Защита информации от несанкционированного доступа — этапы и цели системы

Деление компьютеров на сегменты: Групповые политики безопасности назначаются на сегменты компьютерного парка (бухгалтерия, отдел продаж, разработчики и др.).

alt

Узнай стоимость своей работы

Бесплатная оценка заказа!

Оценим за полчаса!

Приоритизация компьютеров в сети: Категорирование уровня важности отдельных защищаемых компьютеров и приоритизация инцидентов в системе.

Защита входа в систему: Парольная аутентификация пользователей или усиленная идентификация с использованием аппаратных идентификаторов. Блокировка компьютера при изъятии идентификатора для исключения доступа в момент отсутствия сотрудника на рабочем месте. Интеграция с модулем доверенной загрузки «Соболь».Защита информации от несанкционированного доступа - Студенческий портал

Разграничение доступа к ресурсам

  •  Механизм дискреционного разграничения доступа к ресурсам позволяет контролировать и управлять правами доступа пользователей и групп пользователей к объектам файловой системы (для ОС Windows и Linux).Мандатный контроль доступа для открытия файлов и папок в соответствии с уровнем конфиденциальности сессии пользователя. Позволяет обеспечить более гранулированное управление доступом к данным (для ОС Windows).
  • Разграничение доступа к устройствам: Пользователи могут подключать и работать только с зарегистрированными в системе устройствами и выполнять функции в соответствии с заданными к данному устройству правами доступа.
  • Контроль печати: Выделение только разрешенных принтеров для печати конфиденциальной информации и устранение возможных каналов утечки информации.
  • Контроль целостности: Контроль целостности ключевых компонентов средства защиты информации и объектов файловой системы. Настройка режимов реакции на нарушение целостности объектов.Контроль неизменности файлов и физических секторов жесткого диска до загрузки операционной системы. При нарушении целостности файла вход пользователя в систему блокируется.Механизм контроля целостности системного реестра Windows защищает рабочие станции от несанкционированных действий внутри операционной системы.
  • Удаление остаточной информации: Уничтожение содержимого файлов при их удалении пользователем. Очистка освобождаемых областей оперативной памяти компьютера и запоминающих устройств.
  • Шифрование конфиденциальных данных: Хранение конфиденциальных документов в зашифрованном по криптоалгоритму ГОСТ 28147-89 контейнере.
  • Теневое копирование файлов: Теневое копирование выводимой информации. Расследование инцидентов, связанных с утечками.
  • Доверенная информационная среда: Возможность ограничения запускаемых приложений. Защита от недоверенных и вредоносных программ.
  • Контроль действия приложений: Защита от внедрения вредоносного кода в разрешенные приложения.
  • Персональный межсетевой экран: Запрет непредусмотренных маршрутов движения сетевого трафика.
  • Авторизация сетевых соединений: Защита от подмены серверов и настройка правил межсетевого экрана для конкретных пользователей, блокировка сети при несанкционированном доступе к компьютеру.
  • Обнаружение и предотвращение сетевых вторжений: Защита от атак с недоверенных компьютеров и внешних источников.
  • Антивирусная защита: Надежная защита от любого типа вредоносных программ, включая вирусы, которые не осуществляют запуск и выполняются в обход замкнутой программной среды.
  • Аудит действий пользователей: Аудит действий субъектов с защищаемыми объектами файловой системы и сетевых соединений, аудит отчуждения информации. Возможность автоматического построения отчетов по результатам аудита.
  • Минимизация финансовых и репутационных рисков, связанных с утечкой конфиденциальной информации.
  • Настроены политики безопасности для сотрудников различных служб при работе с конфиденциальной информацией:
    • с финансовыми документами;
    • с базой данных клиентов;
    • с интеллектуальной собственностью организации;
    • с банковской тайной;
    • с персональными данными.

    Сотрудники получают доступ только к своим рабочим данным, нивелирован риск финансовых и репутационных потерь из-за заражения компьютеров вредоносными программами или утечек конфиденциальной информации.

  • Сокращены расходы на администрирование и поддержку СЗИ за счет использования единой системы обеспечения безопасности на всех рабочих станциях организации.

Комплексное решение для защиты рабочих станций и серверов на уровне данных, приложений, сети, операционной системы и периферийного оборудования

Secret Net Studio 8.5 предназначен для построения комплексной системы защиты. Решение позволяет обеспечить безопасность как самой инфраструктуры конечных точек организации, так и конфиденциальной информации, хранимой и обрабатываемой в системе.

В версии 8.5 продукта впервые представлен механизм Доверенной среды, позволяющий осуществлять независимый от операционной системы контроль работы защитных механизмов и драйверов.

В новой версии:

alt

Узнай стоимость своей работы

Бесплатная оценка заказа!

Оценим за полчаса!
  • Доверенная среда – независимый от ОС контроль работы СЗИ и драйверов
  • Возможность использования антивирусного модуля по технологии «Лаборатории Касперского»
  • Блокировка вредоносных IP-адресов и фишинговых URL-адресов
  • Возможность развертывания через групповые политики Windows
  • Отчеты о настройках СЗИ, идентификаторах пользователей, установленном ПО

Сертифицированное средство защиты информации от несанкционированного доступа для операционных систем семейства Linux

Четвертое поколение ПАК «Соболь» — новый шаг в развитии продукта. В новой версии значительно изменились функциональные возможности продукта, при этом сохранилась преемственность интерфейса.

Что нового:

Защита информации от несанкционированного доступа - Студенческий порталФункционирование в среде UEFI дает возможность использовать для хранения и обработки конфиденциальных данных и гостайны современные компьютеры

  • Поддержка разметки диска в формате GPT позволяет работать с жесткими дисками объемом более 2 терабайт
  • Поддержка USB 3.0 обеспечивает работу с современными USB-идентификаторам
  • Поддержка Альт Линукс СПТ 7, Astra Linux Special Edition «Смоленск» 1.5 и VMware vSphere ESXi 6
  • Расширен список поддерживаемых идентификаторов: USB-ключи: JaCarta-2 ГОСТ, JaCarta-2 PKI/ГОСТ, JaCarta SF/ГОСТ, Rutoken ЭЦП и Rutoken Lite; Смарт-карты: JaCarta-2 ГОСТ, JaCarta-2 PKI/ГОСТ
  • Для оптимизации работы в крупных инфраструктурах увеличено количество поддерживаемых пользователей с 32 до 100 и расширены возможности журнала безопасности – количество записей возросло с 80 до 2000

Платы:

  • Три формата исполнения: на платах PCI Express, Mini PCI Express Half и М.2

Сертификаты соответствия:

  • ПАК «Соболь» соответствует требованиям ФСТЭК России к средствам доверенной загрузки уровня платы расширения второго класса защиты. Может использоваться в автоматизированных системах до класса защищенности 1Б включительно, в ИСПДн до УЗ1 включительно и в ГИС до 1-го класса защищенности включительно
  • Сертификатом соответствия Министерства обороны России подтверждено соответствие ПАК «Соболь» требованиям руководящих документов по 2 уровню контроля отсутствия НДВ, требованиям к СДЗ уровня платы расширения 2 класса защиты и возможность использования в автоматизированных системах до класса защищенности 1Б включительно

Сертифицированное средство защиты информации от несанкционированного доступа для операционных систем семейства MS Windows

Сертифицированное средство защиты платформ виртуализации, обеспечивающее контроль инфраструктуры, действий администраторов и фильтрацию сетевого трафика на уровне гипервизора

vGate 4.1 предназначен для защиты от характерных для виртуальной инфраструктуры угроз и контроля привилегированных пользователей. Новая версия продукта включает в свой состав компонент, не имеющий аналогов на российском рынке – безагентный виртуальный межсетевой экран.

Что нового:

Защита информации от несанкционированного доступа - Студенческий порталКомпонент сетевой защиты vNetwork дает возможность создавать правила фильтрации как на уровне отдельной виртуальной машины, так и на уровне групп виртуальных машин. vNetwork позволяет быстро и просто разделить виртуальную инфраструктуру на множество логических сегментов, независимых от физической топологии сети. Это ограничит горизонтальное распространение атаки, при этом не нужно перенастраивать саму сеть.

  • В vGate 4.1 оптимизировано управление объектами виртуальной инфраструктуры:
    • политики безопасности можно назначать напрямую на объекты виртуальной инфраструктуры;
    • стало возможным добавлять объекты в группы и назначать политики безопасности и метки на группы;
    • виртуальные машины автоматически добавляются в группы на основе их имени.
  • С помощью обновленного веб-интерфейса стало проще и удобнее управлять функциональными возможностями редакции Enterprise Plus.
  • Обновленный модуль мониторинга событий безопасности и создания отчетов обеспечивает отправку инцидентов безопасности во внешние системы с использованием протоколов syslog и SMTP.
  • Для обеспечения безопасности миграции виртуальных машин реализована возможность контроля операций Cross vCenter vMotion, а также расширено общее количество контролируемых операций в виртуальной инфраструктуре vSphere.
  • Новый агент для сервера управления VMware vCSA позволяет настраивать правила доступа. При недоступности сервера авторизации появилась возможность отключать агент и переводить компонент в аварийный режим. Агент поддерживает все сценарии развертывания на vCSA High Availability.
  • Новые наборы политик безопасности позволят в автоматизированном режиме настроить защиту финансовых операций по ГОСТ Р 57580.1-2017, а также объектов КИИ.
  • Начиная с версии 4.1 в vGate реализована поддержка современных моделей идентификаторов и смарт-карт Рутокен.

Сертификаты соответствия: vGate 4.1 соответствует требованиям ФСТЭК России по 5 классу защищенности СВТ и 4 уровню контроля НДВ, может использоваться в АС до класса защищенности 1Г включительно, для защиты информации в ИСПДн до 1 уровня включительно и ГИС до 1 класса включительно.

Источник: https://www.securitycode.ru/solutions/zashchita-informatsii-ot-nesanktsionirovannogo-dostupa/

Методы и средства защиты информационной системы от несанкционированного доступа

В последнее время очень актуальной является проблема совершения компьютерных атак на информационные системы различного назначения. Под компьютерной атакой понимается последовательность действий злоумышленника, направленная на достижение результата, нарушающего политику безопасности путем воздействия на объекты в информационной системе через имеющиеся уязвимости [1].

Для уменьшения ущерба, нанесенного злоумышленником, совершившим компьютерную атаку на ту или иную информационную систему, используются различные средства защиты информации от несанкционированного доступа.

В большинстве случаев в операционных системах и популярном программном обеспечении уже встроены различные подсистемы защиты от несанкционированного доступа. Однако они не обеспечивают противодействия на должном уровне компьютерным атакам в информационной системе.

Связано это с тем, что реализация подсистем защиты большинства операционных систем достаточно часто вызывает нарекания из-за регулярно обнаруживаемых уязвимостей, позволяющих получить несанкционированный доступ злоумышленнику к защищаемым объектам информационной системы [2].

  • Поэтому кроме стандартных средств защиты необходимо использовать специальные средства ограничения доступа.
  • Данные средства ограничения доступа к информации можно разделить на следующие категории:
  • – средства ограничения физического доступа;
  • – средства защиты от несанкционированного доступа по сети.

Средства ограничения физического доступа являются самым надежным решением проблемы, так как здесь используются аппаратные средства защиты от несанкционированного доступа до загрузки операционной системы компьютера.

Средства защиты данной категории называются «электронными замками».

Такое средство не может подвергнуться воздействию злоумышленника, так как все действия по контролю доступа пользователей электронный замок выполняет в собственной доверенной программной среде, которая не подвержена внешним воздействиям.

При настройке «электронного замка» создается список легитимных пользователей, который храниться в энергонезависимой памяти замка. Для каждого пользователя формируется ключевой носитель, по которому будет производиться аутентификация пользователя при входе. Далее формируется список файлов, целостность которых контролируется замком перед загрузкой операционной системы компьютера.

  1. Средства защиты от несанкционированного доступа по сети делятся на следующие категории:
  2. – виртуальные частные сети;
  3. – межсетевое экранирование.

Виртуальные частные сети (Virtual Private Networks) обеспечивают автоматическую защиту целостности и конфиденциальности сообщений, передаваемых через Интернет. Фактически, VPN – это совокупность сетей, на внешнем периметре которых установлены VPN-агенты. VPN-агент – это программа, обеспечивающая защиту передаваемой информации путем выполнения описанных ниже операций.

  • – выделение из заголовка IP-пакета информации о его адресате, согласно которой VPN-агент выбирает алгоритм защиты;
  • – формирование и добавление цифровой подписи в IP-пакет с помощью выбранного алгоритма защиты;
  • – шифрование IP-пакета;
  • – трансляция сетевых адресов;
  • – отправка IP-пакета VPN-агенту адресата.

Межсетевой экран представляет собой программное или программно-аппаратное средство, обеспечивающее защиту компьютерных сетей и отдельных компьютеров от несанкционированного доступа со стороны внешних сетей путем фильтрации двустороннего потока сообщений при обмене информацией. По факту, межсетевой экран – это тот же VPN-агент, который не выполняет шифрование пакетов и контроль их целостности. Особенность межсетевого экрана в том, что он имеет ряд дополнительных функций:

  1. – антивирусное сканирование;
  2. – контроль корректности пакетов;
  3. – контроль корректности соединений;
  4. – контент-контроль.

В заключение можно сказать, что при комплексном использовании методов и средств защиты компьютерной сети от несанкционированного доступа, защищенность информационной системы безопасности будет заметно увеличена. Таким образом злоумышленнику будет практически невозможно нанести какой-либо вред информационной системе определённого предприятия.

Источник: https://sibac.info/journal/student/85/163017

Защита информации от несанкционированного доступа

Современные компании располагают значительными объемами информации. В сегодняшних реалиях она является основным ресурсом. Базы данных нуждаются в надежной охране от преступного использования, которое представляет собой серьезную угрозу для деятельности и существования компании.

Поэтому так важно обеспечить защиту данных от несанкционированного доступа. Это комплекс мероприятий, направленных на контроль полномочий пользователей. В компании вводится ограничение использования сведений, которые не нужны сотрудникам для выполнения прямых обязанностей.

Контролировать необходимо действия как с бумажными документами, так и со сведениями на электронных носителях информации.

Для того чтобы создать надежную систему защиты информации нужно определить возможные способы получения данных.

Способы доступа посторонних к сведениям

Несанкционированный доступ к информации (НСД) может быть получен разными способами. Прямое хищение документов или взлом операционных систем компьютеров составляют лишь малую часть возможных вариантов. Наиболее уязвимыми считаются электронные средства хранения информации, так как для них могут быть использованы удаленные методы управления и контроля.

Возможные варианты получения незаконного доступа:

  • подключение к системам связи (телефонные линии, интеркомы, проводные переговорные устройства);
  • хищение документации, в том числе ее копирование (тиражирование) с враждебными целями;
  • непосредственное использование компьютеров, внешних накопителей или иных устройств, содержащих информацию;
  • внедрение в операционную систему через Интернет, в том числе с использованием шпионских программ, вирусов и прочего вредоносного программного обеспечения;
  • использование сотрудников компании (инсайдеров) в качестве источников сведений.

По данным Gartner, 60% людей готовы пойти на преступление под гнетом обстоятельств. Узнайте, на что способны ваши сотрудники с помощью «СёрчИнформ ProfileCenter».

Подключение к действующему каналу связи позволяет получать сведения косвенным способом, без непосредственного доступа к базам данных.

Наиболее защищенными от вторжения извне считаются оптоволоконные линии, но и к ним можно присоединиться после некоторых подготовительных операций.

Целью злоумышленников в этом случае становятся рабочие переговоры сотрудников – например, при проведении следственных мероприятий или при совершении финансовых операций.

Часто для получения нужных сведений злоумышленники используют сотрудников компаний. В ход идут разные способы убеждения и мотивации – от подкупа до более жестких методов (запугивание, шантаж).

В группу риска входят сотрудники, у которых возник конфликт с коллегами или с администрацией компании. Эти работники могут иметь авторизованный доступ к информации, позволяющий им получать определенные сведения без ограничений.

Аутентификация пользователей в данном случае не является эффективной мерой защиты, поскольку она способна отсечь только посторонних.

Еще одна внутренняя угроза – кража носителей с ценными сведениями, например, программным кодом, который является разработкой компании. На это способны только доверенные лица, имеющие доступ к конфиденциальным данным в физическом или электронном виде.

Параллельно с развитием средств защиты информации ведутся разработки новых методов НСД. Необходимо понимать, что изученные методы незаконного получения данных не считаются перспективными.

Наибольшую опасность представляют новые и малоизученные способы доступа к ресурсам компании, против которых пока нет эффективных методик борьбы. Поэтому считать средства защиты от несанкционированного доступа излишней мерой не следует.

Это не попытка перестраховаться, а следствие правильного понимания размеров угрозы.

Для чего предпринимаются попытки доступа к чужой информации

Основная цель несанкционированного доступа к информации – получение дохода от использования чужих данных.

Возможные способы использования полученных сведений:

  • перепродажа третьим лицам;
  • подделка или уничтожение (например, при получении доступа к базам должников, подследственных, разыскиваемых лиц и т. п.);
  • использование чужих технологий (промышленный шпионаж);
  • получение банковских реквизитов, финансовой документации для незаконных операций (например, обналичивания денег через чужой счет);
  • изменение данных с целью навредить имиджу компании (незаконная конкуренция).

Конфиденциальная информация представляет собой эквивалент денежных средств. При этом для самого владельца сведения могут ничего не значить. Однако ситуация постоянно меняется, и данные могут внезапно приобрести большое значение, и этот факт потребует их надежной защиты.

Методы защиты от несанкционированного доступа

Методы защиты компьютеров от несанкционированного доступа делятся на программно-аппаратные и технические. Первые отсекают неавторизованных пользователей, вторые предназначены для исключения физического проникновения посторонних людей в помещения компании.

Создавая систему защиты информации (СЗИ) в организации, следует учитывать, насколько велика ценность внутренних данных в глазах злоумышленников.

Для грамотной защиты от несанкционированного доступа важно сделать следующее:

  • отсортировать и разбить информацию на классы, определить уровни допуска к данным для пользователей;
  • оценить возможности передачи информации между пользователями (установить связь сотрудников друг с другом).

В результате этих мероприятий появляется определенная иерархия информации в компании. Это дает возможность разграничения доступа к сведениям для сотрудников в зависимости от рода их деятельности.

Аудит доступа к данным должен входить в функционал средств информационной безопасности. Помимо этого, программы, которые компания решила использовать, должны включать следующие опции:

  • аутентификация и идентификация при входе в систему;
  • контроль допуска к информации для пользователей разных уровней;
  • обнаружение и регистрация попыток НСД;
  • контроль работоспособности используемых систем защиты информации;
  • обеспечение безопасности во время профилактических или ремонтных работ.

Идентификация и аутентификация пользователей

Для выполнения этих процедур необходимы технические средства, с помощью которых производится двухступенчатое определение личности и подлинности полномочий пользователя. Необходимо учитывать, что в ходе идентификации необязательно устанавливается личность. Возможно принятие любого другого идентификатора, установленного службой безопасности.

После этого следует аутентификация – пользователь вводит пароль или подтверждает доступ к системе с помощью биометрических показателей (сетчатка глаза, отпечаток пальца, форма кисти и т. п.). Кроме этого, используют аутентификацию с помощью USB-токенов или смарт-карт. Этот вариант слабее, так как нет полной гарантии сохранности или подлинности таких элементов.

Протоколы секретности для бумажной документации

Несмотря на повсеместную цифровизацию, традиционные бумажные документы по-прежнему используются в организациях. Они содержат массу информации – бухгалтерские сведения, маркетинговую информацию, финансовые показатели и прочие критические данные. Заполучив эти документы, злоумышленник может проанализировать масштабы деятельности организации, узнать о направлениях финансовых потоков.

Для защиты документации, содержащей сведения критической важности, используются специальные протоколы секретности. Хранение, перемещение и копирование таких файлов производится по специальным правилам, исключающим возможность контакта с посторонними лицами.

Защита данных на ПК

Для защиты информации, хранящейся на жестких дисках компьютеров, используются многоступенчатые средства шифрования и авторизации. При загрузке операционной системы используется сложный пароль, который невозможно подобрать обычными методами. Возможность входа в систему пользователя со стороны исключается путем шифрования данных в BIOS и использования паролей для входа в разделы диска.

Для особо важных устройств следует использовать модуль доверенной загрузки. Это аппаратный контроллер, который устанавливается на материнскую плату компьютера. Он работает только с доверенными пользователями и блокирует устройство при попытках включения в отсутствие владельца.

Также применяются криптографические методы шифрования данных, превращающие текст «вне системы» в ничего не значащий набор символов.

Эти мероприятия обеспечивают защиту сведений и позволяют сохранить их в неприкосновенности.

Определение уровней защиты

С методической точки зрения процесс защиты информации можно разделить на четыре этапа:

  • предотвращение – профилактические меры, ограничение доступа посторонних лиц;
  • обнаружение – комплекс действий, предпринимаемых для выявления злоупотреблений;
  • ограничение – механизм снижения потерь, если предыдущие меры злоумышленникам удалось обойти;
  • восстановление – реконструкция информационных массивов, которая производится по одобренной и проверенной методике.

Каждый этап требует использования собственных средств защиты информации, проведения специальных мероприятий. Необходимо учитывать, что приведенное разделение условно. Одни и те же действия могут быть отнесены к разным уровням.

Не хватает ресурсов, чтобы заняться информационной безопаностью всерьез? Пригласите специалиста по ИБ-аутсорсингу! Узнать, как это работает.

Предотвращение сетевых атак

Компьютеры, подключенные к Интернету, постоянно подвергаются риску заражения вредоносным программным обеспечением. Существует масса ПО, предназначенного для отслеживания паролей, номеров банковских карт и прочих данных. Нередко вирусы содержатся в рассылках электронной почты, попадают в систему через сомнительные сетевые ресурсы или скачанные программы.

Для защиты системы от вредоносных программ, необходимо использовать антивирусные приложения, ограничить доступ в Сеть на определенные сайты. Если в организации параллельно используются локальные сети, следует устанавливать файрволы (межсетевые экраны).

Большинство пользователей хранит информацию в отдельных папках, которые названы «Пароли», «Мои карты» и т. п. Для злоумышленника такие названия являются подсказками. В названиях таких файлов необходимо использовать комбинации букв и цифр, ничего не говорящие посторонним людям. Также рекомендуется шифровать ценные данные в компьютерах и периодически производить их резервное копирование.

Какие результаты должны быть достигнуты

Грамотное использование систем защиты информации позволяет добиться благоприятных результатов:

  • уменьшить риски утраты репутации и потери денежных средств;
  • исключить потери научных разработок, интеллектуальной собственности, личных данных;
  • снизить затраты на мероприятия по защите информации, исключению постороннего доступа к ценным сведениям.

Также служба ИБ должна настроить политики безопасности для всех подразделений и сотрудников, работающих с конфиденциальной информацией разного типа:

  • финансовая документация;
  • клиентские базы данных;
  • научные и технологические разработки, другая интеллектуальная собственность;
  • сведения, составляющие банковскую тайну;
  • персональная информация сотрудников или иных лиц.

Каждый сотрудник должен иметь возможность работать только с информацией, необходимой ему для выполнения трудовых обязанностей. Это исключает недобросовестное использование сведений, утечку или копирование данных с враждебными целями.

Несанкционированный доступ к информации возможен в любой системе – от небольших организаций до крупных государственных структур.

Внимательное отношение к защите сведений, создание подразделений информационной безопасности позволяют минимизировать потери и предотвратить попытки хищения или копирования данных.

Отдельное внимание следует уделять работе с авторизованными сотрудниками, имеющими доступ к критической информации. Меры защиты должны быть приняты заблаговременно, поскольку уступить инициативу – значит допустить потерю данных.

23.09.2019

Источник: https://searchinform.ru/services/outsource-ib/zaschita-informatsii/ot-nesanktsionirovannogo-dostupa/

Сертифицированные средства защиты

Сертифицированные средства защиты

Известно, что для защиты ПДн класса К1 средства защиты информации должны иметь НДВ 4. Однако если проводить анализ 58 приказа ФСТЭК, вводящего Положение о ПДн и ранних рабочих документов ФСТЭК, то оказывается, что средства защиты информации должны иметь подтвержденный функционал, соответствия которого я привожу в таблице ниже.

Рабочие документы по защите информации ФСТЭК России

•      Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации.

•       Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации.

•       Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации.

•       Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей

Класс ИСПДн / класс по РД ФСТЭК К1 К2 К3
 Средства вычислительной техники (СВТ) 5 5 5
 Автоматизированные системы (АС) 1Г+
 Межсетевые экраны (МЭ) 3 4 4
 Недекларированные возможности (НДВ) 4

Источник: https://www.securitylab.ru/blog/personal/shaurojen/22834.php

Средства защиты информации от несанкционированного доступа

Внешняя безопасность включает защиту АС от проникновения злоумышленников извне с целью получения неправомерного доступа к информации и ее носителям, а также с целью вмешательства в процессы функционирования или вывода отдельных компонентов автоматизированной системы из строя.

  1. Усилия по обеспечению внутренней безопасности компьютерных систем фокусируются на создании надежных и удобных механизмов регламентации деятельности всех ее законных пользователей и обслуживающего персонала для принуждения их к безусловному соблюдению установленной в организации дисциплины доступа к ресурсам системы.
  2. Задачи, решаемые средствами защиты информации от несанкционированного доступа
  3. На технические средства защиты информации от НСД возлагают решение следующих основных задач:
  • · защиту от вмешательства в процесс функционирования АС посторонних лиц (возможность использования автоматизированной системы и доступ к ее ресурсам должны иметь только зарегистрированные установленным порядком пользователи — сотрудники подразделений организации);
  • · разграничение доступа зарегистрированных пользователей к аппаратным, программным и информационным ресурсам АС (обеспечение возможности доступа только к тем ресурсам и выполнения только тех операций, которые необходимы конкретным пользователям АС для выполнения ими своих служебных обязанностей);
  • · регистрацию действий пользователей при использовании защищаемых ресурсов АС в системных журналах и периодический контроль корректности действий пользователей системы путем анализа содержимого этих журналов сотрудниками подразделений компьютерной безопасности;
  • · оперативный контроль за работой пользователей АС и оперативное оповещение администратора безопасности о попытках несанкционированного доступа к ресурсам системы;
  • · защиту от несанкционированной модификации (обеспечение неизменности, целостности) используемых в АС программных средств, а также защиту системы от внедрения несанкционированных программ, включая компьютерные вирусы и вредоносные «программы-закладки»;
  • · защиту хранимой, обрабатываемой и передаваемой по каналам связи информации ограниченного распространения от несанкционированного разглашения, искажения подмены или фальсификации;
  • · обеспечение аутентификации абонентов, участвующих в информационном обмене (подтверждение подлинности отправителя и получателя информации);
  1. · гибкое управление всеми защитными механизмами.
  2. Кроме того, системы защиты информации от НСД должны обладать высокой надежностью, универсальностью, возможностями реализации современных технологий защиты, невысокими требованиями к ресурсам защищаемых компьютеров, широкими возможностями по управлению механизмами защиты, должны работать с разнообразными средствами аппаратной поддержки защитных функций, и ориентироваться на наиболее распространенные операционные системы.

На выбор средств защиты информации оказывают влияние потребности организации в определенном уровне защищенности автоматизированной системы, количество компьютеров, их основные технические характеристики, применяемые операционные системы и т.п.

Потребности организации в некотором уровне защищенности автоматизированной системы можно определить, воспользовавшись руководящими документами ФСТЭК России, классифицирующими АС по уровням требований к защите («Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации»).

При выборе соответствующих уровню защищенности АС конкретных средств защиты необходимо пользоваться руководящим документом ФСТЭК России «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации».

Защищенность СВТ есть потенциальная защищенность, т.е. способность их предотвращать или существенно затруднять НСД к информации в дальнейшем при использовании СВТ в составе АС. Защита СВТ обеспечивается комплексом программно-технических средств.

Защита АС обеспечивается комплексом программно — технических средств и поддерживающих их организационных мер.

Эти требования выражаются в показателях защищенности. Совокупность значений показателя защищенности определяет класс защищенности АС или СВТ. Существует 9 классов защищенности АС, объединенные в 3 группы и 6 классов защищенности СВТ.

Подсистемы и требования Классы
ЗБ ЗА
1. Подсистема управления доступом
1.1. Идентификация, проверка подлинности и контроль доступа
субъектов:
• в систему + + + + + + + + +
• к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, + + + + +
внешним устройствам ЭВМ
• к программам + + + + +
• к томам, каталогам, файлам, записям, полям записей + + + + +
1.2. Управление потоками информации + + + +
2. Подсистема регистрации и учета
2.1. Регистрация и учет:
• входа (выхода) субъектов доступа в (из) системз’ (узел + + + + + + + + +
сети)
• выдачи печатных (графических) выходных документов + + + + + +
• запуска (завершения) программ и процессов (заданий, + + + + +
задач)
• доступа программ субъектов доступа к защищаемым
файлам, включая их создание и удаление, передачу по + + + + +
линиям и каналам связи
• доступа программ субъектов доступа к терминалам,
ЭВМ, узлам сети ЭВМ, каналам связи, внешним + + + + +
З^стройствам ЭВМ, программам, томам, каталогам,
файлам, записям, полям записей
• изменения полномочий субъектов доступа + + +
• создаваемых защищаемых объектов доступа + + + +
2.2. Учет носителей информации + + + + + + + + +
2.3. Очистка (обнуление, обезличивание) освобождаемых + + + + + +
областей оперативной памяти ЭВМ и внешних накопителей
2.4. Сигнализация попыток нарушения защиты + + +
3. Криптографическая подсистема
3.1. Шифрование конфиденциальной информации + + +
3.2. Шифрование информации, принадлежащей различным +
субъектам доступа (группам субъектов) на разных ключах
3.3. Использование аттестованных (сертифицированных) + + +
криптографических средств
4. Подсистема обеспечения целостности
4.1. Обеспечение целостности программных средств и + + + + + + + + +
обрабатываемой информации
4.2. Физическая охрана средств вычислительной техники и + + + + + + + + +
носителей информации
4.3. Наличие администратора (службы) защиты информации в + + + +
АС
4.4. Периодическое тестирование СЗИ НСД + + + + + + + + +
4.5. Наличие средств восстановления СЗИ НСД + + + + + + + + +
4.6. Использование сертифицированных средств защиты + + + + +

Требования руководящих документов ФСТЭК России к средствам защиты информации от несанкционированного доступа

Таблица 3.19.2

Наименование показателя Класс защищенности
6 5 4 3 2 1
1. Дискреционный принцип контроля доступа  + + + = + =
2. Мандатный принцип контроля доступа + = = =
3. Очистка памяти + + + = =
4. Изоляция модулей + = + =
5. Маркировка документов + = = =
6. Защита ввода и вывода на отчуждаемый физический +
носитель информации
7. Сопоставление пользователя с устройством + = = =
8. Идентификация и аутентификация + = + = = =
9. Гарантии проектирования + + + + +
10. Регистрация + + + = =
11. Взаимодействие пользователя с КСЗ + = =
12. Надежное восстановление + = =
13. Целостность КСЗ + + + = =
14. Контроль модификации + =
15. Контроль дистрибуции + =
16. Гарантии архитектуры +
17. Тестирование + + + + + =
18. Руководство пользователя + = = = = =
19. Руководство по КСЗ + + = + + =
20. Тестовая документация + + + + + =
21. Конструкторская (проектная) документация + + + + + +

Источник: https://studopedia.net/2_8443_sredstva-zashchiti-informatsii-ot-nesanktsionirovannogo-dostupa.html

Ссылка на основную публикацию