КСЗИ
- 1. Этапы построения КСЗИ
В построении КСЗИ можно выделить следующие этапы:
1. Подготовка организационно-распорядительной документации.
2. Обследование информационной инфраструктуры Заказчика.
3. Разработка «Плана защиты информации»
4. Разработка «Технического задания на создание КСЗИ»
5. Разработка «Технического проекта на создание КСЗИ»
6. Приведение информационной инфраструктуры Заказчика в соответствие с п. 5
7. Разработка «Эксплуатационной документации на КСЗИ»
8. Внедрение КСЗИ
9. Испытание КСЗИ
10. Проведение экспертизы КСЗИ и получение «Аттестата соответствия»
11. Поддержка и обслуживание КСЗИ
В этапах № 1-11 принимают участие Исполнитель и Заказчик. На этапе № 10 к работе подключается Организатор экспертизы. На этапах № 4 и 10 участвует Контролирующий орган. Для выполнения этапа № 6 и 8 могут привлекаться Подрядчики.
После принятия Заказчиком решения о создании КСЗИ между Заказчиком и Исполнителем подписывается договор о создании КСЗИ, в котором должны быть описаны порядок и сроки выполнения, а также стоимость работ.
Комплексные системы защиты информации (КСЗИ) представляют собой совокупность: организационных мероприятий и инженерно-технических мероприятий направленных на обеспечение защиты информации от разглашения, утечки и несанкционированного доступа.
Организационные мероприятия включают в себя создание концепции информационной безопасности, а также:
- составление должностных инструкций для пользователей и обслуживающего персонала;
- создание правил администрирования компонент информационной системы, учета, хранения, размножения, уничтожения носителей информации, идентификации пользователей;
- разработку планов действий в случае выявления попыток несанкционированного доступа к информационным ресурсам системы, выхода из строя средств защиты, возникновения чрезвычайной ситуации;
- обучение правилам информационной безопасности пользователей.
В случае необходимости, в рамках проведения организационных мероприятий может быть создана служба информационной безопасности, режимно-пропускной отдел, проведена реорганизация системы делопроизводства и хранения документов.
Выбор инженерно-технических мероприятий зависит от уровня защищенности информации, который необходимо обеспечить.
Инженерно-технические мероприятия, проводимые для защиты информационной инфраструктуры организации, могут включать использование защищенных подключений, межсетевых экранов, разграничение потоков информации между сегментами сети, использование средств шифрования и защиты от несанкционированного доступа.
В случае необходимости, в рамках проведения инженерно-технических мероприятий, может осуществляться установка в помещениях систем охранно-пожарной сигнализации, систем контроля и управления доступом.
Отдельные помещения могут быть оборудованы средствами защиты от утечки акустической (речевой) информации.
- 2. Субъекты и объекты КСЗИ
Субъекты КСЗИ
В процесс создания КСЗИ вовлекаются следующие стороны:
- организация, для которой осуществляется построение КСЗИ (Заказчик);
- организация, осуществляющая мероприятия по построению КСЗИ (Исполнитель);
- ФСТЭК России (Контролирующий орган);
- организация, осуществляющая государственную экспертизу КСЗИ (Организатор экспертизы);
- организация, в случае необходимости привлекаемая Заказчиком или Исполнителем для выполнения некоторых работ по созданию КСЗИ (Подрядчик).
Объекты КСЗИ
Объектами защиты КСЗИ является информация, в любом ее виде и форме представления.
Материальными носителями информации являются сигналы. По своей физической природе информационные сигналы можно разделить на следующие виды: электрические, электромагнитные, акустические, а также их комбинации.
Сигналы могут быть представлены в форме электромагнитных, механических и других видах колебаний, причем информация, которая подлежит защите, содержится в их изменяющихся параметрах.
В зависимости от природы, информационные сигналы распространяются в определенных физических средах. Среды могут быть газовыми, жидкостными и твердыми. Например, воздушное пространство, конструкции зданий, соединительные линии и токопроводящие элементы, грунт и другие.
В зависимости от вида и формы представления информационных сигналов, которые циркулируют в информационно-телекоммуникационной системе (ИТС), в том числе и в автоматизированных системах (АС), при построении КСЗИ могут использоваться различные средства защиты.
- 3. Порядок проведения аттестации и контроля объектов информатизации
Порядок проведения аттестации объектов информатизации требованиям безопасности информации включает следующие действия:
-подачу и рассмотрение заявки на аттестацию;
-предварительное ознакомление с аттестуемым объектом;
-испытание несертифицированных средств и систем защиты информации, используемых на аттестуемом объекте (при необходимости);
-разработку программы и методики аттестационных испытаний;
-заключение договоров на аттестацию;
-проведение аттестационных испытаний объекта информатизации;
-оформление, регистрацию и выдачу «Аттестата соответствия»;
-осуществление государственного контроля и надзора, инспекционного контроля за проведением аттестации и эксплуатацией аттестованных объектов информатизации;
-рассмотрение апелляций.
Заявитель для получения «Аттестата соответствия» заблаговременно направляет в орган по аттестации заявку на проведение аттестации с исходными данными по аттестуемому объекту информатизации.
Орган по аттестации в месячный срок рассматривает заявку и на основании исходных данных выбирает схему аттестации, согласовывает ее с заявителем и принимает решение о проведении аттестации объекта информатизации.
При недостаточности исходных данных по аттестуемому объекту информатизации в схему аттестации включаются работы по предварительному ознакомлению с аттестуемым объектом, проводимые до этапа аттестационных испытаний.
При использовании на аттестуемом объекте информатизации несертифицированных средств и систем защиты информации в схему аттестации могут быть включены работу по их испытаниям в испытательных центрах (лабораториях) по сертификации средств защиты информации по требованиям безопасности информации или непосредственно на аттестуемом объекте информатизации с помощью специальной контрольной аппаратуры и тестовых средств.
При проведении испытаний отдельных несертифицированных средств и систем защиты информации в испытательных центрах (лабораториях) по сертификации эти испытания проводятся до аттестационных испытаний объектов информатизации. В этом случае заявителем к началу аттестационных испытаний должны быть представлены заключения органов по сертификации средств защиты информации по требованиям безопасности информации и сертификаты.
По результатам рассмотрения заявки и анализа исходных данных, а также предварительного ознакомления с аттестуемым объектом органом по аттестации разрабатываются программы аттестационных испытаний (или используются типовые методики), определяются количественный и профессиональный состав аттестационной комиссии, назначаемой органом по аттестации объектов информатизации, необходимость использования контрольной аппаратуры и тестовых средств на аттестуемом объекте информатизации или привлечения испытательных центров (лабораторий) по сертификации средств защиты информации по требованиям безопасности информации.
Программа аттестационных испытаний согласовывается с заявителем.
Этап подготовки завершается заключение договора между заявителем и органом по аттестации на проведение аттестации, заключением договоров (контрактов) органа по аттестации с привлекаемыми экспертами и оформлением предписания о допуске аттестационной комиссии к проведению аттестации.
Оплата работы членов аттестационной комиссии производится органом по аттестации в соответствии с заключенными трудовыми договорами (контрактами) за счет финансовых средств от заключаемых договоров на аттестацию объектов информатизации.
На этапе аттестационных испытаний объекта информатизации:
-осуществляется анализ организационной структуры объекта информатизации, информационных потоков, состава и структуры комплекса технических средств и программного обеспечения, системы защиты информации на объекте, разработанной документации и ее соответствия требованиям нормативной документации по защите информации;
-определяется правильность категорирования объектов ЭВТ и классификации АС (при аттестации автоматизированных систем), выбора и применения сертифицированных и несертифицированных средств и систем защиты информации;
-проводятся испытания несертифицированных средств и систем защиты информации на аттестуемом объекте или анализ результатов их испытаний в испытательных центрах (лабораториях) по сертификации;
-проверяется уровень подготовки кадров и распределение ответственности персонала за обеспечение выполнения требований по безопасности информации;
-проводятся комплексные аттестационные испытания объекта информатизации в реальных условиях эксплуатации путем проверки фактического выполнения установленных требований на различных этапах технологического процесса обработки защищаемой информации;
-оформляются протоколы испытаний и заключение по результатам аттестации с конкретными рекомендациями по устранению допущенных нарушений, приведению системы защиты объекта информатизации в соответствие с установленными требованиями и совершенствованию этой системы, а также рекомендациями по контролю за функционированием объекта информатизации.
- 4. Организационная структура системы аттестации объектов информатизации по требованиям безопасности информации
Организационную структуру системы аттестации объектов информатизации образуют:
-федеральный орган по сертификации средств и аттестации объектов информатизации по требованиям безопасности информации;
-органы по аттестации объектов информатизации по требованиям безопасности информации;
-испытательные центры (лаборатории) по сертификации продукции по требованиям безопасности информации;
-заявители (заказчики, владельцы, разработчики аттестуемых объектов информатизации).
Федеральный орган по сертификации и аттестации осуществляет следующие функции:
-организует обязательную аттестацию объектов информатизации;
-создает системы аттестации объектов информатизации и устанавливает правила для проведения аттестации в этих системах;
-устанавливает правила аккредитации и выдачи лицензий на проведение работ по обязательной аттестации;
-организует, финансирует разработку и утверждает нормативные и методические документы по аттестации объектов информатизации;
-аккредитует органы по аттестации объектов информатизации и выдает им лицензии на проведение определенных видов работ;
-осуществляет государственный контроль и надзор за соблюдением правил аттестации и эксплуатацией аттестованных объектов информатизации;
-организует периодическую публикацию информации по функционированию системы аттестации объектов по требованиям безопасности информации.
Органы по аттестации объектов аккредитуются федеральным органом по сертификации и аттестации и получают от него лицензию на проведение аттестации объектов информатизации.
Такими органами могут быть отраслевые и региональные учреждения, предприятия и организации по защите информации, специальные центры ФСТЭК России.
Органы по аттестации:
-аттестуют объекты информатизации и выдают «Аттестаты соответствия»;
-осуществляют контроль за эксплуатацией аттестованных объектов информатизации и безопасностью информации, циркулирующей на них;
-отменяют и приостанавливают действие выданных этим органом «Аттестатов соответствия»;
-формируют фонд нормативной и методической документации, необходимой для аттестации конкретных типов объектов информатизации, участвуют в их разработке;
-ведут информационную базу аттестованных этим органом объектов информатизации;
-осуществляют взаимодействие с органом по сертификации и аттестации и ежеквартально информируют его о своей деятельности в области аттестации.
Испытательные центры (лаборатории) по сертификации продукции по требованиям безопасности информации по заказам заявителей проводят испытания не сертифицированной продукции, используемой на объекте информатизации, подлежащем обязательной аттестации, в соответствии с «Положением о сертификации средств защиты информации по требованиям безопасности информации».
Заявители:
-проводят подготовку объекта информатизации аттестации путем необходимых организационно-технических мероприятий по защите информации;
-привлекают на договорной основе органы по аттестации для организации и проведения аттестации объекта информатизации;
-представляют органам по аттестации необходимые документы и условия проведения аттестации;
-привлекают, в необходимых случаях для проведения испытаний несертифицированных средств защиты информации, используемых на аттестуемом объекте информатизации, испытательные центры (лаборатории) по сертификации;
-осуществляют эксплуатацию объекта информатизации в соответствии с условиями и требованиями, установленными в «Аттестате соответствия»;
-извещают орган по аттестации, выдавший «Аттестат соответствия», о всех изменениях в информационных технологиях, составе и размещении средств и систем информатизации, условиях их эксплуатации, которые могут повлиять на эффективность мер и средств информации (перечень характеристик, определяющих безопасность информации, об изменениях которых требуется обязательно извещать орган аттестации, приводится в «Аттестате соответствия»;
-предоставляют необходимые документы и условия для осуществления контроля и надзора за эксплуатацией объекта информатизации, прошедшего обязательную аттестацию.
- 5. Назначение аттестации объектов информатизации
6. Основные руководящие документы ФСТЭК России по аттестации объектов информатизации
Аттестация по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и вызвана необходимостью официального подтверждения эффективности комплекса используемых на конкретном объекте информатизации мер и средств защиты информации.
Обязательной аттестации подлежат:
-объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну;
-объекты информатизации, предназначенные для управления экологически опасными объектами;
-объекты, предназначенные для ведения секретных переговоров;
— объекты, предназначенные для обработки и обсуждения конфиденциальной информации.
В остальных случаях аттестация носит добровольный характер и может осуществляться по желанию заказчика или владельца объекта информатизации при наличии юридически закрепленного его согласия выполнять требования Положения.
- 6. Основные руководящие документы ФСТЭК России по аттестации объектов информатизации
ü ФЗ «Об информации, информационных технологиях и о защите информации» от 27 июля2006 г. N 149-ФЗ;
ü Положение по аттестации объектов информатизации по требованиям безопасности информации, утверждено Председателем Гостехкомиссии России 25.11.94 г.;
ü Типовое положение об органе по аттестации объектов информатизации по требованиям безопасности информации, утвержденное приказом председателя Гостехкомиссии России от 5 января1996 г. № 3;
ü Положение об аккредитации испытательных лабораторий и органов по сертификации средств защиты информации по требованиям безопасности информации, утвержденное Председателем Гостехкомиссии России 25.11.94 года;
ü Специальные требования и рекомендации по технической защите конфиденциальной информации, утверждены решением Коллегии Гостехкомиссии России от 02.03.01 г. № 7.2;
ü Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации РД Гостехкомиссии России, утвержден решением председателя Гостехкомиссии России от 30 марта1992 г.
- 7. Права, ответственность и обязанности органа по аттестации
Права органа по аттестации
ü привлекать в порядке, определяемом в Положении о конкретном органе, для работы в аттестационных комиссиях наиболее компетентных специалистов;
ü устанавливать сроки, договорные цены на проведение аттестации, а также устанавливать иные условия взаимодействия или взаиморасчетов, определяемые в Положении о конкретном органе;
ü отказывать заявителю в аттестации объекта информатизации, указав при этом мотивы отказа и конкретные рекомендации по проведению аттестации;
ü участвовать в контроле за состоянием и эксплуатацией аттестованного этим органом объекта информатизации;
ü лишать и приостанавливать действие «Аттестата соответствия» в случае нарушения его владельцем условий функционирования объекта информатизации, технологии обработки защищаемой информации и требований по безопасности информации.
Ответственность органа по аттестации
Орган по аттестации несет ответственность за:
ü соответствие проведенных им аттестационных испытаний требованиям стандартов и иных НМД по безопасности информации, а также достоверность результатов;
ü полноту и качество выполнения функций и обязанностей, возложенных на него;
ü формирование и квалификацию аттестационных комиссий;
ü соблюдение требований НМД, предъявляемых к порядку проведения аттестации;
ü соблюдение установленных сроков и условий проведения аттестации;
ü обеспечение сохранности государственной тайны и коммерческой тайны заявителя;
ü соблюдение действующего законодательства.
Обязанности органа по аттестации
ü соблюдать в полном объеме все правила и порядок сертификации и аттестации;
ü выдавать или признавать сертификаты соответствия;
ü при введении новых требований информировать изготовителя в течение месяца о сроках и порядке ее введения, оказывать содействие в проведении работы по сертификации в соответствии с новыми нормами;
ü информировать ФСТЭК России обо всех изменениях, которые могут привести к необходимости рассмотреть вопрос о проведении аккредитации и приостановлении действия лицензии;
ü вести учет всех предъявляемых рекламаций и информировать об этом ФСТЭК России;
ü в установленные договором с заявителем сроки организовывать и проводить аттестацию объекта информатизации;
ü обеспечивать полноту и объективность проведения аттестации;
ü обеспечивать сохранность государственной и коммерческой тайны в процессе и по завершении аттестации;
ü вести информационную базу аттестованных этим органом объектов;
ü представлять в государственные органы по сертификации и аттестации информацию о результатах аттестации, а также «Аттестаты соответствия» для их регистрации;
ü допускать представителей контрольных органов для осуществления надзора за аттестацией.
- 8. Исходные данные по аттестуемому объекту информатизации
1. Полное и точное наименование объекта информатизации и его назначение.
2. Характер (научно-техническая, экономическая, производственная, финансовая, военная, политическая) и уровень секретности (конфиденциальности) обрабатываемой информации определен (в соответствии с какими перечнями (государственным, отраслевым, ведомственным, предприятия).
3. Организационная структура объекта информатизации.
4. Перечень помещений, состав комплекса технических средств (основных и вспомогательных), входящих в объект информатизации, в которых (на которых) обрабатывается указанная информация (расположенных в помещениях, где она циркулирует).
5. Особенности и схема расположения объекта информатизации с указанием границ контролируемой зоны.
6. Структура программного обеспечения (общесистемного и прикладного), используемого на аттестуемом объекте информатизации и предназначенного для обработки защищаемой информации, используемые протоколы обмена информацией.
7. Общая функциональная схема объекта информатизации, включая схему информационных потоков и режимы обработки защищаемой информации.
8. Наличие и характер взаимодействия с другими объектами информатизации.
9. Состав и структура системы защиты информации на аттестуемом объекте информатизации.
10. Перечень технических и программных средств в защищенном исполнении, средств защиты и контроля, используемых на аттестуемом объекте информатизации и имеющих соответствующий сертификат, предписание на эксплуатацию.
11. Сведения о разработчиках системы защиты информации, наличие у сторонних разработчиков (по отношению к предприятию, на котором расположен аттестуемый объект информатизации) лицензий на проведение подобных работ.
12. Наличие на объекте информатизации (на предприятии, на котором расположен объект информатизации) службы безопасности информации, службы администратора (автоматизированной системы, сети, баз данных).
13. Наличие и основные характеристики физической защиты объекта информатизации (помещений, где обрабатывается защищаемая информация и хранятся информационные носители).
14. Наличие и готовность проектной и эксплуатационной документации на объект информатизации и другие исходные данные по аттестуемому объекту информатизации, влияющие на безопасность информации.
- 9. Оформление, регистрация и выдача аттестатов соответствия
«Аттестат соответствия» на объект информатизации, отвечающий требованиям по безопасности информации, оформляется и выдается органом по аттестации по установленной форме заявителю после утверждения заключения по результатам аттестации.
Регистрация «Аттестатов соответствия» осуществляется по отраслевому или территориальному признакам органами по аттестации с целью ведения информационной базы аттестованных объектов информатизации и планирования мероприятий по контролю и надзору.
Ведение сводных информационных баз аттестованных объектов информатизации осуществляется федеральным органом по сертификации и аттестации или по его поручению одним из органов надзора за аттестацией и эксплуатацией аттестованных объектов.
«Аттестат соответствия» выдается владельцу аттестованного объекта информатизации органом по аттестации на период, в течение которого обеспечивается неизменность условий функционирования объекта информатизации и технологии обработки защищаемой информации, могущих повлиять на характеристики, определяющие безопасность информации (состав и структура технических средств, условия размещения, используемое программное обеспечение, режимы обработки информации, средства и меры защиты), но не более чем на 3 года.
Владелец аттестованного объекта информатизации несет ответственность за выполнение установленных условий функционирования объекта информатизации, технологии обработки информации и требований по безопасности информации.
В случае изменения условий и технологии обработки защищаемой информации владельцы аттестованных объектов обязаны известить об этом орган по аттестации, который принимает решение о необходимости проведения дополнительной проверки эффективности системы защиты объекта информатизации.
При несоответствии аттестуемого объекта требованиям по безопасности информации и невозможности оперативно устранить отмеченные аттестационной комиссией недостатки орган по аттестации принимает решение об отказе в выдаче «Аттестата соответствия». При этом может быть предложен срок повторной аттестации при условии устранения недостатков.
При наличии непринципиального характера «Аттестат соответствия» может быть выдан после проверки устранения этих замечаний.
В случае несогласия заявителя с отказом в выдаче «Аттестата соответствия» он имеет право обратиться в вышестоящий орган по аттестации или непосредственно в государственный орган по аттестации с апелляцией для дополнительного рассмотрения полученных при испытаниях результатов, где она в месячный срок рассматривается с привлечением заинтересованных сторон. Податель апелляции извещается о принятом решении.
- 10. Действия в случае изменения условий и технологии обработки защищаемой информации
- Ø Владелец аттестованного объекта обязан известить об этом орган по аттестации
- Ø Орган по аттестации принимает решение о необходимости проведения дополнительной проверки эффективности системы защиты объекта информатизации
Государственный контроль и надзор, инспекционный контроль за проведением аттестации объектов информатизации проводится федеральным органом по сертификации и аттестации как в процессе, так и по завершении аттестации, а за эксплуатацией аттестованных объектов информатизации — периодически в соответствии с планом работы по контролю и надзору.
Федеральный орган по сертификации и аттестации может передавать некоторые из своих функций государственного контроля и надзора по аттестации и за эксплуатацией аттестованных объектов информатизации аккредитованным органом по аттестации.
Объем, содержание и порядок государственного контроля и надзора устанавливаются в нормативной и методической документации по аттестации объектов информатизации.
Государственный контроль и надзор за соблюдением правил аттестации включает проверку правильности и полноты проводимых мероприятий по аттестации объектов информатизации, оформления и рассмотрения и рассмотрения органами по аттестации отчетных документов и протоколов испытаний, своевременное внесение изменений в нормативную и методическую документацию по безопасности информации, инспекционный контроль за эксплуатацией аттестованных объектов информатизации.
В случае грубых нарушений органом по аттестации требований стандартов или иных нормативных и методических документов по безопасности информации, выявленных при контроле и надзоре, орган по аттестации может быть лишен лицензии на право проведения аттестации объектов информатизации по ходатайству вышестоящего органа, проводящего контроль и надзор, перед федеральным органом по сертификации и аттестации.
По результатам контроля и надзора за эксплуатацией аттестованных объектов в случае нарушения их владельцами условий функционирования объектов информатизации, технологии обработки защищаемой информации и требований по безопасности информации органом, проводившим контроль и надзор, может быть приостановлено или аннулировано действие «Аттестата соответствия», оформив это решение в «Аттестате соответствия» и проинформировав орган, ведущий сводную информационную базу аттестованных объектов информатизации, и федеральный орган по сертификации и аттестации.
Решение о приостановлении или аннулировании действия «Аттестата соответствия» принимается в случае, когда в результате оперативного принятия организационно — технических мер не может быть восстановлен требуемый уровень безопасности информации.
В случае грубых нарушений органом по аттестации требований стандартов или нормативных документов по безопасности информации, утвержденных федеральным органом по сертификации и аттестации в пределах его компетенции, выявленных при контроле и надзоре и пришедших к повторной аттестации, расходы по осуществлению контроля и надзора могут быть по решению Госарбитража взысканы с органа по аттестации. Кроме того, и повторная аттестация может быть осуществлена за счет этого органа по аттестации.
Расходы по осуществлению надзора за обязательной аттестацией и эксплуатацией объектов, прошедших обязательную аттестацию, оплачиваются органом надзора из средств госбюджета, выделенных ему в этих целях.
- 11. Требования к нормативным и методическим документам по аттестации объектов информатизации
12. Каналы утечки информации, обрабатываемой в ОВТ
Объекты информатизации, вне зависимости от используемых отечественных или зарубежных технических и программных средств, аттестуются на соответствие требованиям государственных стандартов России или нормативных и методических документов по безопасности информации, утвержденных федеральным органом по сертификации и аттестации в пределах его компетенции.
Состав нормативной и методической документации для аттестации конкретных объектов информатизации определяется органом по аттестации в зависимости от условий функционирования объектов информатизации на основании анализа исходных данных по аттестуемому объекту.
В нормативную и методическую документацию включаются только те показатели, характеристики и требования, которые могут быть объективно проверены.
В нормативной и методической документации на методы испытаний должны быть ссылки на условия, содержание и порядок проведения испытаний, используемые при испытаниях контрольную аппаратуру и тестовые средства, сводящие к минимуму погрешности результатов испытаний и позволяющие воспроизвести эти результаты.
Тексты нормативных и методических документов, используемых при аттестации объектов информатизации, должны быть сформулированы ясно и четко, обеспечивая их точное и единообразное толкование, в них должно содержаться указание о возможности использования документа для аттестации определенных типов объектов информатизации по требованиям безопасности информации или направленной защиты информации.
- 12. Каналы утечки информации, обрабатываемой в ОВТ
— утечка информации за счет ПЭМИН и через сеть электропитания и заземления;
Стендовые (лабораторные) специальные исследования защищенности информации от утечки за счет ПЭМИН и через сеть электропитания и заземления.
Анализ размещения ОТСС на объекте. По необходимости введение дополнительных организационных мер и технических средств защиты от утечки за счет ПЭМИН и через сеть электропитания и заземления.
Проверка эффективности технических средств защиты от утечки за счет ПЭМИН
и через сеть электропитания и заземления.
— утечка информации за счет НСД к защищаемой информации;
Установка и настройка средства защиты от несанкционированного доступа. Введение дополнительных организационных мер защиты.
Проверка эффективности настройки средства защиты от несанкционированного доступа.
— утечка информации за счет возможно внедренных устройств перехвата информации;
Проведение специальной проверки ОТСС ОВТ.
— утечка информации за счет несоблюдения организационных и организационно-технических мероприятий.
- 13. Разрешительные документы, необходимые для проведения работ по аттестации ОИ
14. Методы и средства защиты информации в ОВТ от утечки по техническим каналам
-лицензия ФСБ на осуществление работ с использованием сведений, составляющих государственную тайну;
-лицензия ФСБ (ФАПСИ) на проведение работ по выявлению электронных устройств перехвата информации (специальная проверка ТСС);
-лицензии ФСТЭК России:
- • на оказание услуг в области защиты государственной тайны в части ТЗИ (СИ ПЭМИН, аттестация ОИ);
- • на проведение работ, связанных с созданием СЗИ (установка, монтаж, испытания) (проведение специальных исследований ТСС; установка, настройка и проверка эффективности средств защиты; аттестационные испытания);
-аттестат аккредитации органа по аттестации ФСТЭК России (выдача аттестата соответствия)
- 14. Методы и средства защиты информации в ОВТ от утечки по техническим каналам
Организационно-режимные мероприятия по защите:
— определение границ контролируемой зоны и обеспечение ее режима функционирования;
— организация контроля и ограничение доступа к информации, обрабатываемой ОТСС ОВТ;
— использование на объекте сертифицированных СЗИ;
— привлечение к проведению работ по защите информации организаций, имеющих лицензию на данный вид деятельности;
— категорирование и аттестация ОВТ на соответствие требованиям защиты;
— введение различного рода ограничений в режимы работы ОВТ.
Технические мероприятия по защите:
Пассивные способы:
— установка комплексных систем защиты от НСД;
— экранирование ОТСС ОВТ и отходящих от них соединительных линий;
— заземление ОТСС ОВТ и экранов отходящих от них линий;
— фильтрация информационных сигналов в силовых сетях;
— установка автономных или стабилизированных источников питания.
Активные способы:
— пространственное электромагнитное зашумление закладных устройств и ПЭМИ ТСПИ;
— зашумление силовой сети и цепей заземления;
— установка систем уничтожения информации.
- 15. Мероприятия по защите информации на ОИ
16. Требования к средствам защиты информации на ОИ
Организационно-режимные мероприятия по защите:
— использование на объекте сертифицированных средств защиты информации;
— привлечение к проведению работ по защите информации уполномоченных организаций;
— введение различного рода ограничений в функционировании технических средств и ВП;
— определение границ контролируемой зоны и обеспечение режима ее функционирования;
— организация контроля и ограничения доступа в ВП / к информации, обрабатываемой
ОТСС ОВТ;
— категорирование ВП / ОВТ, классификация АС ОВТ и аттестация ВП / ОВТ на соответствие требованиям по защите информации.
Технические мероприятия по защите:
Пассивные способы:
ВП — контроль и ограничение доступа;
— звуко- и виброизоляция;
— конструктивная доработка;
— изменение условий эксплуатации.
ОВТ — контроль и ограничение доступа;
— экранирование;
— заземление;
— фильтрация сигналов;
— конструктивная доработка;
— изменение условий эксплуатации.
Активные способы:
— зашумление.
- 16. Требования к средствам защиты информации на ОИ
Наличие сертификата ФСТЭК (Гостехкомиссии) России
— срок действия сертификата;
— документ, на соответствие которому проводились сертификационные испытания;
— количество экземпляров, на которые распространяется действие сертификата.
Инструментальная проверка эффективности средства защиты информации
— после установки и настройки средств защиты информации от НСД;
— после монтажа сетевых помехоподавляющих фильтров;
— после установки систем активного зашумления.
- 17. Каналы утечки речевой информации в ВП
18. Методы и средства защиты информации в ВП от утечки по техническим каналам
— утечка информации за счет недостаточной звуко- и виброизоляции ВП;
Исследования акустической и виброакустической защищенности ВП.
Введение дополнительных организационных мер и технических средств защиты.
Проверка эффективности технических средств защиты.
— утечка информации за счет НСД к защищаемой информации;
Специальные исследования защищенности информации от утечки за счет акустоэлектрических преобразований в ВТСС ВП.
Введение дополнительных организационных мер и технических средств защиты от утечки за счет акустоэлектрических преобразований в ВТСС ВП.
Проверка эффективности технических средств защиты от утечки за счет акустоэлектрических преобразований в ВТСС ВП.
— утечка информации за счет возможно внедренных устройств перехвата информации;
Проведение специальной проверки ВТСС ВП. Проведение специальной проверки ВП.
Введение дополнительных организационных мер защиты.
— утечка информации за счет несоблюдения организационных и организационно-технических мероприятий.
- 18. Методы и средства защиты информации в ВП от утечки по техническим каналам
Организационно-режимные мероприятия по защите:
— определение границ контролируемой зоны и обеспечение ее режима функционирования;
— организация контроля и ограничение доступа в ВП;
— использование на объекте сертифицированных СЗИ и ВТСС;
— привлечение к проведению работ по защите информации организаций, имеющих лицензию на данный вид деятельности;
— категорирование и аттестация ВП на соответствие требованиям защиты;
— введение различного рода ограничений в режимы работы ВП.
Технические мероприятия по защите:
Пассивные способы:
— звуко- и виброизоляция выделенных помещений;
— фильтрация информационных сигналов в силовых и слаботочных сетях;
— установка автономных или стабилизированных источников электропитания;
— использование специальных конструкций оконных блоков, специальных пленок, жалюзи и штор.
Активные способы:
— акустическое и вибрационное зашумление строительных конструкций.
- 19. Структура программы проведения аттестационных испытаний ОИ
20. Классификация автоматизированных систем в составе объектов вычислительной техники
- 20. Классификация автоматизированных систем в составе объектов вычислительной техники
Класс защищенности автоматизированной системы от НСД к информации устанавливается заказчиком и разработчиком автоматизированной системы с привлечением специалистов по защите информации в соответствии с требованиями руководящих документов Гостехкомиссии России по этому направлению работ.
Классификация необходима для более детальной, дифференцированной разработки требований по защите от НСД с учетом специфических особенностей этих систем.
В основу системы классификации АС положены следующие характеристики объектов и субъектов защиты, а также способов их взаимодействия:
информационные — определяющие ценность информации, ее объем и степень (гриф) конфиденциальности, а также возможные последствия неправильного функционирования АС из-за искажения (потери) информации;
организационные — определяющие полномочия пользователей;
технологические — определяющие условия обработки информации, например, способ обработки (автономный, мультипрограммный и т.д.), время циркуляции (транзит, хранение и т.д.), вид АС (автономная, сеть, стационарная, подвижная и т.д.).
Основными этапами классификации АС являются:
ü разработка и анализ исходных данных;
ü выявление основных признаков АС, необходимых для классификации;
ü сравнение выявленных признаков АС с классифицируемыми;
ü присвоение АС соответствующего класса защиты информации от НСД.
Необходимыми исходными данными для проведения классификации конкретной АС являются:
ü перечень защищаемых информационных ресурсов АС и их уровень конфиденциальности;
ü перечень лиц, имеющих доступ к штатным средствам АС, с указанием их уровня полномочий;
ü матрица доступа или полномочий субъектов доступа по отношению к защищаемым информационным ресурсам АС;
ü режим обработки данных в АС.
Выбор класса АС производится заказчиком и разработчиком с привлечением специалистов по защите информации.
К числу определяющих признаков, по которым производится группировка АС в различные классы, относятся:
ü наличие в АС информации различного уровня конфиденциальности;
ü уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;
ü режим обработки данных в АС — коллективный или индивидуальный.
Классификация АС приведена в Руководящем документе «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требований по защите информации», (Гостехкомиссия РФ,1992 г., далее — РД к АС). Помимо определения собственно «групп» и «классов» в РД к АС определены основные классификационные требования к каждой группе и классу.
Данный РД устанавливается девять классов защищенности АС от несанкционированного доступа к информации. Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС. В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности АС. Класс, соответствующий высшей степени защищенности для данной группы, обозначается индексом № A, где № — номер группы от 1 до 3. Следующий класс обозначается Б и т.д.
Третья группа включает АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Данная группа содержит два класса 3Б и 3А.
Вторая группа включает АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и/или хранимой на носителях различного уровня конфиденциальности. Эта группа содержит два класса 2Б и 2А.
Первая группа включает многопользовательские АС, в которых одновременно обрабатывается и/или хранится информация разных уровней конфиденциальности и не все пользователи имеют право доступа ко всей информации АС. Данная группа содержит пять классов: 1Д, 1Г, 1В, 1Б и 1А.
- 21. Категорирование объектов информатизации
Категорирование действующих объектов защиты проводится комиссиями, назначенными приказами руководителей, в ведении которых они находятся. В состав комиссии, как правило, включаются представители органов режима секретности, автоматизации, связи, управлений, отделов и служб, заказывающих и эксплуатирующих объект.
Категорирование проектируемых объектов защиты осуществляется на этапе разработки ТЗ (ТТЗ) заказывающими управлениями или организациями, в интересах которых создаются эти объекты (предпроектная стадия создания системы защиты информации).
Категорирование проводится в следующем порядке:
ü определяются все защищаемые объекты, подлежащие категорированию;
ü определяется высший гриф секретности обрабатываемой информации (ведущихся переговоров) для каждого ОТСС и выделенного помещения;
ü определяются условия размещения защищаемого объекта;
ü по таблице 1 устанавливаются категории ОТСС и выделенных помещений.
Результаты работы комиссии оформляются актом, который утверждается должностным лицом, назначившим комиссию.
Категория выделенных помещений, согласно СТР-97, устанавливается в зависимости от степени секретности обсуждаемых вопросов и условий эксплуатации (расположения) этих помещений.
Степень секретности обрабатываемой информации определяется высшим грифом секретности («особой важности», «совершенно секретно», «секретно») с учетом перечня сведений, подлежащих засекречиванию.
Условия расположения объектов защищаемых объектов могут быть особыми и обычными. При этом они считаются:
особыми, если объект защиты расположен на удалении менее100 мот учреждений иностранных государств (посольств, консульств, миссий, постоянных представительств иностранных государств, офисов иностранных и совместных с инофирмами предприятий, квартир и дач их иностранных сотрудников, пользующихся экстерриториальностью); обычными, если объект ТСПИ расположен на удалении более100 мот учреждений иностранных государств.
К помещениям 1 категории относятся помещения, специально предназначенные для проведения совещаний по вопросам особой важности, а также отдельные служебные кабинеты руководства учреждения (предприятия), в которых могут вестись обсуждения и переговоры по вопросам особой важности.
К помещениям 2 категории относятся помещения, специально предназначенные для проведения совещаний по совершенно секретным вопросам, а также служебные кабинеты руководящего состава учреждения (предприятия) и основных его подразделений, в которых могут вестись обсуждения и переговоры по совершенно секретным вопросам.
К помещениям 3 категории относятся служебные кабинеты и рабочие комнаты подразделений учреждения (предприятия), в которых проводятся обсуждения и переговоры по вопросам со степенью секретности не выше секретно, а также актовые и конференц-залы, предназначенные для массовых открытых мероприятий, но эпизодически используемые для проведения закрытых мероприятий.
Категория технических средств и систем устанавливается в зависимости от степени секретности обрабатываемой информации и условий их расположения относительно постоянных представительств иностранных государств, обладающих правом экстерриториальности.
Технические средства и системы, обрабатывающие информацию, составляющую государственную тайну, относятся к 1 категории, если в пределах зоны 2, рассчитанной по требованиям норм для 1 категории, находятся постоянные представительства иностранных государств, обладающие правом экстерриториальности.
При отсутствии в пределах зоны 2, рассчитанной по требованиям норм для 1 категории, постоянных представительств иностранных государств, обладающих правом экстерриториальности, категорирование технических средств и систем, обрабатывающих информацию, составляющую государственную тайну, проводится в соответствии с таблицей 1.
Таблица 1
Гриф обрабатываемой информации |
Выделенные помещения |
Технические средства и системы |
||
Условия расположения |
||||
Обычные |
Особые |
Обычные |
Особые |
|
“Особой важности” |
1 |
1 |
1 |
1 |
“Совершенно секретно” |
2 |
1 |
2 |
1 |
“Секретно” |
3 |
1 |
3 |
2 |
При наличии средств разграничения доступа к информации и вычислительным ресурсам допускается раздельное категорирование технических средств, входящих в состав защищаемой системы информатизации и соединенных с другими техническими средствами и системами физическими линиями, при обработке этими средствами и системами информации различной степени секретности.
Категории выделенных помещений, технических средств и систем информатизации, классы защищенности автоматизированных систем устанавливаются на предпроектной стадии руководителем предприятия (учреждения) по представлению подразделения по защите информации предприятия.
Пересмотр категории (класса защищенности) производится в обязательном порядке, если произошло изменение хотя бы одного из критериев, на основании которых они были, установлены, но не реже одного раза в 5 лет.
- 22. Подбор средств защиты информации от несанкционированного доступа
В общем случае, комплекс программно-технических средств и организационных (процедурных) решений по защите информации от НСД реализуется в рамках системы защиты информации от НСД (СЗИ НСД), условно состоящей из следующих четырех подсистем:
— управления доступом;
— регистрации и учета;
— криптографической;
— обеспечения целостности.
При этом подбор средств защиты информации от несанкционированного доступа определяется их функциональными возможностями по реализации требований к автоматизированным системам различных групп.
Подсистема управления доступом
Подсистема управления доступом предназначена для защиты ПЭВМ от посторонних пользователей, управления доступом к объектам доступа и организации совместного их использования зарегистрированными пользователями в соответствии с установленными правилами разграничения доступа.
Под посторонними пользователями понимаются все лица, не зарегистрированные в системе (не имеющие зарегистрированного в конкретной ПЭВМ персонального идентификатора). Защита от посторонних пользователей обеспечивается процедурами идентификации (сравнение предъявленного идентификатора с перечнем зарегистрированных на ПЭВМ) и аутентификации (подтверждение подлинности), которая обычно осуществляется путем ввода пароля определенной длины. Для идентификации пользователей в комплексах защиты от НСД наиболее часто используются персональные идентификаторы типа Touch Memory (Ibutton) DS 199X, отличающиеся высокой надежностью, уникальностью, наличием быстродействующей памяти, удобством пользования, приемлемыми массогабаритными характеристиками и низкой ценой.
В комплексах защиты от НСД могут быть реализованы два принципа управления доступом к защищаемым ресурсам: дискреционный и мандатный.
Дискреционный принцип управления доступом. Каждому зарегистрированному пользователю устанавливаются права доступа по принципу присвоения заданных характеристик доступа каждой паре «субъект-объект», которые прописываются в ПРД. При запросе пользователя на доступ обеспечивается однозначное трактование установленных ПРД и в зависимости от уровня полномочий пользователя разрешается или запрещается запрошенный тип доступа.
Данный вариант управления доступом позволяет для любого пользователя системы создать изолированную программную среду (ИПС), т.е. ограничить его возможности по запуску программ, указав в качестве разрешенных к запуску только те программы, которые действительно необходимы для выполнения пользователем своих служебных обязанностей. Таким образом, программы, не входящие в этот список, пользователь запустить не сможет.
Мандатный принцип управления доступом. Принцип управления доступом к ресурсам ПЭВМ (аппаратным и программным), основанный на сопоставлении уровня конфиденциальности, присваиваемого каждому ресурсу, и полномочиях конкретного зарегистрированного пользователя по доступу к ресурсам ПЭВМ с заданным уровнем конфиденциальности.
Для организации мандатного управления доступом, для каждого пользователя системы устанавливается некоторый уровень допуска к конфиденциальной информации, а каждому ресурсу (каталоги, файлы, аппаратные средства) присваивается так называемая метка конфиденциальности.
При этом разграничение доступа к конфиденциальным каталогам и файлам осуществляется путем сравнения уровня допуска пользователя и метки конфиденциальности ресурса и принятии решения о предоставлении или не предоставлении доступа к ресурсу.
Подсистема регистрации и учета
Подсистема регистрации и учета предназначена для регистрации в системном журнале, представляющем собой специальный файл, размещаемый на жестком диске ПЭВМ, различных событий, происходящих при работе ПЭВМ. При регистрации событий в системном журнале регистрируются:
дата и время события;
имя и идентификатор пользователя, осуществляющего регистрируемое действие;
действия пользователя (сведения о входе/выходе пользователя в/из системы, запусках программ, событиях НСД, изменении полномочий и др.). Доступ к системному журналу возможен только администратору ИБ (супервизору). События, регистрируемые в системном журнале, определяются администратором СЗИ.
Эта подсистема также реализует механизм обнуления освобождаемых областей памяти.
Подсистема криптографической защиты
Подсистема криптографической защиты предназначена для усиления защиты пользовательской информации, хранящейся на жестком диске ПЭВМ или сменных носителях. Подсистема криптографической защиты информации позволяет пользователю зашифровать/расшифровать свои данные с использованием индивидуальных ключей, как правило, хранящихся в персональном ТМ — идентификаторе.
Подсистема обеспечения целостности
Подсистема обеспечения целостности предназначена для исключения несанкционированных модификаций (как случайных, так и злоумышленных) программной и аппаратной среды ПЭВМ, в том числе программных средств комплекса и обрабатываемой информации, обеспечивая при этом защиту ПЭВМ от внедрения программных закладок и вирусов. В программно-аппаратных комплексах систем защиты информации (ПАКСЗИ) от НСД это обычно реализуется:
проверкой уникальных идентификаторов аппаратных частей ПЭВМ;
проверкой целостности назначенных для контроля системных файлов, в том числе файлов ПАКСЗИ НСД, пользовательских программ и данных;
контролем обращения к операционной системе напрямую, в обход прерываний DOS;
исключением возможности использования ПЭВМ без аппаратного контроллера комплекса;
механизмом создания замкнутой программной среды, запрещающей запуск привнесенных программ, исключающих несанкционированный выход в ОС.
При проверке целостности программной среды ПЭВМ вычисляется контрольная сумма файлов и сравнивается с эталонным (контрольным) значением, хранящимся в специальной области данных. Эти данные заносятся при регистрации пользователя и могут изменяться в процессе эксплуатации ПЭВМ. В комплексах защиты от НСД используется сложный алгоритм расчета контрольных сумм — вычисление значения их хэш-функций, исключающий факт необнаружения модификации файла.
- 23. Организация защиты ПЭВМ от несанкционированного доступа
24. Методы и средства защиты от несанкционированного доступа
В настоящее время в связи с бурным развитием средств вычислительной техники и появлением новых информационных технологий появилось новое направление добывания категорированной информации, тесно связанное с компьютерной преступностью и несанкционированным доступом (НСД) к информации ограниченного пользования. Развитие локальных и глобальных компьютерных сетей привело к необходимости закрытия несанкционированного доступа к информации, хранящейся в автоматизированных системах.
Целями защиты информации являются: предотвращение ущерба, возникновение которого возможно в результате утери (хищения, утраты, искажения, подделки) информации в любом ее проявлении.
Любое современное предприятие не может сегодня успешно функционировать без создания надежной системы защиты своей информации, включающей не только организационно-нормативные меры, но и технические программно-аппаратные средства, организации контроля безопасности информации при ее обработке, хранении и передаче в автоматизированных системах (АС).
Практика организации защиты информации от несанкционированного доступа при ее обработке и хранении в автоматизированных системах должна учитывать следующие принципы и правила обеспечения безопасности информации:
1. Соответствие уровня безопасности информации законодательным положениям и нормативным требованиям по охране сведений, подлежащих защите по действующему законодательству, в т.ч. выбор класса защищенности АС в соответствии с особенностями обработки информации (технология обработки, конкретные условия эксплуатации АС) и уровнем ее конфиденциальности.
2. Выявление конфиденциальной (защищаемой) информации и ее документальное оформление в виде перечня сведений, подлежащих защите, его своевременная корректировка.
3. Наиболее важные решения по защите информации должны приниматься руководством предприятия или владельцем АС.
4. Определение порядка установления уровня полномочий пользователей, а также круга лиц, которым это право предоставлено (администраторы информационной безопасности).
5. Установление и оформление правил разграничения доступа (ПРД), т.е. совокупности правил, регламентирующих права доступа субъектов доступа к объектам доступа.
6. Установление личной ответственности пользователей за поддержание уровня защищенности АС при обработке сведений, подлежащих защите.
7. Обеспечение физической охраны объекта, на котором расположена защищаемая АС (территория, здания, помещения, хранилища информационных носителей), путем установления соответствующих постов, технических средств охраны или любыми другими способами, предотвращающими или существенно затрудняющими хищение средств вычислительной техники (СВТ), информационных носителей, а также НСД к СВТ и линиям связи.
8. Организация службы безопасности информации (ответственные лица, администратор ИБ), осуществляющей учет, хранение и выдачу информационных носителей, паролей, ключей, ведение служебной информации СЗИ НСД (генерацию паролей, ключей, сопровождение правил разграничения доступа), приемку включаемых в АС новых программных средств, а также контроль за ходом технологического процесса обработки конфиденциальной информации и т.д.
9. Планомерный и оперативный контроль уровня безопасности защищаемой информации согласно применяемых руководящих документов по безопасности информации, в т.ч. проверка защитных функций средств защиты информации.
Средства защиты информации должны иметь сертификат, удостоверяющий их соответствие требованиям по безопасности информации.
Анализ опыта работ, связанных с обработкой и хранением информации с использованием средств вычислительной техники, позволил сделать выводы и обобщить перечень возможных угроз информации. Условно их можно разделить на три вида:
-нарушение конфиденциальности информации;
-нарушение целостности информации;
-нарушение доступности информации.
Исходя из этого и строится система защиты автоматизированных систем и ПЭВМ от несанкционированного доступа.
- 24. Методы и средства защиты от несанкционированного доступа
Методы можно классифицировать на формальные и неформальные.
Неформальный метод описывает процесс реализации какой-либо функции, который не может быть выражен в обобщённых алгоритмах. При этом под алгоритмом понимается точное предписание, определяющее последовательность действий, необходимую для получения требуемого результата.
Формальный метод задаёт обобщённые алгоритмы реализации какой-либо функции или другими словами – обобщённые алгоритмы решения какой-либо задачи.
Отдельные методы могут быть комбинированными или полуформальными, когда одна их часть соответствует формальному признаку, а другая – неформальному.
По способам осуществления все меры обеспечения безопасности компьютерных систем подразделяются на правовые (законодательные), морально-этические, административные, физические и аппаратно-программные. Все перечисленные меры безопасности АС можно рассматривать как последовательность барьеров или рубежей защиты информации.
Для использования методов защиты АС на практике создаются средства защиты. Средства защиты в свою очередь также разделяются на формальные и неформальные.
Формальные средства являются техническими устройствами или компьютерными программами, функционирующими по реализованным в них алгоритмам.
Неформальные средства сами по себе функционировать не могут, так как являются мероприятиями, проводимыми людьми, или правилами (законами, актами, нормами и т.д.), регламентирующими деятельность людей или функционирование формальных средств защиты.
- 25. Методы защиты программно-аппаратными средствами АС
Функции и методы:
Защита от несанкционированного доступа к ресурсам АС
— Идентификация
— Аутентификация
— Разграничение доступа
— Завершение сеанса работы
— Защита от компьютерных вирусов
— Регистрация и сигнализация
Защита от несанкционированного использования ресурсов
— Защита программ от копирования, исследования и модификации
— Шифрование и контрольное суммирование информации
— Уничтожение остаточных данных и аварийное уничтожение
— Регистрация и сигнализация
Защита от некорректного использования ресурсов
— Изолирование участков оперативной памяти
— Защита системных областей внешней памяти
— Поддержание целостности и непротиворечивости данных
Внесение информационной и функциональной избыточности ресурсов АС
— Резервирование информации
— Тестирование и самотестирование
— Восстановление и самовосстановление
— Дублирование компонентов АС
Разработка качественных программно-аппаратных средств АС
— Системный анализ концепции
— Безошибочное проектирование
— Эффективная отладка
- 26. Требования и рекомендации по защите информации от несанкционированного доступа
Основными направлениями защиты информации являются:
— Обеспечение защиты информации от хищения, утраты, утечки, уничтожения, искажения и подделки за счет несанкционированного доступа (НСД) и специальных воздействий;
— Обеспечение защиты информации от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи.
В качестве основных мер защиты информации с ограниченным доступом рекомендуются:
— Документальное оформление перечней сведений конфиденциального характера и чувствительной информации, подлежащей защите;
— Реализация разрешительной системы допуска исполнителей (пользователей, обслуживающего персонала) к работам, документам и информации с ограниченным доступом;
— Ограничение доступа персонала и посторонних лиц в защищаемые помещения и помещения, где размещены средства информатизации и коммуникации, а также хранятся носители информации;
— Разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;
— Учет документов, информационных массивов, регистрация действий пользователей АС и обслуживающего персонала, контроль за несанкционированным доступом и действиями пользователей, обслуживающего персонала и посторонних лиц;
— Надежное хранение традиционных и машинных носителей информации, ключей (ключевой документации) и их обращение, исключающее их хищение, подмену и уничтожение;
— Необходимое резервирование технических средств и дублирование массивов и носителей информации;
— Использование сертифицированных серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации;
— Использование сертифицированных средств защиты информации;
— Использование технических средств, удовлетворяющих требованиям стандартов по электромагнитной совместимости;
— Размещение объектов защиты на максимально возможном расстоянии относительно границы контролируемой зоны предприятия (учреждения);
— Размещение понижающих трансформаторных подстанций электропитания и контуров заземления объектов защиты в пределах контролируемой зоны;
— Развязка цепей электропитания объектов защиты с помощью защитных фильтров, блокирующих (подавляющих) информативный сигнал;
— Электрическая развязка линий связи и других цепей, выходящих за пределы контролируемой зоны и остающихся внутри нее;
— Использование защищенных каналов связи;
— Размещение дисплеев и других средств отображения информации, исключающее несанкционированный просмотр информации;
— Организация физической защиты помещений и собственно технических средств с помощью сил охраны и технических средств, предотвращающих или существенно затрудняющих проникновение в здания, помещения посторонних лиц, хищение документов и информационных носителей, самих средств информатизации, исключающих нахождение внутри контролируемой зоны технических средств разведки или промышленного шпионажа;
— Криптографическое преобразование информации, обрабатываемой и передаваемой средствами вычислительной техники и связи (при необходимости, определяемой особенностями функционирования конкретных АС и систем связи);
— Предотвращение внедрения в автоматизированные системы программ-вирусов, программных закладок.
В целях дифференцированного подхода к защите информации, обрабатываемой в АС различного уровня и назначения, осуществляемого в целях разработки и применения необходимых и достаточных мер и средств защиты информации, проводится классификация автоматизированных систем.
Классификация АС осуществляется на основании требований РД Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» настоящего раздела документа.
Классификации подлежат все действующие, но ранее не классифицированные, и разрабатываемые АС, предназначенные для обработки информации с ограниченным доступом.
Классифицируются АС любого уровня и назначения. Условно выделяются следующие виды АС:
— Автоматизированные рабочие места (АРМ) на базе автономных ПЭВМ;
— Локальные вычислительные сети;
— Вычислительные системы с терминальной сетью на базе различных ЭВМ;
— Неоднородные вычислительные сети на базе ЭВМ различных типов;
— Корпоративные вычислительные сети;
— Глобальные вычислительные сети, в том числе с выходом в международные телекоммуникационные сети,
— Другие АС.
Конкретные требования по защите информации и мероприятия по их выполнению определяются в зависимости от установленного для АС класса защищенности.