Регламентация

реклама
Лекция № 3. Организационно-режимные меры защиты носителей информации в АС
Учебные вопросы:
1. Основные пути доступа к информации на машинных носителях.
2. Требования по обеспечению сохранности информации на МНИ.
Вопрос №1
Для доступа к данным МНИ существуют два основных способа:
• последовательный доступ, когда блоки записываются друг за другом и
для чтения следующего нужно пройти все предыдущие;
• прямой (произвольный) доступ, отличающийся тем, что блоки записываются и читаются в произвольном порядке.
Кроме этого, МНИ характеризуются:
• различными физическими принципами реализации;
• широким спектром объемов хранимой информации - от единиц до десятков тысяч мегабайт,
• многообразием конкретных реализаций носителей различными производителями.
Задача получения злоумышленником доступа к информации на
машинном носителе может быть представлена как последовательность
следующих подзадач:
1) выбор соответствующего заданному носителю привода - наиболее
значимого для обеспечения доступа элемента;
2) запуск соответствующего приводу комплекта программ (операционная
система, драйверы привода и т.п.);
3) обеспечение порядка использования программ и привода для считывания в память компьютерной системы содержимого носителя информации.
Злоумышленник не может получить доступ к информации на машинном
носителе в двух случаях:
1. Когда злоумышленнику недоступен сам носитель;
2. Когда злоумышленнику доступен носитель, но отсутствуют соответствующие средства взаимодействия с носителем.
Наиболее типична ситуация, когда в защищаемой АС используются
распространенные МНИ, а значит, у потенциального злоумышленника
существует возможность получить на своем приводе доступ к битовому
представлению данных защищаемого носителя.
В этом случае практически единственным выходом являются
организационные меры защиты - меры общего характера, затрудняющие
доступ злоумышленников к конфиденциальной информации вне
зависимости от способа обработки информации и каналов утечки (каналов
воздействия).
Вопрос №2
Основными задачами обеспечения информационной безопасности АС от
угрозы раскрытия конфиденциальности на уровне МНИ являются:
• исключение прохождения носителей по технологическим участкам, не
обусловленным производственной необходимостью;
• предупреждение непосредственного доступа к носителям персонала,
не отвечающего за операции с носителями (минимизация доступа);
• предупреждение утраты или хищения носителей информации.
Первая задача решается за счет рациональной организации производственного процесса движения носителей информации, обеспечивающего целенаправленное распределение носителей по технологическим
участкам,
вторая и третья - за счет четкой и обоснованной регламентации порядка
обращения с носителями.
Регламентация порядка обращения с носителями предусматривает
выполнение комплекса мер:
• Запись информации (создание носителей с информацией) на рабочих
местах, обеспечивающих условия для предотвращения утечки по
техническим каналам и физической сохранности носителей.
• Постановку на учет МНИ с простановкой соответствующей маркировки
на зарегистрированном носителе. Одним из элементов маркировки
должен быть гриф секретности информации, хранящейся на данном
носителе.
• Передачу МНИ между подразделениями организации,
эксплуатирующей АС, под расписку.
Регламентация порядка обращения с носителями предусматривает
выполнение комплекса мер:
• Вынос МНИ за пределы организации только с разрешения
уполномоченных лиц.
• Хранение МНИ в условиях, исключающих несанкционированный доступ
посторонних. Для хранения рекомендуется использовать надежно
запираемые и опечатываемые шкафы. Надлежащие условия хранения
должны быть обеспечены для всех учтенных носителей, независимо от
того, находятся ли они в эксплуатации или нет.
Регламентация порядка обращения с носителями предусматривает
выполнение комплекса мер:
• Уничтожение МНИ, которые утратили свои эксплуатационные
характеристики или не используются из-за перехода на новый тип
носителя, специально организованными комиссиями согласно актам,
утверждаемым уполномоченными лицами. Уничтожение носителей
должно проводиться путем их физического разрушения, не допускающего
восстановление и повторное использование носителей. Перед
уничтожением конфиденциальная информация должна быть по
возможности гарантированно удалена.
Регламентация порядка обращения с носителями предусматривает
выполнение комплекса мер:
• Передачу в ремонт средств вычислительной техники без МНИ, которые
могут содержать конфиденциальную информацию (без накопителей на
жестких дисках и т.п.). В случае ремонта МНИ конфиденциальная
информация на них должна быть гарантированно удалена. Если удалить
информацию невозможно, решение о ремонте принимается
руководителем соответствующего подразделения или коллегиально, а
ремонт осуществляется в присутствии лица, ответственного за сохранность
информации на данном носителе.
Регламентация порядка обращения с носителями предусматривает
выполнение комплекса мер:
• Периодический контроль контролирующими подразделениями
соблюдения установленных правил обращения с носителями и их
физической сохранности.
Лицам, эксплуатирующим и обслуживающим АС, запрещается:
• Сообщать кому бы то ни было в какой бы ни было форме, если это не
вызвано служебной необходимостью, любые сведения о характере работы,
выполняемой в АС; о порядке защиты, учета и хранения МНИ, о системе
охраны и пропускном режиме объекта.
• Использовать для работы с конфиденциальной информацией
незарегистрированные МНИ.
• Хранить на МНИ информацию с более высокой степенью секретности,
чем определено для него в момент регистрации.
• Работать с неучтенными экземплярами конфиденциальных документов,
полученных в ходе обращений в АС, и передавать их другим сотрудникам.
Лицам, эксплуатирующим и обслуживающим АС, запрещается:
• Выносить из помещений, где установлены средства вычислительной
техники (СВТ) АС, без разрешения ответственных за режим в этих
помещениях: МНИ, содержащие конфиденциальные данные,
подготовленные в АС документы, а также другую документацию,
отдельные блоки, аппаратуру и иное оборудование.
• Вносить в помещения, где расположены СВТ АС, постороннее
имущество и материалы, в том числе кинофотоаппаратуру и
радиоаппаратуру.
• Принимать и передавать МНИ и документы без соответствующей
расписки в учетных документах, знакомить с ними других сотрудников без
разрешения соответствующих должностных лиц.
Лицам, эксплуатирующим и обслуживающим АС, запрещается:
• Делать на этикетках МНИ или на их упаковках пометки и надписи,
раскрывающие содержание этих носителей.
• Уничтожать МНИ и документы без санкции соответствующего
должностного лица и оформления в установленном порядке.
• Проводить в АС обработку конфиденциальной информации и
выполнять другие работы, не обусловленные заданиями, поступающими
запросами и инструкциями по эксплуатации АС, а также знакомиться с
содержанием МНИ и документами по вопросам, не имеющим отношения к
служебным обязанностям.
Скачать