2014-02-09
1218
Введение
ЛЕКЦИЯ
Заключение
Автоматизированные и автоматические системы технологического управления прочно интегрированы в наш социум. Их функционирование может затрагивать не только интересы отдельных промышленных компаний – эксплуатантов подобных систем, но иногда – всех и каждого. Вероятность атаки на подобные системы ниже, чем на многие другие, но ответственность, связанная с их защитой, в некоторых случаях несоизмеримо выше. Это в полной мере относится к значимым и опасным областям промышленности и жизнеобеспечения городов.
Слайды в презентацию
Учебно-методический материал
| Обсуждено на заседании кафедры (ПМК) «___»____________2014 г. Протокол №____ |
г. Тула, 2014 г.
Содержание
1. Введение
2. Типовые модели политики безопасности в защищённых АСУ.
3. Заключение
Время: 90 минут
Обучаемые: студенты 4 курса
Техническое и программное обеспечение занятия: аудитория, АРМ преподавателя, LSD-проектор, экран/интерактивная доска, прикладные программы Microsoft PowerPoint
Литература
Основная:
1. Положение № 912-51 "О государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам". Утв. от 15 сентября 1993 г.
2. Торокин, А.А. Инженерно-техническая защита информации: учеб.пособие для вузов / А.А.Торокин.— М.: Гелиос АРВ, 2005.— 960с.
3. Щербаков А.Ю. Введение в теорию и практику компьютерной безопасности. – М., 2001. – 352 с.
Дополнительная:
1. Алексеев Е.Г., Богатырев С.Д. Информатика. Мультимедийный электронный учебник. URL: https://inf.e-alekseev.ru/text/toc.html (дата обращения 12.09.2013 г)
Лекция 2.8 по дисциплине «Эксплуатация подсистем безопасности автоматизированных систем» проводится после изучения первой темы. Лекция по сути обзорная, основной задачей лекции является доведение обобщённого материала. Предлагаемый способ ведения лекции – классический.
Однако в начале лекции следует провести краткий опрос понимания обучаемыми сущности понятий: система, автоматизированная система. Таким образом, что бы по окончании вступительной части лекции обучаемые будут подготовлены к адекватному восприятию материала лекции по изучаемой теме. В качестве повышения мотивации обучаемых к углубленному изучению дисциплины, а так же поощрения части аудитории проявившей активность в ходе опроса, отметить баллы к оценке за занятие.
Требования разработаны на основании федеральных законов "Об информации, информатизации и защите информации", "Об участии в международном информационном обмене", Указа Президента Российской Федерации от 06.03.97г. № 188 "Перечень сведений конфиденциального характера", "Доктрины информационной безопасности Российской Федерации", утвержденной Президентом Российской Федерации 09.09.2000г. № Пр.-1895, "Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти", утвержденного постановлением Правительства Российской Федерации от 03.11.94г. № 1233, других нормативных правовых актов по защите информации (приложение № 8), а также опыта реализации мер защиты информации в министерствах и ведомствах, в учреждениях и на предприятиях. И распространяются на защиту:
¾ конфиденциальной информации - информации с ограниченным доступом, за исключением сведений, отнесенных к государственной тайне и персональным данным, содержащейся в государственных (муниципальных) информационных ресурсах, накопленной за счет государственного (муниципального) бюджета и являющейся собственностью государства (к ней может быть отнесена информация, составляющая служебную тайну и другие виды тайн в соответствии с законодательством Российской Федерации, а также сведения конфиденциального характера в соответствии с "Перечнем сведений конфиденциального характера", утвержденного Указом Президента Российской Федерации от 06.03.97 №188), защита которой осуществляется в интересах государства (далее - служебная тайна);
¾ информации о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющей идентифицировать его личность (персональные данные) (В соответствии с Федеральным законом "Об информации, информатизации и защите информации" режим защиты персональных данных должен быть определен федеральным законом. До его введения в действие для установления режима защиты такой информации следует руководствоваться настоящим документом., за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.)
Документ определяет следующие основные вопросы защиты информации:
¾ организацию работ по защите информации, в том числе при разработке и модернизации объектов информатизации и их систем защиты информации;
¾ состав и основное содержание организационно-распорядительной, проектной, эксплуатационной и иной документации по защите информации;
¾ требования и рекомендации по защите речевой информации при осуществлении переговоров, в том числе с использованием технических средств;
¾ требования и рекомендации по защите информации при ее автоматизированной обработке и передаче с использованием технических средств;
¾ порядок обеспечения защиты информации при эксплуатации объектов информатизации;
¾ особенности защиты информации при разработке и эксплуатации автоматизированных систем, использующих различные типы средств вычислительной техники и информационные технологии;
¾ порядок обеспечения защиты информации при взаимодействии абонентов с информационными сетями общего пользования.
Защищаемыми объектами информатизации являются:
¾ средства и системы информатизации (средства вычислительной техники, автоматизированные системы различного уровня и назначения на базе средств вычислительной техники, в том числе информационно-вычислительные комплексы, сети и системы, средства и системы связи и передачи данных, технические средства приема, передачи и обработки информации (телефонии, звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), используемые для обработки конфиденциальной информации;
¾ технические средства и системы, не обрабатывающие непосредственно конфиденциальную информацию, но размещенные в помещениях, где она обрабатывается (циркулирует);
¾ защищаемые помещения.
Защита информации должна осуществляться посредством выполнения комплекса мероприятий и применение (при необходимости) средств ЗИ по предотвращению утечки информации или воздействия на нее по техническим каналам, за счет несанкционированного доступа к ней, по предупреждению преднамеренных программно-технических воздействий с целью нарушения целостности (уничтожения, искажения) информации в процессе ее обработки, передачи и хранения, нарушения ее доступности и работоспособности технических средств.
При ведении переговоров и использовании технических средств для обработки и передачи информации возможны следующие каналы утечки и источники угроз безопасности информации:
¾ акустическое излучение информативного речевого сигнала;
¾ электрические сигналы, возникающие посредством преобразования информативного сигнала из акустического в электрический за счет микрофонного эффекта и распространяющиеся по проводам и линиям, выходящими за пределы КЗ;
¾ виброакустические сигналы, возникающие посредством преобразования информативного акустического сигнала при воздействии его на строительные конструкции и инженерно-технические коммуникации защищаемых помещений;
¾ несанкционированный доступ и несанкционированные действия по отношению к информации в автоматизированных системах, в том числе с использованием информационных сетей общего пользования;
¾ воздействие на технические или программные средства информационных систем в целях нарушения конфиденциальности, целостности и доступности информации, работоспособности технических средств, средств защиты информации посредством специально внедренных программных средств;
¾ побочные электромагнитные излучения информативного сигнала от технических средств, обрабатывающих конфиденциальную информацию, и линий передачи этой информации;
¾ наводки информативного сигнала, обрабатываемого техническими средствами, на цепи электропитания и линии связи, выходящие за пределы КЗ;
¾ радиоизлучения, модулированные информативным сигналом, возникающие при работе различных генераторов, входящих в состав технических средств, или при наличии паразитной генерации в узлах (элементах) технических средств;
¾ радиоизлучения или электрические сигналы от внедренных в технические средства и защищаемые помещения специальных электронных устройств перехвата речевой информации "закладок", модулированные информативным сигналом;
¾ радиоизлучения или электрические сигналы от электронных устройств перехвата информации, подключенных к каналам связи или техническим средствам обработки информации;
¾ прослушивание ведущихся телефонных и радиопереговоров;
¾ просмотр информации с экранов дисплеев и других средств ее отображения, бумажных и иных носителей информации, в том числе с помощью оптических средств;
¾ хищение технических средств с хранящейся в них информацией или отдельных носителей информации.
Перехват информации или воздействие на нее с использованием технических средств могут вестись:
¾ из-за границы КЗ из близлежащих строений и транспортных средств;
¾ из смежных помещений, принадлежащих другим учреждениям (предприятиям) и расположенным в том же здании, что и объект защиты;
¾ при посещении учреждения (предприятия) посторонними лицами;
¾ за счет несанкционированного доступа (несанкционированных действий) к информации, циркулирующей в АС, как с помощью технических средств АС, так и через информационные сети общего пользования.
В качестве аппаратуры перехвата или воздействия на информацию и технические средства могут использоваться портативные возимые и носимые устройства, размещаемые вблизи объекта защиты либо подключаемые к каналам связи или техническим средствам обработки информации, а также электронные устройства перехвата информации "закладки", размещаемые внутри или вне защищаемых помещений.
Кроме перехвата информации техническими средствами возможно непреднамеренное попадание защищаемой информации к лицам, не допущенным к ней, но находящимся в пределах КЗ. Это возможно, например, вследствие:
¾ непреднамеренного прослушивания без использования технических средств конфиденциальных разговоров из-за недостаточной звукоизоляции ограждающих конструкций защищаемых помещений и их инженерно-технических систем;
¾ случайного прослушивания телефонных разговоров при проведении профилактических работ в сетях телефонной связи;
¾ некомпетентных или ошибочных действий пользователей и администраторов АС при работе вычислительных сетей;
¾ просмотра информации с экранов дисплеев и других средств ее отображения.
Выявление и учет факторов воздействующих или могущих воздействовать на защищаемую информацию (угроз безопасности информации) в конкретных условиях, в соответствии с ГОСТ Р 51275-99, составляют основу для планирования и осуществления мероприятий, направленных на защиту информации на объекте информатизации.
Перечень необходимых мер защиты информации определяется по результатам обследования объекта информатизации с учетом соотношения затрат на защиту информации с возможным ущербом от ее разглашения, утраты, уничтожения, искажения, нарушения санкционированной доступности информации и работоспособности технических средств, обрабатывающих эту информацию, а также с учетом реальных возможностей ее перехвата и раскрытия ее содержания.
Основное внимание должно быть уделено защите информации, в отношении которой угрозы безопасности информации реализуются без применения сложных технических средств перехвата информации:
¾ речевой информации, циркулирующей в защищаемых помещениях;
¾ информации, обрабатываемой средствами вычислительной техники, от несанкционированного доступа и несанкционированных действий;
¾ информации, выводимой на экраны видеомониторов;
¾ информации, передаваемой по каналам связи, выходящим за пределы КЗ.
