Класифікація вимог до систем захисту інформації.

Класифікація вимог до систем захисту інформації.

Вимоги щодо захисту інформації визначаються власником ІС і погоджуються з виконавцем робіт зі створення системи захисту інформації (виконавець повинен мати відповідну ліцензію на право проведення таких робіт).

У процесі формування вимог до СЗІ доцільно знайти відповіді на наступні питання.

1. Які заходи безпеки передбачається використовувати?

2. Яка вартість доступних програмних і технічних заходів захисту?

3. Наскільки ефективні доступні заходи захисту?

4. Наскільки уразливі підсистеми СЗІ?

5. Чи є можливість провести аналіз ризику (прогнозування можливих наслідків, які можуть викликати виявлення загрози та канали витоку інформації)?

Сукупність вимог до систем захисту інформації представлена на рисунку.

У загальному випадку доцільно виділити наступні групи вимог до систем захисту інформації

- загальні вимоги

- організаційні вимоги

- конкретні вимоги до підсистем захисту, технічного і програмного

забезпеченню, документування, способам, методам і засобам захисту.

Загальні вимоги до систем захисту інформації.

Насамперед необхідна повна ідентифікація користувачів, терміналів, програм, а також основних процесів і процедур, бажано до рівня запису або елемента.

Крім того слід обмежити доступ до інформації, використовуючи сукупність наступних способів:

- ієрархічна класифікація доступу,

- класифікація інформації за важливістю і місця її виникнення,

- вказівка обмежень до інформаційних об'єктів, наприклад користувач може здійснювати тільки читання файлу без права запису в нього,

- визначення програм і процедур, наданих тільки конкретним користувачеві.

Система захисту повинна гарантувати, що будь-який рух даних ідентифікується, авторизується, виявляється і документується.

Організаційні вимоги до систем захисту інформації.

Організаційні вимоги до системи захисту передбачають реалізацію сукупності адміністративних і процедурних заходів.

Вимоги щодо забезпечення збереження повинні виконуватися перш за все на адміністративному рівні. Організаційні заходи, що проводяться з метою підвищення ефективності захисту інформації, повинні передбачати такі процедури:

− обмеження несупроводжуваного доступу до обчислювальної системи (реєстраціяі супровід відвідувачів);

−здійснення контролю за зміною в системі програмного забезпечення;

−виконання тестування і верифікації змін в системі програмного

забезпечення і програмах захисту;

−організацію та підтримку взаємного контролю за виконанням правил захисту

даних;

−обмеження привілеї персоналу, що обслуговує ІС;

−здійснення запису протоколу про доступ до системи;

Вимоги до підсистем захисту інформації.

Вимоги до підсистем захисту інформації

У загальному випадку СЗІ доцільно умовно розділити на підсистеми:

− управління доступом до ресурсів ІС (включає також функції управління сис?

темою захисту в цілому);

−реєстрації та обліку дій користувачів (процесів);

−криптографічну;

−забезпечення цілісності інформаційних ресурсів і конфігурації ІС.

Для кожної з них визначаються вимоги у вигляді:

−переліку забезпечуваних підсистемою функцій захисту;

−основних характеристик цих функцій;

−переліку засобів, що реалізують ці функціі.Глава 20. Вимоги до систем захисту інформації

Підсистема управління доступом повинна забезпечувати:

−ідентифікацію, аутентифікацію і контроль за доступом користувачів (процесів) до системи, терміналам, вузлів мережі, каналів зв'язку, зовнішнім пристроям, програмам, каталогами, файлів, записів і т.д.;

−управління потоками інформації;

−очистку звільняються областей оперативної пам'яті і зовнішніх накопичувачів.

Вимоги до технічного забезпечення

У цій групі формулюються вимоги до таких параметрів:

– місце застосування засобів захисту;

– способам їх використання (наприклад, реалізація вимог по захищеності повинна досягатися без застосування екранування приміщень, активні середовища можуть застосовуватися тільки для захисту інформації головного сервера і т.п.);

– розмірами контрольованої зони безпеки інформації;

– необхідній величині показників захищеності, що враховує реальну обстановку на об'єктах ІС;

– застосуванню способів, методів і засобів досягнення необхідних показників захищеності.

– проведенню спецдосліджень обладнання і технічних засобів, метою кото? рого є вимірювання показників ЕМВ;

– проведення спецперевірки технічних об'єктів ІВ, метою якої є виявлення спеціальних електронних (заставних) пристроїв.

Вимоги до програмного забезпечення

– Програмні засоби захисту інформації повинні забезпечувати контроль досту? Па, безпеку і цілісність даних і захист самої системи захисту. Для цього необхідно виконати наступні умови:

– об'єкти захисту повинні ідентифікуватися в явному вигляді при використанні паролів, пропусків і ідентифікації по голосу;

– система контролю доступу повинна бути достатньо гнучкою для забезпечення многообразних обмежень і різних наборів об'єктів;

– кожен доступ до файлу даних або пристрою повинен простежуватися через систем контролю доступу для того, щоб фіксувати і документувати будь яке звернення.

Безпека даних може забезпечуватися наступною системою заходів:

– об'єкти даних ідентифікуються і забезпечуються інформацією служби безпеки. Доцільно цю інформацію розміщувати не в окремому каталозі, а разом з інформацією, що має мітки;

– кодові слова захисту розміщуються всередині файлів, що значною мірою повишает ефективність захисту;

– доступ до даних доцільний за допомогою непрямих посилань, наприклад списку користувачів, допущених власником файлу до розміщених в ньому даними;

– дані і програми можуть перетворюватися (кодуватися) внутрішнім способом для зберігання.

Система захисту інформації повинна бути захищена від впливу навколишнього середовища. З цією метою виконується наступна сукупність заходів:

– Інформація по негативним запитам не видається;

– Повторні спроби доступу після невдалих звернень повинні мати межу;

– при зменшенні конфігурації системи або при її тестуванні функції захисту зберігаються;

– Ніякі зміни таблиць безпеки, крім зміни зі спеціального обладнання або пульта управління, не дозволяються.

Вимоги по вживанню способів, методів і засобів захисту

Рекомендується вживання наступних способів, методів і засобів, які припускають використання:

• інтерфейсів з передачею сигналів у вигляді послідовного коду і в режимі багатогократних повторень;

• мультиплексних режимів обробки інформації, а також СВТ і системного забезпечення, що базуються на багаторозрядних платформах, інтерфейсів з передачою сигналів у вигляді багаторозрядної паралельної коди;

• раціональних способів монтажу, при яких забезпечується мінімальна протяжністюелектричних зв'язків і комунікацій;

• технічних засобів, до складу яких входять стійкі до самозбудження схеми, розв'язуючі і фільтруючі елементи, комплектуючі з низькими рівнями ЕМІ;

• мережевих фільтрів для блокування просочування інформації по ланцюгах електроживлення, а також лінійних (високочастотних) фільтрів для блокування просочування інформації по лініях зв'язку;

• технічних засобів в захищеного виконання;засобів просторового і лінійного “зашумленія”;засобів локального або загального екранування;

• Етапів побудови систем захисту інформаціїспособів оптимального розміщення технічних засобів з метою мінімізації контрольованої зони безпеки інформації.

Як захистити?

До загальних заходів захисту інформації в засобах і мережах їх передачі і обробки переважно передбачають використання апаратних, програмних та криптографічних засобів захисту. В свою чергу, апаратні засоби захисту застосовуються для вирішення таких завдань:

1. перешкоджання візуальному спостереженню і дистанційному підслуховуванню;

2. нейтралізація паразитних електромагнітних випромінювань і наводок;

3. виявлення технічних засобів підслуховування і магнітного запису, несанкціоновано встановлених або які пронесено до установ підприємства, банку;

4. захист інформації, що передається засобами зв'язку і знаходяться в системах автоматизованої обробки даних.

За своїм призначенням апаратні засоби захисту поділяються на засоби виявлення і засоби захисту від несанкціонованого доступу. Слід зазначити, що універсального засобу, який би дозволяв виконувати всі функції, не існує, тому для виконання кожної функції відповідно до виду засобів несанкціонованого доступу існують свої засоби пошуку та захисту. За таких умов заходи щодо протидії незаконному вилученню інформації за допомогою цих засобів досить трудомісткі та дорогі і вимагають спеціальної підготовки фахівців.

Захист інформації від копіювання здійснюється завдяки виконанню таких функцій:

1. ідентифікація середовища, з якого може запускатись програма;

2. аутентифікація середовища, із якого запущена програма;

3. реакція на запуск із несанкціонованого середовища;

4. реєстрація санкціонованого копіювання;

5. протидія вивченню алгоритмів роботи системи.

Складність визначення, яка саме інформація підприємства підлягає захисту, полягає в тому, одна й та сама інформація в одному випадку вважатиметься конфіденційною, а в іншому – ні. Кожен підприємець самостійно визначає склад відомостей, що належатимуть до комерційної таємниці. Законодавством України встановлені два обмеження, застосовуваних до таких відомостей.

Класифікація вимог до систем захисту інформації.

Вимоги щодо захисту інформації визначаються власником ІС і погоджуються з виконавцем робіт зі створення системи захисту інформації (виконавець повинен мати відповідну ліцензію на право проведення таких робіт).

У процесі формування вимог до СЗІ доцільно знайти відповіді на наступні питання.

1. Які заходи безпеки передбачається використовувати?

2. Яка вартість доступних програмних і технічних заходів захисту?

3. Наскільки ефективні доступні заходи захисту?

4. Наскільки уразливі підсистеми СЗІ?

5. Чи є можливість провести аналіз ризику (прогнозування можливих наслідків, які можуть викликати виявлення загрози та канали витоку інформації)?

Сукупність вимог до систем захисту інформації представлена на рисунку.

У загальному випадку доцільно виділити наступні групи вимог до систем захисту інформації

- загальні вимоги

- організаційні вимоги

- конкретні вимоги до підсистем захисту, технічного і програмного

забезпеченню, документування, способам, методам і засобам захисту.