Защита информации в делопроизводстве

Размещено на http://www.allbest.ru/

Министерство образования Республики Беларусь

Институт парламентаризма и предпринимательства

Кафедра политологии

Курсовая работа

Тема: «Защита информации в делопроизводстве»

Выполнила студентка 4-го курса

факультета заочного обучения

специальности "документоведение и информационное обеспечение управления"

группы 22450 № 22450/26

Горегляд Людмила Леонтьевна

Научный руководитель:

Косынкина Т.В.

2014



1. Информация, виды доступа к ней. Нормативно-правовая база в области защиты информации

1.1 Понятие информации, ее классификация

В Законе Республики Беларусь «Об информации, информатизации и защите информации» от 10 ноября 2008 г. № 455-З дано следующее определение информации: «Информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления».

В этом же Законе дано определение доступа к информации: «Доступ к информации - возможность получения информации и пользования ею.

В зависимости от категории доступа информация делится на:

- общедоступную информацию;

- информацию, распространение и (или) предоставление которой ограничено.

К общедоступной информации относится информация, доступ к которой, распространение и (или) предоставление которой не ограничены.

Не могут быть ограничены доступ к информации, распространение и (или) предоставление информации:

- о правах, свободах и законных интересах физических лиц, правах и законных интересах юридических лиц и о порядке реализации прав, свобод и законных интересов;

- о деятельности государственных органов, общественных объединений;

- о правовом статусе государственных органов, за исключением информации, доступ к которой ограничен законодательными актами Республики Беларусь;

- о чрезвычайных ситуациях, экологической, санитарно-эпидемиологической обстановке, гидрометеорологической и иной информации, отражающей состояние общественной безопасности;

- о состоянии здравоохранения, демографии, образования, культуры, сельского хозяйства;

- о состоянии преступности, а также о фактах нарушения законности;

- о льготах и компенсациях, предоставляемых государством физическим и юридическим лицам;

- о размерах золотого запаса;

- об обобщенных показателях по внешней задолженности;

- о состоянии здоровья должностных лиц, занимающих должности, включенные в перечень высших государственных должностей Республики Беларусь;

- о накапливаемой в открытых фондах библиотек и архивов, информационных системах государственных органов, физических и юридических лиц, созданных (предназначенных) для информационного обслуживания физических лиц.

К информации, распространение и (или) предоставление которой ограничено, относится:

- информация о частной жизни физического лица и персональные данные;

- сведения, составляющие государственные секреты;

- информация, составляющая коммерческую и профессиональную тайну;

- информация, содержащаяся в делах об административных правонарушениях, материалах и уголовных делах органов уголовного преследования и суда до завершения производства по делу;

- иная информация, доступ к которой ограничен законодательными актами Республики Беларусь.



1.2 Нормативно-правовая база Республики Беларусь в области защиты информации

Нормативно-правовое регулирование информационного обеспечения является отдельным компонентом системы национального информационного права, который зафиксировал определяющую форму организационного выражения документированной информации, используемой в ее производстве (отборе, переработке, сохранении) и потреблении.

Поэтому важнейшей проблемой процесса информатизации является разработка нормативных правовых и методических документов в области создания, использования и хранения информации, образующихся в результате культурной, научной и производственной деятельности организаций любой формы собственности, а также при документировании управленческих функций органов государственной власти и управления Республики Беларусь.

Определяющими нормативными документами в области документооборота и его безопасности как в международном праве, так и в ряде национальных законодательств являются законы об электронном документе (ЭД), об электронной (цифровой) подписи (ЭЦП), об электронной коммерции и им соответствующие, а также стандарты, принимаемые международными организациями и национальными органами по стандартизации.

В Республике Беларусь основную нормативную нагрузку в области обеспечения документооборота несут:

- Закон РБ «Об информации, информатизации и защите информации» от10 ноября 2008 г. № 455-З;

- Закон РБ «Об электронном документе и электронной цифровой подписи» от 28 декабря 2009 г. № 113-З;

- Закон РБ «Об архивном деле и делопроизводстве в Республике Беларусь» от 25 ноября 2011 г. № 323-З.

В основании нормативной базы РБ в области регулирования и безопасности информации, а также работы архивов находятся:

1) Государственные стандарты РБ:

- СТБ ИСО/МЭК 15489-1:2001 «Информация и документация. Управление документами. Часть 1: Общие принципы»;

- СТБ ИСО/МЭК 17799:2005 «Технологии информационные. Методы обеспечения защиты. Кодекс установившейся практики по управлению безопасностью информации»;

- СТБ 1221-2000 «Документы электронные. Правила выполнения, обращения и хранения»;

- СТБ 1176.1-99 «Информационная технология. Защита информации. Функция хеширования»; СТБ 1176.2-99 «Информационная технология. Защита информации. Процедуры выработки и проверки ЭЦП»;

- ГОСТ 28147-89 «Система обработки информации. Защита криптографическая. Алгоритм криптографического преобразования»;

- стандарты серии СТБ 34.101, разрабатываемые в области методов и средств безопасности ИТ на основе международного стандарта ИСО/МЭК 15408-99 «Информационная технология. Методы и средства безопасности. Критерии оценки безопасности информационных технологий» («Общие критерии»).

2) Руководящие документы, регулирующие применение информации в финансовой сфере: «Технология ЭЦП. Термины и определения»; «Средства ЭЦП программные. Общие требования»; «Формат карточки открытого ключа»; «Формат сертификатов открытых ключей и списков отозванных сертификатов», «Автоматизированная система межбанковских расчетов. Архивы электронных документов. Общие требования» и др.

3) Система государственной сертификации средств защиты информации и государственного лицензирования деятельности по представлению услуг в области защиты информации;

4) Требования к криптозащите информации, налагаемые Государственным центром безопасности информации.

5) В области архивов ЭД: «Примерная инструкция по работе с машиночитаемыми документами в организациях, на предприятиях и ведомственных архивах Республики Беларусь» (1996 г.); «Правила учета и передачи электронных (машиночитаемых) документов на государственное хранение» (1997 г.); Типовое положение об архиве ЭД организации (2004 г.); Инструкция о периодичности создания архивных копий информационных ресурсов и порядке их передачи на государственное хранение (2000 г.); Инструкция по проведению экспертизы ценности и передачи ЭД и информационных ресурсов на государственное хранение (2005 г.); Правила работы архива ЭД (2003 г.); различные методические рекомендации.

Действующий Закон Республике Беларусь «Об информации, информатизации и защите информации» от 10 ноября 2008 г. № 455-З - это системообразующий акт национального информационного права - регулирует правоотношения, возникающие в процессе формирования и использования документированной информации и информационных ресурсов (ИР); создания ИТ, инфосистем и инфосетей; определяет порядок защиты ИР, а также прав и обязанностей субъектов, принимающих участие в процессах информатизации.

Согласно положений Закона «Об информации, информатизации и защите информации», под ИР понимается организованная совокупность документированной информации, включающая базы данных, другие совокупности взаимосвязанной информации в информационных системах.

Документированная информация - информация, зафиксированная на материальном носителе с реквизитами, позволяющими ее идентифицировать (ст. 1 Закона об информатизации). Документированная информация может выступать в формах отдельного документа или массива документов (документального фонда, архива, БД и базы знаний (БЗ), других форм организации информации). Документированная информация в форме массива документов, зафиксированного на машинном носителе, является информационным ресурсом как организованной совокупностью документированной информации, включающей БД и БЗ, др. массивы информации в информационных системах. Информационная система - совокупность банков данных, информационных технологий и комплекса (комплексов) программно-технических средств (ст. 1).

Закон РБ «Об информации, информатизации и защите информации» от 10 ноября 2008 г. № 455-З предназначен регулировать общественные отношения, возникающие при:

1) реализации права на осуществление поиска, передачу, получение, хранение, обработку, использование, распространение и (или) предоставление информации, в том числе ИР;

2) создании и использовании ИКТ, инфосистем и инфосетей;

3) оказании информационных услуг;

4) организации и обеспечении защиты информации.

Законодатель, определяя процесс информатизации в Закона «Об информации, информатизации и защите информации» как «организационный, социально-экономический и научно-технический процесс создания и развития единого информационного пространства Республики Беларусь как совокупности взаимосвязанных информационных ресурсов, информационных систем и информационных сетей, обеспечивающих условия для реализации информационных отношений», направляет развитие информационного законодательства на обеспечение процессов формирования ЭП.

Так, Закон «Об информации, информатизации и защите информации» определяет официальный веб-сайт госоргана как «сайт, содержащий информацию о государственном органе (организации) и созданный по его (ее) решению». Официальные веб-сайты госорганов Беларуси составляют один из важнейших компонентов ЭП и призваны обеспечивать:

1) реализацию законных прав гражданина на доступ к информации о деятельности любого госоргана;

2) оперативное доведение достоверной информации о деятельности госорганов, иной информации, которой они обладают;

3) интеграцию ИР госорганов в целях единства и безопасности общенационального информационного пространства.

1.3 Виды доступа к информации

Правовой режим информации, распространение и (или) предоставление которой ограничено, определяется Законом «Об информации, информатизации и защите информации» и иными законодательными актами Республики Беларусь.

По грифу ограничения доступа все документы делятся на открытые (не секретные документы) и с грифом ограничения доступа, которые в свою очередь делятся на документы:

- для служебного пользования (ДСП) - информация, предназначенная только для работников данной организации;

- коммерческая тайна - документы с информацией, разглашение которой может нанести ущерб ее обладателю;

- конфиденциально - документы, доступ к которым ограничен законодательством Республики Беларусь;

- секретно, совершенно секретно, особой важности - информация, составляющая государственную тайну.

Согласно Закону «О коммерческой тайне» Республики Беларусь от 5 января 2013 г. № 16-З Коммерческая тайна - это сведения любого характера (технического, производственного, организационного, коммерческого, финансового и иного), в том числе секреты производства (ноу-хау), соответствующие требованиям настоящего Закона, в отношении которых установлен режим коммерческой тайны.

Для организации доступа и допуска к конфиденциальной информации на предприятиях, в учреждениях и организациях создается специальное подразделение, на которое возложены функции защиты информации и ведения конфиденциального делопроизводства.

В заключение главы можно сделать вывод, что в обществе в целом и в государственном управлении в частности всегда существовала и в каждый данный момент существует определенная информационная система, охватывающая саму информацию (ее совокупный массив), формы, методы и средства ее обработки и людей, включенных в информационные процессы. В Республике Беларусь приняты нормативные правовые акты и заложены организационные структуры, которые призваны создать информационную систему государственного управления. В этой связи хотелось бы высказать некоторые теоретические соображения, учет которых полезен при проведении соответствующей работы. Определяющими нормативными документами в области документооборота и его безопасности как в международном праве, так и в ряде национальных законодательств являются Законы «Об электронном документе и электронной цифровой подписи», «Об информации, информатизации и защите информации» и им соответствующие, а также стандарты, принимаемые международными организациями и национальными органами по стандартизации.



2. Технические средства и методы защиты информации

2.1 Защита конфиденциальной информации от несанкционированного доступа в автоматизированных системах

2.1.1 Secret Net 5.0

Secret Net 5.0 [50] - это система защиты конфиденциальной информации от несанкционированного доступа нового поколения, которая реализует требования руководящих документов и ГОСТ по защите информации и функционирует под управлением современных ОС MS Windows 2000, Windows XP и Windows 2003. Существует в автономном и сетевом вариантах.

За счёт интеграции собственных защитных механизмов с механизмами управления сетевой инфраструктуры защищаемой сети Secret Net 5.0 повышает защищенность всей автоматизированной информационной системы в целом и при этом [50]:

- обеспечивает централизованное управление настройками политики безопасности;

- работает совместно с ОС Windows, расширяя, дополняя и усиливая стандартные механизмы защиты;

- осуществляет мониторинг и аудит политики безопасности в режиме реального времени;

- позволяет оперативно реагировать на события НСД;

- поддерживает терминальный режим работы пользователей с рабочей станцией. беларусь информация несанкционированный документоведение

Интеграция системы управления Secret Net 5.0 со штатным механизмами управления информационной системой позволяет избежать постоянно возникающих проблем синхронизации данных между ИС и выделенным сервером настроек, который имелся в предыдущих версиях системы и часто присутствует в аналогичных системах защиты.

Система обеспечивает:

- оперативное реагирование на действия злоумышленников;

- централизованный просмотр событий безопасности;

- контроль вывода конфиденциальной информации на внешние носители;

- аппаратную идентификацию пользователей;

- централизованное управление;

- контроль целостности файлов;

- разграничение доступа к устройствам (CD\DVD, USB, Wi-Fi и т.д.).

Secret Net 5.0 (сетевой вариант) содержит следующие компоненты:

- клиент Secret Net 5.0;

- сервер безопасности Secret Net 5.0;

- программу оперативного управления, мониторинга и аудита («Монитор»);

- модификатор схемы Active Directory.

Клиент

Клиент Secret Net 5.0 следит за соблюдением настроенной политики безопасности на рабочих станциях и серверах, обеспечивает регистрацию событий безопасности и передачу журналов на Сервер Безопасности, а также приём от него оперативных команд и их выполнение.

Сервер безопасности

Сервер безопасности производит сбор журналов от зарегистрированных на нем агентов, накапливает полученную информацию в базе данных и обеспечивает выдачу команд оперативного управления клиентам (например, блокировку рабочей станции при выявлении попытки НСД).

Программа оперативного управления, мониторинга и аудита («Монитор»)

Монитор является программой, которая отображает администратору оперативную информацию от Сервера Безопасности о состоянии рабочих станций и дает возможность отслеживать:

- какие компьютеры сети в данный момент включены;

- какие пользователи на них работают (как локально, так и в терминальном режиме).

«Монитор» в режиме реального времени отображает оперативную информацию о происходящих событиях НСД, позволяет осуществлять просмотр журналов всех рабочих станций, а также выдавать на защищаемые рабочие станции команды оперативного управления.

Модификатор схемы Active Directory

Модификатор схемы Active Directory (AD) используется для подготовки схемы ОС Windows к развертыванию Secret Net 5.0. Так как в качестве хранилища информации о настройках безопасности Secret Net 5.0 использует AD, данный модуль создаёт новые объекты и изменяет параметры существующих. Программы управления объектами и параметрами групповых политик, входящие в состав этого модуля, обеспечивают управление параметрами работы доменных пользователей и применение централизованных настроек безопасности Secret Net 5.0.

Управление системой Secret Net 5.0

Система централизованного управления

В качестве хранилища информации в системе централизованного правления используется Active Directory (AD). Для нужд централизованного управления Secret Net 5.0 схема Active Directory расширяется - создаются новые объекты и изменяются параметры существующих.

Для выполнения этих действий используется специальный модуль изменения схемы AD, который устанавливается и запускается на контроллере домена при установке системы централизованного управления. Для приведения параметров работы защитных средств компьютера в соответствие настройкам безопасности Secret Net 5.0, задаваемым с помощью групповых политик, используется агент Secret Net 5.0, установленный на каждом сервере или рабочей станции защищаемой сети.

Столь тесная интеграция системы управления с Active Directory позволяет легко использовать Secret Net 5.0 для организации защиты сети, использующей многодоменную структуру.

Оперативный мониторинг и аудит

В Secret Net 5.0 предусмотрена функция оперативного мониторинга и аудита безопасности информационной системы предприятия, которая позволяет решать такие задачи, как:

- оперативный контроль состояния автоматизированной системы предприятия (получение информация о состоянии рабочих станций и о работающих на них пользователях);

- централизованный сбор журналов с возможностью оперативного просмотра в любой момент времени, а также хранение и архивирование журналов;

- оповещение администратора о событиях НСД в режиме реального времени;

- оперативное реагирование на события НСД - выключение, перезагрузка или блокировка контролируемых компьютеров;

- ведение журнала НСД.

Система оперативного управления имеет свою базу данных, в которой хранится вся информация, связанная с работой сервера по обеспечению взаимодействия компонентов, а также журналы, поступающие от агентов.

В качестве базы данных используется СУБД Oracle 9i.

Мониторинг

С помощью программы мониторинга администратор может управлять сбором журналов с рабочих станций. Предусмотрено два варианта. Первый - сервер оперативного управления собирает журналы по команде администратора. Второй - администратор составляет расписание и передает его серверу, далее сервер собирает журналы в соответствии с этим расписанием.

Также предусмотрена возможность создать удобный для администратора вид представления сети - так называемый «срез» (например, по отделам, по территориальному размещению и т.п.). В случае крупной распределённой сети эта функция делегируется другим администраторам для управления выделенными им сегментами сети.

Аудит

Программа работы с журналами устанавливается на рабочем месте сотрудника, уполномоченного проводить аудит системы защиты. Если функции мониторинга и аудита совмещает один сотрудник, программа устанавливается на том же компьютере, который является рабочим местом администратора оперативного управления.

В системе Secret Net 5.0 для проведения аудита используются 4 журнала:

- журнал приложений;

- журнал безопасности;

- журнал системы;

- журнал Secret Net.

Первые три из перечисленных журналов - штатные, входящие в состав средств операционной системы. В журнале Secret Net хранятся сведения о событиях, происходящих в системе Secret Net 5.0.

Журналы ведутся на каждом защищаемом компьютере сети и хранятся в его локальной базе данных. Сбор журналов осуществляется по команде аудитора или по расписанию.

Программа работы с журналами позволяет аудитору просматривать записи журналов и тем самым отслеживать действия пользователей, связанные с безопасностью автоматизированной информационной системы предприятия.

В программе управления журналами предусмотрена настраиваемая выборка записей, используя которую аудитор может просматривать не весь журнал целиком, а только часть записей, удовлетворяющих определенным критериям. Это значительно ускоряет и упрощает работу, связанную с по иском и анализом событий.

С помощью программы работы с журналами аудитор может выдавать команды серверу на архивацию журналов, а также на восстановление журналов из архива. Предусмотрена возможность просмотра архивов, а также сохранения журнала в файл для последующей передачи и анализа записей вне системы Secret Net 5.0.

Защитные механизмы

Усиленная идентификация и аутентификация пользователей

Система Secret Net 5.0 совместно с ОС Windows обеспечивает усиленную идентификацию и аутентификацию пользователя с помощью средств аппаратной поддержки при его входе в систему, а также позволяет существенно снизить риски того, что пользователь загрузит компьютер с отчуждаемых внешних носителей и получит доступ к важной информации в обход системы защиты.

В качестве аппаратной поддержки система Secret Net 5.0 использует программно-аппаратный комплекс «Соболь» и Secret Net Touch Memory Card. Плату аппаратной поддержки невозможно обойти средствами BIOS. Если в течение определённого времени после включения питания на плату не было передано управление, она блокирует работу всей системы.

Полномочное управление доступом

Каждому информационному ресурсу назначается один их трёх уровней конфиденциальности: «Не конфиденциально», «Конфиденциально», «Строго конфиденциально», а каждому пользователю - уровень допуска. Доступ осуществляется по результатам сравнения уровня допуска с категорией конфиденциальности информации.

Разграничение доступа к устройствам

Функция обеспечивает разграничение доступа к устройствам с целью предотвращения несанкционированного копирования информации с защищаемого компьютера. Существует возможность запретить, либо разрешить пользователям работу с любыми портами или устройствами.

Разграничивается доступ к следующим портам или устройствам:

- последовательным и параллельным портам;

- сменным, логическим и оптическим дискам;

- USB-портам.

Также поддерживается контроль подключения устройств на шинах USB, PCMCIA, IEEE1394 по типу и серийному номеру, права доступа на эти устройства задаются не только для отдельных пользователей, но и для групп пользователей.

Существует возможность запретить использование сетевых интерфейсов - Ethernet, 1394 FireWire, Bluetooth, IrDA, WiFi.

Замкнутая программная среда

Для каждого пользователя компьютера формируется определённый перечень программ, разрешенных для запуска. Он может быть задан как индивидуально для каждого пользователя, так и определен на уровне групп пользователей. Применение этого режима позволяет исключить распространение вирусов, «червей» и шпионского ПО, а также использования ПК в качестве игровой приставки.

Контроль целостности

Используется для слежения за неизменностью контролируемых объектов с целью защиты их от модификации. Контроль проводится в автоматическом режиме в соответствии с некоторым заданным расписанием.

Объектами контроля могут быть файлы, каталоги, элементы системного реестра и секторы дисков. Каждый тип объектов имеет свой набор контролируемых параметров. Так, файлы могут контролироваться на целостность содержимого, прав доступа, атрибутов, а также на их существование, т.е. на наличие файлов по заданному пути. При обнаружении несоответствия предусмотрены следующие варианты реакции на возникающие ситуации нарушения целостности:

- регистрация события в журнале Secret Net;

- блокировка компьютера;

- восстановление повреждённой/модифицированной информации;

- отклонение или принятие изменений.

Гарантированное уничтожение данных

Уничтожение достигается путем записи случайной последовательности на место удаленной информации в освобождаемую область диска. Для большей надежности может быть выполнено до 10 циклов (проходов) затирания.

Контроль аппаратной конфигурации компьютера

Осуществляет своевременное обнаружение изменений в аппаратной конфигурации компьютера и реагирования на эти изменения.

Предусмотрено два вида реакций:

- регистрация события в журнале Secret Net;

- блокировка компьютера.

Контроль печати конфиденциальной информации

Администратор безопасности имеет возможность запретить вывод конфиденциальной информации на печать, либо разрешить эту операцию некоторым пользователям, при этом распечатанные документы могут автоматически маркироваться в соответствии с правилами оформления документов. Также сам факт печати (или попытки несанкционированного вывода на печать) отображается в журнале защиты Secret Net 5.0.

Регистрация событий

Система Secret Net 5.0 регистрирует все события, происходящие на компьютере: включение или выключение компьютера, вход или выход пользователей, события НСД, запуск приложений, обращения к конфиденциальной информации, контроль вывода конфиденциальной информации на печать и отчуждаемые носители и т.п.

Функциональный самоконтроль подсистем

Самоконтроль производится перед входом пользователя в систему и предназначен для обеспечения гарантии того, что к моменту завершения загрузки ОС все ключевые компоненты Secret Net 5.0 загружены и функционируют.

Импорт и экспорт параметров

В Secret Net 5.0 реализована возможность экспорта и импорта различных параметров системы. После проверки корректности работы защитных механизмов на компьютере, принимаемом за эталонный, выполняется экспорт значений параметров в файл. Далее значения импортируются на необходимое количество компьютеров.

2.1.2 Электронный замок «Соболь»

Среди средств так называемых ААА (authentication, authorization, administration - аутентификация, авторизация, администрирование) важное место занимают программно-аппаратные инструменты контроля доступа к компьютерам - электронные замки, устройства ввода идентификационных признаков (УВИП) и соответствующее программное обеспечение (ПО). В этих средствах контроля доступа к компьютерам идентификация и аутентификация, а также ряд других защитных функций, выполняются с помощью электронного замка и УВИП до загрузки ОС.

По способу считывания современные УВИП подразделяются на контактные, дистанционные и комбинированные.

Контактное считывание идентификационных признаков осуществляется непосредственным взаимодействием идентификатора и считывателя.

При бесконтактном способе считывания идентификатор может располагаться на некотором расстоянии от считывателя, а сам процесс считывания осуществляется радиочастотным или инфракрасным методом.

УВИП могут быть электронными, биометрическими и комбинированными.

Электронные УВИП содержат микросхему памяти идентификационного признака.

Примером электронного замка может служить устройство «СОБОЛЬ».

Назначение

Применяется для защиты ресурсов компьютера от несанкционированного доступа.

Электронный замок «Соболь-PCI» сертифицирован Гостехкомиссией России. Сертификат подтверждает соответствие данного изделия требованиям Руководящего документа Гостехкомиссии России «Автоматизированные системы. Классификация автоматизированных систем и требования по защите информации» и позволяет использовать данный продукт при разработке систем защиты для автоматизированных систем с классом защищенности до 1В включительно.

Применение

Электронный замок «Соболь» может применяться как устройство, обеспечивающее защиту автономного компьютера, а также рабочей станции или сервера, входящих в состав локальной вычислительной сети.

Электронный замок «Соболь» обладает следующими возможностями:

- идентификация и аутентификация пользователей;

- регистрация попыток доступа к ПЭВМ;

- запрет загрузки ОС со съемных носителей;

- контроль целостности программной среды.

Возможности по идентификации и аутентификации пользователей, а также регистрация попыток доступа к ПЭВМ не зависят от типа использующейся ОС.

Идентификация и аутентификация пользователей

Каждый пользователь компьютера регистрируется в системе электронный замок «Соболь», установленной на данном компьютере. Регистрация пользователя осуществляется администратором и состоит в определении имени регистрируемого пользователя, присвоении ему персонального идентификатора и назначении пароля.

Действие электронного замка «Соболь» состоит в проверке персонального идентификатора и пароля пользователя при попытке входа в систему. В случае попытки входа в систему не зарегистрированного пользователя электронный замок «Соболь» регистрирует попытку НСД и осуществляется аппаратная блокировка до 4-х устройств (например: FDD, CD-ROM, ZIP, LPT, SCSI-порты).

В электронном замке «Соболь» используются идентификаторы Touch Memory фирмы Dallas Semiconductor. Загрузка операционной системы с жесткого диска осуществляется только после предъявления зарегистрированного идентификатора. Служебная информация о регистрации пользователя (имя, номер присвоенного персонального идентификатора и т.д.) хранится в энергонезависимой памяти электронного замка.

Регистрация попыток доступа к ПЭВМ

Электронный замок «Соболь» осуществляет ведение системного журнала, записи которого хранятся в специальной энергонезависимой памяти. Электронный замок «Соболь» фиксирует в системном журнале вход пользователей, попытки входа, попытки НСД и другие события, связанные с безопасностью системы.

В системном журнале хранится следующая информация: дата и время события, имя пользователя и информация о типе события, например:

- факт входа пользователя;

- введение неправильного пароля;

- предъявление не зарегистрированного идентификатора пользователя;

- превышение числа попыток входа в систему;

- другие события.

Таким образом, электронный замок «Соболь» предоставляет информацию администратору о всех попытках доступа к ПЭВМ.

Контроль целостности программной среды и запрет загрузки со съемных носителей

Подсистема контроля целостности расширяет возможности электронного замка «Соболь». Контроль целостности системных областей дисков и наиболее критичных файлов производится по алгоритму ГОСТ 28147-89 в режиме имитовставки. Администратор имеет возможность задать режим работы электронного замка, при котором будет блокирован вход пользователей в систему при нарушении целостности контролируемых файлов. Подсистема запрета загрузки с гибкого диска и CD ROM диска обеспечивает запрет загрузки операционной системы с этих съемных носителей для всех пользователей компьютера, кроме администратора. Администратор может разрешить отдельным пользователям компьютера выполнять загрузку операционной системы со съемных носителей.

Подсистемы контроля целостности и подсистемы запрета загрузки со съемных носителей функционируют под управлением следующих ОС:

- MS DOS версий 5.0-6.22 (только ЭЗ «Соболь» для стандарта ISA);

- ОС семейства Windows'9x (FAT12, FAT16 или FAT32);

- Windows NT версий 3.51 и 4.0 с файловой системой NTFS;

- Windows 2000 с файловой системой NTFS (только «Соболь-PCI»);

- UNIX FreeBCD (только «Соболь-PCI»).

Возможности по администрированию

Для настройки электронного замка «Соболь» администратор имеет возможность:

- определять минимальную длину пароля пользователя;

- определять предельное число неудачных входов пользователя;

- добавлять и удалять пользователей;

- блокировать работу пользователя на компьютере;

- создавать резервные копии персональных идентификаторов.

Использование

Электронный замок «Соболь» может применяться в составе системы защиты информации Secret Net для генерации ключей шифрования и электронно-цифровой подписи. Кроме того, при использовании ЭЗ «Соболь» в составе СЗИ Secret Net обеспечивается единое централизованное управление его возможностями. С помощью подсистемы управления Secret Net администратор безопасности имеет возможность управлять статусом персональных идентификаторов сотрудников: присваивать электронные идентификаторы, временно блокировать, делать их недействительными, что позволяет управлять доступом сотрудников к компьютерам автоматизированной системы организации.

2.1.3 USB-ключ

Основное технологическое отличие USB-ключа от смарт-карты заключается в том, что хранимая в памяти USB-ключа информация не привязана жестко к ячейкам памяти, а располагается в специальной файловой системе. Поэтому один и тот же ключ можно использовать для разных целей: для входа в компьютер, авторизации электронной почты, создания канала виртуальной частной сети (VPN - virtual private network) и многого другого. Таким образом, с помощью одного аппаратного ключа можно комплексно решить задачу идентификации пользователя для всего комплекса офисного программного обеспечения. При этом человек не должен знать пароли и ключи шифрования для всех приложений, достаточно одного пароля для работы с ключом.

Для повышения надежности защиты некоторые аппаратные ключи выполнены в герметичном, влагостойком и пыленепроницаемом корпусе, что гарантирует защищенность данных от многих внешних воздействий. При разгерметизации корпуса информация из памяти ключа стирается. Это сделано для того, чтобы блокировать копирование или подделку ключа и обеспечить достаточно надежное хранение информации внутри аппаратного идентификатора при более жестких требованиях к его конструктиву.

Реализовать те же самые требования для всего компьютера значительно сложнее.

Назначение USB-ключа:

- строгая двухфакторная аутентификация пользователей при доступе к защищённым ресурсам (компьютерам, сетям, приложениям);

- аппаратное выполнение криптографических операций в доверенной среде (в электронном ключе: генерация ключей шифрования, симметричное и асимметричное шифрование, вычисление хэш-функции, выработка ЭЦП);

- безопасное хранение криптографических ключей, профилей пользователей, настроек приложений, цифровых сертификатов и пр. в энергонезависимой памяти ключа;

- поддержка большинством современных операционных систем, бизнес приложений и продуктов по информационной безопасности в качестве средства аутентификации и авторизации.

Возможности применения USB-ключа:

- строгая аутентификация пользователей при доступе к серверам, базам данных, разделам веб сайтов;

- безопасное хранение секретной информации: паролей, ключей ЭЦП и шифрования, цифровых сертификатов;

- защита электронной почты (цифровая подпись и шифрование, доступ);

- защита компьютеров;

- защита сетей, VPN;

- клиент-банк, домашний банк;

- электронная торговля.

Преимущества

USB-ключ, может использоваться в любых приложениях для замены парольной защиты на более надежную двухфакторную аутентификацию (когда пользователь имеет нечто - USB-ключ, и знает нечто - PIN код).

USB-ключ обеспечивает:

- строгую аутентификацию пользователей за счет использования криптографических методов;

- безопасное хранение ключей шифрования и ЭЦП (электронной цифровой подписи), а также цифровых сертификатов для доступа к защищенным корпоративным сетям и информационным ресурсам;

- мобильность для пользователя и возможность работы в «не доверенной среде» (например, с чужого компьютера) - за счет того, что ключи шифрования и ЭЦП генерируются в памяти USB-ключ аппаратно и не могут быть перехвачены;

- безопасное использование - воспользоваться им может только его владелец, знающий PIN-код;

- реализацию как российских, так и западных стандартов шифрования и ЭЦП;

- удобство работы - USB-ключ выполнен в виде брелока со световой индикацией режимов работы и напрямую подключается к USB-портам, которыми сейчас оснащаются 100% компьютеров, не требует специальныхсчитывателей, блоков питания, проводов и т.п.;

- использование одного ключа для решения множества различных задач - входа в компьютер, входа в сеть, защиты канала, шифрования информации, ЭЦП, безопасного доступа к защищённым разделам Web-сайтов, информационных порталов и т.п.

USB-ключ имеет:

- микросхему (1)

- защищенный микроконтроллер (2);

- разъем USB (3);

- световой индикатор режимов работы (4);

- герметичный полупрозрачный пластиковый корпус.

Микроконтроллер в составе USB-ключа обеспечивает:

- коммуникационные функции (поддержку протокола USB);

- хранение микрокода для управления протоколом передачи (firmware).

В состав микросхемы входят:

- 16-ти битный центральный процессор с набором инструкций;

- память только для чтения (ROM, Read Only Memory), содержащая операционную систему;

- оперативная память (RAM, Random Access Memory), предназначенная для использования операционной системой;

- электрически стираемая программируемая память только для чтения (EEPROM, Electrically Erasable Programable Read Only Memory), предназначенная для хранения пользовательских данных;

- аппаратный генератор случайных чисел;

- криптопроцессор для ускорения выполнения криптографических операций.

2.1.4 Считыватели «Proximity»

Технология Proximity прочно завоевала ведущее место в профессиональных системах управления доступом, потеснив магнитные и Wiegand считыватели и практически полностью вытеснив Touch memory.

Устройства ввода идентификационных признаков на базе идентификаторов Proximity (от английского слова proximity - близость, соседство) относится к классу электронных бесконтактных радиочастотных устройств.

Они выпускаются в виде карточек, ключей, брелоков и т.п. Каждый из них имеет собственный уникальный серийный номер. Основными составляющими устройств являются интегральная микросхема для связи со считывателем и встроенная антенна. В составе микросхемы находятся приемопередатчик и запоминающее устройство, хранящее идентификационный код и другие данные. Внутри Proximity может быть встроена литиевая батарейка (активные идентификаторы). Активные идентификаторы могут считывать информацию на расстоянии нескольких метров. Расстояние считывания пассивными идентификаторами (не имеющих батарейки) составляет десятки сантиметров.

Устройство считывания постоянно излучает радиосигнал, который принимается антенной и передается на микросхему. За счет принятой энергии идентификатор излучает идентификационные данные, принимаемые считывателем.

Рассмотрим принципы работы считывателей «Parsec».

Считыватели Proximity в своей работе опираются на широко известные физические принципы. Правда, того же нельзя сказать об алгоритмах обработки сигналов в схеме считывателя, что обычно и составляет «ноу хау» производителей.

Считыватель содержит генератор, работающий, как правило, на частоте 125 кГц, и нагруженный на антенну считывателя. Излучаемая антенной считывателя энергия принимается антенной карты и запитывает расположенный в карте микрочип. Последний модулирует сигнал в антенне карты кодом, занесенным в микрочип на заводе-изготовителе. Излученный картой сигнал воспринимается антенной считывателя, обрабатывается сначала аналоговой частью схемы считывателя, а затем расположенным в считывателе микропроцессором. Микропроцессор проверяет корректность кода, преобразовывает его к требуемому формату и выдает на выход считывателя, то есть на вход контроллера системы управления доступом.

При всем многообразии форматов данных, обрабатываемых контроллерами систем управления доступом, более 80% систем ориентируются в качестве основного или дополнительного на формат Wiegand 26 бит.

Другой популярный формат интерфейса систем управления доступом - формат шины Micro LAN американской фирмы Dallas, в соответствии с которым работают ключи Touch memory.

Почти все российские разработчики систем управления доступом ориентировались именно на использование протокола Micro LAN в своих контроллерах.

Считыватели «Parsec»

Под торговой маркой «Parsec» производится достаточно широкий спектр оборудования систем управления доступом. В частности, это автономные контроллеры серии ASC-xx и сетевая компьютеризированная система управления доступом ParsecLight. Вместе с тем под этой торговой маркой продается целая гамма Proximity считывателей для применения в существующих системах как отечественного, так и зарубежного производства.

Особо следует сказать о считывателе APR-05xx, который выполнен в корпусе из нержавеющей стали и предназначен для уличной установки в случаях, когда требуется повышенная защита от вандализма.

2.1.5 Технология защиты информации на основе смарт-карт

Появление информационной технологии смарт-карт (СК), основанной на картах со встроенным микропроцессором, позволило удобнее решать вопросы использования пластиковых денег. Однако уникальные возможности СК с микропроцессором, состоящие в высокой степени защиты от подделки, поддержке базовых операций по обработке информации, обеспечении высоких эксплуатационных характеристик, сделали СК одним из лидеров среди носителей конфиденциальной информации.

Следует отметить отличительные особенности таких карт. СК содержит микропроцессор и ОС, которые обеспечивают уникальные свойства защиты, имеют контактное и бесконтактное исполнение (на рис. 4.51 показана бесконтактная смарт-карта).

Таким образом, технология СК обеспечивает надежное хранение ключей и доступ к различным информационным ресурсам.

Персональные идентификаторы iKey компании Rainbow являются недорогими брелоками, которые могут использоваться на любой рабочей станции, имеющей универсальную последовательную шину (USB). Они обеспечивают надежность, простоту и безопасность в такой же степени, как и смарт-карты, но без сложностей и лишних затрат, связанных с использованием считывателя. iKey являются идеальным инструментом для контроля доступа к сетевым службам. iKey 2000 поддерживает и интегрируется со всеми основными прикладными системами, работающими по технологии PKI и используемыми в сетях отдельной организации, нескольких взаимодействующих организаций. Указанные системы включают Microsoft Internet Exolorer и Outlook, Netscape, Entrust, Baltimore, Xcert, Verisign и др. iKey 2000 разрабатывался для защиты цифровой идентичности в рамках инфраструктуры открытых ключей (PKI). iKey 2000 способен с помощью аппаратных средств генерировать и сохранять в памяти пары открытых ключей и цифровые сертификаты, а также производить цифровую подпись. Личный PKI-ключ недоступен компьютеру клиента.

iKey 2000 создает мощную систему защиты и криптографического кодирования непосредственно внутри аппаратного устройства. Для iKey 2000 пользователю поставляется программное обеспечение. Устройство содержит полный набор криптографических библиотек для броузеров Netscape и Internet Exolorer, а также для клиентов электронной почты. iKey 2000 действует одновременно как смарт-карта и считыватель, находящиеся в едином устройстве с конструктивом USB. Для активизации прикладной программы достаточно вставить iKey 2000 в USB-порт.

iKey 2000 реализует более простой метод обеспечения привилегий пользователя, чем пароли или чисто программные сертификаты. Чтобы запрограммировать ключ, администратору потребуется всего несколько минут. Потерянные ключи могут быть дезактивированы и изменены.

2.1.6 Кейс «Тень»

Предназначен для транспортировки ноутбуков под охраной с возможностью автоматического уничтожения информации при попытке несанкционированного доступа. Имеет автономный источник питания, дистанционное управление. Монтируется в пыле-, влаго-, взрывозащищенный кейс Также может быть использован для транспортировки жестких дисков, дискет, аудио-, видео-, стримерных кассет.

Профессиональная модель предназначается для уничтожения в любой момент информации с магнитных носителей при их транспортировке. Имеет повышенную защиту, собственное микропроцессорное управление, автономный источник резервного питания. Изготавливается только под заказ, на основании определенной клиентом комплектации.

Рекомендуется как средство защиты информации (копии, дубликаты, Backup) при ее транспортировке к месту хранения. В базовой комплектации состоит из модуля уничтожения, модуля микропроцессорного управления, модуля резервного питания на 12 ч. Монтируется в стандартный чемодан типа «дипломат». Можно перевозить до 2-х накопителей, под которые рассчитан модуль уничтожения. Активация производится нажатием потайной кнопки, радиобрелка, при попытке несанкционированного вскрытия (защита всего периметра). Питание только от автономного источника питания.

Управление и защита базовых моделей может быть усилена за счет комплектации дополнительными модулями защиты, управления и оповещения.

2.1.7 Устройство для быстрого уничтожения информации на жестких магнитных дисках «Стек-Н»

Назначение

Изделия «Стек-Н» предназначены для быстрого (экстренного) стирания информации, записанной на накопителях информации на жестких магнитных дисках, эксплуатируемых, так и не эксплуатируемых в момент стирания.

Основные особенности изделий серии «Стек»

- предельно возможная скорость уничтожения информации;

- способность находиться во взведенном состоянии сколь угодно долго без ухудшения характеристик;

- возможность применения в дистанционно управляемых системах с автономным электропитанием;

- отсутствие движущихся частей;

- стирание информации, записанной на магнитном носителе, происходит без его физического разрушения, но после стирания использование НЖМД вновь проблематично.

Основные отличительные особенности базовых моделей устройства «Стек-Н»

1. Модель «Стек-НС1» ориентирована на создание рабочего места для быстрого стирания информации с большого количества винчестеров перед их утилизацией. Имеет только сетевое электропитание, характеризуется малым временем перехода в режим «Готовность» после очередного стирания. Модель имеет невысокую стоимость и предельно проста в управлении.

2. Модель «Стек-НС2» ориентирована на создание стационарных информационных сейфов для компьютерных данных, имеет только сетевое электропитание. Модель оборудована системами поддержания температурного режима НЖМД, самотестирования, а также может быть дооборудована модулем дистанционной инициализации.

3. Модель «Стек-НА1» ориентирована на создание портативных информационных сейфов для компьютерных данных, имеет сетевое и автономное электропитание. Модель оборудована системой самотестирования модулем дистанционной инициализации.

Размещено на Allbest.ru

...