CC BY
285
А.Р. Фамильнов,
ФГУ НИЦ « Охрана»
ФОРМИРОВАНИЕ ТРЕБОВАНИЙ ПО ЗАЩИТЕ ИНФОРМАЦИИ В ИНТЕГРИРОВАННЫХ СИСТЕМАХ БЕЗОПАСНОСТИ FORMING OF THE INFORMATION PRIVACY REQUIREMENTS IN INTEGRATED SECURITY SYSTEMS
Рассматриваются интегрированные системы безопасности как объект угроз информационной безопасности. Формулируются основные требования по защите информации интегрированных систем безопасности.
Integrated security systems as an object of information privacy threats are considered. Basic requirements of integrated security systems information privacy are formulated.
Интегрированной системой безопасности (ИСБ) решаются следующие задачи:
1. Обнаружение и регистрация фактов несанкционированного проникновения человека («нарушителя») на территорию объекта, в здания и режимные помещения и оповещения охраны и службы безопасности о нештатных ситуациях.
2. Наблюдение за территорией, прилегающей к зданиям объекта.
3. Организация доступа сотрудников и посетителей на территорию объекта и в режимные помещения.
4. Компьютерный анализ «безопасности» объекта, работоспособности элементов КСБ и действий обслуживающего персонала.
5. Организация тревожно-вызывной сигнализации и тревожного оперативного оповещения.
6. Защита сотрудников, клиентов, а также материальных ценностей в случаях стихийных или организованных открытых нападений на охраняемый объект.
Создание современных комплексов безопасности различных объектов, как правило, требует использования таких систем, в состав которых входят, в общем случае, следующие основные подсистемы:
- подсистема сбора, обработки и отображения информации (СОИ);
- подсистема охранно-тревожной сигнализации;
- подсистема охранно-пожарной сигнализации;
- подсистема пожаротушения и дымоудаления;
- подсистема контроля и управления доступом;
- подсистема телевизионного наблюдения и видеорегистрации;
- подсистема оперативной связи;
-подсистема защиты информации;
- подсистема гарантированного электропитания.
Структура ИСБ выполняется по классической схеме:
1. Сервер или главный компьютер, где хранятся и обрабатываются все базы данных системы.
2. Рабочие станции отдельных систем (при необходимости), осуществляющие обмен данными и командами с периферийными устройствами своих подсистем и производящими предварительную обработку получаемой информации.
3. Локальная сеть ЕШете^ информационно связывающая в единый, интегрированный комплекс отдельные системы, каждая из которых может функционировать отдельно и независимо.
4. Периферийные устройства (конвертеры, контроллеры и охранные модули), непосредственно на аппаратном уровне взаимодействующие со своими датчиками или исполнительными устройствами, а на информационном уровне связывающие эти датчики и устройства по локальному интерфейсу (RS-485, RS-232) с рабочими станциями или с главным компьютером.
5. Извещатели ОПС, световые и звуковые индикаторы, клавиатура, считыватели и т.д.
6. Сетевое, системное и прикладное программное обеспечение сервера и рабочих станций, а также микропрограммное обеспечение системных контроллеров и охранных модулей.
7. Система гарантированного электропитания.
Наиболее часто на объектах внедряют ИСБ (рисунок), в состав которой входит:
- подсистема контроля и ограничения доступа;
- подсистема охранного телевидения;
- подсистема охранно-пожарной сигнализации;
- подсистема защиты информации.
То обстоятельство, что возможности интегрированной системы безопасности в значительной степени определяются эффективностью реализации информационных процессов, связанных с накоплением, обработкой и выдачей информации, приводит к необходимости рассматривать в качестве доминирующего фактора, оказывающего влияние на качество функционирования этих систем, угрозы информационной безопасности.
В соответствии с существующей классификацией угрозы информационной безопасности принято делить на случайные (непреднамеренные) и умышленные (преднамеренные). Источником первых могут быть ошибки в программном обеспечении, выходы из строя аппаратных средств, неправильные действия пользователей или администрации сети и т.п. Умышленные угрозы, в отличие от случайных, преследуют цель нанесения ущерба пользователям ИСБ и, в свою очередь, подразделяются на активные и пассивные. Пассивные угрозы, как правило, направлены на несанкционированное использование информации, не оказывая при этом влияния на функционирование системы, например, попытка получения видеоданных, циркулирующей в каналах СОТ, посредством несанкционированного подключения к ним. Активные угрозы имеют цель нарушения нормального процесса функционирования ИСБ посредством целенаправленного воздействия на ее аппаратные, программные и информационные ресурсы. К активным угрозам относят, например, разрушение или радиоэлектронное подавление линий обмена данными, вывод из строя ПЭВМ, искажение сведений в информационных массивах, разрушение или искажение операционной системы (включая нарушения протоколов обмена информацией) и т.п. Источниками таких угроз могут быть непосредственные действия злоумышленников, программные воздействия и т.п.
Функциональная схема интегрированной системы безопасности
Для обеспечения безопасности информации ИСБ необходимо согласованное применение разнородных мер защиты (юридических, организационных, технологических, программно-технических). Надёжно защитить информацию ИСБ от различных посягательств может позволить подсистема защиты информации интегрированной системы безопасности, которая должна обеспечивать:
- санкционированный доступ к информации, архиву;
- защищённый обмен данными с базами данных;
- в системе должно проводиться периодическое тестирование функций программных средств. Система должна иметь средства восстановления программных средств, предусматривающие ведение двух копий программных средств системы, их периодическое обновление и контроль работоспособности;
- для серверов системы должен быть предусмотрен механизм резервного копирования накопленной информации. Элементы системы должны иметь возможность динамического резервирования событийной информации в случае отказа канала связи и предусматривать следующие компоненты:
- программно-аппаратные комплексы защиты от несанкционированного доступа;
- программно-аппаратные комплексы защиты сети системы;
- программно-аппаратные комплексы защиты баз данных;
- программно-аппаратные комплексы криптографической защиты информации.
Требования по защите информации от несанкционированного доступа должны
соответствовать необходимому классу и могут быть реализованы на уровне программного обеспечения следующими методами:
- организация доступа к управлению элементами системы;
- применение кодов или ключей защиты;
- авторизации;
- определения уровней доступа;
- администрирования.
Должен быть разработан комплекс организационно-технических мер по минимизации количества ошибок в программном обеспечении и предотвращению утечки информации, предоставляющей возможность несанкционированного и нерегламентированного доступа извне. Для передачи информации, сигналов контроля и управления интегрированной системой безопасности следует использовать только выделенные каналы связи.
СОИ должна предусматривать решения в части информационной безопасности:
- конфиденциальность информации путём организации защиты от несанкционированного доступа к СОИ, от несанкционированного доступа к каналам связи и других способов нелегального ознакомления с передаваемыми по каналам связи, хранимыми и обрабатываемыми в системе данными;
- сохранность, достоверность, полнота и актуальность обрабатываемой и хранимой информации;
- защита циркулирующей в СОИ информации от несанкционированного доступа и воздействий с целью нарушения целостности при передаче по каналам связи;
- защита от проникновения компьютерных вирусов;
- электронная подпись для идентификации информации;
- контроль целостности программного обеспечения и данных, защищённости конфигурации ресурсов СОИ;
- резервное копирование и восстановление данных и программного обеспечения СОИ;
- контроль и мониторинг конфигурации (изменений и модификаций) программно-технических средств СОИ;
- управление доступом, включая аппаратно-программные средства и решения;
- разграничение доступа к ресурсам, сегментам и ЛВС, взаимодействующим с
СОИ;
- аутентификация и авторизация пользователей;
- администрирование пользователей, управление и хранение учётных данных о пользователях;
- анализ передаваемой информации;
- регистрация и учёт;
- средства регистрации активности пользователей и программного обеспечения;
- средства противодействия попыткам несанкционированного доступа;
- средства контекстного контроля и архивирования информации;
- средства конфигурирования, распределения программного обеспечения, мониторинга работоспособности и управления компонентами и подсистемами СОИ;
- криптографическая защита, включая средства контроля целостности информации, формирование контроля и проверки электронной цифровой подписи.
СОИ по возможности и в зависимости от установленного класса защищённости интегрированной системы безопасности не должна подключаться ни на аппаратном, ни на программном уровне к другим компьютерным сетям общего пользования без применения сертифицированных средств защиты информации.
При работе с информационно-аналитической системой СОИ должна быть предусмотрена:
- защита каналов передачи данных от нарушения конфиденциальности и целостности передаваемой информации;
- создание защищённого узла доступа к серверным, пользовательским и иным информационным ресурсам за счёт строгой двухфакторной аутентификации по цифровым сертификатам на основе российских сертифицированных криптографических алгоритмов;
- обеспечение гарантии авторства документов, файлов, сообщений и их отказоустойчивости за счет встраивания российских криптографических алгоритмов электронной цифровой подписи в системы обмена и распределения информации и управления потоками работ;
- разграничение доступа к данным информационно-справочных и аналитических систем средствами сертифицированной СУБД.
Каналы передачи данных сетей общего пользования должны быть защищены с использованием средств криптозащиты. Средства криптозащиты должны быть гарантированной стойкости, иметь все необходимые сертификаты и предписания, по возможности быть совместимыми или совпадать со средствами защиты информации, эксплуатируемыми в подразделениях МВД России.
Тип аппаратуры криптозащиты определяется уполномоченными подразделениями МВД России. При монтаже спецаппаратуры в обязательном порядке должны быть учтены требования НТД для комплекса защитных средств по размещению, монтажу и установке, а также все эксплуатационные требования для данной аппаратуры. Перечень необходимых мер защиты информации определяется в соответствии с требованиями нормативных правовых актов Российской Федерации.
ЛИТЕРАТУРА
5. Гайфулин В.В. Защищенность информации в интегрированных системах безопасности // Охрана. — 2009. — № 2. — С. 54 —55.
6. Проблемы организации защиты информации в интегрированных системах безопасности / В.С. Зарубин, В.В. Гайфулин, С.В. Петрушков, А.Р. Фамильнов // Информация и безопасность. — Воронеж: ВГТУ, 2009. — Вып. 1. — С. 95 — 98.
СВЕДЕНИЯ ОБ АВТОРЕ СТАТЬИ:
Фамильнов Александр Рудольфович. Заместитель начальника отдела ФГУ НИЦ «Охрана».
Научно-исследовательский центр «Охрана».
Россия, Московская область, г. Балашиха, мкр. ВНИИПО, 12. Тел. (495) 521-25-22.
Familnov Alexander Rudolfovich. The deputy chief of department FGU research centre “Protection”.
Research centre “Protection”.
Work address: Russia, Moscow region, Balashikha, microdistrict VNIIPO, 12.
Tel. (495) 521-25-22.
Ключевые слова к статье: защита информации; система безопасности.
Keywords: information protection; system of safety.
УДК 621.39
