Типизация системы защиты информации.

Типизация систем защиты информации, как и любых других систем, имеет важное значение как с точки зрения обеспе­чения надежности, так и экономичности защиты.

Типизация в самом общем виде определяется как разработка типо­вых конструкций или технологических процессов на основе общих для ряда изделий (процессов) технических характеристик. Типизация рас­сматривается как один из методов стандартизации.

Анализ концепции защиты информации вообще и подходов к архи­тектурному построению СЗИ, в частности, показывает, что с целью соз­дания наилучших предпосылок для оптимизации СЗИ целесообразно вы­делить три уровня типизации:

· высший - уровень СЗИ в целом;

· средний - уровень составных компонентов СЗИ;

· низший - уровень проектных решений по средствам и механизмам защиты.

Типизацию СЗИ в целом можно осуществлять по двум критериям:

1) уровень защиты, обеспечиваемый соответствующей системой:

· системы слабой защиты, рассчитанные на такие информационные технологии, в которых обрабатывается главным образом конфиденциальная информация и не требуется сколько-нибудь существенная защита;

· системы сильной зашиты, рассчитанные на такие информационные технологии, в которых обрабатывается секретная информация, подлежащая защите от несанкционированного ее получения, но объемы этой информации не очень велики и обрабатывается она эпизодически;

· системы очень сильной защиты, рассчитанные на регулярную автоматизируемую обработку больших объемов секретной информации;

· системы особой зашиты, рассчитанные на обработку информации повышенной секретности.

2) активность реагирования СЗИ на несанкционированные действия.

· пассивные СЗИ, у которых не предусматривается ни сигнализация о несанкционированных действиях, ни воздействие системы защиты на нарушителя;

· полуактивные СЗИ, у которых предусматривается сигнализация о несанкционированных действиях, но не предусмотрено воздействие системы на нарушителя;

· активные СЗИ, у которых предусматривается как сигнализация о несанкционированных действиях, так и воздействие системы на нарушителя.

Типизация СЗИ на среднем уровне предполагает разработку типовых проектов структурно или функционально-ориентированных компонентов СЗИ, к которым целесообразно отнести следующее:

· регулирование доступа на территорию, в помещения, к техническим средствам обработки данных;

· подавление излучений и наводок; предупреждение наблюдения и подслушивания;

· маскировку информации; управление системой защиты.

Типизация на низшем уровне предполагает разработку типовых решений по практической реализации средств защиты информации.

Одним из весьма перспективных вариантов покомпонентной типи­зации и стандартизации СЗИ представляется вариант, основанный на так называемой семирубежной модели. Организационное построение СЗИ в самом общем случае может быть представлено совокупностью следующих рубежей защиты:

1) территории, занимаемой АСОД;

2) зданий, расположенных на террито­рии;

3) помещений внутри здания, в которых расположены ресурсы АСОД и защищаемая информация;

4) ресурсы, используемые для обра­ботки и хранения информации, и самой защищаемой информации;

5) ли­ний связи, проходящих в пределах одного и того же здания;

6) линий (каналов) связи, проходящих между различными зданиями, располо­женными на одной и той же охраняемой территории;

7) линий (каналов) связи, проходящих по неконтролируемой территории.

При этом под рубежом защиты понимается организованная сово­купность всех средств, методов и мероприятий, используемых на соответ­ствующем элементе для защиты информации в АСОД. Нетрудно видеть, что надлежащим сочетанием перечисленных рубежей может быть пред­ставлена СЗИ любой АСОД. Каждый из рубежей защиты может быть реализован с помощью типовых проектных решений.

 

5. Аттестация помещений. Аттестация вычислительной техники. Разделы ТЗ на подготовку помещений к аттестации.

Аттестация объектов информатизации - комплекс организационно-технических мероприятий, в результате которых посредством специального документа - " Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных ФСТЭК России. Наличие на объекте информатизации действующего " Аттестата соответствия" дает право обработки информации с уровнем секретности (конфиденциальности) на период времени, установленными в «Аттестате соответствия». Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров.

Аттестация по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и вызвана необходимостью официального подтверждения эффективности комплекса используемых на конкретном объекте информатизации мер и средств защиты информации. Основные принципы, организационную структуру системы аттестации объектов информатизации по требованиям безопасности информации, порядок проведения аттестации, а также контроль и надзор за аттестацией и эксплуатацией аттестуемых объектов информатизации устанавливает «Положение по аттестации объектов информации по требованиям безопасности информации» (далее - Положение), утвержденное председателем Гостехкомиссии России 25 ноября 1994 г.. Деятельность системы аттестации организует федеральный орган по сертификации продукции и аттестации объектов информатизации по требованиям безопасности информации (далее – федеральный орган по сертификации и аттестации), которым является Федеральная служба по техническому и экспортному контролю Российской Федерации (ФСТЭК РФ) в пределах ее компетенции, определяемой законодательными актами Российской Федерации.

Организационную структуру системы аттестации объектов информатизации образуют:

1. федеральный орган по сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации; 2. органы по аттестации объектов информатизации по требованиям безопасности информации; 3.испытательные центры (лаборатории) по сертификации продукции по требованиям безопасности информации; 4.заявители (заказчики, владельцы, разработчики аттестуемых объектов информатизации).

Порядок проведения аттестации:

1. подачу и рассмотрение заявки на аттестацию;

· Заявитель для получения " Аттестата соответствия" заблаговременно направляет в орган по аттестации заявку на проведение аттестации с исходными данными по аттестуемому объекту информатизации по форме, приведенной в приложении 1 к положению

· Орган по аттестации в месячный срок рассматривает заявку и на основании анализа исходных данных выбирает схему аттестации, согласовывает ее с заявителем и принимает решение о проведении аттестации объекта информатизации.

2. предварительное ознакомление с аттестуемым объектом;

· При недостаточности исходных данных по аттестуемому объекту информатизации в схему аттестации включаются работы по предварительному ознакомлению с аттестуемым объектом, проводимые до этапа аттестационных испытаний.

3. испытание несертифицированных средств и систем защиты информации, используемых на аттестуемом объекте (при необходимости);

· При использовании на аттестуемом объекте информатизации несертифицированных средств и систем защиты информации в схему аттестации могут быть включены работы по их испытаниям в испытательных центрах (лабораториях) по сертификации средств защиты информации по требованиям безопасности информации или непосредственно на аттестуемом объекте информатизации с помощью специальной контрольной аппаратуры и тестовых средств.

· Испытания отдельных несертифицированных средств и систем защиты информации в испытательных центрах (лабораториях) по сертификации проводятся до аттестационных испытаний объектов информатизации.

4. разработка программы и методики аттестационных испытаний;

· По результатам рассмотрения заявки и анализа исходных данных, а также предварительного ознакомления с аттестуемым объектом органом по аттестации разрабатываются программа аттестационных испытаний, предусматривающая перечень работ и их продолжительность, методики испытаний (или используются типовые методики), определяются количественный и профессиональный состав аттестационной комиссии, назначаемой органом по аттестации объектов информатизации, необходимость использования контрольной аппаратуры и тестовых средств на аттестуемом объекте информатизации или привлечения испытательных центров (лабораторий) по сертификации средств защиты информации по требованиям безопасности информации.

· Порядок, содержание, условия и методы испытаний для оценки характеристик и показателей, проверяемых при аттестации, соответствия их установленным требованиям, а также применяемые в этих целях контрольная аппаратура и тестовые средства определяются в методиках испытаний различных видов объектов информатизации.

· Программа аттестационных испытаний согласовывается с заявителем.

5. заключение договоров на аттестацию;

· Этап подготовки завершается заключением договора между заявителем и органом по аттестации на проведение аттестации, заключением договоров (контрактов) органа по аттестации с привлекаемыми экспертами и оформлением предписания о допуске аттестационной комиссии к проведению аттестации.

· Оплата работы членов аттестационной комиссии производится органом по аттестации в соответствии с заключенными трудовыми договорами (контрактами) за счет финансовых средств от заключаемых договоров на аттестацию объектов информатизации.

6. проведение аттестационных испытаний объекта информатизации;

· осуществляется анализ организационной структуры объекта информатизации, информационных потоков, состава и структуры комплекса технических средств и программного обеспечения, системы защиты информации на объекте, разработанной документации и ее соответствия требованиям нормативной документации по защите информации;

· определяется правильность категорирования объектов ЭВТ и классификации АС (при аттестации автоматизированных систем), выбора и применения сертифицированных и несертифицированных средств и систем защиты информации;

· проводятся испытания несертифицированных средств и систем защиты информации на аттестуемом объекте или анализ результатов их испытаний в испытательных центрах (лабораториях) по сертификации;

· проверяется уровень подготовки кадров и распределение ответственности персонала за обеспечение выполнения требований по безопасности информации;

· проводятся комплексные аттестационные испытания объекта информатизации в реальных условиях эксплуатации путем проверки фактического выполнения установленных требований на различных этапах технологического процесса обработки защищаемой информации;

· оформляются протоколы испытаний и заключение по результатам аттестации с конкретными рекомендациями по устранению допущенных нарушений, приведению системы защиты объекта информатизации в соответствие с установленными требованиями и совершенствованию этой системы, а также рекомендациями по контролю за функционированием объекта информатизации.

· Заключение по результатам аттестации с краткой оценкой соответствия объекта информатизации требованиям по безопасности информации, выводом о возможности выдачи " Аттестата соответствия" и необходимыми рекомендациями подписывается членами аттестационной комиссии и доводится до сведения заявителя. К заключению прилагаются протоколы испытаний, подтверждающие полученные при испытаниях результаты и обосновывающие приведенный в заключении вывод. Протоколы испытаний подписываются экспертами - членами аттестационной комиссии, проводившими испытания. Заключение и протоколы испытаний подлежат утверждению органом по аттестации.

7. оформление, регистрация и выдача " Аттестата соответствия";

· " Аттестат соответствия" оформляется и выдается заявителю после утверждения заключения по результатам аттестации.

· " Аттестат соответствия" выдается владельцу аттестованного объекта информатизации органом по аттестации на период, в течение которого обеспечивается неизменность условий функционирования объекта информатизации и технологии обработки защищаемой информации, могущих повлиять на характеристики, определяющие безопасность информации (состав и структура технических средств, условия размещения, используемое программное обеспечение, режимы обработки информации, средства и меры защиты), но не более чем на 3 года.

· В случае изменения условий и технологии обработки защищаемой информации владельцы аттестованных объектов обязаны известить об этом орган по аттестации, который принимает решение о необходимости проведения дополнительной проверки эффективности системы защиты объекта информатизации.

8. осуществление государственного контроля и надзора, инспекционного контроля за проведением аттестации и эксплуатацией аттестованных объектов информатизации;

· Государственный контроль и надзор, инспекционный контроль за проведением аттестации объектов информатизации проводится Гостехкомиссией России как в процессе, так и по завершении аттестации, а за эксплуатацией аттестованных объектов информатизации - периодически в соответствии с планами работы по контролю и надзору. Гостехкомиссия России может передавать некоторые из своих функций государственного контроля и надзора по аттестации и за эксплуатацией аттестованных объектов информатизации аккредитованным органам по аттестации.

9. рассмотрение апелляций

· В случае несогласия заявителя с отказом в выдаче " Аттестата соответствия" он имеет право обратиться в вышестоящий орган по аттестации или непосредственно в Гостехкомиссию России с апелляцией для дополнительного рассмотрения полученных при испытаниях результатов, где она в месячный срок рассматривается с привлечением заинтересованных сторон. Податель апелляции извещается о принятом решении.

При аттестации объектов информатизации для каждого ТСОИ:

· измеряются напряженности электромагнитного поля по магнитной Н_i(в диапазоне частот 9 кГц – 30 МГц) и электрической Е_i (в диапазоне частот 9 кГц – 1800 МГц) составляющим, создаваемые информативным сигналом ТСОИ;

· измеряются уровни информативных сигналов ТСОИ в диапазоне частот 9 кГц - 300 МГц в соединительных линиях вспомогательных технических средств и систем, инженерных коммуникациях, посторонних проводниках, имеющих выход за границу контролируемой зоны;

· определяются коэффициенты удельного затухания информативного сигнала в линиях электропитания, в соединительных линиях ВТСС, инженерных коммуникациях, посторонних проводниках, имеющих выход за границу контролируемой зоны

· измеряется сопротивление заземления каждого ТСОИ;

При использовании на объекте информатизации систем активной защиты (САЗ) дополнительно проводятся:

· измерения напряженности электромагнитного поля по магнитной Н_i(в диапазоне частот 9 кГц – 30 МГц) и электрической Е_i(в диапазоне частот 9 кГц – 1800 МГц) составляющим, создаваемой помеховыми сигналами САЗ;

· измерения уровней помеховых сигналов в диапазоне частот 9 кГц - 300 МГц, создаваемых САЗ в соединительных линиях вспомогательных технических средств и систем, инженерных коммуникациях, посторонних проводниках, имеющих выход за границу контролируемой зоны.

При аттестации выделенного помещения:

· измеряются уровни акустического сигнала и шумов в октавных полосах частот со среднегеометрическими частотами 250, 500, 1000, 2000, 4000 Гц в местах возможной установки микрофонных датчиков средств речевой разведки;

· измеряются уровни вибрационного сигнала и шумов в октавных полосах частот со среднегеометрическими частотами 250, 500, 1000, 2000, 4000 Гц в местах возможной установки датчиков контактного типа средств речевой разведки;

· определяются коэффициенты звукоизоляции ограждающих конструкций (окон, дверей, стен, пола, потолка) выделенного помещения в октавных полосах частот со среднегеометрическими частотами 250, 500, 1000, 2000, 4000 Гц;

· определяются коэффициенты виброизоляции ограждающих конструкций выделенного помещения, а также различных элементов инженерно-технических систем, включая их коммуникации, в октавных полосах частот со среднегеометрическими частотами 250, 500, 1000, 2000, 4000 Гц;

· измеряются уровни шумов на выходе в октавных полосах частот со среднегеометрическими частотами 250, 500, 1000, 2000, 4000 Гц;

· рассчитывается словесная разборчивость речи W для каждого типа аппаратуры речевой разведки. Специальные проверки на наличие возможно внедренных специальных электронных устройств перехвата информации проводятся по решению руководителя предприятия (учреждения, фирмы). Проверке подлежат: выделенные помещения, предназначенные для проведения закрытых мероприятий; технические средства, предназначенные для обработки информации ограниченного доступа; вспомогательные технические средства, устанавливаемые в выделенных помещениях и на объектах информатизации.

По результатам специальной проверки технических средств по выявлению специальных электронных устройств перехвата информации составляется акт, на основании которого потребителю выдается заключение.

Разделы ТЗ на подготовку помещений к аттестации

I. Наименование и основание для проведение работы. Здание, № этажа, № кабинета.

Основанием для выполнения работ является договор (№ договора, дата, исполнитель).

II. Цель и задачи.

Задачи подлежащие решению в ходе выполнения работ: -проведение экспертного исследования выделенного помещения; - анализ особенностей помещения; - анализ обрабатываемой информации; - разработка предложений по созданию системы безопасности обрабатываемой речевой информации; - разработка пакета основных организационно-распорядительных документов, регламентирующих деятельность различных подразделений и категорий сотрудников.

III. Требования к выполнению работ.

1. Требования к проведению исследования вп. Устанавливаются существующие элементы питания, заземления, коммуникации, тс в помещении, линии связи, телефоны.

Уточнение общей стратегии обеспечения ИБ. Анализ режимных ограничений доступа к информации в помещении.

2. Требования к содержанию предложений по построению комплексной системы иб по обрабатываемой речевой информации. Рекомендации по выбору и применению спец тех средств: - система видеонаблюдения ….

3. Требования к пакету организационно-распорядительным документам:

· акт категорирования Вт

· перечень сведений, подлежащих защите

· список лиц допущенных в помещение

· положение о подразделении, которое работает в данном помещении

· инструкции сотрудников, допущенных к работе.

IV. Требования к научно-технической продукции

Результатом работы является отчет, который должен содержать:

- характеристику обследованного вп; - оценку существующего порядка доступа сотрудников к вп; - оценку существующей в вп системы обеспечения иб и применяемых средств к зи; - предложения и рекомендации по обеспечению би обрабатываемой речевой информации; -требования к комплексу тс, необходимых для обеспечения иб; - требования по обеспечению сохранности сведений ограниченного доступа при выполнении работ.

V. Этапы работ и сроки проведения.

По результатам аттестаций органом по аттестации выдаются след комплект документов:

Программа и методика аттестац испытаний; Протоколы: эффективности ЗИ от утечки за счет ПЭМИ, эффективности ЗИ от утечки за счет наводок на ВТСС, эффективности ЗИ от утечки за счет электропитания и заземления, эффективности ЗИ от утечки за счет ПЭМИН средств и линий передачи данных, эффективности ЗИ от утечки за счет спец эл устройств перехвата инф, эффективности ЗИ от утечки за счет НСД к информации.

Заключение по результатам аттестационных испытаний (соотвест или несоотвест АС треб по БИ). Аттестат соответствия (выдается сроком на 3 года, в течение этого срока должна быть обеспечена неизменность условий функционирования АС и технология обработки защищаемой инф).

 

6. Энергоинформационное взаимодействие как одна из современных угроз нарушения информационной безопасности. Сущность нейролингвистического программирования.

Энергоинформационные взаимодействия представляют собой процессы симметричного или асимметричного взаимодействия объектов на информационном или материальном плане, одновременно отображающиеся на противоположном плане в виде соответствующих им информационных или физических процессов с поглощением или выделением энергии на каком-либо физическом плане (физическом измерении) материального мира.

Энергоинформационное взаимодействие характеризует 3 уровня взаимосвязей:

· межличностные взаимосвязи

· социальные взаимосвязи

· общественные взаимосвязи

В совокупности энергоинформационных взаимосвязей важнейшей составляющей является информационно-психологическая взаимосвязь.

Человек как личность и активный социальный субъект, его психика подвержены непосредственному действию информационных факторов, которые, трансформируясь через его поведение, действия (или бездействие), оказывают дисфункциональное влияние на социальные субъекты разного уровня общности, различной системно-структурной и функциональной организации.

Таким образом, проблема информационно-психологической безопасности личности, ее психологической защищенности и способов формирования психологической защиты в условиях кардинальных изменений российского общества становится особенно актуальной как в теоретическом, так и в прикладном плане.

Информационное воздействие на человека может вызывать плохое настроение, ухудшение психического состояния, негатив­ное поведение, неправильную ориентацию и т. п. Большие воз­можности имеются и для информационного воздействия на элек­тронную технику. Например, если в ЭВМ заблаговременно ввести специальную аппаратную закладку, то по команде извне можно прервать работу ЭВМ, или, наоборот, несанкционированно ее ини­циировать, вывести из строя.

В печати появилось много публикаций, посвященных информационно-психологическим технологиям. Среди таких технологий нарастающую опасность представляют системы скрытого информационного воздействия, основным объектом нападения которых является психика человека. Стремление научиться воздействовать на человека напрямую, через его подсознание выражается в разработке самых различных методов, возникающих па протяжении всей истории человечества, начиная от шаманства и кончая современными изощренными скрытыми психотехнологиями, когда субъект воздействия не осознает ни цель, ни даже факт самого воздействия.

Техногенные средства психофизического воздействия интенсивно развиваются, опираясь на достижения информационных технологий, и в этом плане представляют быстрорастущую угрозу обществу.

Актуальность этой части общей проблемы ИБ заключает­ся в том, что такое воздействие на людей и технические комплексы, результаты которого могут но­сить не просто негативный, а трагический и даже катастрофиче­ский характер.

⇐ Предыдущая15161718192021222324Следующая ⇒

Поделиться:

Популярное:

1. B. Функции языка как театральной коммуникативной системы
2. II этап. Обоснование системы показателей для комплексной оценки, их классификация.
3. II. НЕПОСРЕДСТВЕННОЕ ОБСЛЕДОВАНИЕ ДЫХАТЕЛЬНОЙ СИСТЕМЫ У ДЕТЕЙ
4. XVI. Любой опыт, несовместимый с организацией или структурой самости, может восприниматься как угроза, и чем больше таких восприятий, тем жестче организация структуры самости для самозащиты.
5. XVI. Основные правовые системы современности.
6. Абстрактные модели защиты информации
7. Автомат продольно-токовой дифференциальной защиты.
8. АВТОМАТИЗИРОВАННЫЕ ИНФОРМАЦИОННО – УПРАВЛЯЮЩИЕ СИСТЕМЫ
9. Автоматизированные системы управления
10. АЗП – автомат защиты от перенапряжения.
11. Алгоритм перевода чисел из одной системы счисления в другую
12. АНАЛИЗ СИЛЬНЫХ И СЛАБЫХ СТОРОН, ВОЗМОЖНОСТЕЙ И УГРОЗ организации (предприятия) системы потребительской кооперации