Модуль 1. организация и структура службы защиты информации в системе защиты информации

Вводное занятие и Занятие № 1

Тема 1. Введение. Место и роль службы защиты информации в системе защиты информации

Цель и задачи темы: Получение студентами необходимых знаний о месте и роли службы защиты информации в системе защиты информации

Рассматриваемые вопросы на семинаре:

  1. Место и роль службы защиты информации в системе защиты информации.
  2. Факторы, определяющие конкретную структуру службы защиты информации
  3. Централизованная и децентрализованная структура службы защиты информации, условия, критерии, определяющие выбор структуры

Рассмотрим объекты безопасности, требующих защиты в Организации и классификации основных источников угроз безопасности. Здесь можно выделить следующие пути доступа к техническим средствам (ТС) и к автоматизированным системам Организации:

1. Физический доступ. Подразумевает доступ в помещения, кабинеты, к автоматизированным рабочим местам, рабочим станциям, серверам, сейфам, системам оповещения, пожарной сигнализации и т.д.

2. Логический доступ. Подразумевает доступ к информационным системам, ресурсам, подсистемам, сетям, серверам с помощью данных аутентификации.

Выбор методов и соответствующих средств защиты от несанкционированного доступа зависит от следующих факторов:

1. Ценность информации, которая подлежит защите.

2. Финансовые возможности предприятия.

3. Количество подразделений (помещений сотрудников).

Отсюда, можно сделать вывод, что самым важным из объектов защиты на предприятии является документируемая в любом виде информация и, соответственно, ее носители, распространение, редактирование или уничтожение которой, может нанести вред безопасности предприятия.

Поэтому при организации физического и логического доступа возникает необходимость рассмотреть не только параметры доступа персонала в помещения, содержащими ценную информацию, но и ее взаимосвязь с автоматизированными рабочими местами сотрудников. На рис. 1 представлена общая модель уровней доступа к информации, подлежащей защите.

Модуль 1. организация и структура службы защиты информации в системе защиты информации

Рис. 1 Общая модель уровней доступа к ценной информации предприятия

Физический контроль доступа предполагает использование единой политики, сформированной на основе безопасности сотрудников подразделения предприятия, которая будет игнорировать разрешения или запреты в случае пожара или других чрезвычайных ситуаций на предприятии.

Кроме того, необходимо при организации обеспечения информационной безопасности, предусмотреть выход из строя ТС (автоматизированные рабочие места и серверы), на которых определенным образом организовано хранение и эксплуатация необходимой информации (необходимо предусмотреть хранение нескольких копий необходимой информации на нескольких технических средствах и в разных местах).

Физический доступ.

Одним из основных требований обеспечения физического доступа является организация требований к защите помещений в Организации.

Как правило, большинство организаций и крупных предприятий имеют стандартную структуру, которая для примера представлена на рис. 1, она включает в себя:

Модуль 1. организация и структура службы защиты информации в системе защиты информации

Рис. 1 Общая модель структуры предприятия

1. Помещения подразделений предприятия (программисты, операторы, бухгалтерия и т.д.) в зависимости от направления деятельности организации;

2. Помещение сотрудников, обеспечивающих информационную безопасность (администраторы информационной безопасности);

3. Помещение сотрудников, администрирующих технические средства организации (системные администраторы);

4. Серверные и архивные помещения.

Каждое из подразделений предприятия имеет свою специфику работы, но чаще всего они связаны между собой общей сетью и общими ресурсами предприятия. Поэтому основной целью информационной безопасности подразделений является осуществление доступа к техническим средствам и информационным ресурсам, только уполномоченным сотрудникам. Следовательно, возникает необходимость в осуществлении контроля доступа и защите передаваемых данных не только в рамках одного подразделения, но и между несколькими связанными подразделениями и организации в целом.

Исходя из того, что физический доступ представляет собой набор организационных мер, направленных на ограничение пропускного режима к физическим объектам, которые являются хранителями информации, изменение, уничтожение, ознакомление и кража которой, крайне негативно отражается в работе Организации, вплоть до больших финансовых убытков и полной его остановке. Основной принцип контроля доступа в помещения Организации подразумевает доступ к физическим объектам только для идентифицированных и аутентифицированных лиц. Основной характеристикой физического контроля доступа является возможность распределения действий физического лица по времени и возможность контроля над действиями физических лиц в реальном времени.

Логический доступ.

Для более понятного восприятия организации логического доступа рассмотрим определения:

Распорядитель логического доступа – руководитель структурного подразделения, осуществляющий распоряжение логическим доступом к ресурсу (группам ресурсов) доступа.

Объект доступа – часть ресурсов, эксплуатируемых в Организации, представляющая собой средства вычислительной техники и (или) сетевое оборудование, в том числе входящие в состав АС и ПК, используемые для обработки, передачи и (или) хранения информации в рамках выполнения и (или) обеспечения выполнения информационных технологических процессов.

Логический доступ к ресурсу доступа (далее – логический доступ) – доступ к ресурсу доступа, в том числе удаленный, реализуемый с использованием вычислительных сетей, каналов и (или) линий связи, позволяющий, в том числе без физического доступа, воздействовать на ресурс доступа, используя его функциональные возможности.

Субъект доступа – работник Организации, осуществляющий логический доступ, или программный сервис, осуществляющий логический доступ.

Эксплуатационное подразделение – структурное подразделение Организации в компетенцию которого входит обеспечение эксплуатации, в том числе администрирование объектов и (или) ресурсов доступа.

Легальный субъект доступа – субъект доступа, наделенный полномочиями на осуществление логического доступа.

Аутентификационные данные – данные в любой форме и на любом носителе, известные или принадлежащие легальному субъекту доступа – легальному владельцу аутентификационных данных, или данные, которыми обладает легальный субъект доступа, используемые для выполнения процедуры аутентификации при осуществлении субъектом доступа логического доступа.

Фактор аутентификации – тип аутентификационных данных, используемых субъектом доступа для осуществления доступа:

пароль легального субъекта доступа;

данные, хранимые на персональных технических устройствах аутентификации, которыми обладает легальный субъект доступа.

Однофакторная аутентификация – аутентификация, для осуществления которой используется один фактор аутентификации.

Многофакторная аутентификация – аутентификация, для осуществления которой используется два и более различных факторов аутентификации.

Персональный временный пароль – аутентификационные данные, позволяющие единственному субъекту доступа осуществлять логический доступ в течение его рабочего дня или осуществить однократный логический доступ.

Контур безопасности – совокупность объектов и (или) ресурсов доступа, для которых применяется единый набор требований к обеспечению информационной безопасности.

Роль – совокупность функций субъекта доступа, для выполнения которых необходим определенный набор прав доступа к объектам и (или) ресурсам доступа.

Учетная запись – логический объект (информация), существующий в пределах одного или нескольких ресурсов доступа и представляющий субъекта доступа в его (их) пределах.

Права логического доступа – набор действий, разрешенных для выполнения субъектом доступа над ресурсом доступа с использованием соответствующей учетной записи.

Технологический процесс – набор взаимосвязанных действий персонала и (или) технических средств с объектами и (или) ресурсами доступа.

Пользователь – как правило это — эксплуатационный персонал.

Предоставление/изменение/прекращение логического доступа (ввод, вывод пользователя, создание, удаление и назначение атрибутов и групп) к ресурсам, эксплуатируемым в Организации, осуществляется на основании заявки.

Администраторы АС и ПК не должны иметь служебных полномочий и (или) технических средств по присвоению (отзыву) прав доступа пользователям, для которых они создают (удаляют) учетные записи, а администраторы ИБ АС и ПК не должны иметь служебных полномочий и (или) технических средств для создания (удаления) учетных записей, которым они присваивают (отзывают) права доступа.

Создание учетных записей, обладающих правами, позволяющими выполнять единоличное создание учетных записей и присвоение указанным учетным записям каких-либо прав доступа допускается по решению распорядителя логического доступа, оформленному документально и согласованному руководителем.

К парольной информации ресурсов, эксплуатируемых в Организации может относится информация, позволяющая однозначно идентифицировать пользователя, осуществляющего вход в АС и ПК – идентификатор (имя учетной записи) и парольное значение. В настоящем разделе в качестве объекта регулирования рассматривается парольное значение (далее — пароль). В основном в Организации могут применяться следующие пароли:

пользовательские пароли – пароли, используемые пользователями для осуществления логического доступа с использованием пользовательской учетной записи;

операторские пароли – пароли, используемые эксплуатационным персоналом для осуществления логического доступа с использованием операторской учетной записи;

административные пароли – пароли, используемые эксплуатационным персоналом для осуществления логического доступа с использованием административной учетной записи;

технические пароли – пароли, используемые, при необходимости, для организации логического доступа программных сервисов с использованием технической учетной записи.

Для всех паролей учетных записей с расширенными правами (административные и технические учетные записи) и пароли учетных записей, не имеющих идентификатора могут быть разделены на две части между администраторами АС (ПК) и администратором ИБ АС (ПК).

В общем случае, резервные копии парольных значений (частей парольных значений) всех учетных записей, используемых в АС и ПК, должны храниться в отдельных опечатанных владельцем или автоматически, средствами ресурсов, эксплуатируемых в Организации, конвертах в сейфах у руководителей подразделений, в зону ответственности которых входят соответствующие учетные записи. На конверте указывается дата формирования пароля, наименование учетной записи, для учетных записей с разделенными паролями — информация о части пароля (1-я или 2-я), наименование АС. Конверт опечатывается способом, необратимо фиксирующим факт его вскрытия (например, с использованием персональных печатей, специальных защитных знаков, наклеек, удостоверяемых личной подписью владельца пароля).

В случае прекращения полномочий сотрудника (исключение из приказа о назначении на роль, увольнение, переход на другую работу, являющегося владельцем персонифицированной учетной записи с пользовательскими правами производится ее блокирование. При использовании им групповой учетной записи с пользовательскими правами производится внеплановая смена ее пароля в ближайший технологический перерыв в работе АС или ПК, позволяющий запланировать и выполнить смену пароля. При этом работа, как правило производится в два этапа:

— оперативная блокировка доступа пользователя к информационным ресурсам (при необходимости);

— вывод пользователя (прекращение логического доступа — удаление прав доступа и блокирование учетных записей) на основании заявки на прекращение логического доступа.

Распорядители логического доступа при необходимости могут осуществлять контроль полномочий (функций) и прав доступа к закрепленным ресурсам доступа. Кроме того, проверка может производиться руководителем подразделения.

Вопросы на семинаре:

Выступление по теме:

Защита информации

Информационная инфраструктура

Угрозы информационной безопасности

Несанкционированный доступ к информации

Анализ защищенности

Уязвимость

Современный подход к обеспечению безопасности компьютерных систем и сетей.

Для подготовки к семинару определения некоторых понятий.

Техническое средство (ТС) – персональная электронная вычислительная машина (ПЭВМ), сервер, переносной компьютер, аппаратный терминал, сетевое и телекоммуникационное оборудование.

Коммуникационные порты — специализированные интерфейсные разъемы, размещенные на корпусе системного блока ТС (универсальные и специфические коммуникационные порты).

Универсальные коммуникационные порты — коммуникационные порты USB, IEEE1394, COM, LPT, SCSI, LAN, PCMCIA, Wi-Fi, BlueTooth, IrDA.

Специфические коммуникационные порты — коммуникационные порты VGA, DVI, PS/2, Audio, Game.

Встроенные устройства ввода-вывода информации — устройства для работы со съемными машинными носителями информации: дисководы (FDD, ZIP-drive, CD, DVD, МО), стримеры, считыватели карт памяти, устройства для подключения внешних жестких дисков (Mobile Rack), являющиеся составной частью системного блока ТС.

Внешние устройства ввода-вывода информации — подключаемые к системному блоку ТС через коммуникационные порты устройства для работы со съемными машинными носителями информации: дисководы (FDD, ZIP-drive, CD-дисковод, DVD-дисковод, МО-дисковод, HDD-дисковод), стримеры, считыватели карт памяти, устройства для подключения внешних жестких дисков (Mobile Rack).

Устройства ввода-вывода информации — совокупность встроенных и внешних устройств ввода-вывода информации.

Съемные машинные носители информации — гибкие магнитные диски (FD, ZIP), оптические диски (CD, DVD, МО), магнитные ленты (DLT, WORM, DDS), карты памяти (SD, XD, MMC, CF, MS, SC) и другие подобные носители информации.

Внешние накопители информации — USB карты памяти (USB Flash-drive), переносные накопители на жестких магнитных дисках, сети хранения данных (SAN).

Средство защиты информации от несанкционированного доступа (СЗИ) – сертифицированное аппаратное, аппаратно-программное или программное средство, позволяющее блокировать доступ к элементам ТС и предназначенное для предотвращения или существенного затруднения несанкционированного доступа к информации.

Система контроля доступа (система «Контроль-ПУ») — программное средство, обеспечивающее контроль доступа к коммуникационным портам с возможностью осуществления контроля использования устройств ввода-вывода информации, съемных машинных носителей информации и внешних накопителей информации.

Автоматизированная система (АС) — система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций (в соответствии с ГОСТ 34.003-90).

Пользователь ТС — работник Организации, использующий ТС для получения информации и (или) для решения различных задач в интересах Организации, включая поддержку функционирования ТС.

Зона ответственности администратора информационной безопасности (АИБ) Организации (технологического участка) — совокупность ТС, в отношении которых на АИБ возложены обязанности по обеспечению информационной безопасности при использовании указанных ТС в интересах Организации.

Локальная вычислительная сеть (ЛВС) – совокупность ТС Организации, объединенных сетевым оборудованием.

Сетевое оборудование — аппаратно-программные средства, предназначенные для организации ЛВС

Телекоммуникационное оборудование — аппаратно-программные средства, обеспечивающие передачу данных между удаленными друг от друга ЛВС.

Нештатная ситуация — любой факт, связанный с нарушением порядка доступа к коммуникационному порту, устройству ввода-вывода информации, съемному машинному носителю или внешнему накопителю информации.

Прекращение эксплуатации ТС — отключение ТС от сети и удаление всей содержащейся на ТС информации, за исключением общесистемного программного обеспечения.

Специальный защитный знак (СЗЗ) — голографическая самоклеющаяся наклейка единого образца с уникальным номером.

Нарушение целостности СЗЗ — повреждение голографического слоя, являющееся признаком возможного вскрытия (использования) ТС, опечатанного СЗЗ, его отдельных элементов или внешних устройств.

Периферийные устройства (ПУ) – устройства, подключаемые к коммуникационным портам компьютера.

«Белый список» ПУ, съемных машинных носителей информации и внешних накопителей информации — выделенная группа ПУ, съемных машинных носителей информации и внешних накопителей информации, разрешенных для постоянного использования на подконтрольных объектах на основе их идентификационных номеров.

Как строится музыка. Структура песни


Похожие статьи.

Понравилась статья? Поделиться с друзьями: