Лекция № 3. Организационно-режимные меры защиты носителей информации в АС Учебные вопросы: 1. Основные пути доступа к информации на машинных носителях. 2. Требования по обеспечению сохранности информации на МНИ. Вопрос №1 Для доступа к данным МНИ существуют два основных способа: • последовательный доступ, когда блоки записываются друг за другом и для чтения следующего нужно пройти все предыдущие; • прямой (произвольный) доступ, отличающийся тем, что блоки записываются и читаются в произвольном порядке. Кроме этого, МНИ характеризуются: • различными физическими принципами реализации; • широким спектром объемов хранимой информации - от единиц до десятков тысяч мегабайт, • многообразием конкретных реализаций носителей различными производителями. Задача получения злоумышленником доступа к информации на машинном носителе может быть представлена как последовательность следующих подзадач: 1) выбор соответствующего заданному носителю привода - наиболее значимого для обеспечения доступа элемента; 2) запуск соответствующего приводу комплекта программ (операционная система, драйверы привода и т.п.); 3) обеспечение порядка использования программ и привода для считывания в память компьютерной системы содержимого носителя информации. Злоумышленник не может получить доступ к информации на машинном носителе в двух случаях: 1. Когда злоумышленнику недоступен сам носитель; 2. Когда злоумышленнику доступен носитель, но отсутствуют соответствующие средства взаимодействия с носителем. Наиболее типична ситуация, когда в защищаемой АС используются распространенные МНИ, а значит, у потенциального злоумышленника существует возможность получить на своем приводе доступ к битовому представлению данных защищаемого носителя. В этом случае практически единственным выходом являются организационные меры защиты - меры общего характера, затрудняющие доступ злоумышленников к конфиденциальной информации вне зависимости от способа обработки информации и каналов утечки (каналов воздействия). Вопрос №2 Основными задачами обеспечения информационной безопасности АС от угрозы раскрытия конфиденциальности на уровне МНИ являются: • исключение прохождения носителей по технологическим участкам, не обусловленным производственной необходимостью; • предупреждение непосредственного доступа к носителям персонала, не отвечающего за операции с носителями (минимизация доступа); • предупреждение утраты или хищения носителей информации. Первая задача решается за счет рациональной организации производственного процесса движения носителей информации, обеспечивающего целенаправленное распределение носителей по технологическим участкам, вторая и третья - за счет четкой и обоснованной регламентации порядка обращения с носителями. Регламентация порядка обращения с носителями предусматривает выполнение комплекса мер: • Запись информации (создание носителей с информацией) на рабочих местах, обеспечивающих условия для предотвращения утечки по техническим каналам и физической сохранности носителей. • Постановку на учет МНИ с простановкой соответствующей маркировки на зарегистрированном носителе. Одним из элементов маркировки должен быть гриф секретности информации, хранящейся на данном носителе. • Передачу МНИ между подразделениями организации, эксплуатирующей АС, под расписку. Регламентация порядка обращения с носителями предусматривает выполнение комплекса мер: • Вынос МНИ за пределы организации только с разрешения уполномоченных лиц. • Хранение МНИ в условиях, исключающих несанкционированный доступ посторонних. Для хранения рекомендуется использовать надежно запираемые и опечатываемые шкафы. Надлежащие условия хранения должны быть обеспечены для всех учтенных носителей, независимо от того, находятся ли они в эксплуатации или нет. Регламентация порядка обращения с носителями предусматривает выполнение комплекса мер: • Уничтожение МНИ, которые утратили свои эксплуатационные характеристики или не используются из-за перехода на новый тип носителя, специально организованными комиссиями согласно актам, утверждаемым уполномоченными лицами. Уничтожение носителей должно проводиться путем их физического разрушения, не допускающего восстановление и повторное использование носителей. Перед уничтожением конфиденциальная информация должна быть по возможности гарантированно удалена. Регламентация порядка обращения с носителями предусматривает выполнение комплекса мер: • Передачу в ремонт средств вычислительной техники без МНИ, которые могут содержать конфиденциальную информацию (без накопителей на жестких дисках и т.п.). В случае ремонта МНИ конфиденциальная информация на них должна быть гарантированно удалена. Если удалить информацию невозможно, решение о ремонте принимается руководителем соответствующего подразделения или коллегиально, а ремонт осуществляется в присутствии лица, ответственного за сохранность информации на данном носителе. Регламентация порядка обращения с носителями предусматривает выполнение комплекса мер: • Периодический контроль контролирующими подразделениями соблюдения установленных правил обращения с носителями и их физической сохранности. Лицам, эксплуатирующим и обслуживающим АС, запрещается: • Сообщать кому бы то ни было в какой бы ни было форме, если это не вызвано служебной необходимостью, любые сведения о характере работы, выполняемой в АС; о порядке защиты, учета и хранения МНИ, о системе охраны и пропускном режиме объекта. • Использовать для работы с конфиденциальной информацией незарегистрированные МНИ. • Хранить на МНИ информацию с более высокой степенью секретности, чем определено для него в момент регистрации. • Работать с неучтенными экземплярами конфиденциальных документов, полученных в ходе обращений в АС, и передавать их другим сотрудникам. Лицам, эксплуатирующим и обслуживающим АС, запрещается: • Выносить из помещений, где установлены средства вычислительной техники (СВТ) АС, без разрешения ответственных за режим в этих помещениях: МНИ, содержащие конфиденциальные данные, подготовленные в АС документы, а также другую документацию, отдельные блоки, аппаратуру и иное оборудование. • Вносить в помещения, где расположены СВТ АС, постороннее имущество и материалы, в том числе кинофотоаппаратуру и радиоаппаратуру. • Принимать и передавать МНИ и документы без соответствующей расписки в учетных документах, знакомить с ними других сотрудников без разрешения соответствующих должностных лиц. Лицам, эксплуатирующим и обслуживающим АС, запрещается: • Делать на этикетках МНИ или на их упаковках пометки и надписи, раскрывающие содержание этих носителей. • Уничтожать МНИ и документы без санкции соответствующего должностного лица и оформления в установленном порядке. • Проводить в АС обработку конфиденциальной информации и выполнять другие работы, не обусловленные заданиями, поступающими запросами и инструкциями по эксплуатации АС, а также знакомиться с содержанием МНИ и документами по вопросам, не имеющим отношения к служебным обязанностям.