Классификация и особенности видов носителей информации с позиции обеспечения безопасности.

Носитель информации - физическое лицо, или материальный объект,

в том числе физическое поле, в которых информация находит свое

отображение в виде символов, образов, сигналов, технических решений

и процессов.

Носители защищаемой информации можно классифицировать следующим образом:

 

• человек;
• документы;
• изделия (предметы);
• вещества и материалы;
• электромагнитные, тепловые, радиационные и другие излучения;
• гидроакустические, сейсмические и другие поля;
• геометрические формы строений, их размеры и т.п.

Также защищенные носители информации в сфере IT

Защищенные носители информации позволяют организовать двухфакторную аутентификацию пользователя, когда для входа в систему необходимо предоставить пароль или pin-код от носителя и само устройство.Выделяют следующие возможности использования носителей информации:

· Аутентификация пользователя в операционной системе, службах каталога и сетях (операционные системы Microsoft, Linux, Unix, Novell).

· Защита компьютеров от несанкционированной загрузки.

· Строгая аутентификация пользователей, разграничение доступа, защита передаваемых по сети данных в Web-ресурсах (Интернет-магазины, электронная коммерция).

· Электронная почта – формирование ЭЦП и шифрование данных, контроль доступа, защита паролей.

· Системы шифрования с открытым ключом (PKI), удостоверяющие центры – хранение сертификатов X.509, надежное и безопасное хранение ключевой информации, значительное снижение риска компрометации закрытого ключа.

· Организация защищенных каналов передачи данных (технология VPN, протоколы IPSec и SSL) – аутентификация пользователей, генерация ключей, обмен ключами.

· Системы документооборота – создание юридически значимого защищенного документооборота с использованием ЭЦП и шифрования (передача налоговой отчетности, договоров и прочей коммерческой информации по сети Интернет).

· Бизнес-приложения, базы данных, ERP системы – аутентификация пользователей, хранение конфигурационной информации, ЭЦП и шифрование передаваемых и хранящихся данных.

· Системы «Клиент-Банк», электронные платежи – обеспечение юридической значимости совершенных транзакций, строгая взаимная аутентификация и авторизация клиентов.

· Криптография − обеспечение удобного использования и безопасного хранения ключевой информации в сертифицированных средствах криптографической защиты информации(криптопровайдеры и криптобиблиотеки).

· Терминальный доступ и тонкие клиенты – аутентификация пользователей, хранение параметров и настроек сеанса работы.

· Шифрование дисков – разграничение и контроль доступа к защищенным данным, аутентификация пользователей, хранение ключей шифрования.

· Шифрование данных на дисках – аутентификация пользователей, генерация ключей шифрования, хранение ключевой информации.

· Поддержка унаследованных приложений и замены парольной защиты на более надежную двухфакторную аутентификацию.

 

7.3 Организация защиты информации на основе «Специальных требований и рекомендаций по технической защите конфиденциальной информации» (СТР-К): защита речевой конфиденциальной информации; защита конфиденциальной информации, обрабатываемой в автоматизированных системах; защита конфиденциальной информации при взаимодействии с сетями общего пользования.

Звук:

4.2.2. Защищаемые помещения должны размещаться в пределах КЗ. При этом рекомендуется размещать их на удалении от границ КЗ, обеспечивающем эффективную защиту, ограждающие конструкции (стены, полы, потолки) не должны являться смежными с помещениями других учреждений (предприятий).

Не рекомендуется располагать ЗП на первых этажах зданий.

Для исключения просмотра текстовой и графической конфиденциальной информации через окна помещения рекомендуется оборудовать их шторами (жалюзи).

4.2.3. Защищаемые помещения рекомендуется оснащать сертифицированными по требованиям безопасности информации ОТСС и ВТСС либо средствами, прошедшими специальные исследования и имеющими предписание на эксплуатацию.

4.2.4. Специальная проверка ЗП и установленного в нем оборудования с целью выявления возможно внедренных в них электронных устройств перехвата информации "закладок" проводится, при необходимости, по решению руководителя предприятия.

4.2.5. Во время проведения конфиденциальных мероприятий запрещается использование в ЗП радиотелефонов, оконечных устройств сотовой, пейджинговой и транкинговой связи, переносных магнитофонов и других средств аудио и видеозаписи.

4.2.6. Для исключения возможности утечки информации за счет электроакустического преобразования рекомендуется использовать в ЗП в качестве оконечных устройств телефонной связи, имеющих прямой выход в городскую АТС, телефонные аппараты (ТА), прошедшие специальные исследования, либо оборудовать их сертифицированными средствами защиты информации от утечки за счет электроакустического преобразования.

4.2.10. Системы пожарной и охранной сигнализации ЗП должны строиться только по проводной схеме сбора информации (связи с пультом) и, как правило, размещаться в пределах одной с ЗП контролируемой зоне.

4.2.11. Звукоизоляция ограждающих конструкций ЗП, их систем вентиляции и кондиционирования должна обеспечивать отсутствие возможности прослушивания ведущихся в нем разговоров из-за пределов ЗП.

4.2.12. Для снижения вероятности перехвата информации по виброакустическому каналу следует организационно-режимными мерами исключить возможность установки посторонних (нештатных) предметов на внешней стороне ограждающих конструкций ЗП и выходящих из них инженерных коммуникаций (систем отопления, вентиляции, кондиционирования).

4.2.13. В случае, если указанные выше меры защиты информации от утечки по акустическому и виброакустическому каналам недостаточны или нецелесообразны, рекомендуется применять метод активного акустического или виброакустического маскирующего зашумления.

АС:

5.1.3. В качестве основных мер защиты информации рекомендуются:

· документальное оформление перечня сведений конфиденциального характера с учетом ведомственной и отраслевой специфики этих сведений;

· реализация разрешительной системы допуска исполнителей (пользователей, обслуживающего персонала) к информации и связанным с ее использованием работам, документам;

· ограничение доступа персонала и посторонних лиц в защищаемые помещения и помещения, где размещены средства информатизации и коммуникации, а также хранятся носители информации;

· разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;

· регистрация действий пользователей АС и обслуживающего персонала, контроль за несанкционированным доступом и действиями пользователей, обслуживающего персонала и посторонних лиц;

· учет и надежное хранение бумажных и машинных носителей информации, ключей (ключевой документации) и их обращение, исключающее их хищение, подмену и уничтожение;

· использование СЗЗ, создаваемых на основе физико-химических технологий для контроля доступа к объектам защиты и для защиты документов от подделки;

· необходимое резервирование технических средств и дублирование массивов и носителей информации;

· использование сертифицированных серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации;

· использование технических средств, удовлетворяющих требованиям стандартов по электромагнитной совместимости;

· использование сертифицированных средств защиты информации;

· размещение объектов защиты на максимально возможном расстоянии относительно границы КЗ;

· размещение понижающих трансформаторных подстанций электропитания и контуров заземления объектов защиты в пределах КЗ;

· развязка цепей электропитания объектов защиты с помощью защитных фильтров, блокирующих (подавляющих) информативный сигнал;

· электромагнитная развязка между линиями связи и другими цепями ВТСС, выходящими за пределы КЗ, и информационными цепями, по которым циркулирует защищаемая информация;

· использование защищенных каналов связи (защищенных ВОЛС и криптографических средств ЗИ;

· размещение дисплеев и других средств отображения информации, исключающее несанкционированный просмотр информации;

· организация физической защиты помещений и собственно технических средств с помощью сил охраны и технических средств, предотвращающих или существенно затрудняющих проникновение в здания, помещения посторонних лиц, хищение документов и информационных носителей, самих средств информатизации, исключающих нахождение внутри контролируемой зоны технических средств разведки или промышленного шпионажа;

· криптографическое преобразование информации, обрабатываемой и передаваемой средствами вычислительной техники и связи (при необходимости, определяемой особенностями функционирования конкретных АС и систем связи);

· предотвращение внедрения в автоматизированные системы программ-вирусов, программных закладок.

Сети:

6.3.1. Подключение АП к Сети должно осуществляться в установленном порядке через провайдера Сети.

6.3.2. Подключение ЛВС предприятия (учреждения) к Сети должно осуществляться через средства разграничения доступа в виде МЭ (Firewall, Брандмауэр). Не допускается подключение ЛВС к Сети в обход МЭ. МЭ должны быть сертифицированы по требованиям безопасности информации.

6.3.3. Доступ к МЭ, к средствам его конфигурирования должен осуществляться только выделенным администратором с консоли. Средства удаленного управления МЭ должны быть исключены из конфигурации.

6.3.4. АП с помощью МЭ должен обеспечивать создание сеансов связи абонентов с внешними серверами Сети и получать с этих серверов только ответы на запросы абонентов. Настройка МЭ должна обеспечивать отказ в обслуживании любых внешних запросов, которые могут направляться на АП.

6.3.5. При использовании почтового сервера и Web-сервера предприятия, последние не должны входить в состав ЛВС АП и должны подключаться к Сети по отдельному сетевому фрагменту (через маршрутизатор).

6.3.7. Установку программного обеспечения, обеспечивающего функционирование АП, должны выполнять уполномоченные специалисты под контролем администратора. Абоненты АП не имеют права производить самостоятельную установку и модификацию указанного программного обеспечения, однако могут обращаться к администратору для проведения его экспертизы на предмет улучшения характеристик, наличия "вирусов", замаскированных возможностей выполнения непредусмотренных действий.

6.3.8. Устанавливаемые межсетевые экраны должны соответствовать классу защищаемого АП (АС) и отвечать требованиям РД Гостехкомиссии России "Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации".

6.3.10. Технические средства АП должны быть размещены либо в отдельном помещении (при автономной ПЭВМ, подключенной к Сети), либо в рабочих помещениях абонентов с принятием организационных и технических мер, исключающих несанкционированную работу в Сети.