Вводное занятие и Занятие № 1
Тема 1. Введение. Место и роль службы защиты информации в системе защиты информации
Цель и задачи темы: Получение студентами необходимых знаний о месте и роли службы защиты информации в системе защиты информации
Рассматриваемые вопросы на семинаре:
- Место и роль службы защиты информации в системе защиты информации.
- Факторы, определяющие конкретную структуру службы защиты информации
- Централизованная и децентрализованная структура службы защиты информации, условия, критерии, определяющие выбор структуры
Рассмотрим объекты безопасности, требующих защиты в Организации и классификации основных источников угроз безопасности. Здесь можно выделить следующие пути доступа к техническим средствам (ТС) и к автоматизированным системам Организации:
1. Физический доступ. Подразумевает доступ в помещения, кабинеты, к автоматизированным рабочим местам, рабочим станциям, серверам, сейфам, системам оповещения, пожарной сигнализации и т.д.
2. Логический доступ. Подразумевает доступ к информационным системам, ресурсам, подсистемам, сетям, серверам с помощью данных аутентификации.
Выбор методов и соответствующих средств защиты от несанкционированного доступа зависит от следующих факторов:
1. Ценность информации, которая подлежит защите.
2. Финансовые возможности предприятия.
3. Количество подразделений (помещений сотрудников).
Отсюда, можно сделать вывод, что самым важным из объектов защиты на предприятии является документируемая в любом виде информация и, соответственно, ее носители, распространение, редактирование или уничтожение которой, может нанести вред безопасности предприятия.
Поэтому при организации физического и логического доступа возникает необходимость рассмотреть не только параметры доступа персонала в помещения, содержащими ценную информацию, но и ее взаимосвязь с автоматизированными рабочими местами сотрудников. На рис. 1 представлена общая модель уровней доступа к информации, подлежащей защите.
Рис. 1 Общая модель уровней доступа к ценной информации предприятия
Физический контроль доступа предполагает использование единой политики, сформированной на основе безопасности сотрудников подразделения предприятия, которая будет игнорировать разрешения или запреты в случае пожара или других чрезвычайных ситуаций на предприятии.
Кроме того, необходимо при организации обеспечения информационной безопасности, предусмотреть выход из строя ТС (автоматизированные рабочие места и серверы), на которых определенным образом организовано хранение и эксплуатация необходимой информации (необходимо предусмотреть хранение нескольких копий необходимой информации на нескольких технических средствах и в разных местах).
Физический доступ.
Одним из основных требований обеспечения физического доступа является организация требований к защите помещений в Организации.
Как правило, большинство организаций и крупных предприятий имеют стандартную структуру, которая для примера представлена на рис. 1, она включает в себя:
Рис. 1 Общая модель структуры предприятия
1. Помещения подразделений предприятия (программисты, операторы, бухгалтерия и т.д.) в зависимости от направления деятельности организации;
2. Помещение сотрудников, обеспечивающих информационную безопасность (администраторы информационной безопасности);
3. Помещение сотрудников, администрирующих технические средства организации (системные администраторы);
4. Серверные и архивные помещения.
Каждое из подразделений предприятия имеет свою специфику работы, но чаще всего они связаны между собой общей сетью и общими ресурсами предприятия. Поэтому основной целью информационной безопасности подразделений является осуществление доступа к техническим средствам и информационным ресурсам, только уполномоченным сотрудникам. Следовательно, возникает необходимость в осуществлении контроля доступа и защите передаваемых данных не только в рамках одного подразделения, но и между несколькими связанными подразделениями и организации в целом.
Исходя из того, что физический доступ представляет собой набор организационных мер, направленных на ограничение пропускного режима к физическим объектам, которые являются хранителями информации, изменение, уничтожение, ознакомление и кража которой, крайне негативно отражается в работе Организации, вплоть до больших финансовых убытков и полной его остановке. Основной принцип контроля доступа в помещения Организации подразумевает доступ к физическим объектам только для идентифицированных и аутентифицированных лиц. Основной характеристикой физического контроля доступа является возможность распределения действий физического лица по времени и возможность контроля над действиями физических лиц в реальном времени.
Логический доступ.
Для более понятного восприятия организации логического доступа рассмотрим определения:
Распорядитель логического доступа – руководитель структурного подразделения, осуществляющий распоряжение логическим доступом к ресурсу (группам ресурсов) доступа.
Объект доступа – часть ресурсов, эксплуатируемых в Организации, представляющая собой средства вычислительной техники и (или) сетевое оборудование, в том числе входящие в состав АС и ПК, используемые для обработки, передачи и (или) хранения информации в рамках выполнения и (или) обеспечения выполнения информационных технологических процессов.
Логический доступ к ресурсу доступа (далее – логический доступ) – доступ к ресурсу доступа, в том числе удаленный, реализуемый с использованием вычислительных сетей, каналов и (или) линий связи, позволяющий, в том числе без физического доступа, воздействовать на ресурс доступа, используя его функциональные возможности.
Субъект доступа – работник Организации, осуществляющий логический доступ, или программный сервис, осуществляющий логический доступ.
Эксплуатационное подразделение – структурное подразделение Организации в компетенцию которого входит обеспечение эксплуатации, в том числе администрирование объектов и (или) ресурсов доступа.
Легальный субъект доступа – субъект доступа, наделенный полномочиями на осуществление логического доступа.
Аутентификационные данные – данные в любой форме и на любом носителе, известные или принадлежащие легальному субъекту доступа – легальному владельцу аутентификационных данных, или данные, которыми обладает легальный субъект доступа, используемые для выполнения процедуры аутентификации при осуществлении субъектом доступа логического доступа.
Фактор аутентификации – тип аутентификационных данных, используемых субъектом доступа для осуществления доступа:
пароль легального субъекта доступа;
данные, хранимые на персональных технических устройствах аутентификации, которыми обладает легальный субъект доступа.
Однофакторная аутентификация – аутентификация, для осуществления которой используется один фактор аутентификации.
Многофакторная аутентификация – аутентификация, для осуществления которой используется два и более различных факторов аутентификации.
Персональный временный пароль – аутентификационные данные, позволяющие единственному субъекту доступа осуществлять логический доступ в течение его рабочего дня или осуществить однократный логический доступ.
Контур безопасности – совокупность объектов и (или) ресурсов доступа, для которых применяется единый набор требований к обеспечению информационной безопасности.
Роль – совокупность функций субъекта доступа, для выполнения которых необходим определенный набор прав доступа к объектам и (или) ресурсам доступа.
Учетная запись – логический объект (информация), существующий в пределах одного или нескольких ресурсов доступа и представляющий субъекта доступа в его (их) пределах.
Права логического доступа – набор действий, разрешенных для выполнения субъектом доступа над ресурсом доступа с использованием соответствующей учетной записи.
Технологический процесс – набор взаимосвязанных действий персонала и (или) технических средств с объектами и (или) ресурсами доступа.
Пользователь – как правило это - эксплуатационный персонал.
Предоставление/изменение/прекращение логического доступа (ввод, вывод пользователя, создание, удаление и назначение атрибутов и групп) к ресурсам, эксплуатируемым в Организации, осуществляется на основании заявки.
Администраторы АС и ПК не должны иметь служебных полномочий и (или) технических средств по присвоению (отзыву) прав доступа пользователям, для которых они создают (удаляют) учетные записи, а администраторы ИБ АС и ПК не должны иметь служебных полномочий и (или) технических средств для создания (удаления) учетных записей, которым они присваивают (отзывают) права доступа.
Создание учетных записей, обладающих правами, позволяющими выполнять единоличное создание учетных записей и присвоение указанным учетным записям каких-либо прав доступа допускается по решению распорядителя логического доступа, оформленному документально и согласованному руководителем.
К парольной информации ресурсов, эксплуатируемых в Организации может относится информация, позволяющая однозначно идентифицировать пользователя, осуществляющего вход в АС и ПК – идентификатор (имя учетной записи) и парольное значение. В настоящем разделе в качестве объекта регулирования рассматривается парольное значение (далее - пароль). В основном в Организации могут применяться следующие пароли:
пользовательские пароли – пароли, используемые пользователями для осуществления логического доступа с использованием пользовательской учетной записи;
операторские пароли – пароли, используемые эксплуатационным персоналом для осуществления логического доступа с использованием операторской учетной записи;
административные пароли – пароли, используемые эксплуатационным персоналом для осуществления логического доступа с использованием административной учетной записи;
технические пароли – пароли, используемые, при необходимости, для организации логического доступа программных сервисов с использованием технической учетной записи.
Для всех паролей учетных записей с расширенными правами (административные и технические учетные записи) и пароли учетных записей, не имеющих идентификатора могут быть разделены на две части между администраторами АС (ПК) и администратором ИБ АС (ПК).
В общем случае, резервные копии парольных значений (частей парольных значений) всех учетных записей, используемых в АС и ПК, должны храниться в отдельных опечатанных владельцем или автоматически, средствами ресурсов, эксплуатируемых в Организации, конвертах в сейфах у руководителей подразделений, в зону ответственности которых входят соответствующие учетные записи. На конверте указывается дата формирования пароля, наименование учетной записи, для учетных записей с разделенными паролями - информация о части пароля (1-я или 2-я), наименование АС. Конверт опечатывается способом, необратимо фиксирующим факт его вскрытия (например, с использованием персональных печатей, специальных защитных знаков, наклеек, удостоверяемых личной подписью владельца пароля).
В случае прекращения полномочий сотрудника (исключение из приказа о назначении на роль, увольнение, переход на другую работу, являющегося владельцем персонифицированной учетной записи с пользовательскими правами производится ее блокирование. При использовании им групповой учетной записи с пользовательскими правами производится внеплановая смена ее пароля в ближайший технологический перерыв в работе АС или ПК, позволяющий запланировать и выполнить смену пароля. При этом работа, как правило производится в два этапа:
- оперативная блокировка доступа пользователя к информационным ресурсам (при необходимости);
- вывод пользователя (прекращение логического доступа - удаление прав доступа и блокирование учетных записей) на основании заявки на прекращение логического доступа.
Распорядители логического доступа при необходимости могут осуществлять контроль полномочий (функций) и прав доступа к закрепленным ресурсам доступа. Кроме того, проверка может производиться руководителем подразделения.
Вопросы на семинаре:
Выступление по теме:
Защита информации
Информационная инфраструктура
Угрозы информационной безопасности
Несанкционированный доступ к информации
Анализ защищенности
Уязвимость
Современный подход к обеспечению безопасности компьютерных систем и сетей.
Для подготовки к семинару определения некоторых понятий.
Техническое средство (ТС) – персональная электронная вычислительная машина (ПЭВМ), сервер, переносной компьютер, аппаратный терминал, сетевое и телекоммуникационное оборудование.
Коммуникационные порты - специализированные интерфейсные разъемы, размещенные на корпусе системного блока ТС (универсальные и специфические коммуникационные порты).
Универсальные коммуникационные порты - коммуникационные порты USB, IEEE1394, COM, LPT, SCSI, LAN, PCMCIA, Wi-Fi, BlueTooth, IrDA.
Специфические коммуникационные порты - коммуникационные порты VGA, DVI, PS/2, Audio, Game.
Встроенные устройства ввода-вывода информации - устройства для работы со съемными машинными носителями информации: дисководы (FDD, ZIP-drive, CD, DVD, МО), стримеры, считыватели карт памяти, устройства для подключения внешних жестких дисков (Mobile Rack), являющиеся составной частью системного блока ТС.
Внешние устройства ввода-вывода информации - подключаемые к системному блоку ТС через коммуникационные порты устройства для работы со съемными машинными носителями информации: дисководы (FDD, ZIP-drive, CD-дисковод, DVD-дисковод, МО-дисковод, HDD-дисковод), стримеры, считыватели карт памяти, устройства для подключения внешних жестких дисков (Mobile Rack).
Устройства ввода-вывода информации - совокупность встроенных и внешних устройств ввода-вывода информации.
Съемные машинные носители информации - гибкие магнитные диски (FD, ZIP), оптические диски (CD, DVD, МО), магнитные ленты (DLT, WORM, DDS), карты памяти (SD, XD, MMC, CF, MS, SC) и другие подобные носители информации.
Внешние накопители информации - USB карты памяти (USB Flash-drive), переносные накопители на жестких магнитных дисках, сети хранения данных (SAN).
Средство защиты информации от несанкционированного доступа (СЗИ) – сертифицированное аппаратное, аппаратно-программное или программное средство, позволяющее блокировать доступ к элементам ТС и предназначенное для предотвращения или существенного затруднения несанкционированного доступа к информации.
Система контроля доступа (система «Контроль-ПУ») - программное средство, обеспечивающее контроль доступа к коммуникационным портам с возможностью осуществления контроля использования устройств ввода-вывода информации, съемных машинных носителей информации и внешних накопителей информации.
Автоматизированная система (АС) - система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций (в соответствии с ГОСТ 34.003-90).
Пользователь ТС - работник Организации, использующий ТС для получения информации и (или) для решения различных задач в интересах Организации, включая поддержку функционирования ТС.
Зона ответственности администратора информационной безопасности (АИБ) Организации (технологического участка) - совокупность ТС, в отношении которых на АИБ возложены обязанности по обеспечению информационной безопасности при использовании указанных ТС в интересах Организации.
Локальная вычислительная сеть (ЛВС) – совокупность ТС Организации, объединенных сетевым оборудованием.
Сетевое оборудование - аппаратно-программные средства, предназначенные для организации ЛВС
Телекоммуникационное оборудование - аппаратно-программные средства, обеспечивающие передачу данных между удаленными друг от друга ЛВС.
Нештатная ситуация - любой факт, связанный с нарушением порядка доступа к коммуникационному порту, устройству ввода-вывода информации, съемному машинному носителю или внешнему накопителю информации.
Прекращение эксплуатации ТС - отключение ТС от сети и удаление всей содержащейся на ТС информации, за исключением общесистемного программного обеспечения.
Специальный защитный знак (СЗЗ) - голографическая самоклеющаяся наклейка единого образца с уникальным номером.
Нарушение целостности СЗЗ - повреждение голографического слоя, являющееся признаком возможного вскрытия (использования) ТС, опечатанного СЗЗ, его отдельных элементов или внешних устройств.
Периферийные устройства (ПУ) – устройства, подключаемые к коммуникационным портам компьютера.
«Белый список» ПУ, съемных машинных носителей информации и внешних накопителей информации - выделенная группа ПУ, съемных машинных носителей информации и внешних накопителей информации, разрешенных для постоянного использования на подконтрольных объектах на основе их идентификационных номеров.