 |
5. построение систем защиты. 5.2. методы защиты от нсД. 5.3. Организационные методы защиты от нсД
|
|
|
|
5. построение систем защиты
от угрозы нарушения конфиденциальности
v Определение и основные способы несанкционированного доступа
v Методы защиты от НСд v Организационные методы защиты от НСд
v Инженерно-технические методы защиты от НСд. Построение си- стем защиты от угрозы утечки по техническим каналам v Идентифи- кация и аутентификации v Основные направления и цели использо- вания криптографических методов v Защита от угрозы нарушения
конфиденциальности на уровне содержания информации v
5. 1.
Определение и основные способы несанкционированного доступа В
соответствии с определением несанкционированный доступ является одним из видов утечки информации. Как уже было сказано выше, несанкционирован-
ным доступом к информации (НСД), согласно руководящим документам Гостехкомиссии, является доступ к информации, нарушающий установленные правила разграничения доступа. НСД может носить случайный или преднамеренный характер. В результате НСД чаще всего реализуется угроза конфиден- циальности информации, однако целью злоумышленника мо- жет быть и реализация других видов угроз (целостности инфор-
мации, раскрытия параметров системы).
Для преднамеренного НСД используются как общедоступ- ные, так и скрытые способы и средства.
Такими способами являются [3]:
· инициативное сотрудничество (предательство);
· склонение к сотрудничеству (подкуп, шантаж);
· подслушивание переговоров самыми различными пу- тями;
5. 2. Методы защиты от НСд
· негласное ознакомление со сведениями, составляющими тайну;
· хищение, копирование, подделка, уничтожение;
· незаконное подключение к каналам и линиям связи и пе- редачи данных;
|
|
|
· перехват (акустический или радиоперехват, в том числе и за счет побочных электромагнитных излучений и на- водок);
· визуальное наблюдение, фотографирование;
· сбор и аналитическая обработка детальной информации или производственных отходов.
К основным способам НСД в информационных системах относятся [3]:
· непосредственное обращение к объектам доступа;
· создание программных и технических средств, выполня- ющих обращение к объектам доступа в обход средств за- щиты;
· модификация средств защиты, позволяющая осуществить НСД;
· внедрение в технические средства информационной си- стемы программных или технических механизмов, нару- шающих предполагаемую структуру и функции системы и позволяющих осуществить НСД.
Зная совокупность источников информации, возможные каналы утечки охраняемых сведений и многообразие способов несанкционированного доступа к источникам, можно присту- пать к выработке мероприятий по защите.
5. 2. методы защиты от нсД
Можно выделить несколько обобщенных категорий мето- дов защиты от НСД, в частности:
· организационные (в т. ч. административные);
· технологические (или инженерно-технические);
· правовые;
· финансовые;
· морально-этические (или социально-психологические). К первой категории относятся меры и мероприятия, ре- гламентируемые внутренними инструкциями организации, эксплуатирующей информационную систему. Пример такой защиты — присвоение грифов секретности документам и мате- риалам, хранящимся в отдельном помещении, и контроль до-
ступа к ним сотрудников.
Вторую категорию составляют механизмы защиты, реали- зуемые на базе программно-аппаратных средств, например, систем идентификации и аутентификации или охранной сиг- нализации.
Третья категория включает меры контроля за исполнением нормативных актов общегосударственного значения, механиз- мы разработки и совершенствования нормативной базы, регу- лирующей вопросы защиты информации.
|
|
|
Финансовые методы защиты предполагают введение специ- альных доплат при работе с защищаемой информацией, а так- же систему вычетов и штрафов за нарушение режимных тре- бований.
Морально-этические методы не носят обязательного харак- тера, однако являются достаточно эффективными при борьбе с внутренними нарушителями.
Реализуемые на практике методы, как правило, сочетают в себе элементы нескольких из перечисленных категорий. Так, управление доступом в помещения может представлять собой взаимосвязь организационных (выдача допусков и ключей) и технологических (установку замков и систем сигнализации) способов защиты.
5. 3. Организационные методы защиты от НСд
5. 3. Организационные методы защиты от нсД
Эффективная защита информации возможна при обязатель- ном выполнении ряда условий:
· единство в решении производственных, коммерческих, финансовых и режимных вопросов;
· координация мер безопасности между всеми заинтересо- ванными подразделениями предприятия;
· научная оценка информации и объектов, подлежащих классификации (защите); разработка режимных мер до начала проведения режимных работ;
· персональная ответственность (в том числе и материаль- ная) руководителей всех уровней, исполнителей, участву- ющих в закрытых работах, за обеспечение сохранности тайны и поддержание на должном уровне режима охра- ны проводимых работ;
· включение основных обязанностей рабочих, специали- стов и администрации по соблюдению конкретных тре- бований режима в коллективный договор, контракт, тру- довое соглашение, правила трудового распорядка;
· организация специального делопроизводства, порядка хранения, перевозки носителей тайны; введение соот- ветствующей маркировки документов и других носите- лей закрытых сведений;
· формирование списка лиц, уполномоченных руководите- лем предприятия классифицировать информацию и объ- екты, содержащие конфиденциальные сведения;
· оптимальное ограничение числа лиц, допускаемых к за- щищаемой информации;
· наличие единого порядка доступа и оформления пропусков;
|
|
|
· выполнение требований по обеспечению сохранения за- щищаемой информации при проектировании и размеще- нии специальных помещений, в процессе опытно-кон-
структорской разработки, испытаний и производства изделий, сбыта, рекламы, подписания контрактов, при проведении особо важных совещаний, в ходе использо- вания технических средств обработки, хранения и пере- дачи информации и т. п.;
· организация взаимодействия с государственными органа- ми власти, имеющими полномочия по контролю опреде- ленных видов деятельности предприятий и фирм;
· наличие охраны, пропускного и внутриобъектового ре- жимов;
· плановость разработки и осуществления мер по защите информации, систематический контроль за эффектив- ностью принимаемых мер;
· создание системы обучения исполнителей правилам обе- спечения сохранности информации.
|
|
|
