Информационная характеристика.

↑

▷ Содержание

⇐ ПредыдущаяСтр 3 из 5Следующая ⇒

В технологическом процессе обработки конфиденциальной информации определены следующие компоненты:

- субъекты доступа;

- объекты доступа.

К субъектам доступа относятся:

- служащие, имеющие отношение к процессу функционирования Администрации и которые имеют возможность доступа к её ресурсам;

- процедуры (процессы) обработки данных прикладного и системного ПО, а также СУБД, которые получают данные из файлов и баз данных на сервере.

К объектам доступа относятся:

- информационные ресурсы – отдельные файлы и массивы файлов, поля, записи и таблицы БД, документы, машинные носители информации (НЖМД, НГМД, CD-RW (CD-R) диски), доступ к которым должен регламентироваться правилами разграничения доступа;

- элементы системы – средства обработки и передачи информации (технические и программные средства, средства приема, отображения, перемещения информации, машинные накопители и носители на бумажной основе), доступ к которым необходимо регламентировать.

На ПЭВМ пользователей и на сервере установлены операционные системы семейства Microsoft Windows (XP), но система управления пользователями и разграничения доступа к файловым ресурсам не является централизованной (доменная структура отсутствует).

Каналы утечки информации.

К возможным каналам утечки или нарушения целостности информации можно отнести:

- НСД к информации, обрабатываемой на ПЭВМ и на сервере;

- НСД к бумажным и машинным носителям информации;

- выход из строя технических и программных средств, в т.ч. машинных носителей информации.

Нарушение целостности информации возможно как путем физического разрушения носителей информации, так и путем искажения ее с помощью программных средств:

- Аварии, стихийные бедствия (пожар, затопление);

- Колебания в сети электропитания;

- Старение магнитной поверхности носителей информации;

- Ошибочное удаление информации пользователем;

- Сбои прикладного программного обеспечения.

Возможны следующие способы несанкционированного доступа к защищаемым ресурсам АС:

- физический доступ к носителям информации (к серверу) и их резервным копиям с целью их хищения;

- физический доступ к бумажным носителям информации, с целью их хищения, размножения, фотографирования;

- непосредственный (вне рамок прикладного ПО) доступ к файлам хранилища информации, таблицам БД и исполняемым модулям ПО - удаленно или локально с целью их копирования и дальнейшей установки, а также с целью их уничтожения;

- применение нештатных специальных программ, обеспечивающих восстановление удаленных данных с машинных носителей информации;

- передача файлов по каналам связи между сотрудниками и за пределы станции с целью предоставления НСД лицам, не имеющим допуска к данной информации в обход штатных средств защиты;

- доступ в рамках прикладного ПО локально или удаленно к базам данных и файлам с использованием недокументированных возможностей и режимов работы этого ПО, разработанных и установленных в качестве модификаций, в случае, когда разработчиком ПО является сторонняя организация;

- любой доступ к ПО и данным с использованием технологий взлома средств защиты с целью получения или уничтожения данных (в т.ч. компьютерные вирусы);

- доступ с использованием чужого идентификатора, а также с чужого рабочего места во время отсутствия пользователя этого АРМ.

Модель нарушителя

В качестве возможного нарушителя рассматривается субъект, имеющий доступ к работе с программными и техническими средствами. Нарушители классифицируются по уровню возможностей, предоставляемых им всеми доступными средствами (Таблица 1).

Таблица 1.

Фактическая защищенность

Доступ служащих к ресурсам разграничивается штатными средствами ОС. Список служащих, имеющих доступ к ресурсам, документально определен. Доступ ограничивается в соответствии с должностными инструкциями.

Документ, определяющий порядок конфиденциального документооборота существует и утвержден.

Документально определена технология обработки информации (документ «Описание технологического процесса обработки информации»).

На серверах и рабочих станциях применяются операционные системы MS Windows, что позволяет применить сертифицированные средства защиты от НСД. Но также осуществляется обработка информации в СУБД, что практически исключает применение на данных объектах сертифицированных средств защиты от НСД по причине отсутствия таких средств на рынке.

Перечень мер по защите

Разработка перечня защищаемой информации

- Необходимо переработать перечень сведений конфиденциального характера в плане детализации обрабатываемых данных и отнесении сведений к той или иной степени конфиденциальности.

  Конфиденциальность информации

С целью повышения степени защищенности информации в плане соблюдения конфиденциальности необходимо:

- разделить ввод и вывод информации одного грифа на уровне АРМ или пользователей с целью разделения ответственности и усиления контроля за этими этапами технологического процесса;

- ограничить (в т.ч. организационно) возможности несанкционированного вывода информации пользователями на внешние носители (дискеты, лазерные накопители CD-RW, USB-Flash) и на печать;

- ограничить количество или исключить использование локальных принтеров на АРМ пользователей, назначить ответственных за печать документов на сетевых принтерах;

- исключить доступ пользователей к ресурсам АРМ других пользователей, как на запись, так и на чтение, т.е. возможность создания пользователями общих сетевых ресурсов на своих АРМ. Обмен информацией между пользователями осуществлять через общие ресурсы на серверах;

- если один служащий относится к нескольким категориям пользователей, то при совмещении обязанностей он должен пользоваться разными идентификаторами. Например, администратор может выполнять работу пользователя, но не имеет права делать это с идентификатором администратора.

Целостность информации

С целью повышения степени защищенности информации в плане соблюдения целостности необходимо:

- внедрение исправлений и добавлений централизованно распространяемых ведомственных программных средств на АРМ пользователей и на сервер должно осуществляться в виде уже откомпилированных исполняемых модулей и процедур, в состав которых не должны включаться средства отладки.

Состав рабочей документации

Для документального определения режимов обработки и защиты информации в состав рабочей (исполнительной) документации по защите конфиденциальной информации необходимо включить следующие документы:

· «Описание технологического процесса обработки конфиденциальной информации», в котором отражен порядок проведения всех операций ТП (ввод, вывод, обработка и хранение, резервирование и восстановление, управление доступом);

· «Инструкция пользователя», в которой отражены порядок его работы с информацией, права, обязанности и ответственность;

·  «Инструкции администраторов ОС, БД»;

· «Инструкция обслуживающего персонала»;

· «Журнал регистрации бумажных носителей информации», в котором учитываются все операции распечатывания документов, графы журнала заполняются исполнителями работ;

· «Журнал учета резервного копирования», в котором учитываются все операции резервного копирования и восстановления информации, все графы журнала заполняют администраторы.

· Перечень сведение конфиденциального характера Администрации города Миасса.

Приложение №4

«Политика безопасности Администрация города Миасса

	УТВЕРЖДАЮ Первый заместитель главы города А.С..Бородин

Политика

19.10.2007 г. №     1__ 

г. Челябинск

Познавательные статьи:



Как правильно слушать собеседника

Типичные ошибки при выполнении бросков в баскетболе

Принятие христианства на Руси и его значение

Средства массовой информации США