Мои Конспекты
Главная | Обратная связь


Автомобили
Астрономия
Биология
География
Дом и сад
Другие языки
Другое
Информатика
История
Культура
Литература
Логика
Математика
Медицина
Металлургия
Механика
Образование
Охрана труда
Педагогика
Политика
Право
Психология
Религия
Риторика
Социология
Спорт
Строительство
Технология
Туризм
Физика
Философия
Финансы
Химия
Черчение
Экология
Экономика
Электроника

Вибір заходів захисту інформації на вузлі комутації



Заходи і методи захисту інформації наступні : перешкоди , управління доступом , маскування , регламентація і спонукання .

Перешкода – це фізичне перегороджування шляху зловмиснику до інформації , що захищається ( до апаратури , носіїв інформації тощо ).

Управління доступом – це захист інформації шляхом регулювання повноважень на використання кожного з ресурсів інформаційної мережі . Управління доступом включає наступні функції захисту : ідентифікація користувачів і ресурсів ( привласнення кожному об ’єкту персонального ідентифікатора ); автентифікація об ’єкта або суб ’єкта за ідентифікатором ; перевірка повноважень ; дозвіл роботи в межах установленого регламенту ; реєстрація звернень до ресурсів , що захищаються ; реагування ( сигналізація або відмова ) при спробах несанкціонованих дій .

Маскування – це захист інформації в інформаційній системі шляхом її криптографічного перетворення , тобто « приховування інформації ».

Регламентація – це захист інформації шляхом створення процедур і правил оброблення , зберігання та передавання інформації , за яких можливість несанкціонованого доступу зводилася б до мінімуму .

Спонукання ( примушення ) – це захист інформації шляхом спонукання користувачів системи не порушувати установлений регламент (правила ).

Ці методи захисту інформації реалізуються такими основними засобами : фізичними , апаратними , програмними , криптографічними , організаційними , законодавчими ( нормативними ) і морально -етичними .

Фізичні засоби захисту призначені для охорони території об ’єктів , захисту компонентів інформаційної системи вузла комутації . Це механічні засоби , електронна система охорони приміщень , організація пропускного режиму та нагляду , пожежна сигналізація та запобігання розкраданню носіїв інформації й іншого майна . Крім того , для організації охорони обладнання інформаційної системи підприємства та носіїв інформації

(стрічки , диски , зовнішня пам ’ять ) використовуються спеціальні сейфи і металеві шафи для установки в них окремих елементів інформаційної системи ( сервери , маршрутизатори ) та переміщуваних носіїв інформації.

Апаратні засоби захисту – електронні й електромеханічні пристрої внутрішнього захисту елементів , засобів і систем ( комп ’ютерів , обладнанання , ліній зв ’язку тощо ). Апаратні засоби забороняють НСД віддаленого користувача ( зловмисника ) до інформаційної системи , а також внутрішній доступ до окремих елементів інформаційної системи , можливий в результаті випадкових або навмисних дій співробітників .

Програмні засоби захисту виконують логічні функції захисту і входять як до складу програмного забезпечення інформаційної системи , так і до складу системи захисту інформації . Програмні засоби найбільш поширені , завдяки їх універсальності , гнучкості , простоті реалізації , можливості зміни , але вони є найвразливішими елементами захисту :

1) Захист інформації від витоку акустичними каналами – це комплекс заходів , що виключають або зменшують можливість виходу конфіденційної інформації за межі контрольованої зони підприємства за рахунок акустичних полів .

Основними заходами в цьому виді захисту виступають організаційні та технічні заходи.

Організаційні заходи – це проведення просторових і режимних заходів , а технічні – це пасивні ( звукопоглинання , звукоізоляція ) й активні ( звукоглушіння ) заходи . Режимні заходи передбачають суворий контроль перебування в контрольованій зоні співробітників та відвідувачів . Технічні заходи передбачають використання звукопоглинальних засобів . Пористі та м’які матеріали (пінобетон , пориста штукатурка і так далі ) є хорошими звукоізолюючими і звукопоглинальними матеріалами .

Активні засоби – це генератори шуму , що виробляють шумоподібні акустичні сигнали . Вони використовуються в спеціальних приміщеннях , що вимагають особливого захисту . Акустичні датчики цих генераторів шуму створюють акустичний шум у приміщенні , а вібраційні – маскуючий шум у захисних конструкціях .

2) Захист інформації від витоку електромагнітними каналами – це заходи , що виключають або послаблюють можливість виходу конфіденційної інформації за межі контрольованої зони за рахунок електромагнітних полів і наведень побічного характеру.

Інженерно -технологічні заходи щодо запобігання каналам витоку інформації за рахунок побічних електромагнітних випромінювань і наведень ( ПЕМВН ) в технічних засобах наступні:

– екранування елементів і вузлів апаратури , зокрема обладнання АТС 5ESS, серверів , комп ’ютерів , принтерів , обладнання локальної мережі , обладнання живлення , кондиціонування і так далі ;

– послаблення електромагнітного , ємнісного , індуктивного зв ’язку між елементами і струмонесучими дротами ;

- фільтрація сигналів у ланцюгах живлення та заземлення , використання обмежувачів , розв ’язуючих ланцюгів , систем взаємної компенсації , послаблювачів з ослаблення або знищення ПЕМВН.

Електростатичне екранування полягає в замиканні силових ліній електростатичного поля джерела на поверхню екрана і відведенні наведених зарядів на масу та на землю . Таке екранування усуває паразитні зв ’язки ємностей . Магніто -статичне екранування засновано на замиканні силових ліній магнітного поля джерела в товщі екрана, що має малий магнітний опір для постійного струму в області низьких частот

Електромагнітне екранування застосовується при високій частоті сигналу . Дія електромагнітного екрана заснована на тому , що високочастотне електромагнітне поле послабляється ним же створеним полем зворотного напряму , завдяки вихровим струмам , що утворюються в товщі екранау. Заземлення та металізація апаратури надійно відводять наведені сигнали на « землю » та послабляють паразитні зв ’язки та наведення між ланцюгами.

Необхідно встановити фільтри в ланцюги живлення постійного та змінного струму , які приглушують або послабляють шкідливі сигнали при їх виникненні або розповсюдженні , а також захищають системи живлення .

Організаційні заходи орієнтовані на вибір місць установки технічних засобів з урахуванням особливостей їх електромагнітних полів з таким розрахунком , щоб виключити їх вихід за межі контрольованої зони .

Крім того , необхідно здійснити екранування приміщень , в яких знаходяться засоби з великим рівнем побічних електромагнітних випромінювань , – приміщення обладнання АТС , приміщення для цифрових систем передачі ( ЦСП ), серверна , центр управління станцією MCC (Master Control Center). Екранування здійснюється шляхом покриття стін , підлоги та стелі дротяними сітками або фольгою . Для захисту вікон застосовують металізовані штори . Всі екрани потрібно з’єднати з шиною заземлення . Для захисту від наведень на електричні ланцюги вузлів і блоків інформаційної системи для монтажу використовують екранований кабель , екрановані роз ’єднувачі , мережні фільтри приглушення електромагнітних випромінювань .

3) Захист інформації від витоку матеріальними каналами – це комплекс заходів , що виключають або зменшують можливість неконтрольованого виходу конфіденційної інформації за межі контрольованої зони у вигляді виробничих відходів ( фрагментів документів , чернеток , зіпсованих роздруківок і тому подібного ). Організаційними заходами захисту є використання знищувачів паперу й очищення пам ’яті ( наприклад , форматування ) при виносі носіїв інформації за межі охоронного периметра вузла . Таким способом повинні бути перероблені знищувані архівні документи ( зі складанням спеціального акту ).

4) Захист інформації підприємства від витоку телефонними каналами актуальний для фізичних ( мідних ) кабелів . Він полягає в контролі

дротяних телефонних ліній на предмет виявлення в них інформаційних сигналів і вимірюванні параметрів цих ліній .

Методи контролю телефонних ліній засновані на тому , що будь -яке підключення до них викликає зміну електричних параметрів ліній : амплітуд напруги та струму в лінії , а також значень ємності , індуктивності , активного та реактивного опору лінії . Найвразливішими місцями підключення є: розподільний щит , внутрішні розподільні колодки та відкриті ділянки дротів , телефонні розетки й апарати .

Найефективніший спосіб виявлення засобів знімання інформації , що підключаються до телефонної лінії , – це використання локаторів дротяних ліній . При вживанні нелінійного локатора для перевірки телефонної лінії необхідно її роз ’єднати та відключити від неї телефонний апарат , підключивши замість нього еквівалентне навантаження ; роз ’єднання ( відключення телефонної лінії ) доцільно проводити на ввідній розподільній коробці ( щитку ) будівлі , підключення локатора до лінії здійснюється в місці її роз ’єднання . При використанні локатора телефонних ліній можливе визначення і дальності до місця підключення заставного пристрою з помилкою 2-5 м, що значно полегшує його візуальний пошук .

Для виключення дії високочастотного сигналу на апаратуру АТС в лінію , що йде в її бік , встановлюється спеціальний високочастотний фільтр . Крім того , для захисту інформації вузла комутації від витоку телефонними лініями потрібно застосовувати такі організаційні заходи :

– встановлення контрольованої зони навкруги телефонних кабелів ;

– організація контролю й обмеження доступу до приміщень , де проходять телефонні лінії працівників .

5) Захист за допомогою програмних засобів вирішує наступні задачі інформаційної безпеки вузла комутації :

– контроль входу у систему за допомогою ідентифікаторів ;

- розмежування та контроль доступу суб ’єктів до ресурсів системи ;

– ізоляція програм конкретного користувача від інших і від системних ресурсів , тобто забезпечення роботи кожного інженера в індивідуальному середовищі ;

- захист інформації від комп ’терних вірусів і троянських програм ;

– захист конфіденційності інформації шляхом шифрування;

- забезпечення цілісності інформації шляхом введення надлишковості даних ;

– резервне копіювання даних ;

- автоматичний контроль над роботою користувачів системи на основі результатів реєстрації подій в журналах і підготовка звітів .

Захищена операційна система дає стабільність програмних засобів комплексної СЗІ . Тому на серверах підприємства слід встановити будь яку з перечислених операційних систем Microsoft Windows Server 2008 або Microsoft Windows Server 2012, яка є надійною , високопродуктивною та захищеною платформою . Вона підтримує різну серверну архітектуру , включаючи багатопроцесорні , і системи з великими об ’ємами пам ’яті .

Вона містить файловий сервер , VPN-сервер ( віртуальна приватна мережа ) з підтримкою шифрування та стиснення . Фільтр пакетів підтримує фільтри протоколів і засоби обмеження трафікау, може відстежувати трафік за якістю . Крім стандартних серверних служб Microsoft Windows Server 2008 або Microsoft Windows Server 2012 включає програмне забезпечення для захисту від спаму, управління трафіком , моніторингу і настроювання безпеки .

Обидві операційні системи відповідають вимогам Державної служби спеціального зв'язку та захисту інформації України станом на 1 квітня 2015 року.

Комплекс засобів захисту операційної системи Microsoft Windows Server 2008 R2 Standard Edition Service Pack 1, виробництва Microsoft Corporation, США Забезпечення конфіденційності, цілісності та доступності об’єктів захисту, що циркулюють в ОС Microsoft Windows Server 2008 R2 Standard Edition з пакетом оновлення Service Pack 1. Відповідає вимогам НД з ТЗІ в обсязі функцій, зазначених у документі “Державна експертиза за критеріями технічного захисту інформації операційної системи Microsoft Windows Server 2008 R2 Service Pack 1 Standard Edition. Технічні вимоги”, сукупність яких визначається функціональним профілем: КД-2, КВ-1,КО-1, ЦД-1, ЦВ-1, ЦО-1, ДР-1, ДС-1, ДЗ-2, ДВ-2, НР-2, НИ-1, НИ-2, НК-1, НО-3, НЦ-2, НТ-2, НВ-1 з рівнем гарантій Г-2 оцінки коректності їх реалізації згідно з НД ТЗІ 2.5-004-99. Використання в послугах безпеки КВ-1 ЦВ-1 та НВ-1 механізмів криптографічних перетворень можливе лише за наявності документів, які засвідчують відповідність цих механізмів вимогам нормативно-правових актів з криптографічного захисту інформації, що відповідають ступеню обмеження доступу до інформації, що обробляється ТОВ “Майкрософт Україна”, 01032, м. Київ, вул. Жилянська, 75 Експертний висновок № 466 Дійсний з 06.09.2013 до 06.09.2016  

 

  Комплекс засобів захисту операційної системи Microsoft Windows Server 2012 R2 Datacenter виробництва Microsoft Corporation, США Розмежування доступу користувачів різних категорій до ресурсів комп’ютерної системи, захист інформаційних об’єктів від НСД, забезпечення доступності об’єктів захисту, спостереженості подій комп’ютерної системи. Комплекс засобів захисту операційної системи Microsoft Windows Server 2012 R2 Datacenter відповідає вимогам НД з ТЗІ в обсязі функцій, зазначених у документі “Державна експертиза за критеріями технічного захисту інформації операційної системи Microsoft Windows Server 2012 R2 Datacenter. Технічні вимоги”, сукупність яких визначається функціональним профілем: КД-2, КВ-1, КО-1, ЦД-1, ЦВ-1, ЦО-1, ДР-1, ДС-1, ДЗ-2, ДВ-2, НР-2, НИ-1, НИ-2, НК-1, НО-3, НЦ-2, НТ-2, НВ-1 з рівнем гарантій Г-2 оцінки коректності їх реалізації згідно з НД ТЗІ 2.5-004-99 ТОВ “Майкрософт Україна”, 01032, м. Київ, вул. Жилянська, 75 Експертний висновок № 511 Дійсний з 21.01.2014 до 21.01.2017

 

На робочих комп ’ютерах і ноутбуках встановлюється операційна система Windows XP SP2, в якій присутній контроль над дотриманням політики безпеки . Вона задовольняє вимогам криптографічного захисту , тобто може застосовуватися для захисту конфіденційної інформації від потенційного зловмисника , що не є зареєстрованим користувачем Microsoft Windows Server 2008 та Microsoft Windows Server 2012 містять вбудований firewall ( міжмережевий екран ).Він займається обробкою мережного трафіка, що проходить через сервер і здійснює фільтрацію паразитного , сміттєвого трафіка ( характерного , наприклад , для DdoS-атаки ).

Для персональних комп ’ютерів і ноутбуків з Windows використовується Outpost Firewall, який захищає від проникнення на комп ’ютер . Він блокує спроби віддаленого несанкціонованого доступу і захищає від крадіжки даних , атак типу « відмова від обслуговування » (DoS), порушення конфіденційності , « троянів », шпигунських програм . Outpost Firewall захищає мережні з’єднання , забезпечує локальну безпеку всередині корпоративної мережі , блокує невідомі загрози . Крім того , він запобігає спробам шкідливого коду отримати доступ до системи . Як антивірусна система для Windows--серверів можна використовувати ESET File Security, а для Windows-комп ’ютерів – avast! Endpoint Protection Suite або Zillya! Антивірус для Бізнесу. Всі антивірусні системи відповідають вимогам Державної служби спеціального зв'язку та захисту інформації України станом на 1 квітня 2015 року.

Програмне забезпечення антивірусного захисту ESET File Security для Microsoft Windows Server версії 4.3.Х, виробництва ТОВ “ESET”, Словаччина Захист оперативної пам'яті, файлів та каталогів жорстких дисків та зовнішніх носіїв від шкідливої дії злоякісних програм: вірусів, троянів, руткитів, шпигунського чи рекламного ПЗ, а також інших небажаних програмних продуктів. Відповідає вимогам НД з ТЗІ в обсязі функцій, зазначених у документі “Державна експертиза за критеріями технічного захисту інформації програмного забезпечення антивірусного захисту ESET File Security для Microsoft Windows Server версії 4.3.Х. Технічні вимоги”, сукупність яких визначається функціональним профілем:КА-2, ЦА-1, ДР-1, ДС-1, ДЗ-1, НР-2, НИ-1, НК-1, НО-1, НЦ-1 з рівнем гарантій Г-2 оцінки коректності їх реалізації згідно з НД ТЗІ 2.5-004-99 ТОВ “ІСЕТ-Україна”, 49049, м. Дніпропетровськ, вул. Верхоянська, 49 Експертний висновок № 393 Дійсний з 23.11.2012 до 23.11.2015  
Програмний комплекс антивірусного захисту “avast! EndpointProtection Suite” версії 7 виробництвакомпанії “AVASTSoftware a.s.”, Чеська Республіка Забезпечення інформаційної безпеки окремих персональних комп’ютерів, корпоративних обчислювальних мереж шляхом багаторівневого захисту інформаційних ресурсів ЕОМ від проникнення шкідливих та потенційно небезпечних об’єктів з будь-яких зовнішніх джерел. Відповідає вимогам НД з ТЗІ в обсязі функцій, зазначених у документі “Програмний комплекс антивірусного захисту “avast! Endpoint Protection Suite”. Технічні вимоги щодо захисту інформації від несанкціонованого доступу”, сукупність яких визначається функціональним профілем:КА-2, ЦА-1, ЦО-1, ДС-1, ДЗ-1, ДВ-1, НР-2, НИ-2, НК-1, НО-1, НЦ-1, НТ-2 з рівнем Г-2 оцінки коректності їх реалізації згідно з НД ТЗІ 2.5-004-99 ТОВ “Софтліст”, 04050, м. Київ, вул. Мельникова, 2/10 Експертний висновок № 404 Дійсний з 25.01.2013 до 25.01.2016
  Програмне забезпечення антивірусного захисту “Zillya! Антивірус для Бізнесу” версії 1.1.хххх.y Захист інформації на робочих станціях користувачів та серверах локальної мережі від шкідливого програмного забезпечення (вірусів, троянських програм, шпигунського та іншого шкідливого ПЗ) та мережевих атак. Відповідає вимогам НД з ТЗІ в обсязі функцій, зазначених у документі „Програмне забезпечення антивірусного захисту “Zillya! Антивірус для Бізнесу”. Технічні вимоги за критеріями технічного захисту інформації”, сукупність яких визначається функціональним профілем: КА-2, ЦВ-1, ЦА-1, ДС-1, ДЗ-1, ДВ-1, НР-2, НИ-2, НО-1, НК-1, НТ-2, НЦ-1 з рівнем Г-2 оцінки коректності їх реалізації згідно з НД ТЗІ 2.5-004-99 ТОВ “ОЛАЙТІ СЕРВІС”, 04053, м. Київ, вул. Обсерваторна, 23, оф. 17 Експертний висновок № 545 Дійсний з 20.10.2014 до 20.10.2017
             

 

Для захищеної роботи віддалених співробітників з корпоративною мережею піприємства використовується технологія VPN – так звана віртуальна приватна мережа . Співробітники встановлюють у себе на віддалених комп ’ютерах клієнтську частину VPN під ОС Windows XP, а на сервері під управлінням Microsoft Windows Server 2008 або Microsoft Windows Server 2012 запускається VPN-сервер з протоколом «Point to Point Tunneling Protocol» на базі пакетау openvpn.

Резервне копіювання є важливою складовою програмних засобів захисту . Для виконання резервного копіювання на комп ’ютерах з ОС Windows встановлюється система резервного копіювання та відновлення даних Acronis, що забезпечує дуже швидке відновлення файлів за будь - яких збоїв і об ’ємів резервних даних . Acronis True Image створює повні резервні копії комп ’ютера та резервні копії найважливіших файлів і даних . Acronis True Image Enterprise Server централізовано дистанційно управляє процесами резервного копіювання та відновлення даних. Acronis Privacy Expert Suite забезпечує попереджуючий захист комп ’ютера від шкідливого програмного забезпечення : програм -шпигунів , системних « руткітів » тощо .

Як офісний пакет використовуються Open Office, який дозволяє звести до мінімуму вразливості при роботі з документами , що містять скрипти .

Як веб-оглядач можна використовувати Google Chrome або Opera останніх версій, який більш захищений ніж Internet Explorer і більш сумісний із www-стандартами . Безкоштовний email-клієнт Mozilla Thunderbird – вільно поширювана поштова програма для роботи з електронною поштою і підтримує протоколи : SMTP, POP3, IMAP і RSS, спам -фильтри й автоматично видаляє рекламу з листів . Mozilla Thunderbird представлена офіційно для Microsoft Windows, Mac OS X, Linux.

Захист документальної інформації – файлів і паперових документів – грунтується на політиці інформаційної безпеки . Обмеження доступу при обробленні електронних і паперових документів , а також ведення їх обліку визначає керівник вузла комутації спільно зі службою безпеки та системним адміністратором . Гриф обмеження доступу та пов ’язані з ним захисні засоби повинні враховувати необхідність у використанні інформації або обмеженні доступу до неї , а також збитків , пов ’язаних з несанкціонованим доступом або пошкодженням інформації. Слід уникати надавання документам невиправданого грифа обмеження доступу , оскільки це приведе до зниження ефективності використання таких електронних і паперових документів.

Потрібно обраховувати необхідні ресурси для забезпечення захисту інформації з обмеженим доступом :

- створення структури ( служби безпеки ) для забезпечення захисту інформації з обмеженим доступом , підготовку та підвищення кваліфікації працівників безпеки ;

– організацію фізичної охорони , пропускного режиму й охорони приміщень та зберігання матеріальних носіїв інформації з обмеженим доступом ;

- розробку внутрішніх документів ( інструкцій , правил і положень ), які регламентують процес роботи з конфіденційною інформацією ;

– забезпечення необхідним обладнаннням інженерів підприємства для виконання задач з захисту інформації .

 


Планування заходів захисту інформації на вузлі комутації

Заходи щодо безпеки інформаційних ресурсів вузла телефонної комутації мають свої особливості порівнянно з інформаційною безпекою інших систем . Система захисту інформації на вузлі комутації розглядає інформацію , технології її оброблення , користувачів , які використовують ці технології , та визначає інформаційні ресурси , які потребують захисту та вимоги до системи захисту .

Комплексна система захисту інформації ( КСЗІ ) у застосуванні до захисту вузла комутації складається з двох основних складових :

– використання апаратних і програмних засобів і механізмів штатної системи захисту системи комутації 5ESS;

- запровадження організаційно -технічних заходів , які забезпечують нормальне функціонування комплексу фізичного захисту і механізмів захисту вузла комутації .

КСЗІ вузла комутації на базі станції 5ESS повинна підтримувати множину правил і розмежувань , що регламентують порядок забезпечення захищеності інформаційних ресурсів вузла комутації за допомогою організаційних й інженерно -технічних заходів захисту інформації .

В основу безпеки інформаційних ресурсів вузла комутації покладено адміністративний принцип розмежування доступу з використанням технічних і програмних засобів розмежування доступу згідно з принципом мінімуму повноважень . Для втілення принципу мінімуму повноважень розроблено відповідні нормативно приписуючі інструкції , які регламентують діяльність інженерів вузла комутації .

Дані заходи можуть бути реалізовані шляхом створення КСЗІ на основі штатної системи захисту комутаційної системи 5ESS, на яку отримана експертна оцінка ( сертифікат ) у Департаменті спеціальних телекомунікаційних систем і захисту інформації ( ДСТСЗІ ) Служби безпеки України від 23.01.2003 р. № 37.

Структура вузла комутації з точки зору захисту інформації складається з двох підсистем:

- підсистема управління станцією ;

– підсистема комутації абонентних і з’єднувальних ліній зв ’язку .

Підсистема управління станцією містить у собі :

- пеціалізовані пристрої управління (CU/AM), які реалізують принцип програмного управління , і складаються з процесорів , внутрішньої та зовнішньої пам ’яті , периферійних пристроїв , спеціалізованих модулів управління сигналізацією , оброблення викликів , надання послуг і деяких інших програмно -апаратних компонентів , які є характерними для комп ’ютерної техніки ;

– термінали обслуговування (tty) приєднані до пристроїв управління через канали технологічного обслуговування (com port) та до підсистеми комутації через канали інформаційного обслуговування абонентів (channel).

Підсистема комутації містить у собі пристрої , які реалізують процеси комутації (TM-switch), мультиплексування та концентрації абонентських і з’єднувальних ліній (TSI), а також компоненти обладнання абонентських ліній зв ’язку – абонентські прикінцеві пристрої (terminal), фізичні лінії зв ’язку (trunks), пристрої абонентських ліній (AIU), станційні абонентські комплекти (LP) і тому подібне .

На виходах підсистеми управління утворюються в реальному часі потоки технологічних сигналів ( команди та звіти ), за допомогою яких здійснюється управління підсистемою комутації . З іншого боку , абонентські прикінцеві пристрої обмінюються управляючою інформацією з підсистемою управління станцією через канали управління з’єднанням (signaling).

Потенційні види загроз інформаційним ресурсам у вузлі комутації мають свої особливості , крім загальновідомих порушень конфіденційності , цілісності , порушення доступності ( відмова в обслуговуванні ), спостережності ( керованості ) станції , необхідні заходи захисту від несанкціонованого користування інформаційними ресурсами станції (зокрема , несанкціоноване користування послугами , які надаються тощо ).

Реалізація загроз для інформаційних ресурсів вузла комутації на базі системи 5ESS може здійснюватися :

- шляхом НСД до інформаційних ресурсів вузла комутації , коли порушуються встановлені правила розмежування доступу з метою реалізації будь -яких з видів загроз через канал спеціального (неприпустимого регламентом ) впливу за допомогою штатних засобів доступу ;

– через канал спеціального ( неприпустимого регламентом ) впливу із застосуванням штатних основних програмних і технічних засобів станції (але не штатних засобів доступу ) на обладнання , програми , дані і процеси з метою реалізації будь -яких з видів загроз для інформації вузла ;

- через канал спеціального ( неприпустимого регламентом ) впливу на параметри середовища функціонування вузла з метою порушень доступності до інформації на вузлі комутації ;

– через канал спеціального впливу на компоненти 5ESS за допомогою апаратних або програмних закладень , запроваджених в процесі її експлуатації з метою реалізації будь -яких із видів загроз ;

- через канал спеціального впливу позаштатними програмними або технічними засобами на елементи обладнання , програми , дані і процеси вузла комутації , встановленими в процесі її експлуатації з метою реалізації будь -яких із видів загроз інформації вузла ;

– через кількісну або якісну недостатність компонентів вузла комутації з метою реалізації будь -яких із видів загроз для інформації ;

- за рахунок використання випадкових збоїв і відмов у роботі обладнання вузла комутації з метою реалізації будь -яких із видів загроз для інформаційних ресурсів ;

– за рахунок використовування помилок і некоректних ( зокрема , зловмисних ) дій відповідальних осіб при зберіганні критичної інформації на фізичних носіях з метою реалізації будь -яких із видів загроз для інформаційних ресурсів на ЦКС.

Потенційні загрози інформаційним ресурсам вузла комутації , що специфічні для комутаційної системи 5ESS:

- НСД до операційної системи ( програмного забезпечення підсистеми управління );

– НСД до системного термінала (tty), якій приєднано або може бути приєднано до підсистеми управління ;

- НСД до модемної лінії доступу до модуля технічної експлуатації ;

– перевантаження через лавиноподібне зростання числа телефонних викликів ;

– НСД до фізичних носіїв інформації ( жорсткі диски , магнітні стрічки ) з програмним забезпеченням ;

– НСД до станційного кроса;

– активізація нештатних додаткових видів обслуговування .

Об ’єктами захисту інформаційних ресурсів вузла комутації на базі системи комутації 5ESS є:

– апаратні засоби , спеціальні впливи , на які через технічні канали і шляхом НСД , можуть привести до створення та реалізації загроз для інформаційних ресурсів :

– програмно -інформаційні компоненти , на яких знаходиться технологічна інформація , що підлягає захисту .

Елементи ( модулі і блоки ) вузла комутації 5ESS, які можуть бути об ’єктами реалізації загроз , – це :

1. Адміністративний модуль (AM).

2. Комутаційний модуль (CM).

3. Комутаційні модулі (SM).

4. Станційний крос (DDF).

5. Обладнання електроживлення .

До специфічної інформації , яка підлягає захисту у вузлі комутації , відноситься :

1. Інформація про абонентів , яка обробляється і зберігається на станції .;

2. Технологічна інформація в підсистемі управління , зокрема інформація підсистеми захисту інформації .

3. Технологічна інформація в каналах сигналізації (signaling link).

Інформація про абонентів , яка є інформацією приватних осіб , та інформація , яка є власністю держави , у визначенні Закону України « Про інформацію » може належати до статистичної , правової , соціологічної інформації або інформації , що використовується для забезпечення діяльності державних органів ( органів місцевого самоврядування ). Згідно з постановою Кабінету Міністрів від 29.03.2006 № 373 під час оброблення у вузлі комутації така інформація повинна зберігати цілісність та доступність . Ця вимога досягається шляхом створення КСЗІ , яка забезпечує захист від несанкціонованих дій , які можуть привести до її випадкової або навмисної модифікації або знищення

Технологічна інформація є власністю підприємства – власника вузла комутації і є конфіденційною . До неї висуваються вимоги конфіденційності , цілісності , доступності та спостережності .

Докладніший список конфіденційної інформації вузла комутації мобільного оператора такий .

Характеристика інформаційного середовища .

На ЦКС 5ESS циркулює інформація , яка підлягає захисту . До неї відносяться :

1) абонентна інформація ;

2) технологічна інформація в підсистемі управління вузлом ;

3) дані про базові станції мобільного зв ’язку ;

4) дані про канали ( з’єднувальні лінії ) з іншими вузлами комутації ;

5) дані про абонентські послуги ;

6) дані щодо оплати послуг зв ’язку ;

7) дані про абонентний трафік ;

8) файли з програмним забезпеченням станції 5ESS ( завантажувальні магнітні стрічки );

9) дані про конфігурацію обладнання вузла комутації ;

10) дані підсистеми захисту інформації ;

11) файли з протоколами роботи обслуговуючого персоналу ( лог - файли команд інженерів);

12) файли з протоколами роботи технічних засобів вузла комутації ;

13) технологічна інформація в каналах міжстанційної сигналізації .

Розмежування доступу різних категорій користувачів ( інженерів вузла комутації ) до типів ресурсів станції 5ESS встановлюється в межах задач кожного користувача , виходячи з таких правил :

- керівник або адміністратор безпеки вузла комутації має доступ до : інформаційних об ’єктів , які містять загальнодоступну інформацію ; службової інформації КСЗІ ; засобів захисту інформаційних ресурсів , операційних систем і прикладного ПО ; технічних засобів , які задіяні в технологічному процесі управління КСЗІ ; інших об ’єктів з правами доступу іншого адміністратора ( для резервування цих функцій );

– технічний обслуговуючий персонал ( користувач ) вузла комутації має доступ до : інформаційних об ’єктів , які містять загальнодоступну інформацію ; інформаційних об ’єктів , які містять технічну , проектну , експлуатаційну документацію ; відповідних технічних засобів вузла для проведення робіт зо обслуговування й експлуатації

Надання обслуговуючому персоналу ( інженерам станції 5ESS) певного профілю атрибутів доступу , до певного ресурсу та його прав доступу здійснюється лише у випадках виконання таких умов :

- категорія користувача ( інженера ) відповідає рівню доступу до об ’єкта захисту , як це визначено загальними правилами розмежування доступу ;

– доступ до даного об ’єкта захисту безумовно службовими обов ’язками користувача ( інженера );

- вид взаємодії користувача ( інженера ) з об ’єктом захисту ( перелік дій над об ’єктом ) встановлено як дозволений ;

– вид взаємодії користувача ( інженера ) з об ’єктом захисту визначено службовими обов ’язками

Заходи з забезпечення безпеки фізичного середовища вузла комутації мобільного оператора повинні відповідати вимогам категорії А, ДБН 78.11.001-98 « Укріплення об ’єктів , які охороняються за допомогою пультів централізованого нагляду Державної служби охорони . Загальні технічні вимоги ».

Правила пожежної безпеки повинні відповідати вимогам НАПБ В.01.001-98/5.2.00 « Правила пожежної безпеки в галузі зв ’язку ».

Віддалене обладнання розміщено в шафах , які встановлюються в спеціально виділених фізично захищених приміщеннях .

Резервні носії інформації вузла комутації на магнітних стрічках або лазерних компакт -дисках повинні зберігатися в призначених для цього місцях у металевих шафах , приєднаних до системи заземлення . Не допускається зберігати такі носії на відкритих місцях , ящиках столів або в незакритих металевих шафах .




Поиск по сайту:







©2015-2020 mykonspekts.ru Все права принадлежат авторам размещенных материалов.