Система защиты информации должна соответствовать требованиям. Требования к защите секретной информации. Требования к защите от влияния внешних воздействий

К сожалению, вместе с ростом популярности Android смартфонов растет и количество вирусов, которые атакуют пользователей данных устройств. Все чаще можно услышать истории о заражении смартфонов вирусами, которые привели к взлому аккаунтов или потере денег.

Но, если проявлять некоторую осторожность, то риск заражения можно значительно снизить. В этой статье мы дадим несколько советов, как защитить Android смартфон от вирусов.

Совет № 1. Устанавливайте приложения только из магазина Google Play Market.

Операционная система Андроид позволяет устанавливать приложения из любых источников. Вы можете зайти на любой сайт, скачать там приложение в формате его на свой смартфон. Такой подход очень удобен и дружелюбен по отношению к пользователю, поскольку он не привязан к одному магазину приложений.

Но, с другой стороны установка приложений из сторонних сайтов несет большие риски. Такие приложения никем не проверяются и могут содержать все что угодно. Это могут быть вирусы, трояны или другое вредоносное программное обеспечение.

В особенности это относится к платным приложениям, которые бесплатно распространяются через сторонние сайты. Вместе со снятием защиты взломщики могли встроить в приложение собственный вредоносный код. Поэтому, если вы хотите защитить свой Андроид смартфон от вирусов, то в никоем случае не экономьте на приложениях и не скачивайте их из интернета, только из Play Market.

Также не редко во время просмотра веб-страниц с помощью Андроид смартфона можно увидеть всплывающие сообщения о том, что вам нужно обновить операционную систему, установить веб-браузер или запустить Flash-плеер. Также в некоторых случаях может появляться предложение установить какой-то APK-файл. Все это – попытки внедрить вирус на ваш Андроид смартфон.

В случае появления подобных неожиданных предложений что-то установить или обновить просто закройте вкладку с данным сайтом и больше на него не заходите.

Совет № 2. Устанавливайте только популярные приложения от известных разработчиков.

Если приложение доступно в магазине Play Market, то это еще не гарантирует, что оно полностью безопасно. Несмотря на то, что доступные в магазине приложения проверяются, всегда есть вероятность, что разработчикам вирусов удастся хорошо скрыть вредоносный код и такое приложения пройдет проверку.

Для того чтобы защитить свой Андроид смартфон от подобных скрытых вирусов нужно очень внимательно относиться к тому, что вы устанавливаете. Старайтесь устанавливать только популярные приложения, у которых есть хотя бы 100 тысяч установок. Если в популярном приложении вдруг появится вирус, то это обнаружат намного быстрее, а значит подобные приложения намного безопасней.

Совет № 3. Не получайте Root-права.

На Андроид смартфоне можно . Это обеспечивает полный доступ ко всей операционной системе и позволяет модифицировать ее на свое усмотрения. Такой доступ позволяет внедрять в систему новые функции, изменять ее внешний вид и удалять системные приложения.

Но, сточки зрения защиты от вирусов получение Root-прав создает ряд проблем. Например, вы лишаетесь возможности получать обновления операционной системы. Также Root-доступ открывает перед вирусами дополнительные дыры для внедрения в операционную систему Андроид.

Опасность получения Root-прав настолько высока, что многие банковские приложения отказываются работать если обнаруживают, что пользователь получил такой доступ.

Совет № 4. Используйте антивирус.

Антивирусы на Андроид смартфонах не так эффективны, как на ПК, но они все равно обеспечивают некоторый уровень защиты. Поэтому если вы хотите защитить Андроид смартфон от вирусов, то не стоит пренебрегать этой возможностью немного повысить уровень безопасности.

Чтобы установить антивирус зайдите в магазин приложений Play Market и воспользуйтесь поисковой строкой, которая находится вверху экрана. Введите поисковый запрос «Антивирус», изучите список доступных антивирусов и выберите любой из понравившихся.

Совет № 5. Обновляйте операционную систему.

– основный принцип безопасности для любой операционной системы и Андроид здесь не исключение. В обновлениях часто закрывают уязвимости, которые позволяют вирусам проникать в систему и воровать данные пользователя.

Поэтому, если для вашего смартфона появляются обновления, которые можно установить, то их обязательно нужно устанавливать. Это касается как самой операционной системы Андроид, так и приложений, которые установлены. Все должно быть обновлено до последней доступной версии.

Анализ состояния дел в сфере защиты информации показывает, что уже сложилась вполне сформировавшаяся концепция и структура защиты, основу которой составляют:

1. Весьма развитый арсенал технических средств защиты информации, производимых на промышленной основе.

2. Значительное число фирм, специализирующихся на решении вопросов защиты информации.

3. Достаточно четко очерченная система взглядов на эту проблему.

4. наличие значительного практического опыта и другое.

И тем не менее, как свидетельствует отечественная и зарубежная печать, злоумышленные действия над информацией не только не уменьшаются, но и имеют устойчивую тенденцию к росту.

Опыт показывает, что для борьбы с этой тенденцией необходима стройная и целенаправленная организация процесса защиты информационных ресурсов.

Причем в этом должны активно участвовать:

· профессиональные специалисты;

· администрация;

· сотрудники;

· пользователи.

Из этого следует, что:

1. Обеспечение безопасности информации не может быть одноразовым актом. Это непрерывный процесс, заключающийся в обосновании и реализации наиболее рациональных методов, способов и путей совершенствования и развития системы защиты, непрерывном контроле ее состояния, выявлении ее узких и слабых мест и противоправных действий.

2. Безопасность информации может быть обеспечена лишь при комплексном использовании всего арсенала имеющихся средств защиты во всех структурных элементах производственной системы и на всех этапах технологического цикла обработки информации. Наибольший эффект достигается тогда, когда все используемые средства, методы и меры объединяются в единый целостный механизм – систему защиты информации . При этом функционирование системы должно контролироваться, обновляться и дополняться в зависимости от изменения внешних и внутренних условий.

3. Никакая СЗИ не может обеспечить требуемого уровня безопасности информации без надлежащей подготовки пользователей и соблюдения ими всех установленных правил, направленных на ее защиту.

С учетом накопленного опыта можно определить систему защиты информации как организованную совокупность специальных органов, средств, методов и мероприятий, обеспечивающих защиту от внутренних и внешних угроз.

Таким образом, под системой безопасности будем понимать организованную совокупность специальных органов, служб, средств, методов и мероприятий, обеспечивающих защиту жизненно важных интересов личности, предприятия и государства от внутренних и внешних угроз.

Как и любая система, система информационной безопасности имеет свои цели, задачи, методы и средства деятельности, которые согласовываются по месту и времени в зависимости от условий.

С позиций системного подхода к защите информации предъявляются определенные требования. Защита информации должна быть:

1. Непрерывной. Это требование проистекает из того, что злоумышленники только и ищут возможность, как бы обойти защиту интересующей их информации.

2. Плановой. Планирование осуществляется путем разработки каждой службой детальных планов защиты информации в сфере ее компетенции с учетом общей цели предприятия (организации).

3. Целенаправленной. Защищается то, что должно защищаться в интересах конкретной цели, а не все подряд.

4. Обоснованной. Сложность решаемых задач, большой объем работ, а также ограниченность ресурсов вызывают необходимость глубокого научного обоснования принимаемых решений по защите информации. При обосновании необходимости защиты надо исходить из внешнеполитических, оборонных и экономических интересов госу­дарства, закладывая в решение проблем передовые научно-техни­ческие идеи и достижения.

5. Достаточной. Означает необходимость поиска надежных мер защиты, избегая излишних затрат. Обеспечивается применением наиболее совершенных методов и средств защиты. Способствует соблюдению баланса интересов государства и отдельных органи­заций (предприятий), граждан.

6. Гибкой в управлении. Ввиду многочисленности защищаемых объектов и сведений, возможного резкого изменения разведобстановки, условий защиты и важности защищаемой информации нуж­на гибко управляемая структура, обеспечивающая способность прогнозирования угроз и их упреждающую нейтрализацию, опе­ративную и эффективную ликвидацию последствий угрозы. Обес­печивается главным образом высокой степенью автоматизации средств и систем защиты и наличием быстродействующей обрат­ной связи.

7. Конкретной. Защите подлежат конкретные данные, объективно подлежащие охране, утрата которых может причинить организации определенный ущерб.

8. Активной. Защищать информацию необходимо с достаточной степенью настойчивости

9. Надежной. Методы и формы защиты должны быть надежно перекрывать возможные пути неправомерного доступа к охраняемым секретам, независимо от формы их представления, языка выражения и вида физического носителя, на котором они закреплены.

10. Своевременной. Своевременность диктует необходимость заблаговременной, до начала проведения секретных работ, разработки мер защиты и контроля. Несвоевременное проведение мероприятий по защите может не только снизить ее эффективность, но и привести к об­ратному результату.

11. Универсальной. Считается, что в зависимости от вида канала утечки или способа несанкционированного доступа его необходимо перекрывать, где бы он ни проявился, разумными и достаточными средствами, независимо от характера, формы и вида информации.

12. Комплексной. Для защиты информации во всем многообразии структурных элементов должны применяться все виды и формы защиты в полном объеме. Недопустимо применять лишь отдельные формы или технические средства. Комплексный характер защиты проистекает из того, что защита – это специфическое явление, представляющее собой сложную систему неразрывно взаимосвязанных и взаимозависимых процессов, каждый из которых в свою очередь имеет множество различных взаимно обусловливающих друг друга сторон, свойств, тенденций.

Зарубежный и отечественный опыт показывает, что для обеспечения выполнения столь многогранных требований безопасности система защиты информации должна удовлетворять определенным условиям:

1. Охватывать весь технологический комплекс информационной деятельности.

2. Быть разнообразной по используемым средствам, многоуровневой с иерархической последовательностью доступа.

3. Быть открытой для изменения и дополнения мер обеспечения безопасности информации.

4. Быть нестандартной, разнообразной. При выборе средств защиты нельзя рассчитывать на неосведомленность, злоумышленников относительно ее возможностей.

5. Быть простой для технического обслуживания и удобной для эксплуатации пользователями.

6. Быть надежной. Любые поломки технических средств являются причиной появления неконтролируемых каналов утечки информации.

7. Быть комплексной, обладать целостностью, означающей, что ни одна часть не может быть изъята без ущерба для всей системы.

К системе защиты информации предъявляются также определенные требования :

· четкость определения полномочий и прав пользователей на доступ к определенным видам информации;

· предоставление пользователю минимальных полномочий, необходимых ему для выполнения порученной работы;

· сведение к минимуму числа общих для нескольких пользователей средств защиты;

· учет случаев и попыток несанкционированного доступа к конфинденциальной информации;

· обеспечение оценки степени конфинденциальной информации;

· обеспечение контроля целостности средств защиты и немедленное реагирование на их выход из строя.

Исторически сложившийся подход к классификации государственной информации (данных) по уровням требований к ее защищенности основан на рассмотрении и обеспечении только одного свойства информации - ее конфиденциальности (секретности). Требования же к обеспечению целостности и доступности информации, как правило, лишь косвенно фигурируют среди общих требований к системам обработки этих данных. Считается, что раз к информации имеет доступ только узкий круг доверенных лиц, то вероятность ее искажения (несанкционированного уничтожения) незначительна. Низкий уровень доверия к АС и предпочтение к бумажной информационной технологии еще больше усугубляют ограниченность данного подхода.

Если такой подход в какой-то степени оправдан в силу существующей приоритетности свойств безопасности важной государственной информации, то это вовсе не означает, что его механический перенос в другую предметную область (с другими субъектами и их интересами) будет иметь успех.

Во многих областях деятельности (предметных областях) доля конфиденциальной информации сравнительно мала. Для коммерческой и персональной информации, равно как и для государственной информации, не подлежащей засекречиванию, приоритетность свойств безопасности информации может быть иной. Для открытой информации, ущерб от разглашения которой несущественен, важнейшими могут быть такие качества, как доступность, целостность или защищенность от неправомерного тиражирования. К примеру, для платежных (финансовых) документов самым важным является свойство их целостности (достоверности, неискаженности). Затем, по степени важности, следует свойство доступности (потеря платежного документа или задержка платежей может обходиться очень дорого). Требований к обеспечению конфиденциальности отдельных платежных документов может не предъявляется вообще.

Попытки подойти к решению вопросов защиты такой информации с позиций традиционного обеспечения только конфиденциальности, терпят провал. Основными причинами этого, на наш взгляд, являются узость существующего подхода к защите информации, отсутствие опыта и соответствующих проработок в плане обеспечения целостности и доступности информации, не являющейся конфиденциальной.

Развитие системы классификации информации по уровням требований к ее защищенности предполагает введение ряда степеней (градаций) требований по обеспечению каждого из свойств безопасности информации: доступности, целостности, конфиденциальности и защищенности от тиражирования. Пример градаций требований к защищенности:

· нет требований;

· низкие;

· средние;

· высокие;

· очень высокие.

Количество дискретных градаций и вкладываемый в них смысл могут различаться. Главное, чтобы требования к защищенности различных свойств информации указывались отдельно и достаточно конкретно (исходя из серьезности возможного наносимого субъектам информационных отношений ущерба от нарушения каждого из свойств безопасности информации).

В дальнейшем любой отдельный функционально законченный документ (некоторую совокупность знаков), содержащий определенные сведения, вне зависимости от вида носителя, на котором он находится, будем называть информационным пакетом .

К одному типу информационных пакетов будем относить пакеты (типовые документы), имеющие сходство по некоторым признакам (по структуре, технологии обработки, типу сведений и т.п.).

Задача состоит в определении реальных уровней заинтересованности (высокая, средняя, низкая, отсутствует) субъектов в обеспечении требований к защищенности каждого из свойств различных типов информационных пакетов, циркулирующих в АС.

Требования же к системе защиты АС в целом (методам и средствам защиты) должны определяться, исходя из требований к защищенности различных типов информационных пакетов, обрабатываемых в АС, и с учетом особенностей конкретных технологий их обработки и передачи (уязвимости).

В одну категорию объединяются типы информационных пакетов с равными приоритетами и уровнями требований к защищенности (степенью важности обеспечения их свойств безопасности: доступности, целостности и конфиденциальности).

Предлагаемый порядок определения требований к защищенности циркулирующей в системе информации представлен ниже:

1. Составляется общий перечень типов информационных пакетов, циркулирующих в системе (документов, таблиц). Для этого с учетом предметной области системы пакеты информации разделяются на типы по ее тематике, функциональному назначению, сходности технологии обработки и т.п. признакам.

2. На последующих этапах первоначальное разбиение информации (данных) на типы пакетов может уточняться с учетом требований к их защищенности.

Затем для каждого типа пакетов, выделенного в первом пункте, и каждого критического свойства информации (доступности, целостности, конфиденциальности) определяются (например, методом экспертных оценок):

· перечень и важность (значимость по отдельной шкале) субъектов, интересы которых затрагиваются при нарушении данного свойства информации;

· уровень наносимого им при этом ущерба (незначительный, малый, средний, большой, очень большой и т.п.)и соответствующий уровень требований к защищенности.

При определении уровня наносимого ущерба необходимо учитывать:

· стоимость возможных потерь при получении информации конкурентом;

· стоимость восстановления информации при ее утрате;

· затраты на восстановление нормального процесса функционирования АС и т.д.

Если возникают трудности из-за большого разброса оценок для различных частей информации одного типа пакетов, то следует пересмотреть деление информации на типы пакетов, вернувшись к предыдущему пункту методики.

3. Для каждого типа информационных пакетов с учетом значимости субъектов и уровней наносимого им ущерба устанавливается степень необходимой защищенности по каждому из свойств информации (при равенстве значимости субъектов выбирается максимальное значение уровня).

Пример оценки требований к защищенности некоторого типа информационных пакетов приведен в таблице 1.

Таблица 1

Оценка требований к защищенности информационных пакетов

Субъекты	Уровень ущерба по свойствам информации
	Конфиденциальность	Целостность	Доступность	Защита от тиражирования
N 1	Нет	Средняя	Средняя	Нет
N 2	Высокая	Средняя	Средняя	Нет
N 3	Низкая	Низкая	Низкая	Нет
В итоге	Высокая	Средняя	Средняя	Нет

Система защиты информации, как любая система, должна иметь определенные виды собственного обеспечения, опираясь на которые она будет выполнять свою целевую функцию.

С учетом этого система защиты информации может иметь:

1. Правовое обеспечение. Сюда входят нормативные документы, положения, инструкции, руководства, требования которых являются обязательными в рамках сферы их действия.

2. Организационное обеспечение . Имеется в виду, что реализация защиты информации осуществляется определенными структурными единицами, такими как: служба защиты документов; служба режима, допуска, охраны; служба защиты информации техническими средствами; информационно-аналитическая деятельность и другими.

3. Аппаратное обеспечение. Предполагается широкое использование технических средств как для защиты информации, так и для обеспечения деятельности собственно СЗИ.

4. Информационное обеспечение. Оно включает в себя сведения, данные, показатели, параметры, лежащие в основе решения задач, обеспечивающих функционирование системы. Сюда могут входить как показатели доступа, учета, хранения, так и системы информационного обеспечения расчетных задач различного характера, связанных с деятельностью службы обеспечения безопасности.

5. Программное обеспечение. К нему относятся различные информационные, учетные, статистические и расчетные программы, обеспечивающие оценку наличия и опасности различных каналов утечки и путей несанкционированного проникновения к источникам конфиденциальной информации.

6. Математическое обеспечение. Предполагает использование математических методов для различных расчетов, связанных с оценкой опасности технических средств злоумышленников, зон и норм необходимой защиты.

7. Лингвистическое обеспечение. Совокупность специальных языковых средств общения специалистов и пользователей в сфере защиты информации.

8. Нормативно-методическое обеспечение. Сюда входят нормы и регламенты деятельности органов, служб, средств, реализующих функции защиты информации, различного рода методики, обеспечивающие деятельность пользователей при выполнении своей работы в условиях жестких требований защиты информации.

Требования к современным системам защиты информации основаны на материалах отечественных стандартов по информационной безопасности и руководящих документов (РД) по технической защите информации Государственной технической комиссии (ГТК) России.

Система (подсистема) защиты информации, обрабатываемой в автоматизированных системах различного уровня и назначения, должна предусматривать комплекс организационных, программных, технических и, при необходимости, криптографических средств и мер по защите информации при ее автоматизированной обработке, хранении и передаче по каналам связи.

Основными направлениями защиты информации являются:

• обеспечение защиты информации от хищения, утраты, утечки, уничтожения, искажения и подделки в результате несанкционированного доступа (НСД) и специальных воздействий;
• обеспечение защиты информации от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи.

В качестве основных мер защиты информации рекомендуются:

• документальное оформление перечня сведений конфиденциального характера с учетом ведомственной и отраслевой специфики этих сведений;
• реализация разрешительной системы допуска исполнителей (пользователей, обслуживающего персонала) к информации и связанным с ее использованием работам и документам;
• ограничение доступа персонала и посторонних лиц в защищаемые помещения и помещения, где размещены средства информатизации и коммуникации и хранятся носители информации;
• разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;
• регистрация действий пользователей автоматизированной системы (АС) и обслуживающего персонала, контроль за НСД и действиями пользователей, обслуживающего персонала и посторонних лиц;
• учет и надежное хранение бумажных и машинных носителей информации, ключей (ключевой документации) и их обращение, исключающее их хищение, подмену и уничтожение;
• использование специальных защитных знаков (СЗЗ), создаваемых на основе физико-химических технологий для контроля доступа к объектам защиты и для защиты документов от подделки;
• необходимое резервирование технических средств и дублирование массивов и носителей информации;
• использование сертифицированных серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации;
• использование технических средств, удовлетворяющих требованиям стандартов по электромагнитной совместимости;
• использование сертифицированных средств защиты информации;
• размещение объектов защиты на максимально возможном расстоянии относительно границы контролируемой зоны (КЗ);
• размещение понижающих трансформаторных подстанций электропитания и контуров заземления объектов защиты в пределах КЗ;
• развязка цепей электропитания объектов защиты с помощью защитных фильтров, блокирующих (подавляющих) информативный сигнал;

Приложение. Требования к современным системам защиты 399

• электромагнитная развязка между линиями связи и другими цепями вспомогательных технических средств и систем (ВТСС), выходящими за пределы КЗ, и информационными цепями, по которым циркулирует защищаемая информация;
• использование защищенных каналов связи и криптографических средств защиты информации (СЗИ);
• размещение дисплеев и других средств отображения информации, исключающее несанкционированный просмотр информации;
• организация физической защиты помещений и собственно технических средств с помощью сил охраны и технических средств, предотвращающих или существенно затрудняющих проникновение в помещения посторонних лиц, хищение документов и информационных носителей, самих средств информатизации, исключающих нахождение внутри контролируемой зоны технических средств разведки или промышленного шпионажа;
• криптографическое преобразование информации, обрабатываемой и передаваемой средствами вычислительной техники и связи;
• предотвращение внедрения в АС программ-вирусов и программных закладок.

В целях дифференцированного подхода к защите информации, обрабатываемой в АС различного уровня и назначения, проводится классификация АС. Классификация АС осуществляется на основании требований РД ГТК России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» .

Конкретные требования по защите информации и мероприятия по их выполнению определяются в зависимости от установленного для АС класса защищенности. Рекомендуемые классы защищенности АС, СЗЗ, средств защиты информации по уровню контроля отсутствия недекларированных возможностей, а также показатели по классам защищенности СВТ и МЭ от НСД к информации приведены в таблице .

Лица, допущенные к автоматизированной обработке конфиденциальной информации, несут ответственность за соблюдение установленного в учреждении (на предприятии) порядка обеспечения защиты этой информации.

Классы защищенности от НСД к информации

Руководящий документ

Классы защищенности

Автоматизированные

1-я группа

Средства вычислительной

3-я группа

Межсетевые экраны

Специальные защитные знаки

Неде клари рованные возможности

Конкретные требования к современным системам защиты информации приведены в следующих руководящих документах Гостехкомиссии России и государственных стандартах РФ:

• 1. Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации. РД ГТК России. М., 1992.
• 2. Средства вычислительной техники. Защита от НСД к информации. Показатели защищенности от НСД к информации. РД ГТК России. М., 1992.
• 3. Средства вычислительной техники. МЭ. Защита от НСД к информации. Показатели защищенности от НСД к информации. РД ГТК России. М., 1997.
• 4. Защита информации. Специальные защитные знаки. Классификация и общие требования. РД ГТК России. М., 1992.
• 5. Защита от НСД к информации. Часть 1. ПО средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей. РД ГТК России. М., 1999.
• 6. Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К). РД ГТК России. М., 2001.
• 7. ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования.
• 8. ГОСТ Р 51583-2000. Защита информации. Порядок создания систем в защищенном исполнении.

«СПЕЦИАЛЬНЫЕ ТРЕБОВАНИЯ И РЕКОМЕНДАЦИИ ПО ТЕХНИЧЕСКОЙ ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ (СТР-К) Москва 2001 СОДЕРЖАНИЕ 2. ОБЩИЕ ПОЛОЖЕНИЯ 3. ...»

-- [ Страница 1 ] --

ГОСУДАРСТВЕННАЯ ТЕХНИЧЕСКАЯ КОМИССИЯ ПРИ ПРЕЗИДЕНТЕ РОССИЙСКОЙ ФЕДЕРАЦИИ

Решение Коллегии Гостехкомиссии России № 7.2/02.03.01г.

Утверждено 30.08.2002 приказом Председателя Гостехкомиссии России № 282

КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ

Москва 2001

1. ТЕРМИНЫ, ОПРЕДЕЛЕНИЯ И СОКРАЩЕНИЯ

2. ОБЩИЕ ПОЛОЖЕНИЯ

4.1. Общие положения

4.3. Защита информации, циркулирующей в системах звукоусиления и звукового сопровождения кинофильмов

4.4. Защита информации при проведении звукозаписи.

4.5. Защита речевой информации при ее передаче по каналам связи

5. ТРЕБОВАНИЯ И РЕКОМЕНДАЦИИ ПО ЗАЩИТЕ ИНФОРМАЦИИ, ОБРАБАТЫВАЕМОЙ СРЕДСТВАМИ

ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ

5.4. Порядок обеспечения защиты конфиденциальной информации при эксплуатации АС

5.5. Защита конфиденциальной информации на автоматизированных рабочих местах на базе автономных ПЭВМ

5.6. Защита информации при использовании съемных накопителей большой емкости для автоматизированных рабочих мест на базе автономных ПЭВМ

5.7. Защита информации в локальных вычислительных сетях

5.8. Защита информации при межсетевом взаимодействии

5.9. Защита информации при работе с системами управления базами данных

6. РЕКОМЕНДАЦИИ ПО ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ИНФОРМАЦИИ, СОДЕРЖАЩЕЙСЯ В НЕГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ РЕСУРСАХ, ПРИ ВЗАИМОДЕЙСТВИИ АБОНЕНТОВ С

ИНФОРМАЦИОННЫМИ СЕТЯМИ ОБЩЕГО ПОЛЬЗОВАНИЯ

6.1. Общие положения

6.2. Условия подключения абонентов к Сети

6.3. Порядок подключения и взаимодействия абонентских пунктов с Сетью, требования и рекомендации по обеспечению безопасности информации

7. ПРИЛОЖЕНИЯ:

1. Акт классификации автоматизированной системы обработки информации

2. Аттестат соответствия автоматизированной системы требованиям по безопасности информации

3. Аттестат соответствия защищаемого помещения требованиям по безопасности информации

4. Форма технического паспорта на защищаемое помещение

5. Форма технического паспорта на автоматизированную систему

6. Пример документального оформления перечня сведений конфиденциального характера

7. Классы защищенности от несанкционированного доступа к информации

8. Основные нормативные правовые акты и методические документы по защите конфиденциальной информации

1. ТЕРМИНЫ, ОПРЕДЕЛЕНИЯ И СОКРАЩЕНИЯ

В настоящем документе приняты следующие основные термины, определения и сокращения:

1.1. Абонент Сети (см. также п. 1.14) - лицо, являющееся сотрудником учреждения (предприятия), имеющее соответствующим образом оформленное разрешение и технические возможности на подключение и взаимодействие с Сетями.

1.2. Абонентский пункт (АП) - средства вычислительной техники учреждения (предприятия), подключаемые к Сетям с помощью коммуникационного оборудования.

АП могут быть в виде автономных персональных электронно-вычислительных машин (ПЭВМ) с модемом и не иметь физических каналов связи с другими средствами вычислительной техники (СВТ) предприятия, а также в виде одной или нескольких объединенных локальных вычислительных сетей (ЛВС) с рабочими станциями и серверами, соединенных с Сетями через коммуникационное оборудование (модемы, мосты, шлюзы, маршрутизаторы-роутеры, мультиплексоры, коммуникационные серверы и т.п.).

1.3. Автоматизированная система (АС) - система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

1.4. Администратор АС - лицо, ответственное за функционирование автоматизированной системы в установленном штатном режиме работы.

1.5. Администратор защиты (безопасности) информации - лицо, ответственное за защиту автоматизированной системы от несанкционированного доступа к информации.

1.6. Безопасность информации - состояние защищенности информации, характеризуемое способностью персонала, технических средств и информационных технологий обеспечивать конфиденциальность (т.е. сохранение в тайне от субъектов, не имеющих полномочий на ознакомление с ней), целостность и доступность информации при ее обработке техническими средствами.

1.7. Вспомогательные технические средства и системы (ВТСС) - технические средства и системы, не предназначенные для передачи, обработки и хранения конфиденциальной информации, устанавливаемые совместно с основными техническими средствами и системами или в защищаемых помещениях.

К ним относятся:

различного рода телефонные средства и системы;

средства и системы передачи данных в системе радиосвязи;

средства и системы охранной и пожарной сигнализации;

средства и системы оповещения и сигнализации;

контрольно-измерительная аппаратура;

средства и системы кондиционирования;

средства и системы проводной радиотрансляционной сети и приема программ радиовещания и телевидения (абонентские громкоговорители, системы радиовещания, телевизоры и радиоприемники и т.д.);

средства электронной оргтехники;

средства и системы электрочасофикации;

иные технические средства и системы.

1.8. Доступ к информации (доступ) - ознакомление с информацией, ее обработка, в частности, копирование, модификация или уничтожение информации.

1.9. Доступность (санкционированная доступность) информации - состояние информации, характеризуемое способностью технических средств и информационных технологий обеспечивать беспрепятственный доступ к информации субъектов, имеющих на это полномочия.

1.10. Защита информации от несанкционированного доступа (защита от НСД) или воздействия - деятельность, направленная на предотвращение получения информации заинтересованным субъектом (или воздействия на информацию) с нарушением установленных прав или правил.

1.11. Специальный защитный знак (СЗЗ) - сертифицированное и зарегистрированное в установленном порядке изделие, предназначенное для контроля несанкционированного доступа к объектам защиты путем определения подлинности и целостности СЗЗ, путем сравнения самого знака или композиции "СЗЗ - подложка" по критериям соответствия характерным признакам визуальными, инструментальными и другими методами.

1.12. Защищаемые помещения (ЗП) - помещения (служебные кабинеты, актовые, конференц-залы и т.д.), специально предназначенные для проведения конфиденциальных мероприятий (совещаний, обсуждений, конференций, переговоров и т.п.).

1.13. Информативный сигнал - электрические сигналы, акустические, электромагнитные и другие физические поля, по параметрам которых может быть раскрыта конфиденциальная информация, передаваемая, хранимая или обрабатываемая в основных технических средствах и системах и обсуждаемая в ЗП.

1.14. Информационные ресурсы - отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах).

1.15. Информационные сети общего пользования (далее-Сети) - вычислительные (информационно-телекоммуникационные сети) открытые для пользования всем физическим и юридическим лицам, в услугах которых этим лицам не может быть отказано.

1.16. Контролируемая зона (КЗ) - это пространство (территория, здание, часть здания), в котором исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового допуска, и посторонних транспортных средств.

Границей КЗ могут являться:

периметр охраняемой территории учреждения (предприятия);

ограждающие конструкции охраняемого здания или охраняемой части здания, если оно размещено на неохраняемой территории.

В отдельных случаях на период обработки техническими средствами конфиденциальной информации КЗ временно может устанавливаться большей, чем охраняемая территория предприятия. При этом должны приниматься организационно-режимные и технические меры, исключающие или существенно затрудняющие возможность ведения перехвата информации в этой зоне.

1.17. Конфиденциальная информация - документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.

1.18. Локальная вычислительная сеть - вычислительная сеть, поддерживающая в пределах ограниченной территории один или несколько высокоскоростных каналов передачи цифровой информации, предоставляемых подключаемым устройствам для кратковременного монопольного использования.

1.19. Межсетевой экран (МЭ) - локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в АС и/или выходящей из АС.

1.20. Несанкционированный доступ (несанкционированные действия) (НСД) - доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.

1.21. Основные технические средства и системы (ОТСС) - технические средства и системы, а также их коммуникации, используемые для обработки, хранения и передачи конфиденциальной информации. В контексте настоящего документа к ним относятся технические средства и системы автоматизированных систем различного уровня и назначения на базе средств вычислительной техники, средства и системы связи и передачи данных, используемые для обработки конфиденциальной информации.

1.22. Провайдер Сети - уполномоченная организация, выполняющая функции поставщика услуг Сети для абонентского пункта и непосредственно для абонентов Сети.

1.23. Система защиты информации от НСД (СЗИ НСД) - комплекс организационных мер и программно-технических (при необходимости криптографических) средств защиты от несанкционированного доступа к информации (несанкционированных действий с ней) в автоматизированной системе.

1.24. Служебная информация СЗИ НСД - информационная база АС, необходимая для функционирования СЗИ НСД (уровень полномочий эксплуатационного персонала АС, матрица доступа, ключи, пароли и т.д.).

1.25. Технический канал утечки информации - совокупность объекта технической разведки, физической среды и средства технической разведки, которыми добываются разведывательные данные.

1.26. Услуги Сети - комплекс функциональных возможностей, предоставляемых абонентам сети с помощью прикладных протоколов (протоколы электронной почты, FTP - File Transfer Protocol - прием/передача файлов, HTTP Hiper Text Transfer Protocol - доступ к Web-серверам, IRC - Internet Relay Chat -диалог в реальном времени, Telnet терминальный доступ в сети, WAIS - Wide Area Information Servers - система хранения и поиска документов в сети и т.д.).

1.27. Целостность информации - устойчивость информации к несанкционированному или случайному воздействию на нее в процессе обработки техническими средствами, результатом которого может быть уничтожение и искажение информации.

1.28. Web-сервер - общедоступный в Сети информационный сервер, использующий гипертекстовую технологию.

2. ОБЩИЕ ПОЛОЖЕНИЯ

2.1. Настоящий документ устанавливает порядок организации работ, требования и рекомендации по обеспечению технической защиты конфиденциальной информации на территории Российской Федерации и является основным руководящим документом в этой области для федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления, предприятий, учреждений и организаций (далее - учреждения и предприятия) независимо от их организационно-правовой формы и формы собственности, должностных лиц и граждан Российской Федерации, взявшим на себя обязательства либо обязанными по статусу исполнять требования правовых документов Российской Федерации по защите информации.

конфиденциальной информации - информации с ограниченным доступом, за исключением сведений, отнесенных к государственной тайне и персональным данным, содержащейся в государственных (муниципальных) информационных ресурсах, накопленной за счет государственного (муниципального) бюджета и являющейся собственностью государства (к ней может быть отнесена информация, составляющая служебную тайну и другие виды тайн в соответствии с законодательством Российской Федерации, а также сведения конфиденциального характера в соответствии с "Перечнем сведений конфиденциального характера", утвержденного Указом Президента Российской Федерации от 06.03.97 №188), защита которой осуществляется в интересах государства (далее - служебная тайна);

информации о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющей идентифицировать его личность (персональные данные) (В соответствии с Федеральным законом "Об информации, информатизации и защите информации" режим защиты персональных данных должен быть определен федеральным законом. До его введения в действие для установления режима защиты такой информации следует руководствоваться настоящим документом., за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.)

2.3. Для защиты конфиденциальной информации, содержащейся в негосударственных информационных ресурсах, режим защиты которой определяет собственник этих ресурсов (например, информации, составляющей коммерческую, банковскую тайну и т.д.) (далее - коммерческая тайна), данный документ носит рекомендательный характер.

2.4. Документ разработан на основании федеральных законов "Об информации, информатизации и защите информации", "Об участии в международном информационном обмене", Указа Президента Российской Федерации от 06.03.97г. № 188 "Перечень сведений конфиденциального характера", "Доктрины информационной безопасности Российской Федерации", утвержденной Президентом Российской Федерации 09.09.2000г. № Пр.-1895, "Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти", утвержденного постановлением Правительства Российской Федерации от 03.11.94г. № 1233, других нормативных правовых актов по защите информации (приложение № 8), а также опыта реализации мер защиты информации в министерствах и ведомствах, в учреждениях и на предприятиях.

2.5. Документ определяет следующие основные вопросы защиты информации:

организацию работ по защите информации, в том числе при разработке и модернизации объектов информатизации и их систем защиты информации;

состав и основное содержание организационно-распорядительной, проектной, эксплуатационной и иной документации по защите информации;

порядок обеспечения защиты информации при эксплуатации объектов информатизации;

особенности защиты информации при разработке и эксплуатации автоматизированных систем, использующих различные типы средств вычислительной техники и информационные технологии;

порядок обеспечения защиты информации при взаимодействии абонентов с информационными сетями общего пользования.

Порядок разработки, производства, реализации и использования средств криптографической защиты информации определяется "Положением о порядке разработки, производства (изготовления), реализации, приобретения и использования средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну" (Положение ПКЗ-99), а также "Инструкцией по организации и обеспечению безопасности хранения, обработки и передачи по техническим каналам связи конфиденциальной информации в Российской Федерации с использованием сертифицированных ФАПСИ криптографических средств".

2.6. Защита информации, обрабатываемой с использованием технических средств, является составной частью работ по созданию и эксплуатации объектов информатизации различного назначения и должна осуществляться в установленном настоящим документом порядке в виде системы (подсистемы) защиты информации во взаимосвязи с другими мерами по защите информации.

2.7. Защите подлежит информация, как речевая, так и обрабатываемая техническими средствами, а также представленная в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, оптической и иной основе, в виде информационных массивов и баз данных в АС.

Защищаемыми объектами информатизации являются:

средства и системы информатизации (средства вычислительной техники, автоматизированные системы различного уровня и назначения на базе средств вычислительной техники, в том числе информационновычислительные комплексы, сети и системы, средства и системы связи и передачи данных, технические средства приема, передачи и обработки информации (телефонии, звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), используемые для обработки конфиденциальной информации;

технические средства и системы, не обрабатывающие непосредственно конфиденциальную информацию, но размещенные в помещениях, где она обрабатывается (циркулирует);

защищаемые помещения.

2.8. Защита информации должна осуществляться посредством выполнения комплекса мероприятий и применение (при необходимости) средств ЗИ по предотвращению утечки информации или воздействия на нее по техническим каналам, за счет несанкционированного доступа к ней, по предупреждению преднамеренных программно-технических воздействий с целью нарушения целостности (уничтожения, искажения) информации в процессе ее обработки, передачи и хранения, нарушения ее доступности и работоспособности технических средств.

2.9. При ведении переговоров и использовании технических средств для обработки и передачи информации возможны следующие каналы утечки и источники угроз безопасности информации:

акустическое излучение информативного речевого сигнала;

электрические сигналы, возникающие посредством преобразования информативного сигнала из акустического в электрический за счет микрофонного эффекта и распространяющиеся по проводам и линиям, выходящими за пределы КЗ;

виброакустические сигналы, возникающие посредством преобразования информативного акустического сигнала при воздействии его на строительные конструкции и инженерно-технические коммуникации защищаемых помещений;

несанкционированный доступ и несанкционированные действия по отношению к информации в автоматизированных системах, в том числе с использованием информационных сетей общего пользования;

воздействие на технические или программные средства информационных систем в целях нарушения конфиденциальности, целостности и доступности информации, работоспособности технических средств, средств защиты информации посредством специально внедренных программных средств;

побочные электромагнитные излучения информативного сигнала от технических средств, обрабатывающих конфиденциальную информацию, и линий передачи этой информации;

наводки информативного сигнала, обрабатываемого техническими средствами, на цепи электропитания и линии связи, выходящие за пределы КЗ;

радиоизлучения или электрические сигналы от внедренных в технические средства и защищаемые помещения специальных электронных устройств перехвата речевой информации "закладок", модулированные информативным сигналом;

радиоизлучения или электрические сигналы от электронных устройств перехвата информации, подключенных к каналам связи или техническим средствам обработки информации;

прослушивание ведущихся телефонных и радиопереговоров;

просмотр информации с экранов дисплеев и других средств ее отображения, бумажных и иных носителей информации, в том числе с помощью оптических средств;

хищение технических средств с хранящейся в них информацией или отдельных носителей информации.

2.10. Перехват информации или воздействие на нее с использованием технических средств могут вестись:

из-за границы КЗ из близлежащих строений и транспортных средств;

из смежных помещений, принадлежащих другим учреждениям (предприятиям) и расположенным в том же здании, что и объект защиты;

при посещении учреждения (предприятия) посторонними лицами;

за счет несанкционированного доступа (несанкционированных действий) к информации, циркулирующей в АС, как с помощью технических средств АС, так и через информационные сети общего пользования.

2.11. В качестве аппаратуры перехвата или воздействия на информацию и технические средства могут использоваться портативные возимые и носимые устройства, размещаемые вблизи объекта защиты либо подключаемые к каналам связи или техническим средствам обработки информации, а также электронные устройства перехвата информации "закладки", размещаемые внутри или вне защищаемых помещений.

2.12. Кроме перехвата информации техническими средствами возможно непреднамеренное попадание защищаемой информации к лицам, не допущенным к ней, но находящимся в пределах КЗ. Это возможно, например, вследствие:

непреднамеренного прослушивания без использования технических средств конфиденциальных разговоров изза недостаточной звукоизоляции ограждающих конструкций защищаемых помещений и их инженернотехнических систем;

случайного прослушивания телефонных разговоров при проведении профилактических работ в сетях телефонной связи;

некомпетентных или ошибочных действий пользователей и администраторов АС при работе вычислительных сетей;

просмотра информации с экранов дисплеев и других средств ее отображения.

2.13. Выявление и учет факторов воздействующих или могущих воздействовать на защищаемую информацию (угроз безопасности информации) в конкретных условиях, в соответствии с ГОСТ Р 51275-99, составляют основу для планирования и осуществления мероприятий, направленных на защиту информации на объекте информатизации.

Перечень необходимых мер защиты информации определяется по результатам обследования объекта информатизации с учетом соотношения затрат на защиту информации с возможным ущербом от ее разглашения, утраты, уничтожения, искажения, нарушения санкционированной доступности информации и работоспособности технических средств, обрабатывающих эту информацию, а также с учетом реальных возможностей ее перехвата и раскрытия ее содержания.

2.14. Основное внимание должно быть уделено защите информации, в отношении которой угрозы безопасности информации реализуются без применения сложных технических средств перехвата информации:

речевой информации, циркулирующей в защищаемых помещениях;

информации, обрабатываемой средствами вычислительной техники, от несанкционированного доступа и несанкционированных действий;

информации, выводимой на экраны видеомониторов;

информации, передаваемой по каналам связи, выходящим за пределы КЗ.

2.15. Разработка мер и обеспечение защиты информации осуществляются подразделениями по защите информации (службами безопасности) или отдельными специалистами, назначаемыми руководством предприятия (учреждения) для проведения таких работ. Разработка мер защиты информации может осуществляться также сторонними предприятиями, имеющими соответствующие лицензии Гостехкомиссии России и/или ФАПСИ на право оказания услуг в области защиты информации.

При обработке документированной конфиденциальной информации на объектах информатизации в органах государственной власти Российской Федерации и органах государственной власти субъектов Российской Федерации, других государственных органах, предприятиях и учреждениях средства защиты информационных систем подлежат обязательной сертификации.

2.17. Объекты информатизации должны быть аттестованы на соответствие требованиям по защите информации (Здесь и далее под аттестацией понимается комиссионная приемка объекта информатизации силами предприятия с обязательным участием специалиста по защите информации.)

2.18. Ответственность за обеспечение требований по технической защите конфиденциальной информации возлагается на руководителей учреждений и предприятий, эксплуатирующих объекты информатизации.

3. ОРГАНИЗАЦИЯ РАБОТ ПО ЗАЩИТЕ ИНФОРМАЦИИ

3.1. Организация и проведение работ по технической защите информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, при ее обработке техническими средствами определяются настоящим документом, действующими государственными стандартами и другими нормативными и методическими документами Гостехкомиссии России.

3.2. Организация работ по защите информации возлагается на руководителей учреждений и предприятий, руководителей подразделений, осуществляющих разработку проектов объектов информатизации и их эксплуатацию, а методическое руководство и контроль за эффективностью предусмотренных мер защиты информации на руководителей подразделений по защите информации (служб безопасности) учреждения (предприятия).

3.3. Научно-техническое руководство и непосредственную организацию работ по созданию (модернизации) СЗИ объекта информатизации осуществляет его главный конструктор или другое должностное лицо, обеспечивающее научно-техническое руководство созданием объекта информатизации.

3.4. Разработка СЗИ может осуществляться как подразделением учреждения (предприятия), так и специализированным предприятием, имеющим лицензии Гостехкомиссии России и/или ФАПСИ на соответствующий вид деятельности в области защиты информации.

В случае разработки СЗИ или ее отдельных компонент специализированным предприятием, в учреждении (на предприятии), для которого осуществляется разработка (предприятие-заказчик), определяются подразделения (или отдельные специалисты), ответственные за организацию и проведение (внедрение и эксплуатацию) мероприятий по защите информации в ходе выполнения работ с использованием конфиденциальной информации.

Разработка и внедрение СЗИ осуществляется во взаимодействии разработчика со службой безопасности предприятиязаказчика, которая осуществляет методическое руководство и участвует в разработке конкретных требований по защите информации, аналитическом обосновании необходимости создания СЗИ, согласовании выбора средств вычислительной техники и связи, технических и программных средств защиты, организации работ по выявлению возможностей и предупреждению утечки и нарушения целостности защищаемой информации, в аттестации объектов информатизации.

3.5. Организация работ по созданию и эксплуатации объектов информатизации и их СЗИ определяется в разрабатываемом на предприятии "Руководстве по защите информации" или в специальном "Положении о порядке организации и проведения работ по защите информации" и должна предусматривать:

порядок определения защищаемой информации;

порядок привлечения подразделений предприятия, специализированных сторонних организаций к разработке и эксплуатации объектов информатизации и СЗИ, их задачи и функции на различных стадиях создания и эксплуатации объекта информатизации;

порядок взаимодействия всех занятых в этой работе организаций, подразделений и специалистов;

порядок разработки, ввода в действие и эксплуатацию объектов информатизации;

ответственность должностных лиц за своевременность и качество формирования требований по технической защите информации, за качество и научно-технический уровень разработки СЗИ.

3.6. В учреждении (на предприятии) должен быть документально оформлен перечень сведений конфиденциального характера (приложение № 6), подлежащих защите в соответствии с нормативными правовыми актами, а также разработана соответствующая разрешительная система доступа персонала к такого рода сведениям.

3.7. Устанавливаются следующие стадии создания системы защиты информации:

предпроектная стадия, включающая предпроектное обследование объекта информатизации, разработку аналитического обоснования необходимости создания СЗИ и технического (частного технического) задания на ее создание;

стадия проектирования (разработки проектов) и реализации объекта информатизации, включающая разработку СЗИ в составе объекта информатизации;

стадия ввода в действие СЗИ, включающая опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также аттестацию объекта информатизации на соответствие требованиям безопасности информации.

3.8. На предпроектной стадии по обследованию объекта информатизации:

устанавливается необходимость обработки (обсуждения) конфиденциальной информации на данном объекте информатизации;

определяется перечень сведений конфиденциального характера, подлежащих защите от утечки по техническим каналам;

определяются (уточняются) угрозы безопасности информации и модель вероятного нарушителя применительно к конкретным условиям функционирования;

определяются условия расположения объектов информатизации относительно границ КЗ;

определяются конфигурация и топология автоматизированных систем и систем связи в целом и их отдельных компонент, физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назначения;

определяются технические средства и системы, предполагаемые к использованию в разрабатываемой АС и системах связи, условия их расположения, общесистемные и прикладные программные средства, имеющиеся на рынке и предлагаемые к разработке;

определяются режимы обработки информации в АС в целом и в отдельных компонентах;

определяется класс защищенности АС;

определяется степень участия персонала в обработке (обсуждении, передаче, хранении) информации, характер их взаимодействия между собой и со службой безопасности;

определяются мероприятия по обеспечению конфиденциальности информации в процессе проектирования объекта информатизации.

3.9. По результатам предпроектного обследования разрабатывается аналитическое обоснование необходимости создания СЗИ.

На основе действующих нормативных правовых актов и методических документов по защите конфиденциальной информации, в т.ч. настоящего документа, с учетом установленного класса защищенности АС задаются конкретные требования по защите информации, включаемые в техническое (частное техническое) задание на разработку СЗИ.

3.10. Предпроектное обследование в части определения защищаемой информации должно базироваться на документально оформленных перечнях сведений конфиденциального характера.

Перечень сведений конфиденциального характера составляется заказчиком объекта информатизации и оформляется за подписью соответствующего руководителя.

3.11. Предпроектное обследование может быть поручено специализированному предприятию, имеющему соответствующую лицензию, но и в этом случае анализ информационного обеспечения в части защищаемой информации целесообразно выполнять представителям предприятия-заказчика при методической помощи специализированного предприятия.

Ознакомление специалистов этого предприятия с защищаемыми сведениями осуществляется в установленном на предприятии-заказчике порядке.

3.12. Аналитическое обоснование необходимости создания СЗИ должно содержать:

информационную характеристику и организационную структуру объекта информатизации;

характеристику комплекса основных и вспомогательных технических средств, программного обеспечения, режимов работы, технологического процесса обработки информации;

возможные каналы утечки информации и перечень мероприятий по их устранению и ограничению;

перечень предлагаемых к использованию сертифицированных средств защиты информации;

обоснование необходимости привлечения специализированных организаций, имеющих необходимые лицензии на право проведения работ по защите информации;

оценку материальных, трудовых и финансовых затрат на разработку и внедрение СЗИ;

ориентировочные сроки разработки и внедрения СЗИ;

перечень мероприятий по обеспечению конфиденциальности информации на стадии проектирования объекта информатизации.

Аналитическое обоснование подписывается руководителем предпроектного обследования, согласовывается с главным конструктором (должностным лицом, обеспечивающим научно-техническое руководство создания объекта информатизации), руководителем службы безопасности и утверждается руководителем предприятия-заказчика.

3.13. Техническое (частное техническое) задание на разработку СЗИ должно содержать:

обоснование разработки;

исходные данные создаваемого (модернизируемого) объекта информатизации в техническом, программном, информационном и организационном аспектах;

конкретизацию требований к СЗИ на основе действующих нормативно-методических документов и установленного класса защищенности АС;

перечень предполагаемых к использованию сертифицированных средств защиты информации;

обоснование проведения разработок собственных средств защиты информации, невозможности или нецелесообразности использования имеющихся на рынке сертифицированных средств защиты информации;

перечень подрядных организаций-исполнителей видов работ;

перечень предъявляемой заказчику научно-технической продукции и документации.

3.14. Техническое (частное техническое) задание на разработку СЗИ подписывается разработчиком, согласовывается со службой безопасности предприятия-заказчика, подрядными организациями и утверждается заказчиком.

3.15. В целях дифференцированного подхода к защите информации производится классификация АС по требованиям защищенности от НСД к информации.

Класс защищенности АС от НСД к информации устанавливается совместно заказчиком и разработчиком АС с привлечением специалистов по защите информации в соответствии с требованиями руководящего документа (РД) Гостехкомиссии России "Автоматизированные системы. Защита от несанкционированного доступа к информации.

Классификация автоматизированных систем и требования по защите информации" и раздела 5 настоящего документа и оформляется актом.

Пересмотр класса защищенности АС производится в обязательном порядке, если произошло изменение хотя бы одного из критериев, на основании которых он был установлен.

3.16. На стадии проектирования и создания объекта информатизации и СЗИ в его составе на основе предъявляемых требований и заданных заказчиком ограничений на финансовые, материальные, трудовые и временные ресурсы осуществляются:

разработка задания и проекта на строительные, строительно-монтажные работы (или реконструкцию) объекта информатизации в соответствии с требованиями технического (частного технического) задания на разработку СЗИ;

разработка раздела технического проекта на объект информатизации в части защиты информации;

строительно-монтажные работы в соответствии с проектной документацией, утвержденной заказчиком, размещением и монтажом технических средств и систем;

разработка организационно-технических мероприятий по защите информации в соответствии с предъявляемыми требованиями;

закупка сертифицированных образцов и серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации, либо их сертификация;

закупка сертифицированных технических, программных и программно-технических (в т.ч. криптографических) средств защиты информации и их установка;

разработка (доработка) или закупка и последующая сертификация по требованиям безопасности информации программных средств защиты информации в случае, когда на рынке отсутствуют требуемые сертифицированные программные средства;

организация охраны и физической защиты помещений объекта информатизации, исключающих несанкционированный доступ к техническим средствам обработки, хранения и передачи информации, их хищение и нарушение работоспособности, хищение носителей информации;

разработка и реализация разрешительной системы доступа пользователей и эксплуатационного персонала к обрабатываемой (обсуждаемой) на объекте информатизации информации;

определение заказчиком подразделений и лиц, ответственных за эксплуатацию средств и мер защиты информации, обучение назначенных лиц специфике работ по защите информации на стадии эксплуатации объекта информатизации;

выполнение генерации пакета прикладных программ в комплексе с программными средствами защиты информации;

разработка эксплуатационной документации на объект информатизации и средства защиты информации, а также организационно-распорядительной документации по защите информации (приказов, инструкций и других документов);

выполнение других мероприятий, специфичных для конкретных объектов информатизации и направлений защиты информации.

3.17. Задание на проектирование оформляется отдельным документом, согласовывается с проектной организацией, службой (специалистом) безопасности предприятия-заказчика в части достаточности мер по технической защите информации и утверждается заказчиком.

Мероприятия по защите информации от утечки по техническим каналам являются основным элементом проектных решений, закладываемых в соответствующие разделы проекта, и разрабатываются одновременно с ними.

3.18. На стадии проектирования и создания объекта информатизации оформляются также технический (технорабочий) проект и эксплуатационная документация СЗИ, состоящие из:

пояснительной записки с изложением решений по комплексу организационных мер и программно-техническим (в том числе криптографическим) средствам обеспечения безопасности информации, состава средств защиты информации с указанием их соответствия требованиям ТЗ;

описания технического, программного, информационного обеспечения и технологии обработки (передачи) информации;

плана организационно-технических мероприятий по подготовке объекта информатизации к внедрению средств и мер защиты информации;

технического паспорта объекта информатизации (форма технического паспорта на АС приведена в приложении № 5);

инструкций и руководств по эксплуатации технических и программных средств защиты для пользователей, администраторов системы, а также для работников службы защиты информации.

3.19. На стадии ввода в действие объекта информатизации и СЗИ осуществляются:

опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объекта информатизации и отработки технологического процесса обработки (передачи) информации;

приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатации с оформлением приемо-сдаточного акта, подписываемого разработчиком (поставщиком) и заказчиком;

аттестация объекта информатизации по требованиям безопасности информации.

3.20. На этой стадии оформляются:

акты внедрения средств защиты информации по результатам их приемо-сдаточных испытаний;

предъявительский акт к проведению аттестационных испытаний;

заключение по результатам аттестационных испытаний.

При положительных результатах аттестации на объект информатизации оформляется "Аттестат соответствия" требованиям по безопасности информации (форма "Аттестата соответствия" для АС приведена в приложении № 2, для ЗП в приложении № 3)

3.21. Кроме вышеуказанной документации в учреждении (на предприятии) оформляются приказы, указания и решения:

о проектировании объекта информатизации, создании соответствующих подразделений разработки и назначении ответственных исполнителей;

о формировании группы обследования и назначении ее руководителя;

о заключении соответствующих договоров на проведение работ;

о назначении лиц, ответственных за эксплуатацию объекта информатизации;

о начале обработки в АС (обсуждения в защищаемом помещении) конфиденциальной информации.

3.22. Для объектов информатизации, находящихся в эксплуатации до введения в действие настоящего документа, может быть предусмотрен по решению их заказчика (владельца) упрощенный вариант их доработки (модернизации), переоформления организационно-распорядительной, технологической и эксплуатационной документации.

Программа аттестационных испытаний такого рода объектов информатизации определяется аттестационной комиссией.

Необходимым условием является их соответствие действующим требованиям по защите информации.

3.23. Эксплуатация объекта информатизации осуществляется в полном соответствии с утвержденной организационнораспорядительной и эксплуатационной документацией, с учетом требований и положений, изложенных в разделах 4-6 настоящего документа.

3.24. С целью своевременного выявления и предотвращения утечки информации по техническим каналам, исключения или существенного затруднения несанкционированного доступа и предотвращения специальных программно-технических воздействий, вызывающих нарушение целостности информации или работоспособность технических средств в учреждении (на предприятии), проводится периодический (не реже одного раза в год) контроль состояния защиты информации.

Контроль осуществляется службой безопасности учреждения (предприятия), а также отраслевыми и федеральными органами контроля (для информации, режим защиты которой определяет государство) и заключается в оценке:

соблюдения нормативных и методических документов Гостехкомиссии России;

работоспособности применяемых средств защиты информации в соответствии с их эксплутационной документацией;

знаний и выполнения персоналом своих функциональных обязанностей в части защиты информации.

3.25. Собственник или владелец конфиденциальной информации имеет право обратиться в органы государственной власти для оценки правильности выполнения норм и требований по защите его информации в информационных системах.

3.26. При необходимости по решению руководителя предприятия в ЗП и в местах размещения средств обработки информации могут проводиться работы по обнаружению и изъятию "закладок", предназначенных для скрытого перехвата защищаемой информации.

3.27. Такие работы могут проводиться организациями, имеющими соответствующие лицензии ФАПСИ или ФСБ России на данный вид деятельности.

4.1. Общие положения 4.1.1. Требования и рекомендации настоящего раздела направлены на исключение (существенное затруднение) возможности перехвата конфиденциальной речевой информации, циркулирующей в ЗП, в системах звукоусиления (СЗУ) и звукового сопровождения кинофильмов (СЗСК), при осуществлении её магнитной звукозаписи и передачи по каналам связи.

4.1.2. Требования настоящего раздела, если не оговорено специально, являются обязательными на всех стадиях проектирования, строительства, оснащения, эксплуатации ЗП и размещенных в них ОТСС и ВТСС, для систем СЗУ и СЗСК.

4.1.3. При проведении мероприятий с использованием конфиденциальной речевой информации и технических средств ее обработки возможна утечка информации за счет:

акустического излучения информативного речевого сигнала;

виброакустических сигналов, возникающих посредством преобразования информативного акустического сигнала при воздействии его на строительные конструкции и инженерно-технические системы ЗП;

прослушивания разговоров, ведущихся в ЗП, по информационным каналам общего пользования (городская телефонная сеть, сотовая, транкинговая и пейджинговая связь, радиотелефоны) за счет скрытного подключения оконечных устройств этих видов связи;

электрических сигналов, возникающих в результате преобразования информативного сигнала из акустического в электрический за счет микрофонного эффекта и распространяющихся по проводам и линиям передачи информации, выходящих за пределы КЗ;

электрических сигналов, наводимых от обрабатывающих конфиденциальную информацию технических средств и линий ее передачи, на провода и линии, выходящих за пределы КЗ;

радиоизлучений, электрических или инфракрасных сигналов, модулированных информативным сигналом, от специальных электронных устройств перехвата речевой информации "закладок", внедренных в ЗП и установленные в них технические средства.

Также следует учитывать возможность хищения технических средств с хранящейся в них информацией или отдельных носителей информации.

4.2. Основные требования и рекомендации по защите информации, циркулирующей в защищаемых помещениях 4.2.1. В учреждении (предприятии) должен быть документально определен перечень ЗП и лиц, ответственных за их эксплуатацию в соответствии с установленными требованиями по защите информации, а также составлен технический паспорт на ЗП (форма технического паспорта приведена в приложении № 4).

4.2.2. Защищаемые помещения должны размещаться в пределах КЗ. При этом рекомендуется размещать их на удалении от границ КЗ, обеспечивающем эффективную защиту, ограждающие конструкции (стены, полы, потолки) не должны являться смежными с помещениями других учреждений (предприятий).

Для исключения просмотра текстовой и графической конфиденциальной информации через окна помещения рекомендуется оборудовать их шторами (жалюзи).

Эксплуатация ОТСС, ВТСС должна осуществляться в строгом соответствии с предписаниями и эксплутационной документацией на них.

4.2.4. Специальная проверка ЗП и установленного в нем оборудования с целью выявления возможно внедренных в них электронных устройств перехвата информации "закладок" проводится, при необходимости, по решению руководителя предприятия.

4.2.5. Во время проведения конфиденциальных мероприятий запрещается использование в ЗП радиотелефонов, оконечных устройств сотовой, пейджинговой и транкинговой связи, переносных магнитофонов и других средств аудио и видеозаписи. При установке в ЗП телефонных и факсимильных аппаратов с автоответчиком или спикерфоном, а также аппаратов с автоматическим определителем номера, следует отключать их из сети на время проведения этих мероприятий.

Похожие работы:

« технический университет» (УГТУ) ИЗУЧЕНИЕ ПОЛЯРИЗОВАННОГО СВЕТА ПОЛУПРОВОДНИКОВОГО ЛАЗЕРА Лабораторные занятия Методические указания Ухта, УГТУ, 2014 УДК 53(075) ББК 22.3 я7 Ш Шамбулина, В. Н. Ш 19 Изучение поляризованного света полупроводникового лазера. Лабораторные занятия [Текст] : метод. указания / В. Н. Шамбулина, В. О. Некучаев. – Ухта:...»

« технологических систем Кафедра Сервиса и эксплуатации транспортных и технологических машин Одобрена: Утверждаю: Кафедрой СЭТТМ Директор ИАТТС Протокол № от 2015 г. _Е.Е. Баженов Зав.кафедрой А.П. Панычев «»2015г. Методической комиссией ИАТТС Протокол № от 2015г. Председатель МК_ Д.В.Демидов ПРОГРАММА ПРОИЗВОДСТВЕННОЙ ПРЕДДИПЛОМНОЙ ПРАКТИКИ...»

« профессионального образования «Алтайский государственный технический университет им. И.И. Ползунова» А.И. Сидоренко, Е.В. Сыпин ПРОГРАММИРОВАНИЕ НА С++ В СРЕДЕ WINDOWS Методические рекомендации к выполнению лабораторных работ для студентов направления подготовки 09.03.02 (230400.62) «Информационные системы и технологии» Бийск Издательство...»

« Российской Федерации УДК 678.747.2:620.179 Генералов Александр Сергеевич ОПРЕДЕЛЕНИЕ ПРОЧНОСТНЫХ СВОЙСТВ УГЛЕПЛАСТИКОВ УЛЬТРАЗВУКОВЫМ РЕВЕРБЕРАЦИОННО-СКВОЗНЫМ МЕТОДОМ Диссертация на соискание ученой степени кандидата технических наук Специальность: 05.11.13 – Приборы и методы контроля природной среды, веществ, материалов и изделий Научный...»

«ФЕДЕРАЛЬНАЯ СЛУЖБА ПО НАДЗОРУ В СФЕРЕ ОБРАЗОВАНИЯ И НАУКИ Методические рекомендации по подготовке и проведению итогового сочинения (изложения) для образовательных организаций, реализующих образовательные программы среднего общего образования Москва ОГЛАВЛЕНИЕ 1. ОБЩИЙ ПОРЯДОК ПОДГОТОВКИ И ПРОВЕДЕНИЯ ИТОГОВОГО СОЧИНЕНИЯ (ИЗЛОЖЕНИЯ) 2. ИНСТРУКЦИЯ ДЛЯ РУКОВОДИТЕЛЯ ОБРАЗОВАТЕЛЬНОЙ ОРГАНИЗАЦИИ 9 3. ИНСТРУКЦИЯ ДЛЯ ТЕХНИЧЕСКОГО СПЕЦИАЛИСТА ПРИ ПРОВЕДЕНИИ ИТОГОВОГО СОЧИНЕНИЯ (ИЗЛОЖЕНИЯ) 14 4....»

«Министерство образования и науки Российской Федерации федеральное государственное бюджетное образовательное учреждение высшего профессионального образования «Самарский государственный технический университет» РАБОЧАЯ ПРОГРАММА ПРАКТИКИ Б2.П.2 Технологическая практика 18.04.02 (241000.68) «Энергои ресурсосберегающие процессы в Направление подготовки химической технологии, нефтехимии и биотехнологии» магистр Квалификация выпускника Промышленная экология и рациональное использование Профиль...»

« учреждение высшего профессионального образования «НАЦИОНАЛЬНЫЙ МИНЕРАЛЬНО-СЫРЬЕВОЙ УНИВЕРСИТЕТ «ГОРНЫЙ» Согласовано Утверждаю Руководитель ООП Зав. кафедрой по направлению 15.04.01 проф. Максаров В.В. проф. Максаров В.В. Рабочая программа ПЕРВОЙ НАУЧНО-ПРОИЗВОДСТВЕННОЙ ПРАКТИКИ Направление подготовки: 15.04.01 (150700) – «Машиностроение»...»

«МИНОБРНАУКИ РОССИИ Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования «Ухтинский государственный технический университет» (УГТУ) ЭКОНОМИКА МЕТРОЛОГИЧЕСКОГО ОБЕСПЕЧЕНИЯ Контрольные работы Методические указания Ухта, УГТУ, 2015 УДК 330:006.91(075.8) ББК 65 я7+30.10 я7 П 18 Пармузин, П. Н. П 18 Экономика метрологического обеспечения. Контрольные работы [Текст] : метод. указания / П. Н. Пармузин. – Ухта: УГТУ, 2015. – 24 с. В методических...»

«МИНОБРНАУКИ РОССИИ Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования «Ухтинский государственный технический университет» (УГТУ) Технология и машины лесовосстановительных работ Часть 1. Основы лесного семенного дела Методические указания Ухта, УГТУ, 2015 УДК 630*23 (075.8) ББК 43.4 я7 К 61 Коломинова, М. В. К 61 Технология и машины лесовосстановительных работ. Часть 1. Основы лесного семенного дела [Текст] : метод. указания / М. В. Коломинова....»

«IIst International Scientific Conference Reference Materials in Measurement and Technology Сonference proceedings ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ ФГУП «УРАЛЬСКИЙ НАУЧНО-ИССЛЕДОВАТЕЛЬСКИЙ ИНСТИТУТ МЕТРОЛОГИИ» НАУЧНЫЙ МЕТОДИЧЕСКИЙ ЦЕНТР ГОСУДАРСТВЕННОЙ СЛУЖБЫ СТАНДАРТНЫХ ОБРАЗЦОВ СОСТАВА И СВОЙСТВ ВЕЩЕСТВ И МАТЕРИАЛОВ II-я МЕЖДУНАРОДНАЯ НАУЧНАЯ КОНФЕРЕНЦИЯ СТАНДАРТНЫЕ ОБРАЗЦЫ В ИЗМЕРЕНИЯХ И ТЕХНОЛОГИЯХ Сборник трудов Российская Федерация г. Екатеринбург 14-18...»

«БИБЛИОГРАФИЧЕСКИЙ УКАЗАТЕЛЬ КНИГ, ПОСТУПИВШИХ В БИБЛИОТЕКУ ЗА ФЕВРАЛЬ-ИЮНЬ 2015 г. БИБЛИОГРАФИЯ (016) 1. 016:1 Ф 91 Иван Тимофеевич Фролов, 1929-1999: научное издание / РАН; сост.: Г.Л. Белкина, С.Н.Корсаков; авт. вступ. ст. С. Н. Корсаков. – 2-е изд., доп. – М. : Наука, 2014. – 214 с. – (Материалы к биобиблиографии ученых; Вып. 13) Экземпляры: всего:1 сбо(1) БИБЛИОГРАФИЯ ЕСТЕСТВЕННО-НАУЧНОЙ ЛИТЕРАТУРЫ 2. 016:5 Ш 51 Сергей Васильевич Шестаков: научное издание / сост. Е. А. Карбышева, В. В....»

« УЧРЕЖДЕНИЯ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ «САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ ЛЕСОТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ ИМЕНИ С. М. КИРОВА» Кафедра автомобилей и автомобильного хозяйства Л. Э. Еремеева ТРАНСПОРТНАЯ ЛОГИСТИКА Учебное пособие Утверждено учебно-методическим советом Сыктывкарского лесного института в качестве учебного пособия для студентов...»

«МИНОБРНАУКИ РОССИИ Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования «Ухтинский государственный технический университет» (УГТУ) Ведение государственного кадастра недвижимости в субъекте Российской Федерации Методические указания Ухта, УГТУ, 2015 УДК 347.235.11(075.8) ББК 65.32-5 я7 С 32 Сератирова, В. В. С 32 Ведение государственного кадастра недвижимости в субъекте Российской Федерации [Текст] : метод. указания / В. В. Сератирова. – Ухта:...»

«ПЕРВОЕ ВЫСШЕЕ ТЕХНИЧЕСКОЕ УЧЕБНОЕ ЗАВЕДЕНИЕ РОССИИ МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ федеральное государственное бюджетное образовательное учреждение высшего профессионального образования «НАЦИОНАЛЬНЫЙ МИНЕРАЛЬНО-СЫРЬЕВОЙ УНИВЕРСИТЕТ «ГОРНЫЙ» СОГЛАСОВАНО УТВЕРЖДАЮ _ Руководитель ООП Зав. кафедрой СГП и ПС по направлению подготовки 08.03.01 проф. А.Г. Протосеня проф. А.Г. Протосеня «» _ 2015 г. «» _ 2015 г. РАБОЧАЯ ПРОГРАММА УЧЕБНОЙ ДИСЦИПЛИНЫ «ОБСЛЕДОВАНИЕ И ИСПЫТАНИЕ...»

«образования Надымский район от 03.02.2102 г. №91 «Об организации работы по введению федерального государственного образовательного стандарта основного общего образования в муниципальной системе образования Надымского района»; Уставом Муниципального общеобразовательного учреждения «Средняя общеобразовательная школа № 2 п.Пангоды»; Приказ Муниципального общеобразовательного учреждения «Средняя общеобразовательная школа № 2 п.Пангоды» от 18.02.2012г. №117 «Об организации работы по введению...»

«-МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ Федеральное государственное бюджетное образовательное учреждение высшего профессионапьного образования «НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ ТОМСКИЙ ПОЛИТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ» УТВЕРЖДАЮ Директор-проректорИСГТ.-.:::::::::::2~LдJB. Чайковский _ 201Зг. Организация процесса подготовки и публикации научных работ в журналах международных систем цитирования Scopus, Web of Science и РИНЦ Методические указания по написанию научных трудов для дальнейшей...»

«МИНОБРНАУКИ РОССИИ Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования «Ухтинский государственный технический университет» (УГТУ) О. Н. Подорова-Аникина ПОЛИТИЧЕСКАЯ РЕКЛАМА Учебное пособие Ухта, УГТУ, 201 УДК 32.019.5 ББК 66.3(2Рос) П 4 Подорова-Аникина, О. Н. П 44 Политическая реклама [Текст] : учеб. пособие / О. Н. ПодороваАникина. – Ухта: УГТУ, 2015. – 112 с. ISBN 978-5-88179-866-6 Учебное пособие посвящено исследованию и анализу вопросов...»

«Министерство образования и науки РФ ФГБОУ ВПО Ангарская государственная техническая академия _ И.Г. Голованов ЭЛЕКТРИЧЕСКИЕ СТАНЦИИ И ПОДСТАНЦИИ Методические указания к практическим занятиям и самостоятельной работе студентов Для студентов всех форм обучения по направлению подготовки «Электроэнергетика и электротехника» Ангарск 2014 Голованов И.Г. Электрические станции и подстанции. Методические указания к практическим занятиям и самостоятельной работе/ Голованов И.Г. – г. Ангарск: Изд-во АГТА,...»

«Муниципальное бюджетное общеобразовательное учреждение «Средняя школа №9 с углубленным изучением отдельных предметов» Содержание Пояснительная записка.. 3 Общая характеристика учебного предмета.. 4 Место предмета в учебном плане.. 5 Личностные, метапредметные и предметные результаты освоения учебного предмета..5 Содержание учебного предмета.. 15 Тематическое планирование с определением основных видов учебной деятельности.. 21 Учебно-методическое и материально-техническое обеспечение...»
Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам , мы в течении 1-2 рабочих дней удалим его.

УКАЗАНИЯ ГОСТ:
В требования к защите информации от несанкционированного доступа включают требования, установленные в НТД, действующей в отрасли (ведомстве) заказчика.

ФОРМАЛЬНОЕ СОДЕРЖАНИЕ:
ИС должна обеспечивать защиту от несанкционированного доступа (НСД) на уровне не ниже установленного требованиями, предъявляемыми к категории 1Д по классификации действующего руководящего документа Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем» 1992 г.
Компоненты подсистемы защиты от НСД должны обеспечивать:
– идентификацию пользователя;
– проверку полномочий пользователя при работе с системой;
– разграничение доступа пользователей на уровне задач и информационных массивов.
Протоколы аудита системы и приложений должны быть защищены от несанкционированного доступа как локально, так и в архиве.
Уровень защищённости от несанкционированного доступа средств вычислительной техники, обрабатывающих конфиденциальную информацию, должен соответствовать требованиям к классу защищённости 6 согласно требованиям действующего руководящего документа Гостехкомиссии России «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации».
Защищённая часть системы должна использовать "слепые" пароли (при наборе пароля его символы не показываются на экране либо заменяются одним типом символов; количество символов не соответствует длине пароля).
Защищённая часть системы должна автоматически блокировать сессии пользователей и приложений по заранее заданным временам отсутствия активности со стороны пользователей и приложений.
Защищённая часть системы должна предотвратить работу с некатегоризированной информацией под сеансом пользователя, авторизованного на доступ к конфиденциальной информации.
Защищённая часть системы должна использовать многоуровневую систему защиты. Защищённая часть системы должна быть отделена от незащищённой части системы межсетевым экраном.

Требования по сохранности информации при авариях

УКАЗАНИЯ ГОСТ:
В требованиях по сохранности информации приводят перечень событий: аварий, отказов технических средств (в том числе - потеря питания) и т. п., при которых должна быть обеспечена сохранность информации в системе.

ФОРМАЛЬНОЕ СОДЕРЖАНИЕ:
Программное обеспечение АС Кадры должно восстанавливать свое функционирование при корректном перезапуске аппаратных средств. Должна быть предусмотрена возможность организации автоматического и (или) ручного резервного копирования данных системы средствами системного и базового программного обеспечения (ОС, СУБД), входящего в состав программно технического комплекса Заказчика.
Приведенные выше требования не распространяются на компоненты системы, разработанные третьими сторонами и действительны только при соблюдении правил эксплуатации этих компонентов, включая своевременную установку обновлений, рекомендованных производителями покупного программного обеспечения.

Требования к защите от влияния внешних воздействий