Выявление каналов доступа к информации предприятия. Соотношение между каналами и источниками воздействия на информацию.
Выявление каналов доступа к информации Для того чтобы осуществить дестабилизирующее воздействие на конфиденциальную информацию, людям, не имеющим разрешенного доступа к ней, необходимо его получить. Такой доступ называется несанкционированным, как правило, несанкционированный доступ бывает преднамеренным и имеет целью оказать сознательное дестабилизирующее воздействие на конфиденциальную информацию. Несанкционированный доступ, даже преднамеренный, всегда является противоправным. Чаще всего он, конечно, бывает незаконным, но нередко не носит криминального характера. Несанкционированный доступ осуществляется через существующий или специально создаваемый канал доступа, который определяется как путь, используя который, можно получить неразрешенный доступ к конфиденциальной информации. К каналам несанкционированного доступа к конфиденциальной информации относятся: 1)Установление контакта с лицами, имеющими или имевшими доступ к конфиденциальной информации; 2)Вербовка и (или) внедрение агентов; 3)Организация физического проникновения к носителям конфиденциальной информации; 4)Подключение к средствам отображение, хранения, обработки, воспроизведения и передачи информации средствам связи; 5)Прослушивание речевой конфиденциальной информации 6)Визуальный съем конфиденциальной информации; 7)Перехват электромагнитных излучений; 8)Исследование выпускаемой продукции, производственных отходов и отходов процессов обработки информации; 9)Изучение доступных источников информации; 10)Подключение к системам обеспечения производственной деятельности предприятия; 11)Замеры и взятие проб окружающей объект среды; 12)Анализ архитектурных особенностей некоторых категорий объектов. Состав реальных, для конкретного предприятия, каналов несанкционированного доступа к конфиденциальной информации и степень их опасности зависят от: 1)вида деятельности предприятия, 2)категорий носителей, 3)способа обработки информации, 4)системы ее защиты, 5)устремлений и возможностей конкурентов. Соотношение между каналами и источниками воздействия на информацию Использование того или другого канала осуществляется с помощью определенных, присущих конкретному каналу методов и технологий несанкционированного доступа. Первый канал - установление контакта с лицами, имеющими или имевшими доступ к конфиденциальной информации. Второй канал - вербовка и внедрение агентов. агенты работают на постоянной основе, занимаются систематическим сбором конфиденциальной информации и могут оказывать на нее дестабилизирующее воздействие. С помощью агентов обычно стремятся получить доступ к информации, которую нельзя добыть через другой, менее опасный канал Третийканал - организация физического проникновения к носителям конфиденциальной информации сотрудников разведывательных служб. Физическое проникновение лиц, не работающих на объекте, включает два этапа: 1)проникновение на территорию (в здания) охраняемого объекта, 2)проникновение к носителям конфиденциальной информации. Четвертыйканал - подключение к средствам отображения, хранения, обработки, воспроизведения и передачи информации, средства связи может осуществляться лицами, находящимися на территории объекта и вне ее. Пятый канал — прослушивание речевой конфиденциальной информации. Такое прослушивание чаще всего осуществляется по двум направлениям: 1)подслушивание непосредственных разговоров лиц,; 2)прослушивание речевой информации, зафиксированной на носителе, с помощью подключения к средствам звуковоспроизведения. Шестой канал - визуальный съем конфиденциальной информации. Методы: 1)чтением документов; 2)осмотром продукции, продукции; 3)просмотром информации,; 4)чтением текста,; 5)наблюдением за; 6)считыванием информации в массивах других пользователей. Перехват электромагнитных излучений (седьмой канал) включает в себя перехват техническими средствами как функциональных сигналов, так и особенно побочных создаваемых техническими средствами отображения, хранения, обработки, воспроизведения, передачи информации. Восьмой канал - исследование выпускаемой продукции, производственных отходов и отходов процессов обработки информации. Девятый канал - изучение доступных источников информации, из которых можно получить конфиденциальные сведения, — осуществляется путем: 1)изучения научных публикаций, содержащихся в специализированных журналах; 2)просмотра (прослушивания) СМИ; 3)изучения проспектов и каталогов выставок; 4)прослушивания публичных выступлений на семинарах, конференциях и т.п.; 5)изучения формируемых специализированными коммерческими структурами банков данных о предприятиях. Порядок оснащения службы защиты информации необходимой измерительной техникой и сертифицированными средствами защиты информации.
На выбор средств защиты информации оказывают влияние потребности организации в определенном уровне защищенности автоматизированной системы, количество компьютеров, их основные технические характеристики, применяемые операционные системы и т.п. Потребности организации в некотором уровне защищенности автоматизированной системы можно определить, воспользовавшись руководящими документами Гостехкомиссии России, классифицирующими АС по уровням требований к защите ("Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации"). При выборе соответствующих уровню защищенности АС конкретных средств защиты необходимо пользоваться руководящим документом Гостехкомиссии России "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности СВТ". Защищенность СВТ есть потенциальная защищенность, т.е. способность их предотвращать или существенно затруднять НСД к информации в дальнейшем при использовании СВТ в составе АС. Защита АС и СВТ обеспечивается комплексом программно-технических средств и поддерживающих их организационных мер. Эти требования выражаются в показателях защищенности. Совокупность значений показателя защищенности определяет класс защищенности АС или СВТ. Существует 9 классов защищенности АС, объединенные в 3 группы и 6 классов защищенности СВТ. При выборе системы защиты следует оценить ее функциональность, соответствие возможностей требованиям к защите ресурсов АС конкретной организации и стоимость. Для повышения обоснованности выбора целесообразно учесть состояние и перспективы развития парка компьютеров, подлежащих защите, применяемых операционных систем и другого программного обеспечения, задачи, решаемые персоналом с применением АС в различных сферах деятельности организации. Порядок сертификации средств защиты информации устанавливает Постановление правительства от 26.06.95г «О сертификации средств защиты». Сведения о системе сертификации средств защиты информации по требованиям безопасности информации представлены на официальном сайте ФСТЭК (www/fstec/ru)
Билет 19
1. Требования к стратегии и корпоративным нормативным документам по информационнй безопасности.
Требования к документации (ISO/IEC 27001:2005(E)) 1 Общие положения Документация должна включать записи о решениях руководства, обеспечивать прослеживаемость действий до решений руководства и политики, а также обеспечивать воспроизводимость результатов. Важно быть способными продемонстрировать взаимосвязь от выбранных средств управления обратно до результатов процесса оценки рисков и обработки рисков, а затем до политики и целей СМЗИ. Документация СМЗИ должна включать следующее: a) документированное заявление о политике и целях СМЗИ; b) область приложения СМЗИ; c) процедуры и средства управления в поддержку СМЗИ; d) описание методологии оценки рисков; e) отчет об оценке рисков; f) план обработки рисков; g) документированные процедуры, необходимые организации для того, чтобы гарантировать результативное планирование, работу и управление ее процессами защиты информации, а также для того, чтобы описать, как измерять результативность средств управления; h) записи, требуемые этим международным стандартом; i) Заявление о применимости. 2 Управление документами Документы, требуемые СМЗИ, должны быть защищены и должны управляться. Документированная процедура должна быть создана для определения действий руководства, необходимых для следующего: a) утверждать документы на адекватность перед выпуском; b) анализировать и обновлять документы, по необходимости, а также повторно утверждать документы; c) гарантировать, что указаны изменения и текущий статус редакции документов; d) гарантировать, что имеющие отношение к делу версии применимых документов доступны в местах использования; e) гарантировать, что документы остаются разборчивыми и легко идентифицируемыми; f) гарантировать, что документы доступны тем, кому они нужны, и что они перемещаются, хранятся, и, в конце концов, ликвидируются в соответствии с процедурами, применимыми к их классификации; g) гарантировать, что документы внешнего происхождения идентифицированы; h) гарантировать, что распространение документов управляется; i) предотвращать неумышленное использование устаревших документов; и j) применять подходящую идентификацию к ним, если они сохраняются для какой-либо цели. 3 Управление записями Записи должны создаваться и поддерживаться в рабочем состоянии для того, чтобы обеспечивать подтверждение соответствия требованиям и результативной работы СМЗИ. Они должны быть защищены и должны управляться. СМЗИ должна учитывать любые имеющие отношение к делу законодательные или нормативные требования, а также договорные обязательства. Записи должны оставаться разборчивыми, легко идентифицируемыми и извлекаемыми. Средства управления, необходимые для идентификации, хранения, защиты, поиска, а также сроки хранения и ликвидации записей должны быть документированы и реализованы. В записях должны быть отражены показатели процесса, а также все эпизоды значительных инцидентов в системе безопасности, связанные со СМЗИ. ПРИМЕР Примерами записей являются книга посетителей, протокол аудита и заполненные формы разрешения доступа.