Информационное представление объекта информатизации
Автоматизированная система – инструмент информационной деятельности объекта информатизации.
В общесистемном представлении:
объект информатизации – это организация определённого вида деятельности (производственное или иного предназначения предприятие, структура государственного управления, банк и т.д.). Как правило, это понятие используется при постановке задач информатизации и автоматизации организации в целом.
Как исполнительная структура информационной сферы организации:
объект информатизации – совокупность информационных ресурсов, средств и систем обработки информации, а также средств и систем жизнеобеспечения объекта информатизации, необходимых для установки и эксплуатации средств и систем обработки информации, реализации информационных технологий (здания, сооружения, помещения, обеспечивающие инженерные средства и системы).
Объекты информатизации - социотехнические объекты.
С информационной точки зрения объект информатизации может быть представлен в виде упрощённой структурной модели, описание которой может быть отражено следующими положениями:
На объекте информатизации (объекте защиты) осуществляется определенный вид деятельности – основная деятельность, в интересах которой создан объект.
Выполнение основной деятельности объекта информатизации обеспечивается информационной поддержкой путём реализации информационных технологий в интересах выполнения различных работ основной деятельности (объектовая информационная деятельность).
Реализация информационных технологий обеспечивается автоматизированными системами, которые функционируют на базе объектовых информационных ресурсов, реализуя традиционные технологии работы с документами, компьютерные и телекоммуникационные технологии.
Объект находится в определенном информационном состоянии, которое динамически изменяется в ходе жизнедеятельности.
Объект проявляет себя информационно в окружающей среде (внешняя информационная среда).
Внешнее информационное проявление подразделяется на внешнее штатное информационное взаимодействие и побочное информационное проявление.
Системность и комплексность ЗИ:
Решение проблемы информационной безопасности объекта информатизации – системная задача. При этом объект информатизации является объектом ЗИ.
Системность и комплексность обеспечивается путем создания комплексных систем защиты информации (КСЗИ)
Обеспечивается:
- Рассмотрение всех выявленных при обследовании угроз информации влияют на состояние защищенности информации в АС и на объект информатизации.
- Рассмотрение актуальных угроз
- Учет всех выделенных актуальных угроз при создании КСЗИ
Лекция 3
Основные направления решения проблемы информационной безопасности в АСОД на объекте информатизации
Решение проблемы информационной безопасности в АСОД на объекте информатизации – системная задача
Рассматриваются все аспекты, связанные с информационной деятельностью на объекте информатизации и с её обеспечением.
Основные направления:
организационная и инженерно-техническая защита объектов информатизации в интересах информационной безопасности;
секретное и конфиденциальное делопроизводство;
защита информации от несанкционированного доступа к информации и ресурсам АС (защита от НСД);
криптографические методы и средства защиты информации в компьютерной и телекоммуникационной среде;
защита информации от несанкционированного копирования данных в среде АС (защита от НСК);
защита от скрытого внедрения в программно-техническую среду компьютерных и телекоммуникационных систем;
защита информации от утечки по техническим каналам;
нормативно-правовое обеспечение информационной безопасности.
Организационная и инженерно-техническая защита объектов информатизации в интересах информационной безопасности
Постановка проблемы
Безопасность объекта информатизации, как физического и социотехнического объекта, связана с угрозами, от которых зависит:
жизнь и состояние здоровья служащих объекта;
физическая целостность территории, зданий, помещений, оборудования, других материальных ценностей, в том числе информационного оборудования и средств;
способность выполнять свои функции системами жизнеобеспечения;
работоспособность объекта в соответствии с его назначением, выполнение всех видов деятельности, в том числе в информационной сфере.
Работоспособность современных организаций, предприятий существенно зависит от информационной безопасности: функционального состояния их автоматизированных систем обработки и передачи данных, состояния информационных ресурсов. Исследование независимых экспертов показывают, что при полном уничтожении (прекращении функционирования) АС страховая компания сможет просуществовать в среднем 5,5 дней, производственная структура – 5 дней, банк – 2 дня, предприятие непрерывного цикла – не более суток.
Угроза безопасности объекта – это потенциально возможное событие, действие, процесс или явление, которые посредством воздействия на людей, материальные ценности и информацию может привести к нанесению ущерба объекту или к остановке его деятельности.
При общем решении задачи защиты объекта информатизации рассматривается аспект:
влияние угроз безопасности объекта информатизации на информационную сферу
Физическая целостность
Должна быть обеспечена физическая целостность:
− средств реализации информационных технологий (основного информационного оборудования);
− средств хранения информационных ресурсов;
− вспомогательных средств, обеспечивающих работу основного оборудования.
Если исключить вандализм и другие подобного рода преднамеренные действия, то в данном случае будем иметь в виду действия стихийного характера, прежде всего, пожарную безопасность.
Допуск на территорию объекта и в зоны доступа
Большинство угроз информации исходит от лиц, допущенных на территорию объекта и имеющих санкционированный доступ или несанкционированную потенциальную возможность доступа к информационным ресурсам объекта или к инструментальным ресурсам АС.
К ним следует отнести:
− пользователей АС;
− обслуживающий персонал АС;
− сторонних специалистов, привлекаемых к обслуживанию объекта по регламенту аутсорсинга;
− сторонних лиц, допущенных или скрытно проникших на объект и т.д.
Доступ из внешней среды
Серьёзные угрозы информации исходят от сторонних лиц, организаций и специальных служб, которые целенаправленно стремятся получить несанкционированный доступ к информации или влиять на неё с использованием оперативных или специальных методов и средств без внедрения на территорию или допуска в помещения объекта.
Специальные средства: аппаратура съёма информации за счёт электромагнитных излучений, устройства направленного электромагнитного излучения и т.д.
Данные предпосылки обуславливают необходимость введения для объекта информатизации следующих понятий:
1) состояние информационных ресурсов по признаку конфиденциальности – проводится инвентаризация информационных ресурсов, определение защищаемых информационных активов и степени их защиты (отнесение к видам тайн, определённых законодательством или внутренними нормативными актами, не противоречащими законодательству).
2) организационная система доверенных лиц – предоставление необходимых прав доступа к информации, к основному и вспомогательному оборудованию АС и соответствующих полномочий для выполнения разрешённых работ/действий (пользователи, администраторы и эксплуатационный персонал АС, обслуживающий персонал вспомогательного оборудования и т.д.).
3) доверенные территории, технологические зоны и помещения, в которых размещаются подразделения объекта информатизации, оборудование и технологические службы АС, вспомогательное обеспечивающее оборудование. Доверенные территории, зоны и помещения часто именуются охраняемыми или контролируемыми территориями, зонами, помещениями. Понятие доверенности означает, что на этих территориях, в зонах и помещениях могут присутствовать только соответствующие доверенные лица и обеспечивается контроль выполнения ими своих прав и полномочий (в том числе обеспечивается охрана выделенных объектов).
4) эшелонированные рубежи защиты информации – последовательность вложенных друг в друга зон (территорий, групп помещений, отдельных помещений). Их границы охраняются различными организационными мерами и техническими средствами. Внутренний распорядок, в нашем случае информационной работы, устанавливается соответствующими специальными требованиями и нормативными документами. Выполнение установленного порядка контролируется. При этом используются соответствующие технические средства и системы.
Таким образом, на объекте информатизации образуется система барьеров допуска и доступа к ресурсам, средствам и оборудованию автоматизированных систем.
Такая схема организации защиты информации позволяет создать специальные режимные условия для функционирования средств защиты информации непосредственно в технологических процессах обработки и передачи данных.
Барьеры по предотвращению нарушения информационной безопасности на объекте информатизации должны быть предусмотрены по периметру границы территории объекта, далее зон объекта, помещений, в которых размещаются технические средства и выполняются информационные работы любого вида. Затем реализуются барьеры доступа непосредственно к средствам и оборудованию автоматизированных систем.
Защита объекта информатизации обеспечивается организационными мерами, организационно-техническими мероприятиями, техническими средствами и системами, обеспечивающими нейтрализацию угроз безопасности объекта.
Секретное делопроизводство организуется и обеспечивается специальными службами организации (независимо от формы собственности), имеющих соответствующую лицензию ФСБ РФ.
Документ должен быть однозначно идентифицируемым, вводится их учёт:
1. Входящий учёт – для документов, получаемых от сторонних организаций;
2. Исходящий учёт – для производящих документов.
3. Инвентарный учёт – для архивных документов.
Критерии допуска:
1. Отношение информации к видам сидцевой делектильности.
2. Порядок принятия решений в организации.
3. Иерархия входящей ирорирадиации.
Общий принцип допуска к документу
Могут быть допущены только те лица, которым он необходим для выполнения своих служебных обязанностей. В итоге необходимо разрешение на допуск владельца (исполнителя) документа, или, как правило, вышестоящего руководителя.
Широкое использование компьютерных средств в информационной сфере заставило ввести в среду этих технологий в качестве объектов, отождествляемых с документами, свешпе носителями информации с зафиксированными на них данными.
Дескриптивная задача системного анализа (сам процесс анализа) – конструктивная задача системного анализа -> Нам нужно поставить какую-то цель. Интеграции, объединение системы/продукта/программно-аппаратного изделия.
1) ДЗСА – задача, решение которой позволяет выявить совокупность процессов, технологий, средств, которые реализуют системные свойства рассматриваемого объекта.
2) КЗСА – задача, которая позволяет реализовать определённую цель при создании какого-то изделия на основе декомпозиции поставленной цели на составляющие, функций, реализаций, целей низшего уровня, определение средств реализаций этих функций и нижележащих средств в целостное изделие, отвечающее требованиям поставленной цели.
Цель: обеспечить управление разграничением доступа от НСД.
Общие положения защиты информации от НСД.
Наиболее очевидная и опасная угроза информации в АС – нарушение санкционированного доступа к информации ограниченного доступа. Противодействие этой угрозе – разделение и контроль доступа к информации ограниченного доступа только легальным пользователям, имеющим документально оформленные права и полномочия (санкции).
Данное направление в области решения проблем ИБ определено как защита от НСД к информации (защита от НСД).
Несанкционированный доступ (НСД) – доступ к информации, нарушающий правила разграничения доступа с использованием нижних средств, представляемых СВТ и АС.
Факторы защиты от НСД:
Первое – наличие необходимости доступа и правил разграничения доступа (ПРД) к объектам доступа (проще всего, к информационным объектам ограниченного доступа).
Второе – нейтрализация угроз НСД, которые могут реализовать только через штатные средства (программные, микропрограммные и технические СВТ или АС).
Все ресурсы защищаемой АС – сущности.
Сущность – мобал, выделенная по своему назначению, содержанию или сути своей, индивидуально нискованная понтьютех или телекоммуникационная составляющая АС. Прежде всего – объект.
Сущность – любой элемент системы, которые является неотъемлимой частью её по назначению и к которому можно обратиться по присвоенному ему имени.
Объект доступа (объект) – единица ресурса АС, доступ к которой регламентируется ПРД.
Объект – пассивная сущность.
К ним могут быть отнесены ресурсы компоненты СВТ и АС, находящиеся в неактивном состоянии, но обеспечивающие процесс реализации ИТ, а также технологические атрибуты системы.
Субъект доступа(субъект) – активная сущность. Может инициировать запросы ресурсов и использовать их для выполнения определённых действий, получая соответствующие результаты.
Две общих задачи решения проблем ЗИ от НСД в АС.
- защиты СВТ от НСД;
- защиты АС от НСД;
ЗИ от НСД – часть решений общей проблемы обеспечения ИБ в АС или объектах информатизации.
ИБ обеспечена
- конфиденциальность;
- целостность;
- доступность.
Лекция 4
Лекция 4
С одной стороны, в ИТ используются технические средства, обладающие различными свойствами передачи информации в виде электромагнитных излучений, наводок и т.д
С другой стороны, в последнее время бурно развивается спец. аппаратура, которая позволяет влиять на информацию через физ. проводимую среду и технические средства.
Принципиальным моментом постановки задач в данном случае является физ. среда, окружающее ее пространство и техн. средства ИТ и их техническая инфраструктура (система питания, кондиционирования и пр.).
В качестве элементов, которые образуют возможные технические и физ. каналы утечки информации и/или влияния на нее, могут рассматриваться:
технические средства обработки и передачи данных
оборудование технической инфраструктуры объекта (электропитание, связь, кондиционирование и т.д.), которые обладают проводимыми свойствами
специальные устройства перехвата сигналов, несущих информацию
специальные устройства, позволяющие влиять на информацию через физическую среду
само окружающее пространство вокруг объекта как проводная среда устройства
В зависимости от физической разновидности элементов, образующих возможный канал утечки информации, можно выделить следующие комплексы задач ЗИ:
1)Комплекс задач защиты при несанкционированном подключении решает вопросы предотвращения:
возможности несанкционированного непосредственного подключения и техн. обработки и передачи информации по каналам связи;
скрытого внедрения и использования технических закладных устройств, позволяющих сканировать информацию или влиять на нее с учетом проводимых свойств физической среды
2)Комплекс задач ЗИ от утечки по виброакустическим каналам
В рамках этого комплекса решаются вопросы, связанные с аккустическим воздействием на структура при ведении разговоров. Побочными эффектом при этом является эффект при вибрации и возможность распространения сигнала за счет этого в разных средах.
3)Комплекс задач ЗИ от утечки при побочных электромагнитных излучениях и наводках (защита от ПЭМИН)
В рамках этого комплекса решается вопросы, связанные с электромагнитными излучениями техн. средств обработки данных, несущих информацию, и с возможностью съема этих измерений через эфир или с помощью подключения спецсредств к оборудованию, обеспечивающему техн. инфраструктуру.
4) Комплекс задач ЗИ от утечки по теле-, фото- и оптическим каналам
Строго говоря, этот комплекс относится к задачам побочного подключения. Однако выделяется как самостоятельное направление, учитывая способ, организацию и физ. природу возможных каналов передачи информации. Решение задач этого класса позволяет перекрывать съем видеообразов информационных объектов, графической или текстовой информации с помощью соответствующей аппаратуры.