13. Вимоги щодо захисту інформації від НСД в АС класу 2

Основним нормативним документом з цього питання є НД ТЗІ 2.5-008-2002 «Вимоги із захисту службової інформації від НСД під час оброблення в АС класу 2». Його вимоги є обов’язковими для державних органів, у тому закордонних дипломатичних установ України, Збройних Сил, правоохоронних органів та органів місцевого самоврядування, а також підприємств, установ та організацій усіх форм власності, в АС яких обробляється службова та конфіденційна інформація, вимога щодо захисту якої встановлена законом.

Згідно НД ТЗІ 2.5-005-99 до АС класу 2 (далі - АС-2) відносяться системи, створені на базі локалізованого багатомашинного обчислювального комплексу (ЛОМ), який може забезпечувати роботу багатьох користувачів.

Використовуються такі поняття:

Сильнозв'язані об'єкти - сукупність наборів даних, що характеризується наявністю мінімальної надлишковості і допускають їх оптимальне використання одним чи декількома процесами як одночасно, так і в різні проміжки часу і вимагають безумовного забезпечення цілісності цих наборів даних як сукупності.

Фактично сильнозв’язаними об’єктами можуть бути бази даних, що підтримуються стандартними для галузі системами управління, сукупності наборів даних, які генеруються й модифікуються будь-якими функціональними або системними процесами і кожний з наборів даних, які складають цю множину, не може самостійно оброблятися, зберігатися і передаватися.

Слабозв'язані об'єкти - відносно незалежні набори даних, що генеруються, модифікуються, зберігаються та обробляються в АС. Фактично слабозв'язані об'єкти - це інформаційні структури, представлені у вигляді окремих файлів, що підтримуються штатними операційними системами робочих станцій та серверів, і кожний з них може оброблятися, зберігатися й передаватися як самостійний об’єкт.

1. Типові умови функціонування та
вимоги захисту інформації в АС-2

До складу АС-2 входять обчислювальна система, фізичне середовище, в якому вона знаходиться та функціонує, користувачі АС та оброблювана інформація, у тому числі й технологія її обробки. Під час забезпечення захисту інформації необхідно враховувати всі характеристики зазначених складових частин, які мають вплив на реалізацію політики безпеки.

Характеристика обчислювальної системи

Метою створення АС-2 є надання користувачу згідно захищеної технології обробки інформації можливості доступу до ресурсів усіх ПЕОМ, об'єднаних у ЛОМ. Функціонально-логічна структура обчислювальної системи АС-2 включає такі підсистеми:
- обробки інформації;
- взаємодії користувачів з АС;
- обміну даними.

Підсистема обробки інформації реалізує головну цільову функцію АС і складається із засобів обробки інформації, які утворюють основу інформаційно-обчислювальних ресурсів АС, що надаються користувачам (обчислення, пошук, зберігання та оброблення інформації). Принциповими її особливостями є багатофункціональність і можливість доступу до неї для будь-яких робочих станцій АС. Можливі обмеження визначаються тільки специфікою технологій, технічними й організаційними особливостями функціонування АС.

Як компоненти підсистеми обробки інформації можуть використовуватися універсальні ЕОМ, спеціалізовані сервери обробки даних або надання послуг (сервери баз даних тощо). Підсистема взаємодії користувачів з АС забезпечує користувачам доступ до засобів підсистеми обробки інформації і подання отриманого від них ресурсу у вигляді результату обчислення, інформаційного масиву або графічного зображення у зручній та зрозумілій для користувача формі.

Компоненти підсистеми у функціональному відношенні є автономно замкненими та, як правило, не передбачають доступ до їх внутрішніх обчислювальних ресурсів з боку інших компонентів АС. Як компоненти підсистеми можуть використовуватися ПЕОМ, що укомплектовані засобами введення та виведення інформації (робочі станції).

Підсистема обміну даними забезпечує взаємодію засобів підсистем взаємодії користувачів з АС і обробки інформації, а також робочих станцій між собою на основі визначених правил, процедур обміну даними з реалізацією фаз встановлення, підтримання та завершення з'єднання. Підсистема забезпечує інформаційну взаємодію різних компонентів АС і об'єднує їх в єдине ціле як у структурному, так і у функціональному відношенні.

Підсистема обміну даними складається з пасивної (кабельної) мережі та активного мережевого обладнання (комутаторів, концентраторів, маршрутизаторів, шлюзів тощо), яке об'єднує в єдине ціле пасивну мережу з обладнанням інших підсистем для забезпечення інформаційної взаємодії.

Як різновид підсистеми обміну даними можна розглядати структуровану кабельну систему - набір стандартних комутаційних елементів (кабелів, з'єднувачів, коннекторів, кросових панелей і спеціальних шаф тощо), які дозволяють створювати регулярні структури передачі даних, що відносно легко розширюються.

Обчислювальні системи, за допомогою яких реалізуються підсистеми взаємодії користувачів з АС і обробки інформації, укомплектовані:
- засобами обчислювальної техніки;
- периферійним обладнанням - пристроями друку, зберігання інформації тощо;
- комплексом програмного забезпечення;
- програмно-апаратними засобами захисту інформації.

Комплекс програмного забезпечення обчислювальної системи складають:
- операційні системи робочих станцій і серверів;
- операційні системи високопродуктивних ЕОМ і мережевого обладнання;
- програмні засоби, що підтримують реалізацію мережевих протоколів обміну даними;
- програмні засоби активних компонентів мережі, що реалізують спеціальні алгоритми управління мережею;
- системи керування базами даних серверів, високопродуктивних ЕОМ, робочих станцій;
- програмні засоби засобів захисту інформації;
- функціональне програмне забезпечення.

Наведена функціонально-логічна структура АС може розглядатися як універсальна, в той час як фізична структура АС може мати значно більшу кількість модифікацій в залежності від цілей та завдань, які вона повинна вирішувати, способу розподілу функцій між окремими технічними засобами, видів та можливостей технічних засобів, що застосовуються, інших специфічних особливостей, які враховуються під час проектування конкретної обчислювальної мережі.

Типові адміністративні та організаційні вимоги до обчислювальної системи АС-2, умов її функціонування та забезпечення захисту інформації визначаються наступним. Для АС в цілому та (або) для окремих (усіх) її компонентів у відповідності до вимог захисту інформації від НСД повинен бути визначений перелік необхідних послуг безпеки та рівень гарантій їх реалізації.

Сервери, робочі станції та інші технічні засоби обробки конфіденційної інформації повинні бути категорійовані згідно вимог НД ТЗІ. Технічна та експлуатаційна документація на засоби захисту та обробки інформації, системне та функціональне програмне забезпечення повинно бути належним чином класифіковано та для кожної категорії користувачів визначено перелік документації, до якої вони можуть отримати доступ.

Доступ до приміщень, де знаходяться засоби АС, що здійснюють обробку конфіденційної інформації, повинен бути обмежений та регламентований службою захисту інформації (далі - СЗІ). Обслуговуючий персонал та користувачі різних категорій допускається до цих приміщень у порядку, визначеному СЗІ та затвердженому керівником організації.

Повинен здійснюватися контроль за доступом користувачів та обслуговуючого персоналу до робочих станцій, серверів і компонентів підсистеми обміну даними на всіх етапах життєвого циклу АС, а також періодичний контроль за цілісністю компонентів підсистеми обміну даними (з метою виявлення несанкціонованих відводів від компонентів підсистеми).

З метою забезпечення безперервного функціонування під час оброблення, зберігання та передачі інформації АС повинна мати можливість оперативного, без припинення її функціонування, проведення регламентного обслуговування, модернізації обчислювальної системи в цілому або окремих її компонентів. Порядок введення в експлуатацію нових компонентів, якщо це впливає на захист інформації в АС, визначається СЗІ.

Програмно-апаратні засоби захисту, що входять до складу КЗЗ, разом з організаційними заходами повинні забезпечувати СЗІ інформацією про користувачів, які працюють в системі, з локалізацією точки їхнього входу в систему та переліком технічних засобів і процесів, до яких вони отримали доступ. Має бути визначено порядок організації та проведення СЗІ процедур періодичного та/або динамічного тестування КЗЗ під час функціонування АС.

Характеристика фізичного середовища

У загальному випадку АС-2 є територіально розосередженою системою. Фізичне розташування її компонентів можна представити як ієрархію, що включає:
- територію, де знаходиться АС;
- будівлю на території;
- приміщення в будівлі.

АС комплектується необхідними засобами електроживлення, заземлення, сигналізації, зв'язку, допоміжними технічними засобами, іншими системами життєзабезпечення. Типові адміністративні та організаційні вимоги щодо умов розміщення компонентів АС-2 наступні.

Усі будівлі, де розміщені компоненти АС-2, повинні бути розміщені в межах КЗ, де впроваджений режим обмеження та контролю доступу згідно вимог нормативних документів. Контроль за доступом до приміщень, де знаходяться критичні з точки зору безпеки інформації компоненти АС, повинен забезпечуватись на всіх етапах її життєвого циклу. Порядок доступу до приміщень із визначенням категорій користувачів, які мають право це здійснювати, визначається СЗІ і затверджується керівником організації...

Чтобы прочитать лекцию полностью, напишите автору

----------------------------------------------------------------------------------------------------

Книга | Автор | Статьи | Фильмы | Фото | Ссылки | Отзывы

Контакт | Студентам | Ветеранам | Астрология | Карта сайта



Рейтинг@Mail.ru Яндекс.Метрика