- •2.2. Задачі захисту стаціонарних об'єктів і засоби, що застосовуються для його забезпечення
- •2.3.Розбиття підзахисних об'єктів інформаційної діяльністі
- •2. Захист стаціонарних об'єктів
- •1. Фізичний захист стаціонарних об'єктів
- •2. Системи тривожної сигналізації
- •3.3. Системи телевізійного спостереження
- •3.4. Засоби відбиття (нейтралізації) загроз
- •3.5. Вибір технічних засобів захисту об'єкта
- •3. Для представницької зони будівлі, приміщень для відвідувачів і клієнтів:
- •4. Для зони кабінетів і особливо важливих приміщень:
- •5. Для зони сейфового приміщення, банку даних і зберігання цінностей:
- •3.6. Охорона приміщень і територій підприємств за допомогою собак
- •4. Захист мобільних об'єктів
- •4.1. Загальні положення
- •4.3. Аналіз стану охорони вантажів
- •4.4. Організація процесу охорони вантажів
- •4.5. Особливості охорони вантажів при використанні окремих видів транспорту
- •2. Системи автоматизованого контролю доступу
- •1.Пристрої ідентифікації (зчитувачі)
- •2. Контролери
- •Ідентифікація осіб за біометричними ознаками
- •4. Виконавчі пристрої
- •6. Організація захисту інформації від несанкціонованого доступу
- •1. Порядок створення системи захисту
- •6.2. Служба безпеки об'єкта (основні задачі та склад)
- •6.3. Організаційні та організаційно-технічні заходи
- •6.4. Заходи щодо блокування несанкціонованого отримання
- •6.5. Інформаційно-технологічні засоби захисту
- •7. Розмежування доступу до інформації
- •7.3. Оцінка ризику
- •Публікація прд
- •Дії служби безпеки об'єкта при виявлені порушень правил розмежування доступу
6.5. Інформаційно-технологічні засоби захисту
Технічний прогрес у даний час призвів до автоматизації управлінської діяльності і появі "Електронних офісів", під якими розуміється організація, у якій кожен службовець забезпечений автоматизованим робочим місцем (АРМ), як правило, на основі персональної електронної обчислювальної машини.
Доцільно розглянути наступні аспекти діяльності службовця в такому "електронному офісі":
регламентована робота службовця;
творча робота службовця;
інформаційна взаємодія службовців.
Регламентована робота службовців завжди була в центрі уваги систем автоматизації.
Для регламентованих задач характерна наявність цілком автоматизованих процедур, виконання яких, крім витрат часу, труднощів не викликає. Це облік і контроль, оформлення документів, їх тиражування і розсилання. До таких задач відносяться бухгалтерський облік, підготовка виробництва, кадрова система, складський облік і т.д.\
Творча робота службовця характеризується слабкою структурованістю, відсутністю методів вирішення на основі простого перетворення даних. Тут використовується властивість ПЕОМ бути універсальним інструментом, що може налаштовуватися на збереження і і обробку по алгоритму, що буде реалізований людиною в результаті творчого осмислення проблеми.
Автоматизація інформаційної взаємодії службовців - один з найважливіших аспектів діяльності службовців, оскільки в сформованій системі поділу праці задачі, поставлені перед установою, можуть бути досягнуті лише у випадку погоджених цілеспрямованих дій усіх службовців.
Щоб сукупність АРМів могла функціонувати як єдина система необхідно забезпечити обмін даними між різними АРМами, найбільш типові три варіанти організації системи АРМів:
АРМи декількох службовці реалізуються на одній ПЕОМ, що має один відеотермінал, і користувачі працюють на ній по черзі;
трохи АРМів будуються на базі однієї ЕОМ, що має кілька відеотерміналів. У цьому випадку користувачі можуть працювати одночасно кожний за окремим терміналом, користуючись єдиними ресурсами ПЕОМ по черзі;
для кожного з АРМів надається окрема ПЕОМ і відповідний працівник користується ПЕОМ монопольно. Однак забезпечити обмін даними між АРМ - недостатньо для забезпечення спільної ефективної роботи.
Ядром діяльності системи АРМ є банк даних (БнД) організації, сукупність методів і засобів для підтримки єдиного для всіх службовців образу або моделі об'єкта керування. У випадку "електронного офісу" банк даних являє собою сукупність баз даних (БД) та інформаційних файлів даних загального користування організації.
Традиційно стосовно службовця (чи користувача) бази даних розподіляються на локальні і глобальні. Локальна база даних (ЛБД) використовується тільки АРМом користувача, і ніякі дані з ЛБД недоступні безпосередньо іншим користувачам. Навпаки, глобальні бази даних (ГБД) доступні потенційно будь-якому користувацькому АРМу.
Для вирішення задачі спільного функціонування АРМи поєднують комунікаційною мережею, у середовищі якої здійснюється їх взаємодія як один з одним, так і з іншими учасниками інформаційного обміну, наприклад, глобальними БД.
Учасники інформаційного обміну по комунікаційній мережі можуть розташовуватись на одній, обмеженій за розмірами території і тоді взаємодія між ними буде характеризуватися локальними властивостями. Навпаки, АРМ чи група АРМів можуть бути територіально істотно віддалені від основної організації, залишаючись інформаційно єдиним цілим. У цьому випадку можна говорити про віддалену взаємодію в рамках єдиної комунікаційної мережі організації. Локальна взаємодія, як правило, організується за допомогою локальної обчислювальної мережі (ЛОМ). Віддалена взаємодія забезпечується широким набором засобів, кожний з який має багато характерних рис і особливостей, і тому в кожному конкретному випадку вирішення про застосування того чи іншого засобу приймається з врахуванням багатьох факторів, таких, як швидкість обміну, надійність каналу, вартість і т.п.
У типовому "електронному офісі" реалізована розподілена обробка даних у середовищі комунікаційної мережі. При цьому учасники обміну даними використовують як локальну, так і віддалену взаємодію, працюють із ГБД організації, що представляє собою багатоекземплярну розподілену БД, файли якої фізично розташовані на вузлах мережі ЕОМ.
Перелічимо деякі проблеми, що постають перед організаціями в зв'язку з використанням розподіленої обробки даних:
1. Організація ефективної розподіленої обробки.
2. Забезпечення постійно розширюваних можливостей по обробці даних у рамках окремих АРМ.
3.Забезпечення високошвидкісної віддаленої взаємодії з віддаленим
АРМ (групами АРМ).\
4. Забезпечення безпеки і конфіденційності обробки даних в мережі.
Питання організації ефективної розподіленої обробки даних вирішуються, в першу чергу, на етапі проектування інформаційної системи в цілому шляхом ретельного системного аналізу діяльності, що підлягає автоматизації, виділення ключових інформаційних потоків і функцій по їх обробці, автоматизація яких принесе найбільший кінцевий ефект (в окремому випадку - найбільший прибуток).
На етапі реалізації питання ефективної обробки забезпечуються вибором відповідного обладнання і програмних засобів, що забезпечать необхідний рівень обробки при високій гнучкості подальшого вдосконалення і прийнятній вартості.
На етапі введення в експлуатацію і експлуатації інформаційної системи ефективність розподіленої обробки залежить у першу чергу від надійності використовуваних технічних і програмних засобів, а також готовності персоналу - керівників, фахівців і технічних працівників до автоматизованого використання цих засобів.
При експлуатації існуючої системи в умовах швидко мінливого зовнішнього середовиша на перший план висуваються проблеми забезпечення можливостей по обробці даних, які постійно розширюються, у рамках окремих АРМ фахівців.
Сучасне інформаційне середовище характеризується використанням нових високогабаритних джерел інформації, як аналогової, так і цифрової (відеодиски, СD-RОМ-диски, СD-DА-диски, широкомовне і кабельне телебачення, високошвидкісні канали зв'язку і т.п.), так і появу пристроїв, . що реалізують нові можливості по обробці і формуванню високогабаритних потоків даних (медичне і наукове обладнання, що видає результати у вигляді цифрових даних, пристрою для оцифрування (нерухомих зображень, рухливого відео, звуку). З'явилися пристрої збереження даних величезної ємності і ПЕОМ із небувалою раніше продуктивністю.
Це призвело до появи АРМ фахівців нового типу, так званих мультимедіа (multimedia) систем (буквально-багатосередовищних систем), що можуть істотно розширити клас автоматизованих задач, що традиційно належать до творчої роботи службовців.
За допомогою подібних систем у даний час досягнуті помітні успіхи в галузі створення систем навчання, підвищення рівня кваліфікації фахівців, у банківській системі, рекламній діяльності та організації роздрібної торгівлі.
Найбільш відомі такі мультимедіа — системи, як Аmiga фірми Соmmоndore, системи на основі комп'ютера Масіntosh фірми Арріlе, Мultimedia РС консорціуму фірм на чолі з Міcrosoft Мultimedia фірми ІВМ. Усе більше і більше фірм повідомляють про виробництво ними систем мультимедіа.
Збільшення інформаційної ємності джерел даних, розширення можливостей АРМ, підвищення інтенсивності інформаційного обміну в рамках організації висуває на передній план проблеми забезпечення високошвидкісної віддаленої взаємодії з віддаленим АРМ.
Технічний прогрес у цій галузі для територій, що порівнюються із сучасним містом, пропонує кілька вирішень організації високошвидкісної передачі даних;
високошвидкісні лінії зв'язку загального призначення;
супутникові системи зв'язку,
системи зв'язку з використанням радіо і лазерного випромінювання (безпровідні);
волоконно-оптичної системи передачі даних.
Прикладом системи високошвидкісної віддаленої взаємодії локальної мережі ЕОМ є мережа, побудована з використанням обладнання за стандартом ANSI (Аmerikan National Standards Institute - Американський Національний Інститут Стандартів), названому FDDI (Fiber Distributed Data Interface- розподілений волоконно-оптичний інтерфейс даних).
Проблеми забезпечення безпеки і конфіденційності обробки даних у мережі виникають в організації, що у своїй автоматизованій системі, побудованій на основі мережі ЕОМ, використовує конфіденційну і критичну інформацію.
Під конфіденційною інформацією розуміють відомості, розголошення яких або передача третім особам може викликати істотний збиток законному власнику інформації. Під критичною розуміють особливо руйнування або відсутність доступу до якої може викликати істотний збиток законному власнику інформації.
У кожній конкретній організації визначається перелік конфіденційних і критичних відомостей, відносно яких необхідно забезпечувати таємність і безпеку. У випадку використання засобів автоматизації використовують поняття ресурсу, як компонента автоматизованої системи (АС). Ресурсом можуть бути апаратні засоби, програмне забезпечення, дані в АС.
У цьому випадку безпека ресурсу полягає в забезпеченні конфіденційності, цілісності і доступності. Під конфіденційністю ресурсу розуміється властивість ресурсу бути доступним авторизованому суб'єкту АС і одночасно бути "прозорим", не існувати для неавторизованого суб'єкта АС чи порушника. Цілісність ресурсу - це забезпечення його правильності або працездатності в будь-який момент часу. Забезпечення доступності ресурсу полягає в забезпеченні безперешкодного доступу до нього авторизованого суб'єкта АС.
Проблеми забезпечення безпеки і таємності обробки даних в мережі передбачають наступне:
гарантії прав власності законних власників інформації в умовах її автоматизованої обробки;
гарантії надання послуг по обробці конфіденційних даних законним власником;
гарантії надійної і правильної обробки критичних даних в АС.
Вирішення проблеми забезпечення безпеки і таємності обробки даних
в мережі можна отримати при використанні захищених АС, побудованих із захищених засобів обчислювальної техніки (ЗОТ).
Усе вищевикладене дає підставу розглядати поставлені проблеми захисту інформації в комп'ютерних системах, як одні із основних (поряд із захистом матеріальних цінностей і людей).
Система керування АС
Відповідно до термінології Еталонної Моделі Взаємодії Відкритих Систем (ЕМВВС) обчислювальна мережа в складі АС надає користувачу наступні послуги:
передачі, доступу і керування файлом.
віртуального термінала;
передачі і маніпулювання завданнями;
обміну повідомленнями.
На прикладному рівні за допомогою спеціальних процесів забезпечується управління мережею.
Служба передачі, доступу і керування файлом призначена для забезпечення користувача єдиним універсальним середовищем збереження інформації.
Служба віртуального термінала вирішує проблеми сполучення процесів з різнотипними реальними терміналами.
Служба передачі і маніпулювання завданнями забезпечує можливість користувачу організувати розподілену обробку в мережі.
Служба обміну повідомленнями дозволяє підтримувати зв'язок у мережі, аналогічний поштовому - "електронна пошта".
Керування мережею передбачає наявність засобів, що надають користувачу можливість спостерігати і керувати виконанням операпій розподіленої обробки даних і забезпечувати керування в наступних функціональних галузях:
конфігурація та імена;
ефективність функціонування;
робота при відмовах;
облік;
безпека.
Забезпечення безпеки інформаційної мережі визначається як заходи, що охороняють інформаційну мережу від несанкціонованого доступу, випадкового чи навмисного втручання в нормальне функціонування чи спроб руйнування ії компонентів. Безпека обчислювальної мережі містить у собі захист обладнання, програмного забезпечення, даних і персоналу. Захист інформації (програмного забезпечення, даних і результатів обробки) здійснюється за допомогою системи захисту.
На відміну від ЕМВВС реальна обчислювальна система (ОС) складається з конкретного обладнання, що працює під керуванням конкретного набору програмних засобів зі складу загального і спеціального програмного забезпечення. Цей набір апаратних і програмних засобів у кожній конкретній організації являє собою унікальний конгломерат, зібраний, як правило, із продукції різних постачальників. Якщо виходити зі сформованого поділу праці, то апаратні і програмні засоби ОС організації можна віднести до наступних категорій:
комплексне апаратне і програмне рішення окремого великого постачальника, що стало фактично стандартним;
окремі апаратні чи програмні засоби, що відповідають стандартним рішенням;
унікальні власні чи замовлені розробки, інтегровані до складу ОС.
Комплекс технічних засобів містить у собі:
мережеву кабельну систему;
мережеві пристрої;
робочі станції;
сервери;
термінали;
великі ЕОМ;
спеціальні апаратні засоби системи захисту інформації.
Комплекс програмних засобів складається з наступних елементів:
операційні системи працівників станцій;
операційні системи прикладних серверів;
мережевих операційних систем;
операційні системи великої ЕОМ;
програмні засоби мережевих пристроїв, що реалізують мережеві протоколи передачі даних;
програмні засоби мережевих пристроїв, що реалізують специфічні алгоритми керування мережею (наприклад, маршрутизація);
системи управління базою даних (СУБД) робочих станцій, прикладних серверів і великою ЕОМ;
системи управління мережею;
програмних засобів системи захисту інформації.
Крім цього, реальна ОС входить до складу АС і являє собою людино-машинну систему, що забезпечує цілеспрямовану діяльність організації. Виникаюча подвійність (ОС - інструмент для досягнення мети організації і ОС - об'єкт керування) приводить до виділення різних категорій співробітників організації стосовно ВР.
У рамках організації виділяють:
користувачів, що безпосередньо використовують ОС для досягнення мети, що стоїть перед організацією;
технічний персонал, що забезпечує функціонування ОС;
адміністрацію ОС, безпосередньо керуючу процесами обробки даних у ОС системні адміністратори: адміністратор мережі, адміністратор бази даних, адміністратор безпеки);
адміністрацію організації в цілому, що керує усіма процесами в організації.
Безпеку обробки інформації в АС забезпечує, як говорилося вище, служба безпеки підприємства, а саме інженерно-технічна група. З її складу для безпосереднього керування системою захисту інформації виділяється адміністратор безпеки АС.
Система захисту інформації в АС
З погляду системи захисту інформації виділяють
користувачів АС;
персонал служби безпеки, відповідальний за захист інформації від НСД;
систему розмежування доступу, побудовану на основі використання правил і засобів розмежування доступу.
Забезпечення захисту ЗОТ і АС здійснюється:
системою розмежування доступу суб'єктів до об'єктів доступу;
забезпечуючими засобами для системи керування доступом.
Основними функціями системи розмежування доступу є:
реалізація правил розмежування доступу (ПРД) суб’єктів і їх процесів даних;
реалізація ПРД суб'єктів і їх процесів до пристроїв створення твердих копій;
ізоляція програм процесу, шо виконується в інтересах суб'єкта, від інших суб'єктів;
керування потоками даних з метою запобігання запису даних на носії невідповідного грифа;
реалізація правил обміну даними між суб'єктами для АС і ЗОТ, побудованих по мережевих принципах.
Забезпечуючі засоби для системи розмежування доступу виконують наступні функції:
ідентифікацію та розпізнавання (аутентифікацію) суб'єктів і підтримку прив'язки суб'єкта до процесу, виконуваного для суб'єкта;
реєстрацію дій суб'єкта і його процесу;
надання можливостей виключення і включення нових суб'єктів і об'єктів доступу, а також зміни повноважень суб'єктів;
реакцію на спробу НСД, наприклад, сигналізацію, блокування, відновлення після НСД;
тестування;
очищення оперативної пам'яті і робочих областей на магнітних носіях після завершення роботи користувача з даними, що захищаються;
облік вихідних друкованих і графічних форм і твердих копій АС;
контроль цілісності програмної та інформаційної частини як системи розмежування доступу, так і її забезпечуючих засобів. Ресурси, пов'язані як із системою розмежування доступу, так і з її забезпечуючими засобами включаються в об'єкти доступу.
Способи реалізації системи розмежування доступу залежать від конкретних особливостей ЗОТ і АС. Можливе застосування наступних способів захисту і будь-яких їх сполучень:
розподілена система розмежування доступу і система розмежування доступу, локалізована в програмно-технічному комплексі (ядро захисту);
система розмежування доступу в рамках операційної системи, СУБД чи прикладних програм;
система розмежування доступу в засобах реалізації мережевих взаємодій або на прикладному рівні;
використання криптографічних перетворень або методів безпосереднього контролю доступу;
програмна і (або) технічна реалізація системи розмежування доступу.
Як правило, в сучасних ОС система захисту інформації в АС явно не виділена і являє собою в загальному випадку територіально розподілену людино-машинну систему, що є підсистемою системи керування організації і глибоко інтегровану в її склад. Компоненти системи захисту розподілені по всіх рівнях архітектури апаратних і програмних засобів АС, а правила їх використання повинні бути включені в інструкції посадових осіб усіх рівнів - від кінцевих користувачів до керівника організації