. 3451.
12.Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации : руководящий документ : утв. решением Гос. техн. комиссии при Президенте РФ от 30 марта 1992 г. // Федеральная служба по техническому и экспортному контро-
249
лю (ФСТЭК России) [Электронный ресурс] : офиц. сайт. – Электрон.
текст. дан. – [М., 200-]. – Режим доступа : http://www.fstec.ru / _docs/doc_3_3_004.htm. – Загл. с экрана.
13.Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации : руководящий документ : утв. решением Гос. техн. комиссии при Президенте РФ от 30 марта 1992 г. // Федеральная служба по техническому и экспортному контролю (ФСТЭК России) [Электронный ресурс] : офиц. сайт. – Электрон. текст. дан. – [М., 200-]. – Режим дос-
тупа : http://www.fstec.ru/_docs/doc_3_3_001.htm. – Загл. с экрана.
14.Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации : руководящий документ : утв. решением Гос. техн. комиссии при Президенте РФ от 30 марта 1992 г. // Федеральная служба по техническому и экспортному контролю (ФСТЭК России) [Электронный ресурс] : офиц. сайт. – Электрон.
текст. дан. – [М., 200-]. – Режим доступа : http://www.fstec.ru/ _docs/doc_3_3_003.htm. – Загл. с экрана.
15.Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации : руководящий документ : утв. решением председателя Гос. техн. комиссии при Президенте РФ от 25 июля 1997 г. // Федеральная служба по техническому и экспортному контролю (ФСТЭК России) [Электронный ресурс] : офиц. сайт. – Электрон. текст. дан. – [М., 200-]. – Режим доступа : http://www.fstec.ru/_docs/doc_3_3_006.htm. – Загл. с экрана.
16.Анин, Б. Ю. Защита компьютерной информации [Текст] / Б. Ю. Анин. – СПб. : БХВ-Санкт-Петербург, 2000. – 384с. : ил.
17.Бардаев, Э. А. Документоведение [Текст] : учебник для студ. высш. учеб. заведений / Э. А. Бардаев, В. Б. Кравченко. – М. : Акаде-
мия, 2008. – 304 с.
18.Бачилло, И. Л. Информационное право [Текст] : учебник / И. Л. Бачилло, В. Н. Лопатин, М. А. Федотов ; под ред. Б. Н. Топорнина. – СПб. : Юридический центр Пресс, 2001. – 789 с.
19.Гайкович, В. Безопасность электронных банковских систем [Текст] / В. Гайкович, А. Першин. – М. : Единая Европа, 1994. – 363 с.
20.Галатенко, В. А. Стандарты информационной безопасности [Текст] / В. А. Галатенко. – М. : ИНТУИТ.ру, 2004. – 328 c. : ил.
21.Герасименко, В. А. Основы защиты информации [Текст] / В. А. Герасименко, А. А. Малюк. – М. : Инком-бук, 1997. – 432 c.
250