Литература 1 Государственная техническая комиссия при Президенте Российской

Литература: 1. Государственная техническая комиссия при Президенте Российской Федерации. Сборник руководящих документов по защите информации от несанкционированного доступа. – М. : СИП РИА, 1997. 2. Мельников В. В. Безопасность информации в автоматизированных системах. – М. : Финансы и статистика, 2003. 3. Хорев П. Б. Методы и средства защиты информации в компьютерных системах. М. : Издательский центр «Академия» , 2007. 4. Шаньгин В. Ф. Информационная безопасность компьютерных систем и сетей. М. : ИД «ФОРУМ» ИНФРА-М, 2007. 5. Ворона В. А. , Тихонов В. А. Системы контроля и управления доступом. – М. : Горячая линия – Телеком, 2010. БУД в ИС 2 Общая характеристика СКУД 1

БУД в ИС 2 Общая характеристика СКУД 2

Тема 2. Общая характеристика систем контроля и управления доступом (СКУД) БУД в ИС 2 Общая характеристика СКУД 3

2. 1. Способы несанкционированного доступа (НСД) к информации и основные методы противодействия НСД БУД в ИС 2 Общая характеристика СКУД 4

В действующих руководящих документах приведены следующие основные способы несанкционированного доступа к информации в КС: • непосредственное обращение к объекту с конфиденциальной информацией (например, с помощью управляемой пользователем программы, читающей данные из файла или записывающей их в него); • создание программных и технических средств, выполняющих обращение к объекту в обход средств защиты (например, с использованием случайно или намеренно оставленных разработчиком этих средств, так называемых люков); БУД в ИС 2 Общая характеристика СКУД 5

• модификация средств защиты для осуществления несанкционированного доступа (например, внедрение программных закладок); • внедрение в технические средства СВТ или АС программных или технических механизмов, нарушающих структуру и функции этих средств для осуществления несанкционированного доступа (например, путем загрузки на компьютере иной, незащищенной операционной системы). БУД в ИС 2 Общая характеристика СКУД 6

Модель нарушителя в действующих руководящих документах определяется исходя из следующих предположений: • нарушитель имеет доступ к работе со штатными средствами КС; • нарушитель является специалистом высшей квалификации (знает все о КС и, в частности, о системе и средствах ее защиты). БУД в ИС 2 Общая характеристика СКУД 7

1. 2. 3. 4. Выделим следующие уровни возможностей нарушителя, предоставляемые ему штатными средствами КС (каждый следующий уровень 4 включает в себя предыдущий): 3 запуск программ из фиксированного набора (например, подготовка документов или получение 2 почтовых сообщений); создание и запуск собственных программ 1 (возможности опытного пользователя или пользователя с полномочиями отладки программ); управление функционированием КС — воздействие на её базовое программное обеспечение, состав и конфигурацию КС (например, внедрение программной закладки); весь объем возможностей лиц, осуществляющих проектирование, реализацию и ремонт средств КС, вплоть до включения в состав КС собственных СВТ с новыми функциями. БУД в ИС 2 Общая характеристика СКУД 8

С учетом различных уровней возможностей нарушителя выделяют следующие вспомогательные способы несанкционированного доступа к информации в КС, позволяющие нарушителю использовать перечисленные ранее основные способы: • ручной или программный подбор паролей путем их полного перебора или при помощи специального словаря (взлом КС); • подключение к КС в момент кратковременного прекращения работы легального пользователя, работающего в интерактивном режиме и не заблокировавшего свой терминал; БУД в ИС 2 Общая характеристика СКУД 9

• подключение к линии связи и перехват доступа к КС после отправки пакета завершения сеанса легального пользователя, работающего в удаленном режиме; • выдача себя за легального пользователя с применением похищенной у него или полученной обманным путем (с помощью так называемой социальной инженерии) идентифицирующей информации — «маскарад» ; • создание условий для связи по компьютерной сети легального пользователя с терминалом нарушителя, выдающего себя за легального объекта КС (например, одного из ее серверов), — «мистификация» ; БУД в ИС 2 Общая характеристика СКУД 10

• создание условий для возникновения в работе КС сбоев, которые могут повлечь за собой отключение средств защиты информации или нарушение правил политики безопасности; • тщательное изучение подсистемы защиты КС и используемой в ней политики безопасности, выявление ошибочных участков в программных средствах защиты информации в КС, введение программных закладок, разрешающих доступ нарушителю. БУД в ИС 2 Общая характеристика СКУД 11

Пример использования способа несанкционированного доступа к информации в КС, основанный на создании аварийной ситуации. Если у нарушителя есть физический доступ хотя бы к одной рабочей станции локальной вычислительной сети (ЛВС) организации или к линии связи, то он сможет внедрить на рабочей станции программную закладку (или подключить к линии связи специальное устройство), перехватывать все пакеты подключения легального пользователя этой рабочей станции к серверу ЛВС и искажать имя пользователя в этих пакетах (иначе говоря, создать условия, при которых легальный пользователь КС никогда не сможет подключиться к серверу). БУД в ИС 2 Общая характеристика СКУД 12

В этой ситуации на атакуемую рабочую станцию рано или поздно придет администратор ЛВС для того, чтобы разобраться в причинах сбоев при подключении к серверу. Если при этом администратор пошлет пакет подключения к серверу под своей привилегированной учетной записью, в которой оставлено имя администратора по умолчанию (например, «Supervisor» в операционной системе Novell Netware или «Администратор» в операционных системах Windows NT/2000/XP Professional), то тем самым цель нарушителя (перехват пароля администратора) будет достигнута. БУД в ИС 2 Общая характеристика СКУД 13

Причиной успеха описанной в данном примере атаки является нарушение администратором системы правил политики безопасности. В соответствии с данными правилами администратор должен использовать привилегированную учетную запись только для выполнения административных функций и только с защищенной рабочей станции, а для выполнения других действия требуется создать другую учетную запись администратора с отличным от принятого по умолчанию именем. БУД в ИС 2 Общая характеристика СКУД 14

При наличии простых средств хранения и передачи информации существовали и не утратили своего значения до настоящего времени следующие методы ее защиты от преднамеренного доступа: – ограничение доступа; – • разграничение доступа; – • разделение доступа (привилегий); разграничение доступа; – • криптографическое преобразование инфорразделение доступа (привилегий); мации; – контроль, обнаружение и регистрация доступа; – законодательные меры. БУД в ИС 2 Общая характеристика СКУД 15

Любая система контроля и управления доступом (СКУД) предназначена для того, чтобы автоматически пропускать тех, кому этот вход разрешен, и не пропускать тех, кому вход запрещен Все ее остальные функции (сохранность материальных ценностей, контроль и учет рабочего времени и др. ) вытекают из основного предназначения. БУД в ИС 2 Общая характеристика СКУД 16

В общем случае под СКУД обычно понимают совокупность программно-технических и организационно-методических средств, с помощью которых решается задача контроля и управления помещением предприятия и отдельными помещениями, а также оперативный контроль за передвижением персонала и времени его нахождения на территории предприятия. Хорошо организованная с использованием современных технических средств СКУД позволит решать целый ряд задач. К числу наиболее важным можно отнести следующие: БУД в ИС 2 Общая характеристика СКУД 17

• противодействие промышленному шпионажу; • противодействие воровству; • противодействие саботажу; • противодействие умышленному повреждению материальных ценностей; • учет рабочего времени; • контроль своевременности прихода и ухода сотрудников; • защита конфиденциальности информации; • регулирование потока посетителей; • контроль въезда и выезда транспорта. Кроме этого, СКУД является барьером для «любопытных» . БУД в ИС 2 Общая характеристика СКУД 18

2. 2. Организация контрольно-пропускного режима на предприятии БУД в ИС 2 Общая характеристика СКУД 19

Для упорядочения допуска сотрудников и посетителей (клиентов), а также транспорта на территорию и в помещения охраняемого предприятия организуется контрольнопропускной режим (КПР) комплекс организационно-правовых ограничений и правил, устанавливающих порядок пропуска через контрольно-пропускные пункты (КПП) в отдельные здания (помещения) людей, транспорта и материальных средств. БУД в ИС 2 Общая характеристика СКУД 20

КПР является одним из ключевых моментов в организации системы безопасности на предприятии. С этих позиций он представляет собой комплекс организационных мероприятий (административно-ограничительных), инженерно-технических решений и действий службы безопасности. БУД в ИС 2 Общая характеристика СКУД 21

Разработка мероприятий и нормативных документов КПР начинается с определения исходных данных. Целесообразно предложить следующую последовательность определения и оценки исходных данных. БУД в ИС 2 Общая характеристика СКУД 22

1. Организационная структура предприятия, расположение его отдельных элементов и характер производства (деятельности) на них. Выяснение этих вопросов позволяет решить следующие практические задачи: • выделить объекты, площадки, здания и помещения, на которых необходимо организовать КПР; • определить характер КПП для пропуска сотрудников и транспортных средств. БУД в ИС 2 Общая характеристика СКУД 23

2. Оценка «суточного объема» потоков транспортных средств, грузов, материальных ценностей и людей (персонала фирмы и посетителей), проходящих через КПП и в отдельные здания (помещения). Только на основе оценки реального состояния мест пропуска можно оценить пропускную способность действующих КПП и привести ее в соответствие с задачами объекта. Такая оценка позволит выбрать оптимальный вариант автоматизации и контроля прохода (проезда) на охраняемые территории. БУД в ИС 2 Общая характеристика СКУД 24

3. Выделение (по степени важности) категории объектов, транспортных средств и грузов, а также категории лиц, пересекающих установленные границы. Для достижения четкости в определениях предлагается помещения и территорию объекта классифицировать в зависимости от условий доступа и степени защищенности. БУД в ИС 2 Общая характеристика СКУД 25

Для организации пропускного режима также необходимо распределить объекты предприятия (здания, помещения) на следующие зоны: – общедоступные, – закрытые и – ограниченного доступа. БУД в ИС 2 Общая характеристика СКУД 26

Классификация зон по условиям доступа Категория зоны Наименование зоны Функциональное назначение зоны Условия доступа сотрудников Условия доступа посетителей 0 Свободная Места свободного посещения Свободный I Наблюдаемая Комнаты приёма посетителей Свободный II Регистрационная Кабинеты сотрудников Свободный По удостоверению личности с регистрацией III Режимная Секретариат, компьютерные залы, архивы По идентификационным картам По разовым пропускам IV Усиленной защиты Кассовые операционные залы, материальные склады По спецдокументам По спецпропускам V Высшей защиты Кабинеты высших руководителей, комнаты для ведения переговоров, специальные хранилища По спецдокументам По спецпропускам БУД в ИС 2 Общая характеристика СКУД 27

Определение категорий режима может дать четкий ответ на вопросы, которые нужно прояснить при организации КПР и разработке исходной документации по оборудованию объекта техническими средствами охраны. Закрепление за помещением конкретной категории помогает регламентировать и обосновать: БУД в ИС 2 Общая характеристика СКУД 28

• условия доступа сотрудников предприятия и посетителей в ту или иную зону; • предложения администрации предприятия по выработке оптимального варианта порядка пропуска лиц, транспортных средств и материальных ценностей на объекты предприятия; • наличие и вид физической охраны; • виды используемых технических средств для обеспечения безопасности. БУД в ИС 2 Общая характеристика СКУД 29

Контролируемая зона (КЗ) – это пространство (территория, здание, часть здания) в котором исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового пропуска и посторонних транспортных средств. Границей КЗ могут являться: – периметр охраняемой территории предприятия; – ограждающие конструкции охраняемого здания или охраняемой части здания, если оно размещено на неохраняемой территории БУД в ИС 2 Общая характеристика СКУД 30

Виды контролируемых зон а) Независимые зоны Зона 1 б) Пересекающиеся зоны Зона 2 Зона 1 Зона 2 Движение злоумышленника в) Вложенные зоны Источник информации Зона 2 Зона 1 БУД в ИС 2 Зона 3 Зона 4 Общая характеристика СКУД 31

Типовые зоны и рубежи организации Рубеж 1 Территория организации Рубеж 2 Здание 1 Этаж 1 Рубеж 3 Помещение 1 Рубеж 4 Сейфы, хранилища Рубеж 5 . . . Коридор . . . Здание k Помещение n . . . Этаж m БУД в ИС 2 Общая характеристика СКУД 32

2. 3. Разработка инструкции о пропускном режиме БУД в ИС 2 Общая характеристика СКУД 33

Оценивая исходные данные, разработчик определяет основные положения инструкции о КПР. Практическое решение вопросов, связанных с организацией пропускного режима, оформляется в виде «Инструкции о пропускном режиме» . Указанная инструкция должна определять систему организационно-правовых охранных мер, устанавливающих разрешительный порядок (режим) прохода (проезда) на предприятие (с предприятия), и может включать следующие шесть разделов: БУД в ИС 2 Общая характеристика СКУД 34

1. Общие положения. 2. Порядок прохода через КПП предприятия. 3. Порядок въезда (выезда) транспортных средств и провоза материальных ценностей. 4. Виды пропусков и порядок их оформления. 5. Обязанности должностных лиц по поддержанию КПР. 6. Учет и отчетность, порядок хранения пропусков, печатей. БУД в ИС 2 Общая характеристика СКУД 35

• • • В разделе общие положения указываются: нормативные документы, на основании которых составлялась инструкция, определение КПР и цель его введения; должностные лица, на которых возлагается организация и практическое руководство контрольно-пропускной системой; санкции к нарушителям КПР; требования к оборудованию различных помещений. БУД в ИС 2 Общая характеристика СКУД 36

• • • Второй раздел определяет порядок пропуска сотрудников предприятия, командированных лиц и посетителей через КПП. В этом разделе рекомендуется: перечислить все КПП и их назначение, описание, расположение и единую нумерацию; изложить требования к оборудованию КПП; установить порядок прохода сотрудников и посетителей на территорию предприятия и в его категорированные помещения; определить права и основные обязанности контролеров КПП; установить помещения, где запрещается принимать посетителей и представителей сторонних организаций. БУД в ИС 2 Общая характеристика СКУД 37

Третий раздел определяет порядок допуска на предприятие транспортных средств, ввоза/вывоза продукции, документов и материальных ценностей. В этом разделе указываются: • порядок допуска на территорию объекта (с объекта) предприятия автотранспорта, принадлежащего данному предприятию; • порядок въезда и стоянки на территории объектов транспорта, принадлежащего сотрудникам на правах личной собственности; • порядок пропуска автомашин сторонних организаций, прибывших с грузом в адрес объекта в рабочее и нерабочее время; БУД в ИС 2 Общая характеристика СКУД 38

• порядок ввоза/вывоза товарно-материальных ценностей; • правила оформления документов на вывоз (вынос) материальных ценностей с территории объектов предприятия. БУД в ИС 2 Общая характеристика СКУД 39

• • • В четвертом разделе определяются: виды пропусков, их количество и статус; описание пропусков; порядок оформления и выдачи пропусков; порядок замены и перерегистрации пропусков; мероприятия, проводимые при утрате пропуска сотрудником. БУД в ИС 2 Общая характеристика СКУД 40

В пятом разделе подробно описываются обязанности должностных лиц по поддержанию КПР как в нормальном режиме, так и при возникновении чрезвычайных ситуаций (ЧС). Шестой раздел посвящается учету и отчетности документации, ведущейся на КПП, и порядку хранения пропусков и печатей. БУД в ИС 2 Общая характеристика СКУД 41