Конкретные требования к подсистемам защиты информации

В общем случае СЗИ целесообразно условно разделить на подсистемы:

ü управления доступом к ресурсам ИС (включает также функции управления системой защиты в целом);

ü регистрации и учета действий пользователей (процессов);

ü криптографическую;

ü обеспечения целостности информационных ресурсов и конфигурации ИС.

Для каждой из них определяются требования.

Подсистема управления доступом должна обеспечивать:

ü идентификацию, аутентификацию и контроль за доступом пользователей (процессов) к системе, терминалам, узлам сети, каналам связи, внешним устройствам, программам, каталогам, файлам, записям и т.д.;

ü управление потоками информации;

ü очистку освобождаемых областей оперативной памяти и внешних накопителей.

Подсистема регистрации и учета выполняет:

ü регистрацию и учет доступа в ИС, выдачи выходных документов, запуска программ и процессов, доступа к защищаемым файлам, передачу данных по линиям и каналам связи;

ü регистрацию изменения полномочий доступа, создание объектов доступа, подлежащих защите;

ü учет носителей информации;

ü оповещение о попытках нарушения защиты.

Криптографическая подсистема предусматривает:

ü шифрование конфиденциальной информации;

ü шифрование информации, принадлежащей разным субъектам доступа (группам субъектов), с использованием разных ключей;

ü использование аттестованных (сертифицированных) криптографических средств.

Подсистема обеспечения целостности осуществляет:

ü обеспечение целостности программных средств и обрабатываемой информации;

ü физическую охрану средств вычислительной техники и носителей информации;

ü наличие функций администратора (службы) защиты информации в ИС;

ü наличие средств восстановления СЗИ;

ü использование сертифицированных средств защиты;

ü контроль за целостностью:

o программных средств защиты информации при загрузке операционной среды,

o операционной среды перед выполнением процессов,

o функционального ПО и данных,

o конфигурации ИС;

ü оперативное восстановление функций СЗИ после сбоев;

ü тестирование средств защиты информации;

ü обнаружение и блокирование распространения вирусов;

ü резервное копирование программного обеспечения и данных;

ü контроль доступа к СВТ, дающий уверенность в том, что только авторизованный пользователь использует имеющиеся рабочие программы и информацию;

ü контроль действий с персональной авторизацией, запрещающий операции, которые делают операционную среду уязвимой;

ü защиту программного обеспечения, исключающую повреждение инсталлированных программ;

ü использование только лицензионного программного продукта с целью обеспечения защиты от встроенных модулей разрушения информационной среды и дискредитации систем защиты;

ü защит у коммуникаций для обеспечения недоступности передаваемой информации.

Требования к техническому обеспечению

В этой группе формулируются требования к следующим параметрам:

ü месту применения средств защиты;

ü способам их использования (например, реализация требований по защищенности должна достигаться без применения экранирования помещений, активные средства могут применяться только для защиты информации главного сервера и т.п.);

ü размерам контролируемой зоны безопасности информации;

ü требуемой величине показателей защищенности, учитывающей реальную обстановку на объектах ИС;

ü применению способов, методов и средств достижения необходимых показателей защищенности;

ü проведению специсследования оборудования и технических средств, целью которого является измерение показателей электромагнитного излучения;

ü проведению спецпроверки технических объектов ИС, целью которой является выявление специальных электронных (закладных) устройств.

Требования к программному обеспечению

Программные средства защиты информации должны обеспечивать контроль доступа, безопасность и целостность данных и защиту самой системы защиты. Для этого необходимо выполнить следующие условия:

ü объекты защиты должны идентифицироваться в явном виде при использовании паролей, пропусков и идентификации по голосу;

ü система контроля доступа должна быть достаточно гибкой для обеспечения многообразных ограничений и различных наборов объектов;

ü каждый доступ к файлу данных или устройству должен прослеживаться через систему контроля доступа для того, чтобы фиксировать и документировать любое обращение.

Безопасность данных может обеспечиваться следующей системой мероприятий:

ü объекты данных идентифицируются и снабжаются информацией службы безопасности;

ü кодовые слова защиты размещаются внутри файлов, что в значительной мере повышает эффективность защиты;

ü доступ к данным целесообразен с помощью косвенных ссылок, например списка пользователей, допущенных владельцем файла к размещенным в нем данным;

ü данные и программы могут преобразовываться (кодироваться) внутренним способом для хранения.

Система защиты информации должна быть защищена от воздействия окружающей среды. С этой целью выполняется следующая совокупность мероприятий:

ü информация по отрицательным запросам не выдается;

ü повторные попытки доступа после неудачных обращений должны иметь предел;

ü при уменьшении конфигурации системы или при ее тестировании функции защиты сохраняются;

ü никакие изменения таблиц безопасности, кроме изменения со специального устройства или пульта управления, не разрешаются.

Требования по применению способов, методов и средств защиты

Рекомендуется применение следующих способов, методов и средств, которые предполагают использование:

ü рациональных способов монтажа, при которых обеспечивается минимальная протяженность электрических связей и коммуникаций;

ü технических средств, в состав которых входят устойчивые к самовозбуждению схемы, развязывающие и фильтрующие элементы, комплектующие с низкими уровнями электромагнитных излучений;

ü сетевых фильтров для блокирования утечки информации по цепям электропитания, а также линейных (высокочастотных) фильтров для блокирования утечки информации по линиям связи;

ü технических средств в защищенном исполнении;

ü средств пространственного и линейного «зашумления»;

ü средств локального либо общего экранирования;

ü способов оптимального размещения технических средств с целью минимизации контролируемой зоны безопасности информации.

Требования к документированию

Можно выделить три группы требований к документированию системы защиты информации: протоколирование, тестирование программ и обработка угроз. При разработке системы протоколирования следует учитывать следующие специфические требования:

ü необходимость записей всех движений защищаемых данных;

ü возможность воссоздания при необходимости ретроспективы использования защищаемого объекта, для реализации которой обеспечивается запоминание состояний программы и окружающей среды;

ü накопление статистик и по протоколам использования информации в системе.

Существенной особенностью тестирования программ системы защиты информации должно быть наличие специальной программы генерации ложных адресов, несанкционированных попыток доступа к данным, моделирования сбойных ситуаций и других специфических свойств. При тестировании системы защиты информации необходимо также обратить внимание на тщательную проверку таблиц безопасности, системы паролей и программ доступа.

Система защиты информации должна иметь специальное программное обеспечение обработки угроз, включающее:

ü регистрацию событий в системном журнале, защищенном от попыток изменения со стороны программ пользователей;

ü использование собранных сведений для анализа качественного решения проблемы защиты информации и разработки мероприятий по ее совершенствованию.

Задача защиты информации в ИС обычно сводится к выбору средств контроля за выполнением программ, имеющих доступ к информации, хранящейся в системе.

Дата добавления: 2014-12-24; Просмотров: 962; Нарушение авторских прав?; Мы поможем в написании вашей работы!