Файл: В. Б. Кравченко (директор Института информационных наук и технологий безопасности Российского государственного гуманитарного университета).pdf
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 02.02.2024
Просмотров: 692
Скачиваний: 0
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
СОДЕРЖАНИЕ
хранилище ценностей — сооружение, представляющее со
бой железобетонную оболочку (стены, пол, потолок), предназ
наченное для хранения ценностей, документов и носителей ин
формации, с площадью основания изнутри более 2 м2, защи
щенное от взлома и устойчивое к воздействию опасных факто
ров пожара;
дверь хранилища — комплект, состоящий из дверного полотна и дверной коробки, снабженных запирающим механизмом, за
щищенный от взлома и устойчивый к воздействию опасных фак
торов пожара;
сейф — устройство, предназначенное для хранения ценностей, документов и носителей информации, с площадью основания из
нутри не более 2 м2 и устойчивое к взлому;
огнестойкий сейф — устройство с площадью основания из
нутри не более 2 м2, предназначенное для хранения ценностей, документов и носителей информации, устойчивое к взлому и воз
действию опасных факторов пожара;
запирающий механизм — совокупность всех замковых устройств и силовых элементов (ригели, засовы и т.п.), обеспечивающих запирание дверей сейфов и хранилищ.
Хранилища ценностей должны иметь исполнение, обеспечи
вающее эффективную защиту от проникновения через железобе
тонную оболочку (стены, пол, потолок) и дверь с использованием отмычек, слесарного и ручного электрифицированного инстру
мента, домкратов, газорежущего оборудования, взрывчатки и иных орудий взлома. Хранилище ценностей должно быть сертифици
ровано и иметь, согласно ГОСТ Р 50862 — 96, класс устойчивости к взлому не ниже V.
Вход в хранилище — единственный, через тамбур. Устройство окон в хранилище и тамбуре не допускается. Класс устойчивости двери в хранилище должен быть не ниже класса устойчивости самого хранилища. Количество и класс замковых устройств, вхо
дящих в запирающий механизм дверей хранилищ, должны соот
ветствовать параметрам, указанным в табл. 5.1 —5.4 (табл. 5.1 см. на с. 99).
В дверном проеме хранилища за основной дверью должна уста
навливаться решетчатая дверь из стальных прутьев диаметром не менее 16 мм, образующих ячейки размером не более 150x150 мм, сваренных в каждом пересечении. По периметру решетчатая дверь обрамляется стальным уголком размером не менее 30 х 30 х 5 мм. Решетчатая дверь оборудуется замком (навесным или на
кладным) сувального типа с числом кодовых комбинаций не менее
100 тыс.
Основные требования к сейфам. Если сейф снабжен колеса
ми для перемещения, то они должны вводиться в действие или иметь стопорное устройство только изнутри сейфа. Сейф может
Т а б л и ц а 5.2. Классы устойчивости сейфов к воздействию опасных
факторов пожара
Класс устойчивости
Предел огнестойкости, мин, не менее
Объект хранения
60 Б
60
Документы
120 Б
120
То же
60 Д
60
То же и машинные носители информации
120 Д
120
То же
60Д И С
60
То же и гибкие магнитные диски
120 ДИС
170
То же не иметь стопорного устройства, если предусмотрено крепление сейфа к полу или стеле.
Сейф массой менее 1 ООО кг должен иметь не менее одного отверстия для анкерного крепления к железобетонным блокам или к равнозначным по прочности конструкциям либо крепления внут
ри других сейфов. Также должна прилагаться инструкция по при
менению этого крепления и методам установки с указанием кон
струкций, к которым или внутри которых сейф может быть укре
плен. Вместо анкерных креплений можно использовать другие виды креплений, выполняющих аналогичную функцию.
Сейф может не иметь отверстия для крепления, если он пред
назначен для встраивания в пол или стену.
В сейфах может быть предусмотрено сквозное отверстие для кабелей в верхней, нижней, задней или одной из боковых стенок.
Отверстие должно быть расположено так, чтобы через него без применения вспомогательного оборудования не было видно зад
нюю часть двери с замковым устройством. Отверстия для кабелей в сейфах или хранилищах, конструкцией которых предусмотрена защита от взрыва, должны быть выполнены так, чтобы исключа
лась возможность введения через них взрывчатых веществ во внут
реннее пространство.
Огнестойкий сейф должен быть устойчив к воздействию опас
ных факторов пожара и соответствовать одному из классов устой
чивости согласно табл. 5.2.
Требования к запирающим механизмам соответствуют ГОСТ
Р 51053 — 97 «Замки сейфовые. Требования и методы испытаний на устойчивость к криминальному открытию и взлому». Сейфы или хранилища должны быть оснащены замковыми устройст
вами, обеспечивающими секретность отпирания двери согласно табл. 5.3. Число замковых устройств, входящих в запирающий ме
ханизм, должно быть не менее, а их класс не ниже, чем указан
ный в табл. 5.4.
Т а б л и ц а 5.3. Классы замковых устройств и требования к ним
Класс замкового устройства
Число комбинаций ключа
Число комбинаций кода
А
25000 80000
В
100000 100000
С
1000000 1000000
D
3000000 3000000
Т а б л и ц а 5.4. Классы устойчивости сейфов и требования к ним
Класс устойчи
вости сейфа или хранилища
Число и класс замковых устройств
Класс устойчи
вости сейфа или хранилища
Число и класс замковых устройств
I
1 хА
VIII
2 х С
II
1 хА
IX
2 х С
III
1 х в
X
2 х С
IV
2 х В
XI
3 х С или 2 х D
V
2 х В
XII
3 х С или 2 х D
VI
2 х С
XIII
2 х D
VII
2 х С
Сейф или хранилище должны быть устойчивы к взлому и со
ответствовать одному из классов устойчивости согласно табл. 5.5.
При выборе сейфов и хранилищ, планируемых к закупке в торговой сети, необходимо учитывать, что данная продукция, изготовленная добросовестным производителем, должна иметь с внутренней стороны дверей следующие реквизиты (маркиров
ку):
• товарный знак и (или) другие реквизиты предприятия-произ
водителя;
• тип (модель) и порядковый номер продукции;
• год выпуска.
Сертифицированная продукция должна быть маркирована до
полнительно:
• классом устойчивости к взлому (продукция, выдержавшая испытания взрывчатыми веществами, дополнительно маркирует
ся индексом «ВВ»);
• классом огнестойкости для огнестойких сейфов;
• номером сертификата;
• фирменным знаком и другими реквизитами организации, проводившей сертификацию, в том числе номер ее Аттестата ак
кредитации.
Т а б л и ц а 5.5. Классы устойчивости сейфов и хранилищ к взлому
Класс устойчивости
Минимальное значение сопротивления
Потребительская оценка частичный доступ полный доступ сейфов хранилищ
Для сейфов
I
30 50
Удовлетвори
тельная
—
II
50 80
Удовлетвори
тельная
—
III
80 120
Удовлетвори
тельная
—
IV
120 180
Средняя
—
д
Т
ля сейфов и хранилищ
V
180 270
Средняя
Удовлетвори
тельная
VI
270 400
Средняя
Удовлетвори
тельная
VII
400 600
Высокая
Удовлетвори
тельная
VIII
550 825
Высокая
Средняя
IX
700 1050
Высокая
Средняя
X
900 1350
Высокая
Средняя
Для хранилищ
XI
—
2000
—
Высокая
XII
—
3000
—
Высокая
XIII
—
4500
—
Высокая
Пример маркировки {с внутренней стороны) сейфа типа
«
СМ-001
»,
изготовленного заводом «Техника» в 1995 г., обладающего II классом устой
чивости к взлому и классом огнестойкости — 60Б (подтверждены сертифи
катом № RU.0017.1403), выданным органом по сертификации ЦСА ГУВО
МВД РФ, имеющим Аттестат аккредитации РОСС 1Ш.0001.14.АЯ 03:
(1)
Завод «Техника», г. Энск
Модель — СМ-001
№ 00184 1995 г.
Класс устойчивости к взлому
II RU.0017.1403*
Класс огнестойкости
60Б RL1.0017.1403*
ОС
ЦСА ГУВО МВД РФ РОСС Яи.ОООІ.М.АЯ 03
* Если сертификация по показателям устойчивости к взлому и огнестойко
сти проводилась различными органами по сертификации, то номера сертифика
тов могут быть разными.
На наружной стороне дверей допускается нанесение:
• товарного знака и (или) наименование предприятия-произ
водителя;
• типа (модели продукции);
• знака соответствия, если продукция имеет сертификат по по
казателям безопасности.
На предприятии должна быть разработана специальная инст
рукция, в которой необходимо определить:
• порядок закрепления сейфов и хранилищ за сотрудниками, а также их использования;
• порядок опечатывания сейфов и хранилищ, ключей от них и сдачи их под охрану в неслужебное время подразделению охраны;
• действия сотрудников в случае обнаружения нарушения от
тисков печатей, которыми опечатываются сейфы и хранилища, утери ключей;
• порядок опечатывания, хранения и использования резервных ключей от сейфа или хранилища, а также действия сотрудников при необходимости вскрытия при отсутствии ответственных за них лиц.
5.6. Транспортные средства и особенности
транспортировки
Перевозка носителей информации ограниченного доступа — совокупность операций, которым подвергаются носители ИОД в процессе их доставки от грузоотправителя до грузополучателя, и включает: подготовку носителей и транспортных средств, прием носителей к перевозке, их погрузку в транспортное средство, офор
мление перевозочных документов, транспортирование носителей, перегрузку носителей с одного вида транспорта на другой, тран
зитное хранение носителей и их выгрузку.
Транспортировка должна предусматривать:
1) постоянный контроль за грузом в пути следования, провер
ку при передаче под расписку лицам, которые обеспечивают со
хранность в пути;
2) непрерывную охрану груза с момента получения у грузоот
правителя и до передачи под расписку грузополучателю, с целью не допустить досмотра, тайного доступа, полного или частичного хищения;
3) сквозную перевозку, т.е. перевозка обычно осуществляется без пересадок и перегрузки; если она невозможна, то принимают
ся особые меры по охране грузов в местах транзита:
— при оставлении груза в транспорте обеспечивается его не
прерывная охрана;
— помещения для временного хранения груза должны соответ
ствовать требованиям, предъявляемым к помещениям для хране
ния носителей сведений ограниченного доступа соответствующе
го вида;
— во всех случаях груз передается под расписку охраняющих лиц.
5.7. Состав средств обеспечения, подлежащих
защите
Средства обеспечения объекта информатизации — технические средства и системы, их коммуникации, не предназначенные для обработки информации, но устанавливаемые вместе со средства
ми обработки информации на объекте информатизации. К ним относятся: электробытовые приборы (нагревательные, осветитель
ные, вентиляции и т. п.); средства часофикации; системы конди
ционирования воздуха; электроосветительные приборы; системы электроснабжения: системы заземления; электронные системы регулирования доступа в помещения; средства видеонаблюдения; системы отопления, водоснабжения, канализации, вентиляции; системы сигнализации и оповещения; системы пожаротушения; средства механизации (бумагоуничтожающие машины, электрон
ные и электрические замки, электрические звонки и т.п.).
Гл а в а 6
Дестабилизирующие воздействия
на информацию
и их нейтрализация
6.1. Факторы, создающие угрозу
информационной безопасности
Информация, подлежащая защите на предприятии, отражает
ся в документах на бумажных носителях, передается по средствам телекоммуникаций, обрабатывается в АС. В этом смысле можно говорить о мультимедийном характере системы документооборо
та. Для каждой среды характерны свои особенности обработки информации, а также различные факторы и угрозы ее безопасно
сти. Как правило, защищаемая информация обрабатывается на тех или иных технических средствах, поэтому введем понятие тех
нического средства обработки информации (ТСОИ), понимая под ним любое изделие, в котором происходит обработка информа
ции. На безопасность информации влияют как конструктивные особенности, характеристика ТСОИ, так и другие факторы. Рас
смотрим подробнее факторы, а далее (см. 6.2) — угрозы безопас
ности информации; проведем различие между этими понятиями.
Определение фактора, воздействующего на информацию, приведено в ГОСТ Р 51275 — 99 [14]: явление, действие или про
цесс, результатом которых могут быть утечка, искажение, уничто
жение защищаемой информации, блокирование доступа к ней.
Формирование полного множества дестабилизирующих фак
торов и определение причинно-следственных связей между ними относится к числу ярко выраженных неформализованных задач.
Попытки формирования такого множества предпринимались при исследовании проблем обеспечения качества информации. В пла
не обеспечения безопасности информации дестабилизирующие факторы частично совпадают с факторами, влияющими на каче
ство информации в целом, однако в некоторых случаях имеют свою специфику проявления и влияния на процессы автоматизи
рованной обработки данных в АС.
Одним из наиболее эффективных и адекватных методов выяв
ления множества дестабилизирующих факторов является метод натурных экспериментов. При надлежащей организации экспе
риментов и достаточной их продолжительности можно наблюдать
статистические данные, достаточные для обоснованного решения поставленной задачи. Однако такой путь является наиболее доро
гостоящим и требует привлечения больших коллективов специа
листов в течение длительного времени. Поэтому этот метод пред
ставляется целесообразным не для первоначального формирова
ния множества дестабилизирующих факторов, а для его уточне
ния и пополнения. Для первоначального формирования множе
ства целесообразно использовать экспертные оценки в совокуп-
Рис. 6.1. Общий алгоритм формирования множества дестабилизирующих факторов для АС
гостоящим и требует привлечения больших коллективов специа
листов в течение длительного времени. Поэтому этот метод пред
ставляется целесообразным не для первоначального формирова
ния множества дестабилизирующих факторов, а для его уточне
ния и пополнения. Для первоначального формирования множе
ства целесообразно использовать экспертные оценки в совокуп-
Рис. 6.1. Общий алгоритм формирования множества дестабилизирующих факторов для АС
ности с методами структурно-логического анализа. Структура об
щего алгоритма формирования множества дестабилизирующих факторов показана на рис. 6.1.
Анализ причин утечки информации в АС, проведенный по ре
зультатам конкретных факторов выявления несанкционирован
ного доступа и в ходе моделирования различных ситуаций в АС, показывает, что с учетом архитектуры, технологии применения и условий функционирования АС полное множество дестабилизи
рующих факторов может быть разделено на следующие типы:
1. Количественная недостаточность системы защиты — сово
купность факторов, не позволяющих перекрыть известное мно
жество каналов утечки информации путем применения существу
ющих средств защиты, которые по своим характеристикам могут полностью обеспечить безопасность информации в АС.
2. Качественная недостаточность системы защиты — совокуп
ность факторов, не позволяющих перекрыть известное множе
ство каналов утечки информации путем применения существую
щих средств защиты вследствие их несовершенства или несоот
ветствия современному уровню развития средств несанкциониро
ванного доступа к информации (средств технических разведок).
3. Отказы — совокупность факторов, приводящих к потере си
стемой защиты или одним из средств защиты способности вы
полнять свои функции.
4. Сбои — совокупность факторов, приводящих к кратковре
менному нарушению работы средств защиты или выходу характе
ристик их работы за допустимые интервалы значений.
5. Ошибки операторов АС — совокупность факторов, приводя
щих к нарушению технологии автоматизированной обработки информации в АС вследствие некорректных действий операто
ров.
6. Стихийные бедствия — совокупность факторов, приводя
щих к утечке информации вследствие физического разрушения элементов АС при воздействии на них сил природы без участия человека.
7. Злоумышленные действия — совокупность факторов, при
водящих к изменению режимов функционирования АС, уничто
жению, искажению или раскрытию информации в результате не
посредственного целенаправленного воздействия нарушителя на компоненты АС.
8. Побочные явления — совокупность факторов, позволяющих нарушителю получить доступ к информации без непосредствен
ного воздействия на компоненты АСУ.
Источниками дестабилизирующих факторов могут быть люди
(операторы АСУ и нарушители), технические устройства, модели, алгоритмы и программы выполнения различных операций обра
ботки данных в АСУ, технология автоматизированной обработки
щего алгоритма формирования множества дестабилизирующих факторов показана на рис. 6.1.
Анализ причин утечки информации в АС, проведенный по ре
зультатам конкретных факторов выявления несанкционирован
ного доступа и в ходе моделирования различных ситуаций в АС, показывает, что с учетом архитектуры, технологии применения и условий функционирования АС полное множество дестабилизи
рующих факторов может быть разделено на следующие типы:
1. Количественная недостаточность системы защиты — сово
купность факторов, не позволяющих перекрыть известное мно
жество каналов утечки информации путем применения существу
ющих средств защиты, которые по своим характеристикам могут полностью обеспечить безопасность информации в АС.
2. Качественная недостаточность системы защиты — совокуп
ность факторов, не позволяющих перекрыть известное множе
ство каналов утечки информации путем применения существую
щих средств защиты вследствие их несовершенства или несоот
ветствия современному уровню развития средств несанкциониро
ванного доступа к информации (средств технических разведок).
3. Отказы — совокупность факторов, приводящих к потере си
стемой защиты или одним из средств защиты способности вы
полнять свои функции.
4. Сбои — совокупность факторов, приводящих к кратковре
менному нарушению работы средств защиты или выходу характе
ристик их работы за допустимые интервалы значений.
5. Ошибки операторов АС — совокупность факторов, приводя
щих к нарушению технологии автоматизированной обработки информации в АС вследствие некорректных действий операто
ров.
6. Стихийные бедствия — совокупность факторов, приводя
щих к утечке информации вследствие физического разрушения элементов АС при воздействии на них сил природы без участия человека.
7. Злоумышленные действия — совокупность факторов, при
водящих к изменению режимов функционирования АС, уничто
жению, искажению или раскрытию информации в результате не
посредственного целенаправленного воздействия нарушителя на компоненты АС.
8. Побочные явления — совокупность факторов, позволяющих нарушителю получить доступ к информации без непосредствен
ного воздействия на компоненты АСУ.
Источниками дестабилизирующих факторов могут быть люди
(операторы АСУ и нарушители), технические устройства, модели, алгоритмы и программы выполнения различных операций обра
ботки данных в АСУ, технология автоматизированной обработки