- •Москва 2003
- •Оглавление
- •Список сокращений
- •Тк - телекамера
- •Предисловие
- •Введение
- •1.Методологические основы построения систем физической защиты объектов
- •1.1. Определение характеристик и особенностей объекта
- •1.2. Определение задач, которые должна решать сфз
- •1.3. Определение функций, которые должна выполнять сфз
- •1.4. Принципы построения систем физической защиты
- •1.5. Определение перечня угроз безопасности объекта
- •1.6. Определение модели нарушителя
- •1.7. Определение структуры сфз
- •1.8.Определение этапов проектирования сфз
- •1.9.Вопросы для самоконтроля
- •2. Особенности систем физической защиты ядерных объектов
- •2.1.Термины и определения
- •2.2.Специфика угроз безопасности яо
- •2.3. Особенности модели нарушителя для сфз яо
- •2.4. Типовые структуры сфз яо
- •2.5. Организационно-правовые основы обеспечения сфз яо
- •2.6. Вопросы для самоконтроля
- •3. Особенности систем физической защиты ядерных объектов
- •3.1.Стадии и этапы создания сфз яо
- •3.2.Процедура концептуального проектирования сфз яо
- •3.3.Основы анализа уязвимости яо
- •3.4. Вопросы для самоконтроля
- •4. Подсистема обнаружения
- •4.1. Периметровые средства обнаружения
- •4.1.1. Тактико-технические характеристики периметровых систем
- •4.1.2. Физические принципы действия периметровых средств
- •4.1.3. Описание периметровых средств обнаружения
- •4.2. Объектовые средства обнаружения
- •4.2.1. Вибрационные датчики
- •4.2.2. Электромеханические датчики
- •4.2.3. Инфразвуковые датчики
- •4.2.4. Емкостные датчики приближения
- •4.2.5. Пассивные акустические датчики
- •4.2.6. Активные инфракрасные датчики
- •4.2.7. Микроволновые датчики
- •4.2.8. Ультразвуковые датчики
- •4.2.9. Активные акустические датчики
- •4.2.10. Пассивные инфразвуковые датчики
- •4.2.11. Датчики двойного действия
- •4.3. Вопросы для самоконтроля
- •5. Подсистема контроля и управления доступом
- •5.1. Классификация средств и систем контроля и управления доступом
- •5.1.1. Классификация средств контроля и управления доступом
- •5.1.2. Классификация систем контроля и управления доступом
- •5.1.3. Классификация средств и систем куд по устойчивости к нсд
- •5.2. Назначение, структура и принципы функционирования подсистем контроля и управления доступом
- •5.3. Считыватели как элементы системы контроля и управления доступом
- •5.4. Методы и средства аутентификации
- •5.5. Биометрическая аутентификация
- •5.6. Вопросы для самоконтроля
- •6. Подсистема телевизионного наблюдения
- •6.1. Задачи и характерные особенности современных стн
- •6.2. Характеристики объектов, на которых создаются стн
- •6.3. Телекамеры и объективы
- •6.3.1. Современные тк
- •6.3.2. Объективы
- •6.3.3. Технические характеристики тк
- •6.3.4. Классификация тк
- •6.4. Устройства отображения видеоинформации - мониторы
- •6.5. Средства передачи видеосигнала
- •6.5.1. Коаксиальные кабели
- •6.5.2. Передача видеосигнала по «витой паре»
- •6.5.3. Микроволновая связь
- •6.5.4. Радиочастотная беспроводная передача видеосигнала
- •6.5.5. Инфракрасная беспроводная передача видеосигнала
- •6.5.6. Передача изображений по телефонной линии
- •Сотовая сеть
- •6.5.7. Волоконно-оптические линии связи
- •6.6. Устройства обработки видеоинформации
- •6.6.1. Видеокоммутаторы.
- •6.6.2. Квадраторы.
- •6.6.3. Матричные коммутаторы
- •6.6.4. Мультиплексоры
- •6.7. Устройства регистрации и хранения видеоинформации
- •6.7.1.Специальные видеомагнитофоны
- •6.7.2. Цифровые системы телевизионного наблюдения
- •6.7.3. Мультиплексор с цифровой записьюCaliburDvmRe-4eZTфирмыKalatel, сша.
- •6.8. Дополнительное оборудование в стн
- •6.8.1. Кожухи камер
- •6.8.2. Поворотные устройства камер
- •6.9. Особенности выбора и применения средств (компонентов) стн
- •6.10.Вопросы для самоконтроля
- •7. Подсистема сбора и обработки данных
- •7.1. Назначение подсистемы сбора и обработки данных
- •7.2. Аппаратура сбора информации со средств обнаружения – контрольные панели.
- •7.3. Технологии передачи данных от со
- •7.4. Контроль линии связи кп-со
- •7.5. Оборудование и выполняемые функции станции сбора и обработки данных
- •7.6. Дублирование / резервирование арм оператора сфз
- •7.7. Вопросы для самоконтроля
- •8. Подсистема задержки
- •8.1. Назначение подсистемы задержки
- •8.2. Заграждения периметра
- •8.3. Объектовые заграждения
- •8.4. Исполнительные устройства
- •8.5. Вопросы для самоконтроля
- •9.Подсистема ответного реагирования
- •9.1. Силы ответного реагирования
- •9.2. Связь сил ответного реагирования
- •9.3. Организация систем связи с использованием переносных радиостанций
- •9.4. Вопросы для самоконтроля
- •10. Подсистема связи
- •10.1.Современные системы радиосвязи
- •10.1.1. Основы радиосвязи
- •10.1.2. Традиционные (conventional) системы радиосвязи.
- •10.1.3. Транкинговые системы радиосвязи
- •10.2. Система связи сил ответного реагирования
- •10.3. Организация систем связи с использованием переносных радиостанций
- •10.4. Системы радиосвязи с распределенным спектром частот
- •10.5. Системы радиосвязи, используемые на предприятиях Минатома России
- •10.6. Вопросы для самоконтроля
- •11. Оценка уязвимости систем физической защиты ядерных объектов
- •11.1.Эффективность сфз яо
- •11.2.Показатели эффективности сфз яо
- •11.3.Компьютерные программы для оценки эффективности сфз яо
- •11.4. Вопросы для самоконтроля
- •12. Информационная безопасность систем физической защиты ядерных объектов
- •12.1. Основы методология обеспечения информационной безопасности объекта
- •12.2. Нормативные документы
- •12.3. Классификация информации в сфз яо с учетом требований к ее защите
- •12.4. Каналы утечки информации в сфз яо
- •12.5. Перечень и анализ угроз информационной безопасности сфз яо
- •12.6. Модель вероятного нарушителя иб сфз яо
- •12.7. Мероприятия по комплексной защите информации в сфз яо
- •Подсистема зи
- •Организационные
- •Программные
- •Технические
- •Криптографические
- •12.8. Требования по организации и проведении работ по защите информации в сфз яо
- •12.9. Требования и рекомендации по защите информации в сфз яо
- •12.9.1. Требования и рекомендации по защите речевой информации
- •12.9.2. Требования и рекомендации по защите информации от утечки за счет побочных электромагнитных излучений и наводок
- •12.9.3. Требования и рекомендации по защите информации от несанкционированного доступа
- •12.9.4. Требования и рекомендации по защите информации в сфз яо от фотографических и оптико-электронных средств разведки
- •12.9.5. Требования и рекомендации по физической защите пунктов управления сфз яо и других жизненно-важных объектов информатизации
- •12.9.6. Требования к персоналу
- •12.10. Классификация автоматизированных систем сфз яо с точки зрения безопасности информации
- •12.10.1. Общие принципы классификация
- •12.10.2. Общие требования, учитываемые при классификации
- •12.10.3.Требования к четвертой группе Требования к классу «4а»
- •Требования к классу «4п»
- •12.10.4. Требования к третьей группе Требования к классу «3а»
- •Требования к классу «3п»
- •12.10.4.Требования ко второй группе Требования к классу «2а»
- •Требования к классу «2п»
- •12.10.5. Требования к первой группе Требования к классу «1а»
- •Требования к классу «1п»
- •12.11. Информационная безопасность систем радиосвязи, используемых на яо
- •12.11.1 Обеспечение информационной безопасности в системах радиосвязи, используемых на предприятиях Минатома России
- •12.11.2. Классификация систем радиосвязи, используемых на яо, по требованиям безопасности информации
- •Требования ко второму классу
- •Требования к классу 2а
- •Требования к первому классу
- •Требования к классу 1б
- •Требования к классу 1а
- •12.12. Вопросы для самоконтроля
- •Список литературы
11.4. Вопросы для самоконтроля
Специфика ЯО.
Основные угрозы безопасности ЯО.
Информационные источники об угрозах ЯО.
Факторы, которые необходимо учитывать при разработке модели нарушителя безопасности ЯО.
Возможные мотивы нарушителей безопасности ЯО.
Функциональная типовая структура СФЗ ЯО.
Топологическая структура ЯО.
Специфика системы управления ЯО.
Характеристики нормативных правовых актов в области физической защиты ЯМ.
12. Информационная безопасность систем физической защиты ядерных объектов
Развитие систем физической защиты ядерных объектов связано с все большей интеграцией методов автоматизированной обработки информации. При этом сохранение таких характеристик информации, обрабатываемой системой физической защиты, как целостность, доступность и конфиденциальность, во многом стало определять эффективность работы самой системы ФЗ. Последствия от воздействия различных угроз, приводящих к искажению (разрушению) или разглашению информации, а также ограничения в санкционированной доступности к ней может привести к сбоям работы СФЗ и к чувствительным последствиями. В данном случае приобретает актуальность решение проблемы обеспечения безопасности информации, обращаемой в СФЗ ЯО.
Особенностью проблемы обеспечения информационной безопасности является наравне с ее комплексностью тот факт, что на решение ее накладывает свои требования специфика ЯО и ее СФЗ.
При этом теоретической базой рассмотрения должна стать теория защиты информации, которая получила свое фундаментальное развитие в трудах отечественных ученых, практической базой – опыт ведущих специалистов, работающих в этой области, нормативной базой – нормативные документы федерального и отраслевого уровня, методической базой [П.3, 12.1 – 12.13].
12.1. Основы методология обеспечения информационной безопасности объекта
Анализ подходов к обеспечению информационной безопасности (ИБ) СФЗ ЯО базируется на определенном теоретическом базисе, который включает в себя термины и определения, а также описание типовых процедур, связанных с проектированием, созданием и эксплуатацией соответствующих систем. Методология обеспечения информационной безопасности любого объекта (на примере автоматизированных систем) изложена в нормативных документах Государственной технической комиссии при Президенте РФ (ГТК РФ) [12.1] и в хорошо известных работах В.А.Герасименко и А.А.Малюка [12.2, 12.3].
Под термином «информационная безопасность», согласно определению ГТК РФ [12.1], понимается состояние защищенности информации, обрабатываемой средствами вычислительной техники или автоматизированной системы, от внутренних или внешних угроз, которые могут привести к следующим последствиям:
искажению информации (нарушение целостности);
утрате или снижению степени доступности (нарушение доступности);
нежелательному разглашению информации (нарушение конфиденциальности).
В конечном итоге эти нарушения приводят к материальному и моральному ущербу владельца или пользователя информации.
Комплекс мероприятий, направленных на обеспечение информационной безопасности связывают с определением «защита информации». Эти мероприятия проводятся с целью предотвращения ущерба от действия угроз безопасности информации, где угроза является потенциальной возможностью нарушения безопасности информации [12.4].
Первое и самое главное, от чего зависит уровень обеспечения ИБ объекта – это правильная формулировка и оптимальная реализация политики безопасности (ПБ). В соответствии с определением ГТК РФ [12.1] политика безопасности – это правила разграничения доступа, представляющие собой совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа. Таким образом, политика информационной безопасности СФЗ ЯО – это формальная спецификация правил и рекомендаций, на основе которых пользователи этой системы используют, накапливают и распоряжаются ее информационными ресурсами.
Политику безопасности необходимо формулировать для конкретного объекта на уровне руководителей объекта. Цель обеспечения ИБ объекта не может быть достигнута, пока на самом высоком уровне не будет определено, чего следует добиваться, и не будут выделены ресурсы, которые позволят должным образом защитить информационную инфраструктуру объекта и обеспечить управление ею.
Политика безопасности должна быть согласована с основами теории защиты информации, а также со всеми нормативно-правовыми документами, соблюдение которых требуется от организации.
Политика информационной безопасности должна быть определена в момент проектирования СФЗ ЯО (в некоторых случаях требуется разработать ПБ для уже существующей системы).
Процесс выработки ПБ включает в себя следующие этапы:
Организационный (определение состава группы разработчиков ПБ; определение способа выработки ПБ – на основе какой информации будет определена ПБ, кем эта информация будет предоставляться и какова степень доверия к этой информации; вид представления ПБ как документа).
Описание позиции организации (отношение руководства объекта к ИБ).
Определение применимости ПБ – ответ на вопросы о том где, как, когда, кем и к чему применима данная ПБ, те перечисление всех пользователей и ресурсов, кого эта ПБ касается.
Определение ролей и обязанностей – указание ответственных лиц и их обязанности в отношении разработки и внедрения различных аспектов ПБ, а также в случае нарушения ПБ.
Выработка мер защиты, реализующих ПБ на конкретном объекте, обоснование выбора именно такого перечня мер защиты, указание на то, какие угрозы ИБ наиболее эффективно предотвращаются какими мерами защиты.
Выработка мер по соблюдению ПБ (задачи конкретным подразделениям объекта).
В отношении защиты информации ПБ должна определять:
кто может иметь доступ к конфиденциальной информации вообще и при особых обстоятельствах;
как регламентируется соглашение о неразглашении конфиденциальной информации между руководством и сотрудниками организации и какова ответственность за нарушение данного соглашения;
как должна храниться и передаваться конфиденциальная информация (зашифрованной, заархивированными файлами, закодированной с помощью специальных программ и т.д.);
в каких системах может храниться и обрабатываться конфиденциальная информация;
информация какой степени секретности может быть распечатана на физически незащищенных принтерах;
как конфиденциальная информация удаляется из систем и запоминающих устройств (например, размагничиванием носителей данных, чисткой жестких дисков, резкой бумажных копий).
Рассмотрение ряда вопросов, относящихся к разработке политики безопасности СФЗ ЯО, может стать методической основой предметной области, связанной с информационной безопасностью СФЗ ЯО. В этом случае необходимо рассмотреть особенности СФЗ ЯМ как информационного объекта (глава 2), провести классификацию информации, которая обращается в рассматриваемых системах, рассмотреть модель вероятного нарушителя, провести классификацию угроз ИБ и возможные последствия реализации этих угроз, рассмотреть каналы утечки или нарушения целостности информации, требования и порядок разработки подсистемы защиты информации, сформулировать требования по ЗИ от несанкционированного доступа (НСД) с учетом требований по классификации СФЗУиК.
Перед тем, как перейти к рассмотрению перечисленных вопросов необходимо описать нормативную базу, определяющую разработку, реализацию и использование систем обеспечения информационной безопасности СФЗ ЯО.