|
|
@@ -0,0 +1,84 @@
|
|
|
+# 2.4.500_Организация_работ_по_защите_от_НСД
|
|
|
+## Несанкционированный доступ к информации — это незапланированное ознакомление, обработка, копирование, применение различных вирусов,
|
|
|
+в том числе разрушающих программные продукты, а также модификация или уничтожение информации в нарушение установленных правил разграничения доступа.
|
|
|
+К методам обеспечения безопасности относятся:
|
|
|
+Препятствие - метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т.д.).
|
|
|
+Управление доступом - метод защиты информации с помощью регулирования использования всех ресурсов компьютерной информационной системы банковской деятельностью (элементов баз данных, программных и технических средств).
|
|
|
+**Управление доступом включает следующее функции защиты:**
|
|
|
+-идентификацию пользователей, персонала и ресурсов системы (присвоение каждому объекту персонального идентификатора);
|
|
|
+-опознание (установление подлинности) объекта или субъекта по предъявленному ему идентификатору;
|
|
|
+-проверку полномочий (соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);
|
|
|
+-разрешение и создание условий работы в пределах установленного регламента;
|
|
|
+-регистрацию (протоколирование) обращений к защищаемым ресурсам;
|
|
|
+-реагирование (сигнализация, отключение, задержка работ, отказ в запросе) при попытке несанкционированных действий.
|
|
|
+ 
|
|
|
+**Массировка** - метод защиты информации путем ее криптографического закрытия. При передаче информации по каналам большой протяженности данный метод является наиболее надежным.
|
|
|
+**Регламентация** - метод защиты информации, создающий такие условия автоматизированной обработки, хранения и передачи защищаемой информации, при которых возможности несанкционированного доступа к ней сводилась бы к минимуму.
|
|
|
+**Побуждение** - метод защиты, побуждающий пользователя и персонал системы не разрушать установленные порядки за счет соблюдения сложившихся моральных и этических норм.
|
|
|
+**Принуждение**- метод защиты, когда пользователи и персонал системы вынуждены соблюдать правила обработки и использования защищенной информации под угрозой материальной, административной или уголовной ответственности.
|
|
|
+## К основным средствам защиты относятся следующие:
|
|
|
+Технические средства представляют электрические, электромеханические и электронные устройства. Вся совокупность указанных средств делится на аппаратные и физические.
|
|
|
+Под **аппаратно-техническими** средствами принято понимать устройства, встраиваемые непосредственно в вычислительную технику, или устройства, которые сопрягаются с подобной аппаратурой по стандартному интерфейсу.
|
|
|
+**Физическими средствами** являются автономные устройства и системы.
|
|
|
+**Программные средства** - это программное обеспечение, специально предназначенное для выполнения функций защиты информации
|
|
|
+Законодательные средства защиты определяются законодательными актами страны, регламентирующими правила пользования, обработки и передачи информации ограниченного доступа и устанавливающими меры ответственности за нарушение этих правил.
|
|
|
+Модель нарушителя — абстрактное описание нарушителя правил разграничения доступа.
|
|
|
+## Модель нарушителя определяет:
|
|
|
+-категории нарушителей, которые могут воздействовать на объект;
|
|
|
+-цели, которые могут преследовать нарушители каждой категории, возможный количественный состав, используемые инструменты, принадлежности, оснащение, оружие и прочего;
|
|
|
+-типовые сценарии возможных действий нарушителей, описывающие последовательность действий групп и отдельных нарушителей, способы их действий на каждом этапе.
|
|
|
+**Модель нарушителей может иметь разную степень детализации:**
|
|
|
+-Содержательная модель нарушителей отражает систему принятых руководством объекта, ведомства взглядов на контингент потенциальных нарушителей, причины и мотивацию их действий, преследуемые цели и общий характер действий в процессе подготовки и совершения акций воздействия.
|
|
|
+-Сценарии воздействия нарушителей определяют классифицированные типы совершаемых нарушителями акций с конкретизацией алгоритмов и этапов, а также способов действия на каждом этапе.
|
|
|
+-Математическая модель воздействия нарушителей представляет собой формализованное описание сценариев в виде логико-алгоритмической последовательности действий нарушителей, количественных значений, характеризующих результаты действий, и функциональных зависимостей, описывающих протекающие процессы взаимодействия нарушителей с элементами объекта и системы охраны. Именно этот вид модели используется для количественных оценок уязвимости объекта и эффективности охраны.
|
|
|
+Под нарушителем в общем виде можно рассматривать лицо или группу лиц, которые в результате предумышленных или непредумышленных действий обеспечивает реализацию угроз информационной безопасности.
|
|
|
+С точки зрения наличия права постоянного или разового доступа в контролируемую зону нарушители могут подразделяться на **два типа:**
|
|
|
+-нарушители, не имеющие права доступа в контролируемую зону территории— внешние нарушители;
|
|
|
+-нарушители, имеющие право доступа в контролируемую зону территории —внутренние нарушители.
|
|
|
+Руководящим документом в качестве нарушителя рассматривается субъект, имеющий доступ к работе со штатными средствами АС и СВТ.
|
|
|
+Нарушители в указанном РД классифицируются по уровню возможностей, предоставляемых им штатными средствами АС и СВТ, подразделяются на четыре уровня.
|
|
|
+**Первый уровень** определяет самый низкий уровень возможностей ведения диалога в АС — запуск задач из фиксированного набора, реализующих заранее предусмотренные функции по обработке информации.
|
|
|
+**Второй уровень** определяется возможностью создания и запуска собственных программ с новыми функциями по обработке информации.
|
|
|
+**Третий уровень** определяется возможностью управления функционированием АС, то есть воздействием на базовое программное обеспечение системы и на состав и конфигурацию ее оборудования. Четвертый уровень определяется всем объемом возможностей лиц, осуществляющих проектирование, реализацию и ремонт технических средств АС, вплоть до включения в состав СВТ собственных технических средств с новыми функциями по обработке информации.
|
|
|
+При этом в своем уровне нарушитель является специалистом высшей квалификации, знает все об АС и, в частности, о системе и средствах ее защиты.
|
|
|
+## Организация работ по защите от НСД:
|
|
|
+Организация работ по защите СВТ и АС от НСД к информации должна быть частью общей организации работ по безопасности информации.
|
|
|
+Обеспечение защиты основывается на требованиях по защите к разрабатываемым СВТ и АС, формулируемых заказчиком и согласуемых с разработчиком.
|
|
|
+Эти требования задаются либо в виде желаемого уровня защищенности СВТ или АС, либо в виде определенного, соответствующего этому уровню перечня требований.
|
|
|
+Требования по защите обеспечиваются разработчиком в виде комплекса средств защиты. Организационные мероприятия для АС реализуются заказчиком.
|
|
|
+Ответственность за разработку КСЗ возлагается на главного конструктора СВТ или АС.
|
|
|
+Проверка выполнения технических требований по защите проводится аналогично с другими техническими требованиями в процессе испытаний.
|
|
|
+По результатам успешных испытаний оформляется документ (сертификат), удостоверяющий соответствие СВТ или АС требованиям по защите и дающий право разработчику на использование и распространение их как защищенных.
|
|
|
+Разработка мероприятий по защите должна проводиться одновременно с разработкой СВТ и АС и выполняться за счет финансовых и материально-технических средств (ресурсов), выделенных на разработку СВТ и АС.
|
|
|
+
|
|
|
+** Вопросы**
|
|
|
+
|
|
|
+1. Сколько функций включает управление доступом?
|
|
|
+
|
|
|
+12.
|
|
|
+**6**.
|
|
|
+
|
|
|
+2. На сколько уровней подразделяются нарушители?
|
|
|
+
|
|
|
+**Четыре**.
|
|
|
+
|
|
|
+Два.
|
|
|
+
|
|
|
+Десять.
|
|
|
+
|
|
|
+3. Организация работ является частью?
|
|
|
+
|
|
|
+**Частью организации**
|
|
|
+
|
|
|
+Технических процессов.
|
|
|
+
|
|
|
+Объекта защиты.
|
|
|
+
|
|
|
+4. Модель нарушителя это?
|
|
|
+
|
|
|
+**Абстрактное описание нарушителя.**
|
|
|
+
|
|
|
+Система его характеристик.
|
|
|
+
|
|
|
+Модель возможностей.
|
|
|
+
|
