- •1.Понятия и назначение ксзи
- •2.Определение компонентов ксзи
- •3. Концепция создания комплексной системы защиты информации
- •5. Выявление и оценка источников, способов и результатов дестабилизирующего воздействия на информацию при организации ксзи.
- •7.Факторы, влияющие на создание ксзи
- •9. Требования, предъявляемые к комплексной системы защиты информации
- •10. Цели, задачи и принципы построения ксзи
- •11. Цели и задачи зи в автоматизированных системах.
- •12. Методологические основы организации ксзи
- •13. Понятие и назначение комплексной системы защиты информации
- •21. Классификация информации по видам тайны и степеням конфиденциальности
- •22. Определение состава защищаемой информации, отнесённой к коммерческой тайне предприятия
- •23. Методика определения состава защищаемой информации
- •24. Методика выявления состава носителей защищаемой информации
- •27. Модели нарушителей безопасности автоматизированных систем
- •28. Обеспечение безопасности информации в непредвиденных ситуациях
- •30.Задачи ксзи по выявлению каналов утечки информации
- •31. Особенности защиты речевой информации
- •32. Особенности защиты компьютерной информации от утечки по каналам пэмин
- •34 Объекты защиты информации
- •36.Классификация формальных моделей безопасности
- •38. Кадровое обеспечение функционирования ксзи
- •40. Назначение управления ксзи
- •41. Структура управления ксзи
- •43. Принципы функционирования ксзи:
- •44. Методы функционирования ксзи.
- •46. Понятие и основные виды чс
- •47. Факторы, влияющие на принятие решений в условиях чс
- •51.Экономический подход к оценке эффективности ксзи
5. Выявление и оценка источников, способов и результатов дестабилизирующего воздействия на информацию при организации ксзи.
Угрозы конфиденциальности.
хищение (или копирование) информации и средств ее обработки
утрата (неумышленная потеря или утечка) информации и средств ее обработки
Угрозы целостности
модификация (искажение) информации
уничтожение информации и средств ее обработки
отрицание подлинности информации
навязывание ложной информации
Угрозы доступности
блокирование информации
уничтожение информации и средств ее обработки
Отсюда, в качестве основных можно выделить следующие угрозы:
хищение (или копирование) информации и средств ее обработки
утрата (неумышленная потеря или утечка) информации и средств ее обработки
модификация (искажение) информации
уничтожение информации и средств ее обработки
блокирование информации
Все источники угроз безопасности информации можно разделить на три основные группы:
Антропогенные источники (обусловленные действиями человека);
Техногенные источники (обусловленные техническими средствами);
Стихийные источники (обстоятельства непреодолимой силы).
Антропогенные источники угроз:
Внешние антропогенные источники:
Криминальные структуры,
Потенциальные преступники и хакеры,
Недобросовестные партнеры,
Технический персонал поставщиков телематических услуг,
Представители надзорных организаций и аварийных служб,
Представители силовых структур;
Внутренние антропогенные источники:
Основной персонал (пользователи, программисты, разработчики),
Представители службы защиты информации (администраторы),
Вспомогательный персонал (уборщики, охрана),
Технический персонал (жизнеобеспечение, эксплуатация).
Техногенные источники угроз:
Внешние техногенные источники:
Средства связи,
Сети инженерных коммуникаций (водоснабжения, канализации),
Транспорт;
Внутренние техногенные источники угроз:
Некачественные технические средства обработки информации,
Некачественные программные средства обработки информации,
Вспомогательные средства (охраны, сигнализации),
Другие технические средства, применяемые в учреждении.
Стихийные источники угроз:
Внешние стихийные источники:
Пожары, Землетрясения, Наводнения, Ураганы, Магнитные бури, Радиоактивное излучение, Различные непредвиденные обстоятельства, Необъяснимые явления,
Другие форс-мажорные обстоятельства.
ДВ - явление, событие, которые проявляются на каком-лтбо этапе жизненного цикла защищаемых ИС и следствием которых может быть нежелательное (деструктивное) воздействие (инфо угроза) на защищаемую информацию.
Модель ДВ включает:
1) источники;
2) виды ДВ;
3) способы воздействия на КСЗИ;
4) результаты воздействия.
Источники:
- люди;
- техн. средства отображения, хранения, обработки ....;
- системы обеспечения функционирования техн. средств;
- технологические процессы отдельных категорий;
- природные явления.
Виды ДВ связаны с возможными источниками и можно их представить в виде таблицы:
№1 |Тип | Источники |
Тип: колич\качеств. недостаточность, отказы, сбои, ошибки, стих. бедствия, злоумышленник, побочные явления
Строится таблица, на пересечении ставятся + и подсчитывается.
Способы - по аналогии с видами ДВ:
№1 |Источники|Способы|
Способы:сотрудничество, склонение к сотрудничеству, выпытывание, подслушивание, наблюдение, хищение, копирование, подделка, уничтожение, подключение, перехват, ознакомление, фотографирование, аналитическая разведка.
Строится таблица, на пересечении ставятся + и подсчитывается.
Результаты:
- конфиденциальность;
- целостность;
- доступность;
- достоверность.
По отношению к информационной системе все мно¬жество угроз можно разбить на две группы: внешние и внутренние, каждая из которых, в свою очередь, делится на умышленные и случайные угрозы, которые могут быть яв¬ными и скрытыми. Выявление и анализ угроз защищаемой информации является ответственным этапом при построении системы защиты информации на предприятии. Угрозы защищаемой информации связаны с ее уязви¬мостью, т. е. неспособностью информации самостоятельно противостоять дестабилизирующим воздействиям, нару¬шающим ее статус.
Рассмотрим источники дестабилизирующего воздейс¬твия на информацию.
К ним относятся:
1. Люди:
2. Технические средства отображения (фиксации), хра¬нения, обработки, воспроизведения, передачи информации,
средства связи:
3. Системы обеспечения функционирования техничес¬ких средств отображения, хранения, обработки, воспроиз¬ведения и передачи информации;
4. Технологические процессы отдельных категорий промышленных объектов;
5. Природные явления.
Самым распространенным, многообразным и опасным источником дестабилизирующего воздействия на защи¬щаемую информацию являются люди, которые делятся на следующие категории:
— сотрудники данного предприятия;
— лица, не работающие на предприятии, но имеющие доступ к защищаемой информации предприятия в силу служебного положения (из вышестоящих, смежных (в том числе посреднических) предприятий, контролирующих ор¬ганов государственной и муниципальной власти и др.);
— сотрудники государственных органов разведки дру¬гих стран и разведывательных служб конкурирующих оте¬чественных и зарубежных предприятий;
— лица из криминальных структур, хакеры.
В части соотношения с видами и способами дестаби¬лизирующего воздействия на информацию эти категории людей подразделяются на две группы: имеющие доступ к носителям данной защищаемой информации и не имеющие такового.
Методика выявления способов воздействия на информацию
В зависимости от источника и вида воздействия оно может быть непосредственным на защищаемую инфор¬мацию либо опосредованным, через другой источник воз¬действия.
• Со стороны людей возможны следующие виды воз¬действия: (непосредственное воздействие на носители защи¬щаемой информации; несанкционированное распространение конфиден¬циальной информации; вывод из строя технических средств отображения, хранения, обработки, воспроизведения, передачи информа¬ции и средств связи тд.)
• Способами непосредственного воздействия на носите¬ли защищаемой информации могут быть: (физическое разрушение носителя (поломка, разру¬шение и др.); создание аварийных ситуаций для носителей (под¬жог, искусственное затопление, взрыв и т. д.); удаление информации с носителей; внесение фальсифицированной информации в носи-тели.)
• Несанкционированное распространение конфиденци¬альной информации (словесной передачи (сообщения) информации; передачи копий (снимков) носителей информации; показа носителей информации; ввода информации в вычислительные сети; опубликования информации в открытой печати; использование информации в открытых публичных)
• вывода из строя технических средств отоб¬ражения, хранения, обработки, воспроизведения, передачи информации и средств связи : (поломку (разрушение) средств, в том числе разрыв (повреждение) кабельных линий связи; создание аварийных ситуаций для средств (поджог, искусственное затопление, взрыв и др.); отключение средств от сетей питания; вывод из строя или нарушение режима работы сис¬тем обеспечения функционирования средств;)
• нарушения режима работы технических средств отображения, хранения, обработки, воспроизведе¬ния, передачи информации, средств связи и технологии об¬работки информации : (повреждение отдельных элементов средств; нарушение правил эксплуатации средств; выдача неправильных программных команд; превышение расчетного числа запросов и тд)
К видам дестабилизирующего воздействия на защища¬емую информацию со стороны второго источника воздейс¬твия — технических средств отображения, хранения, обра¬ботки, воспроизведения, передачи информации и средств связи относятся:
1. Вывод средств из строя;
2. Сбои в работе средств;
3. Создание электромагнитных излучений.
Источником дестабилизирующего воздействия на информацию — природные явления , включает стихийные бедствия и атмосферные явления (ко¬лебания). К стихийным бедствиям и одновременно видам воз¬действия следует отнести: землетрясение, наводнение, ура¬ган (смерч), шторм, оползни, лавины, извержения вулка¬нов; к атмосферным явлениям (видам воздействия): грозу, дождь снег, перепады температуры и влажности воздуха, магнитные бури. Способами воздействия со стороны и стихийных бедс¬твий, и атмосферных явлений могут быть разрушение (по¬ломка), землетрясение, сожжение носителей информации, средств отображения, хранения, обработки, воспроизведе¬ния, передачи информации и средств связи, систем обеспе¬чения функционирования этих средств, нарушение режи¬ма работы средств и систем, а также технологии обработки информации, создание паразитных наводок (грозовые раз¬ряды)
Результаты дестабилизирующего воздействия: Уничтожение, искажение, блокирование, разглашение, хищение.
6.Организационная модель КСЗИ показывает состав, взаимосвязь и подчиненность в управленческой иерархии самостоятельных подразделений, входящих в состав систему комплексной защиты информации;
На построение этой модели влияет множество факторов различной природы: специфика задач, решаемых функциональными подразделениями, принципы и методы, выбранные в данной системе управления, технология осуществления основных функций, кадровый состав и др.;
По своим разновидностям все модели разделяют на:
модели, в которых орг. структура системы управления КСЗИ построена по функциональному принципу;
модели, в которых орг. структура системы управления КСЗИ построена по линейному принципу;
модели, в которых орг. структура построена по линейно-функциональному типу;
модели, в которых орг. структура построена по матричному типу.
СЗИ:
1. основные подсистемы:
подсистема защиты информации, обрабатываемой в неавтомат. режиме
подсистема хранения документов и других носителей, содержащих КИ
подсистема защиты информации, обрабатываемой в автомат. режиме
подсистема защиты зданий и прилегающей территории объекта
инж-техн защита внешнего и внутреннего информ взаим-я объекта
подсистема защиты каналов связи
обеспечивающие подсистемы (подсистема организации режимов защиты,
подсистема правового обеспечения, подсистема инф. анал. обеспечения)
2. организационная структура:
состав аппарата управления соответствующей службы (СлЗИ, СБ)
тип выбранной орг структуры службы.
20. Организационное построение комплексной системы защиты информации: характеристика предпроектного обследования объекта защиты.
На предпроектной стадии выполняется важнейшая ра¬бота: изучается объект защиты. Ошибки, допущенные в ходе этой работы, могут существенно снизить эффектив¬ность создаваемой системы защиты, и, наоборот, тщатель¬но проведенное обследование позволит сократить затраты на внедрение и эксплуатацию системы.
Изучение объекта защиты сводится к сбору и анализу следующей информации:
1) об организации процесса функционирования объекта. В состав этих данных входят сведения, характеризующие:
— график работы объекта и его отдельных подразде¬лений;
— правила и процедуры доступа на объект, в отде¬льные помещения и к оборудованию персонала и посетите¬лей (регулярный, случайный, ограниченный доступ);
— численность и состав сотрудников и посетителей объекта (постоянный штат, персонал, работающий по кон¬тракту, клиенты);
— процедуру доступа на территорию транспортных средств.
Для получения этих данных можно применять: анкетирование сотрудников; опрос со¬трудников; личное наблюдение; изучение директивных и инструктивных документов. Следует иметь в виду, что ни один из этих способов не дает объективной информации: каждый имеет свои достоинства и недостатки. Поэтому их применяют вместе, в совокупности;
2) об организации транспортных и информационных
потоков. В состав этих данных входят сведения, характе-
ризующие:
— пути и организацию транспортировки и хранения материальных ценностей на территории объекта; уровни конфиденциальности информации, пути и способы ее обработки и транспортировки (документы, те¬лефонная и радиосвязь и т. п.);
3) об условиях функционирования объекта. В состав этих данных входят сведения, характеризующие:
— пространство, непосредственно прилегающее к тер¬ритории объекта;
— ограждение периметра территории и проходы;
— инженерные коммуникации, подземные хранилища и сооружения на территории;
— размещение подразделений и сотрудников по отде¬льным помещениям (с поэтажными планами);
— инженерные коммуникации в помещениях;
— состояние подвальных и чердачных помещений;
— размещение, конструкции и состояние входов, две¬рей, окон;
— существующую систему защиты;
— состав и настроение населения, экономические фак¬торы и криминогенную обстановку на прилегающей тер¬ритории.
На основе результатов анализа всех перечисленных сведений должны быть определены: назначение и основ¬ные функции системы защиты; основные виды возможных угроз и субъекты угроз; внешняя среда; условия функци¬онирования системы защиты (наличие энергетических и других ресурсов, естественные преграды и т. п.).
Эти данные рекомендуется систематизировать в виде пояснительной записки, структурных схем и планов.
Целесообразно иметь следующие планы:
1) план территории объекта с указанием расположе¬ния всех зданий и других наземных сооружений; подзем¬нЫх сооружений; всех коммуникаций и мест их выхода за территорию объекта; всех ограждений, в том числе по пе¬риметру территории объекта, с обозначением их техничес¬кого состояния на момент обследования; средств защиты (существующей системы, если она имеется);
2) поэтажные планы, где должно быть указано распо¬ложение всех помещений с обозначением дверных и окон¬ных проемов, внутренних и наружных (пожарных) лест¬ниц, толщины материала стен и существующих средств защиты; всех коммуникаций с обозначением коммуника¬ционных шкафов и других мест санкционированного до¬ступа к каналам связи и жизнеобеспечения;
3) планы помещений с указанием мест размещения оборудования и других технических средств (телефонов, персональных ЭВМ, принтеров и т. д.); расположения ком¬муникаций и мест размещения коммутационного обору¬дования (коробки, розетки и т.п.); функционального на¬значения и степени конфиденциальности получаемой и обрабатываемой информации; особенностей технологичес¬кого процесса (для производственных помещений), важ¬ных с точки зрения обеспечения безопасности.
На основе этих планов целесообразно подготовить структурные схемы:
— ограждения каждого помещения, указав на ней (схе¬матично) все стены и другие инженерно-технические со¬оружения, окружающие помещение. Эта схема позволит оценить возможности эшелонирования защиты, вырабо¬тать рекомендации по рубежам защиты, выбрать и определить зоны безопасности и оценить «прочность» рубежей;
— документооборота (для документов с ограничен¬ным доступом), указав источник и приемники документа; его связи с другими документами; способ подготовки (руч¬ной, машинный); способ транспортировки (с курьером, по телефону, по факсу, по компьютерной сети и т. п.); место хранения; для описания документооборота можно исполь¬зовать специально разработанные формы.
21. Организационное построение комплексной системы защиты информации: характеристика технического проекта.
На этом этапе раз¬рабатываются и обосновываются все проектные решения: Разработан и обоснован выбранный вариант проекта; уточ¬нены перечни технических средств, порядок и сроки их поставки. В техническом проекте могут рассматриваться 2-3 варианта решения поставленной задачи по созданию системы защиты. Все варианты должны сопровождаться расчетом эффективности, на основе которого могут быть сделаны выводы о рациональном варианте.
При создании системы защиты небольшого или про¬стого объекта этап технического проектирования может быть исключен.
Цель технического проекта – определение основных методов, используемых при создании КСЗИ и окончательное определение ее сметной стоимости.
Результат – разработка:
• общесистемных решений, необходимых и достаточных для выпуска эксплуатационной документации на систему в целом,
• проектов заявок на разработку новых технических средств,
• документации специального математического и информационного обеспечения.
Все данные вносятся в единый документ. Техническое проектирование подсистем осуществляется в соответствии с утвержденным техническим заданием. Технический проект должен включать данные об объемах и интенсивности потоков обрабатываемой информации, количестве пользователей автоматизированной системы, характеристиках оборудования и программного обеспечения.
22. Организационное построение КСЗИ: характеристика рабочего проекта.
Разработка рабочего проекта имеет своей целью дета¬лизировать проектные решения, принятые на предыдущем этапе. В частности:
— определяется и фиксируется регламент взаимодейс¬твия отдельных служб и составляющих системы обеспече¬ния безопасности;
— составляются технологические и должностные инс¬трукции персонала;
— разрабатывается рабочая документация.
В состав рабочей документации входят: спецификация оборудования и материалов, схемы размещения техничес¬ких средств системы защиты (охранно-пожарной сигна¬лизации, охранного телевидения, охранного освещения и т. п.), схемы прокладки кабельной связи системы защиты, схемы прокладки электропитания системы защиты.
Каждая система защиты уникальна, поэтому докумен¬тация, как правило, строго индивидуальна и зависит не только от типа и размера объекта защиты, но и от возмож¬ностей и опыта заказчика, который будет ее эксплуатиро¬вать.
Поскольку документация содержит конфиденциаль¬ные сведения, круг лиц, допущенных к ознакомлению и ра¬боте с ней, должен быть ограничен.
23. Организационное построение КСЗИ: характеристика этапа апробации и ввода в эксплуатацию.
Стадия эксплуатации
Включает процессы:
• Принятие изделия заказчиком от поставщика;
• Ввод в эксплуатацию;
• Приведение в установленную степень готовности к использованию по назначению;
• Поддержание в установленной степени готовности и использование;
• Хранение и транспортирование при эксплуатации;
• Техническое обслуживание текущий и средний ремонт;
• Использование по назначению;
• Контроль эффективности.
Ввод в эксплуатацию — это стадия создания системы защиты, состоящая из нескольких этапов
1) ввод в действие отдельных элементов системы;
2) комплексная стыковка элементов системы;
3) опытная эксплуатация;
4)приемочные испытания и сдача в эксплуатацию.
На практике при создании систем защиты границы между этими этапами размыты.
Состав выполняемых работ следую¬щий:
— комплектация технического обеспечения системы;
— монтажные или строительно-монтажные работы и пуско-наладочные работы;
— обучение персонала (предварительно должны быть укомплектованы все службы системы обеспечения безо¬пасности с учетом требуемой квалификации);
—: опытная эксплуатация компонентов и системы в це¬лом;
— приемочные испытания и приемка системы в экс¬плуатацию.
Все эти работы начинаются только после утверждения всех документов и выделения финансовых средств. Разра¬ботчик системы защиты проводит техническое и коммер¬ческое сравнение всех предложений от конкурирующих фирм-изготовителей защитного оборудования, после чего выбирает поставщика, заключает договор на поставку обо¬рудования и оплачивает его.
При получении оборудования желательно сразу прово¬дить его проверку на соответствие сопроводительным доку¬ментам и техническим условиям, а также (если это возмож¬но) проверку работоспособности в условиях эксплуатации.
Все работы по монтажу и отладке системы защиты должны выполнять специалисты. Силами заказчика можно выполнять только специфические и небольшие по трудо¬затратам работы такие, как, например установка скрытого теленаблюдения, перенос датчиков охранной сигнализа¬ции, ремонт системы радиосвязи и т. п.
Желательно, чтобы в монтаже и настройке защитных систем участвовали те сотрудники службы охраны объек¬та, которые будут их эксплуатировать.
После окончания работ и испытаний необходимо уточ¬нить все вопросы гарантийного и послегарантийного об¬служивания системы защиты.