Обзор положений СТР-К относительно автоматизированных систем

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Реферат

на тему: «Обзор положений СТР-К относительно автоматизированных систем»

Выполнил: ст-т гр. ТБ13-01

Таланов М.А.

Красноярск, 2016



Содержание

Введение

Глава 1. Основная концепция СТР-К в отношении к защите информации, обрабатываемой средствами вычислительной техники

1.1 Обзор общих требований, предъявляемых к АС

1.2 Общие рекомендации по защите информации, не составляющей государственную тайну

Глава 2. Защита информации, обрабатываемой в автоматизированных системах

2.1 Защита конфиденциальной информации на автоматизированных рабочих местах на базе автономных ПЭВМ

2.2 Защита информации при сетевом взаимодействии для автоматизированных рабочих мест на базе автономных ПЭВМ

Заключение

Список использованной литературы



Введение

С развитием технического прогресса все большое место в нашей жизни занимают автоматизированные системы, которые могут обрабатывать информацию, распространение которой нежелательно, так как может нанести некоторый вред бизнесу или капиталу. Соответственно, требуется ряд мер для обеспечения безопасности информации при обработке на средствах вычислительной техники.

На данный момент в Российской Федерации существует ряд действующих документов, определяющих меры, требования, способы и т.д. для защиты информации той или иной степени конфиденциальности. Однако в век стремительного развития информационных технологий нельзя с уверенностью сказать, что представленные в нормативной документации требования по защите информации достаточно актуальны и целесообразны с точки зрения, как организации, выполняющей их, так и со стороны пользователя, использующего ресурсы данной организации.

Соответственно, необходимо понимать каким именно образом следует реализовать те или иные требования, представленные в соответствующей документации, и можно ли избежать их реализации, изменив, например, формулировку цели использования автоматизированной обработки информации, тем самым изменив уровень защиты.

В данном реферате рассмотрены разделы документа «Специальные Требования И Рекомендации По Технической Защите Конфиденциальной Информации», связанные со средствами вычислительной техники, а также примеры выполнения их положений на практике.

При написании данного реферата использовались:

1. Специальные требования и рекомендации по технической защите конфиденциальной информации;

2. Положение по организации, содержание и порядок проведения аттестационных испытаний объектов вычислительной техники.

Глава 1. Основная концепция СТР-К в отношении к защите информации, обрабатываемой средствами вычислительной техники

1.1 Обзор общих требований, предъявляемых к АС

В рассматриваемом документе приведен ряд требований, который рекомендован к выполнению. В нем упомянуты необходимые направления и меры защиты информации, обрабатываемой автоматизированной системой, а также градация уровней защищенности в зависимости от ряда факторов.

Защита информации при передаче, обработке, хранении в автоматизированных системах различного класса и области применения рассматривается в качестве системы, которая должна в обязательном порядке включать в себя следующие средства и меры:

1. организационные, которые заключаются в создании контролируемой зоны вокруг объекта вычислительной техники, обрабатывающего защищенную информацию, и установке охранно-пожарной сигнализации в помещении с автоматизированной системой;

2. программные, включающие в себя средства защиты информации от несанкционированного доступа;

3. технические, подразумевающие под собой использование как аппаратных средств защиты информации от несанкционированного доступа, так и средств активной защиты, которые «заглушают» побочные сигналы, несущие в себе защищаемую информацию при работе автоматизированной системы, по различным техническим каналам утечки;

4. криптографические, то есть шифрование защищаемой информации согласно соответствующим требованиям.

В качестве приоритетных направлений защиты информации принято считать:

1. обеспечение защищенности (сохранности)данных от хищения, утраты, утечки, уничтожения, искажения и подделки за счет несанкционированного доступа и специальных воздействий;

2. обеспечение защиты информации от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи.

Соответственно, исходя данных направлений защиты определяются основные меры защиты информации, которые конкретизируются в зависимости от условий реальной эксплуатации. Исходя из положений СТР-К выделяются следующие рекомендации:

1. документальное фиксирование перечня сведений конфиденциального характера;

2. осуществление разрешительной системы доступа субъектов к защищаемой информации, которая обрабатывается автоматизированной системой;

3. реализация контролируемой зоны вокруг объекта вычислительной техники;

4. регистрация взаимодействия пользователя автоматизированной системы и обслуживающего персонала;

5. выполнение учета и надлежащего хранения бумажных и машинных носителей защищаемой информации, ключевой информации и регистрация их использования с условием предотвращения возможности хищения, подмены или уничтожения;

6. использование специальных защитных знаков, которые позволяют контролировать факт наличия несанкционированного доступа;

7. обязательно резервирование защищаемой информации и технических средств;

8. желательно использование сертифицированных средств защиты информации;

9. развязка цепей электропитания объектов защиты с помощью защитных фильтров, блокирующих (подавляющих) информативный сигнал;

10. использование защищенных каналов связи, по своей сути - криптографическая система защиты информации;

11. предотвращение внедрения в автоматизированные системы программ-вирусов, программных закладок, которое осуществляется как программными, так и организационными средствами.

Таким образом, защита конфиденциальной информации может включать в себя множество аспектов, большая часть из которых не является обязательными, однако они крайне рекомендованы к реализации, так как на их основании выдается аттестат соответствия автоматизированной системы определенному классу защищенности, который может требоваться для выдачи той или иной лицензии, либо для взаимодействия с организациями-партнерами.

1.2 Общие рекомендации по защите информации, не составляющей государственную тайну

Для составления более четких рекомендаций по защите информации, не составляющей государственную тайну, следует провести классификацию автоматизированной системы согласно Руководящему Документу Гостехкомиссии России "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации". Нужно понимать, что классификации подлежат все введенные в эксплуатацию, либо разрабатываемые автоматизированные системы. В случае, если в одну автоматизированную систему объединяются несколько различных, которые были причислены к различным классам защищенности, объединенная система получает наивысший гриф конфиденциальности, которой был присвоен какой-либо составляющей. Повышение класса защищенности при неизменных условиях эксплуатации возможно при условии обеспечения должного уровня безопасности, однако обратное запрещено.

Лица, допущенные к автоматизированной обработке конфиденциальной информации, должны быть ознакомлены с требованиями СТР-К и других нормативных документов, регулирующих процесс защиты информации, принятых в организации. Следовательно, организация должна иметь специальный перечень, содержащий документы по защите информации, такие как перечень сведений, составляющих служебную тайну, коммерческую тайну, или персональных данных, подлежащих защите.

Согласно положениям рассматриваемого документа, классы автоматизированных систем для обработки информации, составляющих служебную тайну, должны быть не ниже, чем 3Б, 2Б, 1Г. Для персональных данных - 3Б, 2Б, 1Д. На практике чаще всего аттестуют автоматизированные системы по классу 1Г или 1Д, так как стоимость аттестации на другие классы приблизительно одинакова.

В большинстве случаев автоматизированные системы не имеют доступа за пределы контролируемой зоны, однако в случае необходимости передачи информации следует использовать защищенный канал связи, к примеру, организованный при помощи сертифицированных средств криптографической защиты информации.

Также требуется вести учет носителей конфиденциальной информации не зависимо от типа носителя (бумажный, магнитный и т.д.). Уничтожение подобных носителей производится в порядке, установленном на предприятии под определенным грифом конфиденциальности.

По желанию руководителя предприятия возможно дополнительное усиление мер безопасности. В таком случае данные меры также должны быть зафиксированы документально, но на практике подобные ситуации встречаются при незнании специфики данной отрасли и желании организовать требуемы уровень защиты.

В организации может быть введен режим коммерческой тайны, который подразумевает под собой режим, позволяющий её обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду.

Для обработки сведений, составляющих коммерческую тайну, в автоматизированных системах следует выполнить дополнительное условие: в организации должен иметься документ «Перечень сведений, составляющих коммерческую тайну», с которым должны быть ознакомлены сотрудники, допущенные к сведениям, указанным в перечне. В остальном оборот сведений, составляющих коммерческую тайну, ничем не отличается от описанных для конфиденциальной информации. Как и в предыдущем случае существует возможность повышения уровня защиты по желанию руководителя предприятия.

Подводя итог, можно сказать, что отличия в защите конфиденциальной информации от коммерческой тайны не существенны. Методы защиты для первой регламентированы, хоть и носят по большой части рекомендательный характер, их выполнение разумно и обосновано. Режим же коммерческой тайны должен включать в себя все пункты из обеспечения безопасности конфиденциальной информации, а также некоторые ужесточения, которые являются опциональными и варьируются от случая к случаю и, зачастую, избыточны.



Глава 2. Защита информации, обрабатываемой в автоматизированных системах

2.1 Защита конфиденциальной информации на автоматизированных рабочих местах на базе автономных ПЭВМ

Защита на автоматизированных рабочих местах на базе автономных персональных электронно-вычислительных машин осуществляется при помощи средств защиты информации от несанкционированного доступа, состав и функции которых описаны в Руководящем Документе Гостехкомиссии России "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации".

Однако, существует ряд уточнений, которые дополняют меры защиты информации в отношении съемных накопителей большой емкости. При использовании подобных технологий встроенные накопители из электронно-вычислительных машин удаляются.

Данный режим обработки информации позволяет «обойти» ряд требований, предъявляемых к помещению, в которых располагается автоматизированная система, то есть в помещении необязательна пожарно-охранная сигнализация, и требования по разводке сетей электропитания выполнить гораздо проще, в следствие портативности самого средства вычислительной техники. Подобный метод на практике реализуется крайне редко, так как необходимо оформить ряд дополнительной нормативной документации как по обращению с носителями конфиденциальной информации, так и по условиям эксплуатации автоматизированной системы. Однако, частичная реализация подобного метода возможна: снимается накопительный магнитный жесткий диск, на котором хранится вся информация автоматизированной системы, на время, не предусматривающее обработку информации, и перемещается в охраняемое помещение до следующего сеанса работы.

Как видно, на этапе предпроектного осмотра следует провести полный анализ технологического процесса обработки информации, обращая внимание на способы обмена информацией, такие как системные носители, бумажные носители или носители большой емкости, а также на защищенность средств вычислительной техники, с которыми будет происходить обмен информации, то есть требуется создание условий, исключающих попадание защищаемой информации на неучтенные носители или ознакомление с ней лиц, не имеющих доступа. Из этого вытекает необходимость документационного учета взаимодействия пользователей с носителями и автоматизированными системами.

В рассматриваемом документе учтена возможность аппаратного вмешательства в автоматизированную систему, то есть сброс пароля через отключение батареи питания материнской платы. Для устранения возможности несанкционированного доступа к защищаемой информации следует применять специальные защитные знаки, осмотр которых проводится перед каждым сеансом эксплуатации средства вычислительной техники. Отметка о проведенном осмотре должна ставиться в специальном журнале под росписью провеявшего, который понесет ответственность в случае недобросовестного выполнения обязанностей. Данная мера позволяет оперативно проводить расследования случаев осуществления несанкционированного доступа.

Вышеперечисленные меры учитываются в документе, описывающем технологию обработки защищаемой информации, который составляется в сотрудничестве со службой безопасности и согласуется с руководителем организации. С этим документом также обязаны ознакомится все сотрудники, получившие доступ к электронно-вычислительной машине.

Подытоживая, защита конфиденциальной информации на автоматизированных рабочих местах осуществляется в соответствии с Руководящим Документом Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» в сочетании с комплексом организационных мер, которые устанавливаются самим руководством предприятия. Однако, следует понимать, что выполнение минимальных организационных требований, описанных выше, обязательно при любых условиях эксплуатации.

2.2 Защита информации при сетевом взаимодействии для автоматизированных рабочих мест на базе автономных ПЭВМ

Так как речь идет о конфиденциальной информации, то без взаимодействия с открытыми сетями процесс обработки в подавляющем большинстве случаев невозможен, например, в банковой сфере, где расчеты могут производится безналично, в сфере здравоохранения, где карточка и история болезни могут храниться на серверах, к котором пациент имеет доступ через сеть Интернет, почтовые сервисы, где вся переписка пользователя хранится не на его персональном компьютере, а на серверах, к которым он получает доступ удаленно. Соответственно, появилась необходимость в ряде рекомендаций для обеспечения безопасности при внутри- и межсетевом взаимодействии автоматизированных систем, обрабатывающих конфиденциальную информацию.

Ключевая проблема информационной безопасности в данной сфере заключается в том, что сложно осуществлять контроль за выполнением норм безопасности со стороны пользователя и состоянием защищенности вычислительной машины в принципе. Эта проблема характерна даже для локальных вычислительных сетей, где контроль осуществим, но шанс реализации уязвимости прямо пропорционален количеству пользователей.

Следовательно, средства защиты информации от несанкционированного доступа должны использоваться на всех узлах локальной вычислительной сети вне зависимости от наличия на этих узлах защищаемой информации, что и указано в требованиях СТР-К, однако, рекомендуется создавать сети, в которых производится обработка защищаемой информации, изолированными от сетей открытого обмена информации (сети Интернет), то есть располагать все элементы сети в пределах контролируемой зоны. В случае, если существует необходимость обмена конфиденциальной информации, следует использовать межсетевые экраны, уровень защищенности которых регламентирован в соответствующем Руководящем Документе Гостехкомиссии России. В качестве способа учета доступа субъектов к защищаемой информации, каждому присваивается уникальный ключ вне зависимости от способа реализации безопасной системы. Например, если речь идет о криптографической защите, каждому пользователю выдается свой уникальный ключ шифрования, а также ключ электронной подписи.

Также в качестве одной из мер защиты используется разделение каналов трафика, протекающего в локальной вычислительной сети, что позволяет избежать потери всей информации в случае осуществлении злоумышленником несанкционированного доступа к одному из узлов сети.

Нужно понимать, что персональный компьютер пользователя защищен гораздо слабее и навязывать строгое выполнение требований данного документа невозможно, ввиду того, что, зачастую, пользователь не разбирается в специфике вопроса. Гораздо проще использовать криптографически защищенные каналы передачи информации, что и указано в качестве возможных мер защиты при выходе конфиденциальных данных за пределы контролируемой зоны в разделе 5.8. данного документа.

Одним из важных объектов обработки конфиденциальной информации является базы данных и их системы управления. Применяется база данных повсеместно: банковская сфера, сфера здравоохранения, в развлекательных сферах и т.д. Отсюда вытекает необходимость в рекомендациях по защите информации при работе с системами управления баз данных, которые указаны в разделе 5.9. СТР-К.

Причиной особого отношения к базам данных является тот факт, что они имеют ряд параметров, которые отличают их от обычных вычислительных сетей:

1. в базах данных может накапливаться большой объем информации по различным сферам деятельности, доступ к которым имеют лишь определенные пользователи;

2. базы данных могут быть физически распределены по различным устройствам и узлам сети;

3. базы данных зачастую содержат информацию различного уровня конфиденциальности;

4. система разграничения доступа пользователей к информации любого возможного вида, хранящейся в базах данных, реализуется только лишь средств управления самих баз, если таковые вообще имеются;

5. сама же система разграничения доступа к информации базы данных без применения систем управления, то есть на уровне операционной системы или средств защиты информации от несанкционированного доступа, может быть реализована только на файловом уровне;

6. осуществление контроля за действиями пользователей над объектами баз данных возможно только при помощи системы управления;

7. базы данных могут обеспечивать одновременный множественный доступ пользователей (клиентов) к объектам баз с помощью сетевых протоколов, при этом запросы пользователя обрабатываются удаленно на сервере и результаты обработки направляются пользователям (клиентам).

Исходя из этих особенностей были составлены рекомендации, которые следует учитывать при разработке баз данных:

1. при выборе систем управления следует ориентироваться на их защищенности, а также на наличие средств защиты информации от несанкционированного доступа, встроенных или отдельно встраиваемых;

2. при использовании систем управления, которые не имеют встроенных средств для разграничения доступа пользователей к информации, следует производить эти разграничения через операционную систему, либо при помощи средств защиты информации от несанкционированного доступа.

Итак, защита информации при межсетевом взаимодействии осуществляет при помощи организации защищенных каналов связи, которые строятся по принципу невозможности подключения к ним или сокрытия информации, протекающего в открытом канале, если первый метод трудно осуществим и применяется крайне редко, то второй получил широкое распространение, что можно увидеть в сфере криптографической защиты информации. На данный момент существует множество протоколов шифрования и передачи шифрованной информации, стандарты применения которых негласно установлены по всему миру, так как обязать применять тот или иной протокол невозможно. Причина этого заключается во взаимодействии с пользователем системы (клиентом), который выберет наиболее простой метод защиты информации, вне зависимости от уровня безопасности, который он обеспечивает.



Заключение

Из всего вышеперечисленного следует, что защита конфиденциальной информации, осуществляется на основе рекомендаций СТР-К. Представленные в документе положения охватывают большинство необходимых аспектов обеспечения безопасности данных, и выполнение вышеперечисленных рекомендаций позволяет организовать защиту информации на должном уровне.

Следует понимать, что часть рекомендаций не носят обязательный характер, и необходимость тех или иных мер защиты определяет руководство организации. Зачастую конфиденциальная информация фигурирует в сфере частного бизнеса, и предприятия, желающие взаимодействовать между собой, требуют соответствие защиты информации, обрабатываемой на автоматизированных системах партнера, некоторому установленному уровню безопасности, принятому на предприятии. И уже исходя из данных требований, организуется дополнительная защита информации помимо той, что описана в рассматриваемом документе.

Соответственно, необходимо различать грань, отделяющую достаточный уровень защищенности информации от избыточного. И для решения данной проблемы необходимо обращаться к специалистам в сфере информационной безопасности, которые могу дать надлежащие рекомендации, которые помогут избежать как излишних денежных и временных затрат на реализацию мер защиты, определенных главой организации в качестве необходимых, так и проблем, влекущих за собой возможную административную ответственность или, в крайнем случае, отзыв лицензии на деятельность у предприятия, при взаимодействии с контролирующими органами, например, РКН и ФСБ.

Но главная проблема безопасности конфиденциальной информации заключается во взаимодействии с физическими лицами, то есть клиентами, так как им невозможно навязать выполнение всех необходимых требований без риска.

вычислительный автоматизированный вычислительный машина



Список использованной литературы

1. ФЗ «Кодекс Российской Федерации об административных правонарушениях» от 30.12.2001 № 195 (ред. от 09.03.2016) (с изм. и доп., вступ. в силу с 20.03.2016);

2. Руководящий документ «Автоматизированные системы. Защита от несанкционированного доступа к информации Классификация автоматизированных систем и требования по защите информации», утвержденный решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.;

3. Специальные требования и рекомендации по технической защите конфиденциальной информации, утвержденный 30.08.2002 приказом Председателя Гостехкомиссии России № 282.

4. Положение по аттестации объектов информатизации по требованиям безопасности информации, утверждённое председателем Государственной технической комиссии при Президенте Российской Федерации 25 ноября 1994 г.

Размещено на Allbest.ru