Архитектура Аудит Военная наука Иностранные языки Медицина Металлургия Метрология Образование Политология Производство Психология Стандартизация Технологии |
Система контроля целостности и подтверждения достоверности электронных документов
Рассмотрим большую АС (федерального или регионального уровня), элементы которой размещены на значительном удалении один от другого. Как правило, в такой АС циркулирует значительное число ЭлД, обрабатываемых большим числом участников. Это означает, что любой пользователь в любой момент времени должен иметь возможность установить достоверность любого ЭлД, вне зависимости от того, где, когда и кем этот ЭлД был изготовлен (сквозной контроль). Более того, если в процессе проверки будет установлено нарушение достоверности ЭлД, должны быть механизмы, позволяющие провести анализ нарушения, несмотря на то, что за время от изготовления ЭлД до его проверки ключи вполне могли смениться. Основой для создания такой системы может быть «Аккорд СБ/КА».
Билет 22
1. Организационная защита информации — это регламентация деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз. Организационная защита обеспечивает: организацию охраны, режима, работу с кадрами, с документами; использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности. Система организационных мер по защите информации представляют собой комплекс мероприятий, включающих четыре основных компонента: — изучение обстановки на объекте; — разработку программы защиты; — деятельность по проведению указанной программы в жизнь; — контроль за ее действенностью и выполнением установленных правил. Выделяют следующие организационные мероприятия: — ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.; — организация надежной охраны помещений и территории прохождения линии связи; — организация, хранения и использования документов и носителей конфиденциальной информации, включая порядок учета, выдачи, исполнения и возвращения; — создание штатных организационных структур по защите ценной информации или назначение ответственного за защиту информации на конкретных этапах е? обработки и передачи; — создание особого порядка взаимоотношений со сторонними организациями и партнерами; — организация конфиденциального делопроизводства.
2. Нет
3. Методы оценки эффективности мероприятий информационной безопасности. С точки зрения общей теории систем можно выделить три класса задач [19]: задача анализа - определение характеристик системы при заданной ее структуре; задача синтеза - получение структуры системы, оптимальной по какому-либо критерию (или их совокупности); задача управления - поиск оптимальных управляющих воздействий на элементы системы в процессе ее функционирования. Применение системного подхода на этапе создания системы защиты информации (СЗИ) подразумевает решение соответствующей задачи синтеза. Известно, что такой подход (например, применительно к техническим системам) позволяет получить оптимальное по определенному критерию (или их совокупности) решение: структуру, алгоритмы функционирования. В случае синтеза систем защиты информации результатом должны быть: структура СЗИ, которая может быть практически реализуема при современном уровне развития ИКТ; оценка качества функционирования синтезированной системы; оценка робастности (устойчивости к отклонениям параметров априорно сформированных моделей от фактических параметров) системы. При этом следует отметить ряд особенностей, которые усложняют постановку и решение задачи синтеза: - неполнота и неопределенность исходной информации о составе информационной системы и характерных угрозах; - многокритериальность задачи, связанная с необходимостью учета большого числа частных показателей (требований) СЗИ; - наличие как количественных, так и качественных показателей, которые необходимо учитывать при решении задач разработки и внедрении СЗИ; - невозможность применения классических методов оптимизации. Очевидно, что при оценке качества функционирования синтезированной СЗИ целесообразно производить оценку ее эффективности. В настоящее время в отечественной и зарубежной практике в основном используются два способа оценки [17]: 1) определение соответствия техническому заданию на создание системы защиты реализованных функций и задач защиты, эксплуатационных характеристик и требований; 1) анализ функциональной надежности системы защиты. Первый способ является наиболее простым и выполняется на этапе приемо-сдаточных испытаний. Суть второго заключается в следующем. Для обоснования выбора средств защиты в целях эффективного обеспечения защиты вводится классификация их свойств. Каждому классу соответствует определенная совокупность обязательных функций. В России классификация систем защиты определяется руководящим документом Гостехкомиссии " Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации". В соответствии с этим документом устанавливается семь классов защищенности средств вычислительной техники от несанкционированного доступа к информации. Самый низкий класс - седьмой, самый высокий - первый. Классы подразделяются на четыре группы, отличающиеся качественным уровнем защиты: - первая группа содержит только один седьмой класс; - вторая группа характеризуется дискреционной защитой и содержит шестой и пятый классы; - третья группа характеризуется мандатной защитой и содержит четвертый, третий и второй классы; - четвертая группа характеризуется верифицированной защитой и содержит только первый класс. Указанные способы используют, по своей сути, системотехнические методики оценки. Наряду с упомянутыми способами существует ряд методик и моделей, с помощью которых производится анализ эффективности систем защиты информации. Для оценки в моделях используются показатели, характеризующие уязвимость информации, обрабатываемой в информационной системе (ИС), либо некоторые величины, входящие в выражения показателей качества информации. Как показывает анализ подходов и методов к решению задачи оценки качества защиты информации, система защиты информации, ориентированная на современные ИКТ, как правило, является сложной человеко-машинной системой, разнородной по составляющим компонентам и трудно формализуемой в части построения целостной аналитической модели критериального вида. В общем случае оценку качества функционирования такой системы можно осуществить только различными эвристическими методами, связанными с экспертной оценкой и с последующей интерпретацией результатов. Для решения задачи оценки качества функционирования СЗИ необходимо использовать показатель качества, который позволил бы оптимизировать задачу синтеза СЗИ, количественно оценить эффективность функционирования системы и осуществить сравнение различных вариантов построения подобных систем. Исходя из функционального предназначения СЗИ, в качестве показателя качества целесообразно выбрать предотвращенный ущерб, наносимый ИС вследствие воздействия потенциальных угроз. Остановимся на этом подробнее. Предположим, что можно выделить конечное множество потенциальных угроз ИС, состоящее из ряда элементов. Каждую из потенциальных угроз можно характеризовать вероятностью ее появления и ущербом, наносимым информационной системе. Системы защиты информации выполняют функцию полной или частичной компенсации угроз для ИС. Основной характеристикой СЗИ в данных условиях является вероятность устранения каждой угрозы. За счет функционирования СЗИ обеспечивается уменьшение ущерба, наносимого ИС воздействием угроз. Имея априорные сведения о составе и вероятностях возникновения угроз СИ и располагая количественными характеристиками ущерба наносимого СИ вследствие их воздействия, требуется определить вариант построения СЗИ, оптимальный по критерию максимума предотвращенного ущерба при условии соблюдения ограничений на допустимые затраты на реализацию СЗИ. Ущерб, наносимый каждой угрозой, целесообразно определить как степень опасности для ИС (относительный ущерб). При этом если принять, что все угрозы для ИС составляют полную группу событий, степень опасности может быть определена экспертным путем. Такой подход обусловлен, по крайней мере, двумя причинами: - определение ущерба в абсолютных единицах (экономических потерях, временных затратах, объеме уничтоженной или испорченной информации) весьма затруднительно, особенно на начальном этапе проектирования СЗИ; - использование относительного ущерба позволяет корректно осуществлять сравнение отдельных угроз (по значениям введенного показателя качества функционирования СЗИ) с целью определения важности требований, предъявляемых к СЗИ. Значение вероятности устранения каждой угрозы определяется тем, насколько полно учтены количественные и качественные требования к СЗИ при их проектировании. При указанных исходных предпосылках можно выделить четыре этапа решения задачи синтеза, сформулированной в виде [3]: - проведения экспертной оценки характеристик угроз: частоты появления и возможного ущерба; - проведения экспертной оценки важности выполнения каждого требования для устранения некоторой потенциальной угрозы; - оценки стоимости СЗИ для конкретного варианта ее реализации; - разработки математической модели и алгоритма выбора рационального построения СЗИ на основе математического аппарата теории нечетких множеств. Анализ особенностей задачи синтеза СЗИ показывает, что решение ее сопряжено с необходимостью проведения экспертного оценивания на ряде этапов. Оценка качества функционирования СЗИ в ряде случае может быть проведена исключительно на основе экспертного оценивания. Такое положение дел обусловлено, прежде всего, тем, что экспертиза представляет собой мощное средство переработки слабо формализованных данных, которое позволяет выделить наиболее обоснованные утверждения специалистов-экспертов и использовать их, в конечном счете, для подготовки различных решений. Представленная классификация отражает уровень масштабности применения информационного оружия. Например, есть меры негативного информационного воздействия, которые целесообразно применять только в стратегическом масштабе, как то: подавление теле- и радиопередающих центров государства-противника и организация вещания нужной нападающей стороне информации.
Билет 23
1. Система защиты государственной тайны. Режим секретности является частью системы защиты засекреченной информации, а точнее, это реализация системы защиты информации для конкретного объекта или одного из его структурных подразделений или конкретной работы. Под системой защиты государственной тайны понимается совокупность органов защиты государственной тайны, используемых ими средств и методов защиты сведений, составляющих государственную тайну, и их носителей, а также мероприятий, проводимых в этих целях. Таким образом, система защиты сведений, отнесенных к государственной тайне, и их носителей складывается: · из органов защиты государственной тайны; · средств и методов защиты государственной тайны; · проводимых мероприятий. Под защитой сведений, составляющих государственную тайну, и их носителей понимается деятельность органов защиты этой тайны, направленная на обеспечение безопасности информации, отнесенной к государственной тайне, предотвращение ее утечки и ее максимально эффективное использование. В систему защиты государственной тайны включаются кроме мер, осуществляемых непосредственно в местах сосредоточения и обращения сведений, составляющих эту тайну, также проводимые государством мероприятия и устанавливаемые административно-правовые режимы: · борьба со шпионажем и разглашением государственной тайны; · охрана государственных тайн в печати; · пограничный режим; · режим въезда и передвижения иностранцев; режим выезда специалистов в служебные командировки за границу
2. Метод индивидуальной беседы и метод экспертной оценки. Метод выдвижения гипотез состоит в процедуре отделения известно- го от неизвестного и вычленения в неизвестном отдельных, наиболее важных элементов и фактов (событий). Метод интуиции заключается в использовании аналитиком своей способности к непосредственному постижению истины (достижению требуемого результата) без предварительного логического рассуждения. Во многом этот метод основывается на личном опыте аналитика. Метод наблюдения заключается в непосредственном исследовании (обследовании) конкретного объекта (источника информации, события, действия, факта), в самостоятельном описании аналитиком каких-либо фактов (событий, процессов), а также их логических связей в течение определённого времени. Цель метода сравнения состоит в более глубоком изучении процессов (событий), происходящих на предприятии и имеющих отношение к вопросам защиты охраняемой информации. Сравниваются различные факторы, обусловливающие причины и обстоятельства, приводящие к утечке конфиденциальной информации или к возникновению предпосылок к её утечке. При использовании метода сравнения в обязательном по- рядке соблюдаются следующие основные условия: сравниваемые объекты (действия, явления, события) должны быть сопоставимы по своим качест- венным особенностям; сравнение должно определить не только элементы сходства, но и элементы различия между исследуемыми объектами. Метод эксперимента используется для проверки результатов дея- тельности по конкретному направлению защиты информации или для поиска новых решений, совершенствования системы её защиты. Роль количественных методов анализа заключается в информационном, статистическом обеспечении качественных методов. Наиболее характерен метод статистических исследований, который заключается 75 в проведении количественного анализа отдельных сторон исследуемого явления (факта, события). В ходе этого анализа накапливаются цифровые данные о состоянии и динамике нарушений режима конфиденциальности (секретности) в процессе проводимых работ, об эффективности решения службой безопасности (режимно-секретным подразделением) задач по их недопущению, о тенденциях развития ситуации в области информацион- ной безопасности и т.д. Методы письменного и устного опроса заключаются в получении пу- тём анкетирования (или иным способом) необходимой информации от сотрудников предприятия, руководителей подразделений, а также лиц, допускающих нарушения установленного режима секретности (конфи- денциальности информации). При этом в анкете указываются несколько возможных вариантов ответов на каждый поставленный вопрос. Метод индивидуальной беседы отличает от метода письменного и устного опроса необходимость личного общения с сотрудником предпри- ятия. Использование этого метода позволяет в динамично развивающейся беседе получить конкретную информацию в зависимости от целей анали- тического исследования. Метод экспертной оценки включает учёт и анализ различных мнений по определённому кругу вопросов, излагаемых специалистами в той или иной области деятельности предприятия, связанной с конфиденциальной информацией. Выбор конкретных методов анализа при проведении аналитических исследований в области защиты конфиденциальной информации зависит от целей и задач исследований, а также от специфики деятельности пред- приятия, состава и структуры службы безопасности и её аналитического подразделения
3. Техническая реализация аппаратных средств защиты информации Аппаратные средства – это технические средства, используемые для обработки данных. Сюда относятся: Персональный компьютер (комплекс технических средств, предназначенных для автоматической обработки информации в процессе решения вычислительных и информационных задач). Периферийное оборудование (комплекс внешних устройств ЭВМ, не находящихся под непосредственным управлением центрального процессора). Физические носители машинной информации. К аппаратным средствам защиты относятся различные электронные, электронно-механические, электронно-оптические устройства. К настоящему времени разработано значительное число аппаратных средств различного назначения, однако наибольшее распространение получают следующие: -специальные регистры для хранения реквизитов защиты: паролей, идентифицирующих кодов, грифов или уровней секретности; -генераторы кодов, предназначенные для автоматического генерирования идентифицирующего кода устройства; -устройства измерения индивидуальных характеристик человека (голоса, отпечатков) с целью его идентификации; -специальные биты секретности, значение которых определяет уровень секретности информации, хранимой в ЗУ, которой принадлежат данные биты; -схемы прерывания передачи информации в линии связи с целью периодической проверки адреса выдачи данных.Особую и получающую наибольшее распространение группу аппаратных средств защиты составляют устройства для шифрования информации (криптографические методы).
Билет 24
1. Структура системы государственного лицензирования. Организационную структуру системы государственного лицензирования деятельности предприятий в области защиты информации образуют: государственные органы по лицензированию; лицензионные центры; предприятия-заявители. - Государственные органы по лицензированию в пределах своей компетенции осуществляют следующие функции: организуют обязательное государственное лицензирование деятельности предприятий; выдают государственные лицензии предприятиям-заявителям; осуществляют научно-методическое руководство лицензионной деятельностью; утверждают перечни лицензионных центров; осуществляют контроль и надзор за полнотой и качеством проводимых лицензиатами работ в области защиты информации; обеспечивают публикацию необходимых сведений о лицензионной деятельности; - Лицензионные центры осуществляют следующие функции: формируют экспертные комиссии и представляют их состав на согласование с руководителями соответствующих государственных органов по лицензированию; планируют и проводят работы по экспертизе заявителей; контролируют полноту и качество выполненных лицензиатами работ; систематизируют отчеты лицензиатов и ежегодно представляют сводный отчет в соответствующие государственные органы по лицензированию; - Лицензиаты обязаны: осуществлять свою деятельность в строгом соответствии с требованиями нормативных документов по защите информации; обеспечивать тайну переписки, телефонных переговоров, документальных и иных сообщений физических и юридических лиц, пользующихся их услугами; ежегодно представлять непосредственно в государственный орган по лицензированию или в лицензионный центр сведения о количестве выполненных работ по конкретным видам указанной в лицензии деятельности. - Предприятия-потребители имеют право обращаться: в государственный орган по лицензированию или в лицензионный центр с рекламациями на некачественно выполненные лицензиатами работы по защите информации;
2. Категорирование объектов информатизации. Категорирование действующих объектов защиты проводится комиссиями, назначенными приказами руководителей, в ведении которых они находятся. В состав комиссии, как правило, включаются представители органов режима секретности, автоматизации, связи, управлений, отделов и служб, заказывающих и эксплуатирующих объект. Категорирование проектируемых объектов защиты осуществляется на этапе разработки ТЗ (ТТЗ) заказывающими управлениями или организациями, в интересах которых создаются эти объекты (предпроектная стадия создания системы защиты информации). Категорирование проводится в следующем порядке: определяются все защищаемые объекты, подлежащие категорированию; определяется высший гриф секретности обрабатываемой информации (ведущихся переговоров) для каждого ОТСС и выделенного помещения; определяются условия размещения защищаемого объекта; по таблице 1 устанавливаются категории ОТСС и выделенных помещений. Результаты работы комиссии оформляются актом, который утверждается должностным лицом, назначившим комиссию. Степень секретности обрабатываемой информации определяется высшим грифом секретности («особой важности», «совершенно секретно», «секретно») с учетом перечня сведений, подлежащих засекречиванию. К помещениям 1 категории относятся помещения, специально предназначенные для проведения совещаний по вопросам особой важности, а также отдельные служебные кабинеты руководства учреждения (предприятия), в которых могут вестись обсуждения и переговоры по вопросам особой важности. К помещениям 2 категории относятся помещения, специально предназначенные для проведения совещаний по совершенно секретным вопросам, а также служебные кабинеты руководящего состава учреждения (предприятия) и основных его подразделений, в которых могут вестись обсуждения и переговоры по совершенно секретным вопросам. К помещениям 3 категории относятся служебные кабинеты и рабочие комнаты подразделений учреждения (предприятия), в которых проводятся обсуждения и переговоры по вопросам со степенью секретности не выше секретно, а также актовые и конференц-залы, предназначенные для массовых открытых мероприятий, но эпизодически используемые для проведения закрытых мероприятий. Категория технических средств и систем устанавливается в зависимости от степени секретности обрабатываемой информации и условий их расположения относительно постоянных представительств иностранных государств, обладающих правом экстерриториальности. Технические средства и системы, обрабатывающие информацию, составляющую государственную тайну, относятся к 1 категории, если в пределах зоны 2, рассчитанной по требованиям норм для 1 категории, находятся постоянные представительства иностранных государств, обладающие правом экстерриториальности. Категории выделенных помещений, технических средств и систем информатизации, классы защищенности автоматизированных систем устанавливаются на предпроектной стадии руководителем предприятия (учреждения) по представлению подразделения по защите информации предприятия. Пересмотр категории (класса защищенности) производится в обязательном порядке, если произошло изменение хотя бы одного из критериев, на основании которых они были, установлены, но не реже одного раза в 5 лет.
3. Идентификация пользователя. Аутендефикация пользователя. Идентификация и аутентификации применяются для ограничения доступа случайных и незаконных субъектов (пользователи, процессы) информационных систем к ее объектам (аппаратные, программные и информационные ресурсы). Общий алгоритм работы таких систем заключается в том, чтобы получить от субъекта (например, пользователя) информацию, удостоверяющую его личность, проверить ее подлинность и затем предоставить (или не предоставить) этому пользователю возможность работы с системой. Наличие процедур аутентификации и/или идентификации пользователей является обязательным условием любой защищенной системы, поскольку все механизмы защиты информации рассчитаны на работу с поименованными субъектами и объектами информационных систем. Популярное:
|
Последнее изменение этой страницы: 2016-08-24; Просмотров: 1270; Нарушение авторского права страницы