Файл: Методические указания по выполнению курсового проекта для студентов очной формы обучения.rtf
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 12.12.2023
Просмотров: 186
Скачиваний: 3
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Классификация информации по грифам секретности и категориям производится на основании приказов, наставлений, руководств и других руководящих документов, определяющих ограничения на доступ к информации определенного грифа секретности или определенной тематики. Например, соответствующими приказами Министра образования устанавливаются грифы конфиденциальности для сведений, обрабатываемых на разных уровнях управления, или ограничивается доступ к сведениям о шифрах, о мобилизационной готовности, о персональных данных и т. п. Признаком для ограничения доступа к сведениям могут быть также функциональные обязанности должностных лиц. Например, при наличии электронного учета документов необходимо ограничивать полномочия должностных лиц к модификации записей журнала учета, разрешив только добавлять новые записи (строки) или заполнять отдельные графы, используемые при проводке документов, должностному лицу, ответственному за учет.
Исходными данными для проведения классификация информации являются:
-
уровень звена управления, для которого проектируется АС (определяется первым символом в индивидуальном задании на курсовой проект); -
организационно-штатная структура АС с перечнем сегментов, должностных лиц и подразделений в интересах которых будет функционировать АС (определяется в соответствии с выбранным для автоматизации сегментом АС на основании исходных данных индивидуального задания о типе автоматизированной системы (архитектуры), условий расположения, распределении полномочий пользователей и состава информационной базы создаваемой АС); -
функциональные задачи, которые предполагается решать в АС в интересах подразделений и должностных лиц (определяется на основании выбранной в предыдущем пункте организационно-штатной структуры АС); -
архитектура АС (разрабатывается на основании всех предыдущих пунктов исходных данных).
В каждой АС отрабатываются общий Перечень защищаемых ресурсов и Перечни защищаемых ресурсов подразделений или отдельных объектов (сегментов ЛВС, либо доменов безопасности), входящих в состав АС в качестве относительно независимых функциональных компонентов.
Т а б л и ц а 5
Перечень защищаемых ресурсов АС
Защищаемый ресурс | К ресурсу допущены | ||
Полное наименование | Условное обозначение | Категория доступа | |
1 Сегмент ЛВС «Управление по взаимодействию с правоохранительными органами» | |||
1.1 Рабочее место начальника | УВП_РМН | служебная тайна | начальник |
1.2 Рабочее место заместителя начальника | УВП_РМЗ | начальник, заместитель начальника | |
1.3 Рабочее место ведущего специалиста | УВП_РМВ | заместитель начальника, ведущий специалист | |
1.4 Сервер | УВП_СРВ | все сотрудники | |
2 Сегмент ЛВС «Департамент экономического развития, инвестиций и внешних связей» | |||
2.1 Рабочее место начальника | ДЭР_РМН | персональные данные | начальник |
2.2 Рабочее место заместителя начальника | ДЭР_РМЗ | начальник, заместитель начальника | |
3 ЛВС «Информационно-аналитическое управление» | |||
3.1 Рабочее место начальника | ИАУ_РМН | коммерческая тайна | начальник |
3.2 Рабочее место заместителя начальника | ИАУ_РМЗ | начальник, заместитель начальника | |
4 Сегмент ЛВС «Отдел по мобилизационной работе» | |||
4.1 Рабочее место начальника | ОМР_РМН | секретно | начальник |
4.2 Рабочее место ведущего специалиста | ОМР_РМВ | начальник ведущий специалист |
Перечни разрабатываются в процессе анализа решаемых в интересах подразделений функциональных задач, состава автоматизированных рабочих мест, организуемых банков данных, возможностей и режимов исполь-
зования программных средств, а также средств, обеспечивающих обмен информацией между объектами АС. В Перечнях защищаемых ресурсов указываются сведения о допуске к этим ресурсам соответствующих подразделений или должностных лиц. Составление Перечней защищаемых ресурсов осуществляется совместно представителями подразделений, органов автоматизации, связи и обеспечения безопасности информации АС.
Перечни защищаемых ресурсов необходимо оформить в виде официального распорядительного документа с приложением к нему сводного перечня задач, которые планируется решать в АС. Этот документ должен быть утвержден вышестоящим начальником, для АС разрабатываемых централизованно, или начальником предприятия, если АС создается для решения задач только в интересах предприятия. Примерная форма Перечня защищаемых ресурсов ЛВС отдела планирования и отдела кадров представлена в таблице 5.
4.2 Определение категорий персонала и программно-аппаратных средств, на которые распространяется политика безопасности
4.2.1 Определение правил разграничения доступа к информации
между различными категориями персонала
На основе анализа особенностей информационного обмена между подразделениями и штатного состава подразделений определяются:
-
необходимость работы некоторых штатных категорий должностных лиц с различными информационными компонентами, содержащими защищаемую информацию; -
должностные лица, ответственные за поддержание актуальности различных разделов информационной базы; -
перечень типов операций с различными категориями документов (чтение, изменение, уничтожение, создание и т. п.) для отдельных категорий пользователей.
4.2.2 Определение категорий персонала, на которые распространяются требования политики безопасности
Часть личного состава может имеет свои штатные автоматизированные рабочие места (АРМ), другая часть может совместно использовать автоматизированные рабочие места коллективного пользования. Некоторым должностным лицам может предоставляться право доступа к информационным ресурсам из-за пределов АС, например, должностным лицам вышестоящих и подчиненных звеньев управления и т. п. Необходимо строго определить эти категории пользователей в виде именных списков работников подразделений с обоснованием необходимости отнесения к той или иной категории.
В целях регламентации использования различных технических средств, в том числе мобильных компьютеров, множительной аппаратуры, средств печати документов, средств связи, необходимо определить порядок их использования, ответственных должностных лиц, отвечающих за безопасность информации при их использовании.
Результатом работы должны стать таблицы разграничения доступа (ТРД) категорий должностных лиц подразделений к информационным массивам:
-
общим для всего учреждения; -
относящимся к отдельным подразделениям (отдельно по каждому сегменту ЛВС, либо подсистеме).
Для обеспечения функционирования системы разграничения доступа к информации и техническим средствам вычислительного комплекса ответственным за БИ разрабатывается таблица разграничения доступа к защищаемым ресурсам. Исходными данными для составления ТРД к защищаемым ресурсам являются утвержденные перечни защищаемых ресурсов, заявки начальников подразделений должностных лиц, допущенных к работе с этими ресурсами, списки подразделений и должностных лиц, предоставляющих информационные службы, с их функциональными обязанностями и обязанностями по защите информации от НСД.
Т а б л и ц а 6
Заявки на допуск
Должностные лица, допущенные к защищаемым ресурсам ОВТ | Защищаемые ресурсы | ||||
полное наименование ресурса | условное наименование ресурса | разрешенные виды доступа к ресурсу | |||
Чте-ние | За-пись | За-пуск | |||
Начальник отдела планирования | Папка «Документы начальника отдела» | Документы НО | да | да | - |
| Файл verba.exe | ЕC025 | - | - | да |
| Файл verba.txt | FC376 | да | да | - |
Начальник отдела кадров | Папка «Документы нач. отдела кадров» | Документы НОК | да | да | - |
| Файл verba.exe | ЕC025 | - | - | да |
… | … | … | … | … | … |
ТРД составляются администратором по ОБИ или локальным администратором по ОБИ выделенного участка АС (например, ответственным по ОБИ оперативного отдела, если имеется отдельная ПЭВМ или ЛВС отдела). Основанием для включения должностных лиц в ТРД и предоставления им определенных полномочий к информационным ресурсам с указанием типов разрешенных доступов являются заявки на должностных лиц отделов и служб, допущенных к защищаемым ресурсам объекта ВТ, которые утверждаются начальником учреждения.
Заявки на должностных лиц отделов и служб, допущенных к защищаемым ресурсам объекта могут иметь форму, приведенную в таблице 6. Возможно применение других разрешенных типов доступов. Количество и наименование граф 5-7 может меняться в зависимости от типов доступов к ресурсам, которые способна регулировать используемая система защиты информации от НСД.
4.3 Определение угроз безопасности информации и класса защищенности АС
4.3.1 Анализ информационной архитектуры системы
Многие автоматизированные системы являются по своему характеру составными, состоят из совокупности подсистем – сегментов, которые по своей природе являются отчасти оригинальными и уникальными, а частично построены с использованием покупных широко распространенных продуктов. Автоматизированные системы взаимодействуют с другими системами и имеют зависимости от других систем. Автоматизированная система обычно строится с использованием компонентов от разных поставщиков. Для создания автоматизированной системы эти компоненты могут быть объединены интегратором, который не выполняет каких-либо функций по разработке, а только функции конфигурирования и подключения.
Для различных подсистем политика безопасности может быть различной за исключением тех редких случаев, когда автоматизированная система выполняет одну единственную функцию. Логически все части автоматизированной системы с одним набором политик безопасности можно обозначить как домены безопасности. Декомпозиция подсистем и компонентов автоматизированной системы, управляемых одной политикой безопасности, затем характеризуется политикой безопасности согласно соответствующим для этого домена рискам. В каждом домене безопасности можно определить функциональные требования безопасности и требования доверия к безопасности. В этом случае каждый домен безопасности будет обладать собственной политикой безопасности, определением проблем безопасности, целями безопасности, требованиями безопасности и документацией по безопасности [2]. Для некоторых подсистем, например ИСПДн и АС, обрабатывающих гостайну, нормативными документами предусмотрено отдельное оформление всей проектной и эксплуатационной документации.
Формирование набора требований по безопасности производится на основании РД ФСТЭК [3-6], в которых указаны требования по безопасности для соответствующих классов АС и СВТ, а также информации, полученной при анализе или проектировании информационной архитектуры сегментов АС, которые определяют особенности расположения, функционирования и построения средств компьютерной системы.
4.3.1.1 Определение информационных потребностей должностных лиц подразделений
Для формирования детальных требований к построению СЗИ необходимо выделить основные информационные задачи, решаемые должностными лицами различных подразделений, в том числе распределение обязанностей по обработке информации между конкретными должностными лицами подразделений, способы и форматы представления и хранения информационных массивов (отдельных документов).
4.3.1.2 Формирование (определение) перечня информационных услуг (информационных служб, функциональных компонент), предоставляемых информационной системой пользователям
Пользователи информационной системы нуждаются в определенных информационных услугах, которые представляются им в функциональном виде. Например, в качестве основных информационных услуг (служб) могут выступать система электронного документооборота организации, система шифрования данных, система обмена графической информацией. Однако, чтобы основные службы могли функционировать, необходимо установить ряд вспомогательных служб. Имеются в виду серверы баз данных, почтовые серверы, сетевые сервисы, мониторы транзакций и т. д. На этом этапе необходимо сформировать отображение основных информационных служб на вспомогательные службы (конкретные компоненты информационной системы).
Типовой набор вспомогательных служб:
-
совместное хранение информации; -
совместная обработка информации; -
совместное использование устройств печати документов; -
электронная почта; -
удаленный доступ внешних пользователей к ресурсам системы; -
доступ к внешним информационным ресурсам (к информационным системам других учреждений и организаций).
4.3.1.3 Определение особенностей программно-аппаратной организации информационной системы, способов и средств связи самостоятельных компонент системы с внешней информационной средой
В защите нуждаются все информационные службы и коммуникационные каналы между ними. Для определения перечня необходимых механизмов безопасности нужно разработать или проанализировать существующую программно-аппаратную реализацию всех серверов, рабочих мест, каналов связи информационной системы, а также других коммуникационных систем, особенно связанных с элементами информационной системы.