Содержание
7 Объекты защиты информации 2
7.1 Понятие и общая классификация объектов защиты информации 2
7.1.1 Понятие объекта защиты информации 2
7.2 Средства и системы обработки информации как объекты защиты информации 6
7.3 Средства обеспечения объекта информатизации 9
7.4 Помещения, в которых установлены средства обработки, и помещения для конфиденциальных переговоров как объекты защиты информации 11
7 Объекты защиты информации
7.1 Понятие и общая классификация объектов защиты информации
7.1.1 Понятие объекта защиты информации
Одним из элементов проектирования системы защиты информации в организации является определение объектов защиты.
Объект - любая часть, элемент, устройство, подсистема, функциональная единица, аппаратура или система, которые можно рассматривать в отдельности (Международный стандарт CEI IEC 50 (191). Надежность и качество услуг).
Объект защиты информации - информация, или носитель информации, или информационный процесс, которые необходимо защищать в соответствии с поставленной целью защиты информации.
К объектам защиты информации также относятся:
- защищаемая информационная система;
- защищаемый объект информатизации;
- хранилища носителей информации ограниченного доступа.
Состав основных объектов защиты информации. Состав основных объектов защиты информации представлен на рисунке 13.1.
Рисунок 13.1 - Объекты защиты информации
Защищаемые информационные процессы. Информационные процессы - это процессы обработки информации с использованием информационных технологий и технических средств. Обработка информации - совокупность операций сбора, накопления, ввода, вывода, приема, передачи, тиражирования, записи, хранения, регистрации, уничтожения, преобразования, отображения информации. Требования к защищённости информационных процессов реализуются через требования к защищённости информационных и информационно-телекоммуникационных технологий, средств вычислительной техники, информационных систем, объектов информатизации.
Защищаемая информационная система. Защищаемая информационная система -информационная система, предназначенная для обработки защищаемой информации с требуемым уровнем ее защищенности.
Защищаемые объекты информатизации. Защищаемый объект информатизации (ЗОИ) - объект информатизации, предназначенный для обработки защищаемой информации с требуемым уровнем ее защищенности.
Классификация объектов информатизации. Состав типового объекта информатизации, как объекта защиты, приводится в стандарте ГОСТ Р 51275-2006. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. В соответствии с этим стандартом объект информатизации это совокупность:
- информационных ресурсов;
- средств и систем обработки информации, используемых в соответствии с заданной информационной технологией;
- средств обеспечения объекта информатизации;
- помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров.
Исходя из логики составляющих защищаемого объекта информатизации, существующих нормативных документов и стандартов в области защиты информации можно выделить два основных вида защищаемых объектов информатизации (рисунок 13.2).
Рисунок 13.2 - Виды и состав объектов информатизации
Первый вид - защищаемые объекты информатизации предприятия, учреждения, организации, предназначенные для обработки, хранения, передачи информационных ресурсов ограниченного доступа.
Второй вид - защищаемые помещения и объекты, предназначенные для ведения конфиденциальных переговоров.
Первый из указанных видов включает три типа защищаемых объектов информатизации:
1) автоматизированные системы различного уровня и назначения;
2) системы связи, приема, обработки и передачи данных;
3) системы отображения и размножения.
Второй - один тип - помещения или объекты, предназначенные для ведения конфиденциальных переговоров.
Классификация защищаемых объектов информатизации по видам и типам представлена на рисунке 13.3.
Рисунок 13.3 - Классификация ЗОИ по видам и типам
Хранилища носителей информации ограниченного доступа.
В качестве объектов защиты информации рассматриваются:
сейф (устройство, предназначенное для хранения ценностей, документов и носителей информации, с площадью основания изнутри не более 2 м2 и устойчивое к взлому. По конструктивному исполнению сейфы подразделяют на простые и модульные.).
хранилище (сооружение, представляющее собой железобетонную оболочку (стены, пол, потолок), предназначенное для хранения ценностей, документов и носителей информации, с площадью основания изнутри более 2 м2, защищенное от взлома и устойчивое к воздействию опасных факторов пожара. Подразделяются на: монолитные; сборные из панелей; комбинированные).
Хранилища и сейфы для хранения носителей ИОД являются одним из рубежей физической защиты, если отвечают определённым требованиям. Минимальные требования должны обеспечить:
- регистрацию несанкционированного проникновения (путем оборудования сигнализацией на вскрытие, приспособлениями для опечатывания и т.п.);
- невозможность выноса хранилища за пределы помещения;
- защиту хранящихся носителей от физического разрушения (при пожаре, других стихийных бедствиях);
- противодействие взлому конструкций и замков хранилища в течение заданного временного промежутка, достаточного для выявления факта несанкционированного воздействия и реакции подразделений охраны и безопасности.
Полные требования к этой категории объектов защиты информации установлены ГОСТ Р 50862-2005. Сейфы, сейфовые комнаты и хранилища. Требования и методы испытаний на устойчивость к взлому и огнестойкость. При соответствии требованиям хранилища носителей ИОД одновременно являются объектами и средствами защиты.
7.2 Средства и системы обработки информации как объекты защиты информации
Средства и системы обработки информации, как объекты защиты информации, составляют техническую основу ЗОИ, предназначенных для обработки, хранения и передачи ИОД.
В специальных нормативных документах по защите информации ограниченного доступа они определены как «основные технические средства и системы».
Основные технические средства и системы (ОТСС) - технические средства и системы, а также их коммуникации, используемые для обработки, хранения и передачи информации ограниченного доступа. К ОТСС относятся:
- автоматизированные системы различного уровня и назначения;
- системы связи, приема, обработки и передачи данных;
- системы отображения и размножения.
Автоматизированные системы. Автоматизированная система (АС) -система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций. В качестве АС может рассматриваться информационная система и персонал.
В зависимости от условий обработки на конкретном ЗОИ и степени конфиденциальности (секретности) информационных ресурсов обрабатываемы в АС, специальными нормативными (руководящими) документами установлено 9 классов защищённости АС от НСД, на основе которых эти АС аттестуются по требованиям безопасности информации.
Типы объектов информатизации, основанные на типе систем и средств обработки информации (ОТСС) приведены в таблице 13.1.
Таблица 13.1 - Типы объектов информатизации, основанные на типе систем и средств обработки информации
Тип объекта информатизации | Характеристика или состав ОТСС |
1. Автоматизированные системы (IT- система) | Система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций. Создаются на базе СВТ (ОС, СУБД, другого общесистемного программного обеспечения, используемого для обработки ИОД) |
2. Системы связи, приема, обработки и передачи данных | Средства телефонии, звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства |
Информационно-телекоммуникационные сети (ИТКС) | |
Другие технические средства обработки речевой, графической, видео, смысловой и буквенно - цифровой информации | |
3. Системы отображения и размножения | Средства отображения (видеопроектор, LCD -экран для общего просмотра и т.п.) |
Средства изготовления, тиражирования документов (принтер, ксерокс, плоттер, сканер и т.п.) |
АС создаются на базе СВТ. Под СВТ понимается совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем. К ним относят общесистемные программные средства и операционные системы (с учетом архитектуры ЭВМ):
- операционные системы (семейств Windows, NetWare, UNIX и др.),
- СУБД (Oracle, Microsoft SQL Server, Informix и др.);
- программное обеспечение (электронный документооборот, справочные системы, электронная бухгалтерия и т.п.).
Требования по безопасности информации в СВТ, как объектах защиты информации определены в нормативном документе «Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации».
Руководящим документом установлены семь классов защищённости СВТ. Выбор класса защищенности СВТ для автоматизированных систем, создаваемых на базе защищенных СВТ, зависит от грифа конфиденциальности (секретности) обрабатываемой в АС информации, условий эксплуатации и расположения объектов системы.
Системы связи, приема, обработки и передачи данных. Системы связи, приема, обработки и передачи данных создаются и функционируют на основе соответствующих средств и сетей. К ним могут быть отнесены:
- средства телефонии, звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства;
- информационно-телекоммуникационные сети (ИТКС);
- другие технические средства обработки речевой, графической, видео, смысловой и буквенно - цифровой информации.
Аттестуются по требованиям безопасности информации как объекты информатизации. Требования безопасности установлены специальными нормативными документами по защите информации.
Системы отображения и размножения. К системам отображения и размножения, рассматриваемых в качестве ОТСС, относят:
- средства отображения (видеопроектор, LCD -экран для общего просмотра (электронная доска) и т.п.)
- средства изготовления, тиражирования документов (принтер, ксерокс, плоттер, сканер и т.п.).
Аттестуются по требованиям безопасности информации как объекты информатизации. Требования безопасности установлены специальными нормативными документами по защите информации.
Для аттестации указанных трёх типов защищаемых объектов информатизации, также должны быть выполнены требования по безопасности для средств обеспечения объекта информатизации и предотвращению утечки ИОД через эти средства и системы.
7.3 Средства обеспечения объекта информатизации
Состав средств обеспечения объекта информатизации. Состав средств обеспечения объекта информатизации может быть представлен в виде трёх трупп (таблица 13.2):
- вспомогательные технические средства и системы (ВТСС), устанавливаемые совместно с ОТСС или в помещениях для конфиденциальных переговоров,
- средства инженерных коммуникаций и ограждающие конструкции;
- системы электропитания и заземления.
Таблица13.2 - Средства обеспечения объекта информатизации
Группа средств | Средства обеспечения объекта информатизации |
ВТСС | Различного рода телефонные средства и системы; |
Средства и системы передачи данных в системе радиосвязи; | |
Средства и системы охранной и пожарной сигнализации; | |
Средства и системы оповещения и сигнализации; | |
Контрольно-измерительная аппаратура; | |
Средства и системы кондиционирования; | |
Средства и системы проводной радиотрансляционной сети и приема программ радиовещания и телевидения (абонентские громкоговорители, системы радиовещания, телевизоры и радиоприемники и т.д.); | |
Средства электронной оргтехники; | |
Средства и системы элекгрочасофикации; | |
Иные технические средства и системы. | |
Системы электропитания и заземления | Системы электропитания |
Системы заземления | |
Ограждающие конструкции и инженерные коммуникации | Системы отопления |
Канализация | |
Турникеты | |
другие |
Вспомогательные технические средства и системы (ВТСС) -технические средства и системы, не предназначенные для передачи, обработки и хранения конфиденциальной информации, устанавливаемые совместно с основными техническими средствами и системами или в защищаемых (выделенных) помещениях.
Вспомогательные технические средства и системы. К ВТСС относятся:
- различного рода телефонные средства и системы;
- средства и системы передачи данных в системе радиосвязи;
- средства и системы охранной и пожарной сигнализации;
- средства и системы оповещения и сигнализации;
- контрольно-измерительная аппаратура;
- средства и системы кондиционирования;
- средства и системы проводной радиотрансляционной сети и приема программ радиовещания и телевидения (абонентские громкоговорители, системы радиовещания, телевизоры и радиоприемники и т.д.);
- средства электронной оргтехники;
- средства и системы электрочасофикации;
- иные технические средства и системы.
Через ВТСС за счёт наводок возможна утечка информации по техническим каналам. Их расположение, использование не должно приводить к появлению каналов утечки ИОД. Их работа на объекте информатизации должна быть строго регламентирована. При аттестации объекта информатизации по требованиям безопасности информации осуществляется проверка и соответствие мероприятий, требованиям, определённым специальными нормативными документами для ВТСС на защищаемом объекте информатизации.
Системы электропитания и заземления. Системы электропитания и заземления должны соответствовать стандартам и нормативным документам в этой области. Являются потенциальными техническими каналами утечки ИОД, если имеют выход за пределы контролируемой зоны. Требования по предотвращению утечки информации через системы электропитания и заземления за счёт наводок определены в специальных нормативных документах по защите информации. При аттестации объекта информатизации по требованиям безопасности информации осуществляется проверка и соответствие мероприятий по предотвращению утечки ИОД по каналам образуемым системами электропитания и заземления.
Ограждающие конструкции и инженерные коммуникации. К этой труппе объектов относятся: системы отопления, канализация, турникеты, и другие конструкции и инженерные коммуникации. При аттестации объекта информатизации по требованиям безопасности информации осуществляется проверка наличия каналов утечки ИОД через указанные элементы, при их наличии и соответствие мероприятий и средств защиты предотвращающих возможность утечки ИОД.
7.4 Помещения, в которых установлены средства обработки, и помещения для конфиденциальных переговоров как объекты защиты информации
Общая характеристика помещений как объектов защиты информации. Как объекты защиты, объекты информатизации не могут быть охарактеризованы без понятия контролируемой зоны.
Контролируемая зона (КЗ) - это пространство (территория, здание, часть здания), в котором исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового допуска, и посторонних транспортных средств.
Границей КЗ могут являться:
- периметр охраняемой территории учреждения (предприятия);
- ограждающие конструкции охраняемого здания или охраняемой части здания (помещения), если оно размещено на неохраняемой территории.
В отдельных случаях на период обработки техническими средствами конфиденциальной информации КЗ временно может устанавливаться большей, чем охраняемая территория предприятия. При этом должны приниматься организационно-режимные и технические меры, исключающие или существенно затрудняющие возможность ведения перехвата информации в этой зоне.
Помещения, в которых установлены ОТСС, обрабатывающие ИОД, и помещения для конфиденциальных переговоров как объекты защиты характеризуются определёнными параметрами:
- расположением в здании (этаж) - этажность;
- расположением на территории предприятия и (или) здания;
- наличием (количеством) окон, дверей их расположением;
- прохождением систем тепло и водоснабжения, вентиляции и др.
Указанные параметры и периметр контролируемой зоны влияют на необходимый перечень мер, методов и средств, для защиты информации на объекте информатизации.
Помещения (здания) для работы с защищаемой информацией являются одним из рубежей, препятствующих несанкционированному доступу к объектам защиты. Они должны удовлетворять следующим требованиям:
- обеспечивать защиту от проникновения злоумышленника (физическую защиту) на время, необходимое для выявления и пресечения нарушения;
- исключать просмотр и прослушивание;
- обеспечивать сохранность носителей защищаемой информации от хищений с использованием квалифицированных методов взлома;
- обеспечивать безопасность персонала объектов и посетителей от вооруженных нападений;
- соответствовать строительным нормам и правилам, санитарно-гигиеническим нормам, требованиям противопожарной безопасности;
- при проведении работ с информацией обеспечивать ее защиту от утечки по техническим каналам;
- иметь условия для разграничения доступа к проводимым работам.
Помещения, в которых установлены средства обработки защищаемой информации. Помещения, в которых установлены средства обработки защищаемой информации, не являются самостоятельными объектами информатизации и защиты. При аттестации объекта информации по требованиям безопасности информации, помещения в которых установлены ОТСС обрабатывающие ИОД, должны соответствовать требованиям и рекомендациям, установленным специальными нормативными документами, а также стандартам для средств физической защиты (укреплённости) помещений (стандарты определяющие требования к остеклению, дверям, замкам, стойкость к взлому стен, перекрытий, системам охранной и пожарной сигнализации, системам контроля и управления доступом и др.).
Помещения для конфиденциальных переговоров. Помещения для конфиденциальных переговоров относятся к отдельному типу защищаемых объектов информатизации - защищаемым помещениям.
Защищаемые помещения (ЗП) - помещения (служебные кабинеты, актовые, конференц-залы и т.д.), специально предназначенные для проведения конфиденциальных мероприятий (совещаний, обсуждений, конференций, переговоров и т.п.).
В помещениях для конфиденциальных переговоров информация не хранится постоянно. В связи с этим их относят к классу «выделенных» защищаемых помещений.
Главной задачей защиты информации в помещениях для конфиденциальных переговоров является защита речевой акустической информации. Помещения должны удовлетворять следующим основным требованиям:
- обеспечивать защиту от проникновения злоумышленника (физическую защиту) на время, необходимое для выявления и пресечения нарушения (предотвращение установки закладочных устройств);
- исключать просмотр и прослушивание ИОД в период конфиденциальных переговоров.
Перечень мероприятий и комплекс средств, для защиты таких помещений зависит от уровня конфиденциальности (секретности) оглашаемой в период переговоров информации. Требования к «выделенным» помещениям, в которых оглашается сведения, составляющие государственную тайну, определены в специальных нормативных документах по защите государственной тайны. Требования к «выделенным» помещениям, в которых оглашается сведения конфиденциального характера, определены в специальных нормативных документах по защите конфиденциальной информации.
Для предотвращения применения со стороны злоумышленников (разведок) закладочных устройств защищаемые помещения подвергают специальным проверкам.