2.4. Организационно-технические меры противодействия угрозам.

В качестве типовых организационных мер, способствующих защите от перечисленных выше критических угроз необходимо выполнение следующих действий:

1. Регулярное выполнение процедуры резервного копирования информации ограниченного доступа.

2. Использование источников бесперебойного питания.

3. Установка датчиков регистрации признаков аварии или стихийного бедствия (дыма, наличия открытого огня).

4. Установка системы автоматического оповещения об авариях.

5. Контроль доступа персонала в защищаемое помещение.

6. Контроль доступа персонала к АРМ.

7. Выполнение периодических регламентных работ по контролю функционирования АРМ.

8. Контроль графика периодического просмотра и анализа протокола работы системы администратором безопасности.

9. Регистрация актов уничтожения вышедших из строя компонентов системы.

10. Привлечение доверенного квалифицированного персонала для ремонта элементов АРМ.

11. Использование охранной сигнализации в защищаемом помещении.

12. Регулярный контроль состояния защищаемого помещения.

13. Регулярный аудит безопасности работы АРМ.

14. Периодическая аттестация администратора безопасности системы.

15. Контроль доступа к системной документации на аппаратно-программные средства и настройки.

16. Централизованная поддержка и обновление антивирусного программного обеспечения.

17. Проведение специального исследования технических средств и специальной проверки.

18. Использование специальных технических средств зашумления.

19. Обучение пользователей регламентам работы с АРМ.

20. Наличие организационно-распорядительных мер безопасности.

21. Использование сертифицированного программного обеспечения.

22. Проведение кадровой работы для повышения мотиваций сотрудников.

23. Проведение кадровой работы для выявления нелояльного персонала.

3. Обеспечение физической защиты арм.

3.1. Организационные меры по обеспечению защиты арм.

В организации должны быть определены защищаемые зоны, например:

Зона 1: общедоступные зоны.

Зона 2: зоны открытые только для персонала.

Зона 3: особо охраняемые зоны.

• Строго контролируемый доступ, для доступа необходима идентификация. Доступ посетителям без сопровождения запрещен.

• Доступ в здания компании должен быть всегда ограничен, за исключением доступа через приемную в рабочее время.

• Доступ в помещения, в которых находятся АРМ должен быть заблокирован по возможности с использованием СКД (система контроля доступа с ведением списка посещений).

• Помещения должны быть под наблюдением службы безопасности круглосуточно.

• Доступ в операторные помещения должен фиксироваться на видео.

• Введение регламента по использованию АРМ для работников.

• Тренировок персонала системы защиты, проведения оперативных мероприятий, обследований, осуществления контроля доступа.

3.2. Технические меры по обеспечению защиты арм.

Надежная система физической защиты должна исключить:

• Неправомочный доступ к аппаратуре обработки информации;

• Неразрешенный вынос носителей информации;

• Неправомочное использование систем обработки информации и незаконное получение данных;

• Доступ к системам обработки информации посредством нестандартных (самодельных) устройств;

• Неконтролируемое считывание, модификацию или удаление данных в процессе их передачи или транспортировки носителей информации.

Для этого могут использоваться следующие средства:

• Использование системы оповещения о попытках вторжения – представляет собой систему тревожной сигнализации.

Пример: Система передачи извещений «Сокол» – охранное оборудование нового поколения(Рис.1).

Рис. 1. «Система передачи извещений «Сокол»

Система передачи извещений «Сокол» - охранное оборудование нового поколения, предназначенное для сбора информации с объектов, оборудованных системами охранной и пожарной сигнализациями, и передачи информации о состоянии охраняемых объектов на АРМ операторов пульта. Система использует автоматическую тактику взятия (снятия) объектов, обеспечивает высокую информативность, постоянный контроль канала между объектами и ПЦО. В состав системы входят различные модификации объектового оборудования и оборудования ПЦН. Отличительной особенностью системы является то, что объектовое оборудование имеет возможность передачи данных на ПЦО не только по средствам телефонных абонентских линий, GSM и радио каналам, но и по каналу INTERNET.

• Использование электронных замков на системном блоке:

Наиболее надежное решение проблемы ограничения физического доступа к компьютеру – использование аппаратных средств защиты информации от НСД, выполняющихся до загрузки операционной системы. Средства защиты данной категории называются «электронными замками». Пример электронного замка представлен на рис.2. Теоретически, любое программное средство контроля доступа может подвергнуться воздействию злоумышленника с целью искажения алгоритма работы такого средства и последующего получения доступа к системе. Поступить подобным образом с аппаратным средством защиты практически невозможно: все действия по контролю доступа пользователей электронный замок выполняет в собственной доверенной программной среде, которая не подвержена внешним воздействиям. На подготовительном этапе использования электронного замка выполняется его установка и настройка. Настройка включает в себя следующие действия, обычно выполняемые ответственным лицом – Администратором по безопасности:

1. Создание списка пользователей, которым разрешен доступ на защищаемый компьютер. Для каждого пользователя формируется ключевой носитель (в зависимости от поддерживаемых конкретным замком интерфейсов – дискета, электронная таблетка iButton или смарт-карта), по которому будет производиться аутентификация пользователя при входе. Список пользователей сохраняется в энергонезависимой памяти замка.

2. Формирование списка файлов, целостность которых контролируется замком перед загрузкой операционной системы компьютера. Контролю подлежат важные файлы операционной системы, например, следующие:

• системные библиотеки Windows;

• исполняемые модули используемых приложений;

• шаблоны документов Microsoft Word и т. д.

Рис.2. «Электронный замок «Соболь»».

• Использование электронных ключей

Рис.3. Электронный ключ eToken

eToken персональное средство аутентификации и защищённого хранения данных, аппаратно поддерживающее работу с цифровыми сертификатами и электронной цифровой подписью (ЭЦП).  eToken выпускается в форм-факторах USB-ключа, смарт-карты или брелока. Модель eToken NG-OTP имеет встроенный генератор одноразовых паролей. Модель eToken NG-FLASH имеет встроенный модуль flash-памяти объемом до 4 ГБ. Модель eToken PASS содержит только генератор одноразовых паролей. Модель eToken PRO (Java) аппаратно реализует генерацию ключей ЭЦП и формирование ЭЦП по стандарту ГОСТ Р 34.10-2001.  Дополнительно e-Token могут иметь встроенные бесконтактные радио-метки (RFID-метки), что позволяет использовать eToken также и для доступа в помещения. 

• Использование программных средств защиты информации:

• Secret Net 6.5

• Dallas Lock 7.7

Поскольку описанные выше действия выполняются до загрузки операционной системы компьютера, замок обычно загружает собственную операционную систему (находящуюся в его энергонезависимой памяти – обычно это MS-DOS или аналогичная ОС, не предъявляющая больших требований к ресурсам), в которой выполняются аутентификация пользователей и проверка целостности файлов. В этом есть смысл и с точки зрения безопасности – собственная операционная система замка не подвержена каким-либо внешним воздействиям, что не дает возможности злоумышленнику повлиять на описанные выше контролирующие процессы. Информация о входах пользователей на компьютер, а также о попытках несанкционированного доступа сохраняется в журнале, который располагается в энергонезависимой памяти замка. Журнал может быть просмотрен Администратором. При использовании электронных замков существует ряд проблем, в частности:

1. BIOS некоторых современных компьютеров может быть настроен таким образом, что управление при загрузке не передается BIOS’у замка. Для противодействия подобным настройкам замок должен иметь возможность блокировать загрузку компьютера (например, замыканием контактов Reset) в случае, если в течение определенного интервала времени после включения питания замок не получил управление.

2. Злоумышленник может просто вытащить замок из компьютера. Однако, существует ряд мер противодействия:

• Различные организационно-технические меры: пломбирование корпуса компьютера, обеспечение отсутствие физического доступа пользователей к системному блоку компьютера и т. д.

• Существуют электронные замки, способные блокировать корпус системного блока компьютера изнутри специальным фиксатором по команде администратора – в этом случае замок не может быть изъят без существенного повреждения компьютера.

• Довольно часто электронные замки конструктивно совмещаются с аппаратным шифратором. В этом случае рекомендуемой мерой защиты является использование замка совместно с программным средством прозрачного (автоматического) шифрования логических дисков компьютера. При этом ключи шифрования могут быть производными от ключей, с помощью которых выполняется аутентификация пользователей в электронном замке, или отдельными ключами, но хранящимися на том же носителе, что и ключи пользователя для входа на компьютер. Такое комплексное средство защиты не потребует от пользователя выполнения каких-либо дополнительных действий, но и не позволит злоумышленнику получить доступ к информации даже при вынутой аппаратуре электронного замка.

• Пломбирование системного корпуса при помощи стикеров. Перед пломбировкой необходимо исследовать содержимое системного блока и убедиться в отсутствии посторонних устройств.

• Физическое отключение неиспользуемых USB-портов, установка пломбированных заглушек.

• Удаление или физическое отключение CD/DVD-приводов, устройства гибких дисков, картридеров и т.д.

• Использование перегородок между АРМ разных пользователей.