Комплексні системи захисту інформації. Проектування, впровадження, супровід. Вадим Гребенніков
Читать онлайн книгу.матеріал); вікна, двері, інші отвори (кількість, матеріал, розміри).
– дані про складові об’єктів, що можуть впливати на показники ефективності захищеності ІзОД і які можуть бути середовищем поширення за межі КЗ її носіїв (інженерні комунікації, обладнання, оргтехніка, телебачення, електроживлення, заземлення, газо-, водопостачання, опалення, вентиляції, кондиціонування повітря, водостоку, каналізації, технологічне обладнання, огороджувальні будівельні конструкції, світлопроникні отвори приміщень, будинків, споруд тощо).
– наявність систем безпеки в установі, до яких може бути інтегрована КСЗІ (відеоспостереження, пожежна та охоронна сигналізації, системи зв’язку);
– схеми розміщення комунікацій, обладнання систем електроживлення, у тому числі трансформаторної підстанції;
– дані про складові об’єктів, які виходять за межу КЗ або її перетинають, застосування яких не обґрунтовано виробничою необхідністю і які підлягають демонтуванню, у подальшому застосуванні яких відсутня необхідність);
– опис систем заземлення (дані про перелік технічних засобів ІТС, що підлягають заземленню);
– результати аналізу фізичного середовища та пропозиції щодо необхідності отримання додаткових даних про можливі місця розміщення засобів технічної розвідки; проведення випробувань (у т.ч. спеціальних досліджень технічних засобів, які оброблятимуть ІзОД); застосування організаційних, інженерно-технічних заходів захисту (у т.ч. застосування засобів оброблення ІзОД, інших технічних засобів у захищеному виконанні).
За результатами комісія складає «Акт обстеження середовищ функціонування ІТС», який затверджується керівником організації-власника (розпорядника) ІТС і складається з таких розділів:
– клас і склад обчислювальної системи,
– перелік і характеристики інформаційних ресурсів,
– перелік і повноваження користувачів,
– опис фізичного середовища (до акту додаються генеральний і ситуаційний плани, схеми систем життєзабезпечення та заземлення).
4. Модель порушника безпеки інформації в ІТС
На підставі Акту обстеження та визначення загроз для ІТС СЗІ розробляє «Модель порушника безпеки інформації в ІТС», яка затверджується керівником організації-власника (розпорядника) ІТС, та вноситься, за необхідності, до відповідних розділів Плану захисту.
Модель порушника – це абстрактний формалізований або неформалізований опис дій порушника, який відображає його практичні та теоретичні можливості, апріорні знання, час і місце дії тощо. Як порушник розглядається особа, яка може одержати несанкціонований доступ (далі – НСД) до роботи з включеними до складу ІТС засобами.
Модель порушника повинна визначати:
– можливі цілі порушника та їх градація за ступенями небезпечності для ІТС та інформації, що потребує захисту;
– категорії персоналу, користувачів ІТС та сторонніх осіб, із числа яких може бути порушник;
– припущення