8.1. Основные требования к системам защиты информации

Основными методами защиты информации в АС являются: физическая охрана средств вычислительной техники (СВТ) (устройств и носителей информации), предусматривающая наличие охраны территории и здания, где размещается АС, с помощью технических средств охраны и/или специального персонала, использование строгого пропускного режима, специ-альное оборудование помещений АС;
использование средств вычислительной техники (СВТ) в специально защищенном от ПЭМИН и НСД исполнении;
использование сертифицированных средств защиты; проведение специальных исследований и контроль СВТ с целью исключения непредусмотренных включений и добавок;
снижение (исключение) побочных электромагнитных излучений от СВТ; снижение (исключение) наводок побочных электромагнитных излучений от СВТ на вспомогательные технические средства (ВТС);
снижение (исключение) информативности сигналов побочных электромагнитных излучений и наводок с использованием систем активной защиты (генераторов шума);
идентификация и проверка подлинности (аутентификация) пользователей и других ресурсов АС ( программно-аппаратных средств); персональный допуск пользователей к работе в АС и ее ресурсам, включая взаимодействие с другими ресурсами АС;
надзор за деятельностью пользователей в АС и ее учет, включая средства обеспечения персональной ответственности, пользователей за свои действия в АС;
проверка целостности (отсутствия вредных изменений) ресурсов АС, включая средства защиты информации;
использование криптографических средств защиты информации, находящейся в оперативной и внешней памяти ЭВМ и на различных носителях, а также передаваемой по линиям связи;
применение методов защиты от копирования файлов АС; периодическое и динамическое тестирование и контроль работоспособности средств защиты, их оперативное восстановление.
Выбор структуры СЗИ и методов защиты осуществляется в процессе создания СЗИ на основании предварительного аналитического и технического обследования АС с учетом государственных нормативных и руководящих документов по защите информации от ПЭМИН и НСД. Требуемое качество СЗИ (надежность защиты информации) задается собственником (владельцем) ин-формации и определяется как на этапе создания, так и эксплуатации СЗИ.
Для выполнения работ по созданию СЗИ могут привлекаться специализированные предприятия, имеющие лицензию на проведение работ по защите коммерческой информации, сертификации средств защиты, аттестации СЗИ АС.
При обработке или хранении в АС информации в рамках СЗИ государственным, коллективные частным и совместным предприятиям, а также частным лицам рекомендуются следующие организационные мероприятия:
выявление конфиденциальной информации и ее документальное оформление в виде перечня сведений, подлежащих защите;
определение порядка установления уровня полномочий субъекта доступа, а также круга лиц, которым это право предоставлено;
установление и оформление правил разграничения доступа, т.е. совокупности правил, регламентирующих права доступа субъектов к объектам;
ознакомление субъекта доступа с перечнем защищаемых сведений и его уровнем полномочий, а также с организационно-распорядительной и рабочей документацией, определяющей требования и порядок обработки конфиденциальной информации;
получение от субъекта доступа расписки о неразглашении доверенной ему конфиденциальной информации;
обеспечение охраны объекта, на котором расположена защищаемая АС (территория, здания, помещения, хранилища информационных носителей) путем установления соответствующих постов, технических средств охраны или любыми другими способами, предотвращающими или существенно затрудняющими хищение средств вычислительной техники (СВТ), информационных носителей, а также НСД к СВТ и линиям связи АС;
выбор класса защищенности АС в соответствии с особенностями обработки информации (технология обработки, конкретные условия эксплуатации АС) и уровнем ее конфиденциальности;
организация службы безопасности информации (ответственные лица, администратор АС), осуществляющей учет, хранение и выдачу информационных носителей, паролей, ключей, ведение служебной информации СЗИ НСД (генерацию паролей, ключей, сопровождение правил разграничения доступа), приемку включаемых в АС новых программных средств, а также контроль за ходом технологического процесса обработки конфиденциальной информации и Т.
д.;
разработка СЗИ, включая соответствующую организационно- распорядительную и эксплуатационную документацию;
осуществление приемки СЗИ в составе АС и ее аттестация. Создание СЗИ рекомендуется проводить по следующим этапам: 1. Проведение аналитического обследования АС с целью оценки возможной уязвимости обрабатываемой в ней коммерческой информации и выработки необходимых требований по ее защите.
На данном этапе, исходя из требований собственника (владельца) ин-
формации и предварительного обследования АС, осуществляется выбор уровня защиты информации - класса защищенности АС от НСД, а также требования по защите информации от ПЭМИН.
Проектирование (создание) СЗИ. В процессе создания (разработки) СЗИ на основании установленных требований по защите информации от НСД и ПЭМИН с учетом условий работы АС и заданных собственником (владельцем) информации ограничений на финансовые, материальные, трудовые и другие ресурсы осуществляется выбор или/и разработка конкретных методов и средств защиты. Результатом данного этапа является законченный комплекс аттестованных (сертифицированных) средств и методов защиты информации, имеющий соответствующую необходимую проектную и эксплуатационную документацию.
Приемка СЗИ в эксплуатацию. На данном этапе осуществляется внедрение (установка) средств и методов СЗИ в АС, их комплексная проверка и тестирование, необходимое обучение и освоение персоналом АС СЗИ. Устраняются выявленные в процессе .проверки и тестирования недостатки СЗИ. Результатом этого этапа является общая аттестация СЗИ АС.
Эксплуатация СЗИ АС. В процессе эксплуатации АС проводится регулярный контроль эффективности СЗИ, при необходимости осуществляется доработка СЗИ в условиях изменения состава программно-аппаратных средств, оперативной обстановки и окружения АС. Контролируются и анализируются все изменения состава АС и СЗИ перед их реализацией отклоняются все модификации АС, снижающие установленную эффективность защиты информации. Периодически (1 раз в год) подтверждается аттестация СЗИ АС.
<< | >>
Источник: О.Б. Макаревич, И.K. Бабенко, А.К. Шилов, А.В. Коваленко. Методическое пособие «Основы защищенного делопроизводства» по курсу «Технология защищенного документооборота». Таганрог: Изд-во ТРТУ,2000. 79 с.. 2000

Еще по теме 8.1. Основные требования к системам защиты информации:

  1. 2.3. Защита информации органов власти Российской Федерации как механизм реализации государственной политики в области обеспечения информационной безопасности России
  2. Глава 3. СОЗДАНИЕ МОДЕЛИ УГРОЗ СИСТЕМАМ ЗАЩИТЫ ИНФОРМАЦИИ САЙТОВ ОРГАНОВ ВЛАСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ
  3. 3.2. Определение, классификация, формализованное описание подходов к выявлению источников угроз системам защиты информации сайтов органов власти Российской Федерации
  4. 3.3. Модель угроз системам защиты информации сайтов органов власти Российской Федерации
  5. 3.4. Методика построения модели угроз системам защиты информации сайтов органов власти Российской Федерации
  6. 5.1. Процедура и результаты анализа эффективности систем защиты информации сайтов органов власти Северо-Западного федерального округа
  7. Приложение. МОДЕЛЬ ВЕРОЯТНЫХ УГРОЗ СИСТЕМАМ ЗАЩИТЫ ИНФОРМАЦИИ САЙТОВ ОРАГОВ ВЛАСТИ
  8. 9.1 Сущность и основные требования, предъявляемые к организации товароснабжения
  9. 1.3. Система маркетинговой информации и схема маркетингового исследования
  10. 1. МЕТОДОЛОГИЯ ФОРМИРОВАНИЯ ТРЕБОВАНИЙ К СИСТЕМЕ ЗАЩИЩЕННОГО ДОКУМЕНТООБОРОТА
  11. 8. ЗАЩИТА ИНФОРМАЦИИ, СОСТАВЛЯЮЩАЯ КОММЕРЧЕСКУЮ ТАЙНУ, ПРИ ОБРАБОТКЕ И ХРАНЕНИИ ЕЕ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ
  12. 8.1. Основные требования к системам защиты информации
  13. 8.2. Требования к системам защиты информации от несанкционированного доступа
  14. 8.3. Требования к системам защиты информации от перехвата электромагнитных излучений и наводок (ПЭМИН)
  15. АНАЛИЗ СИСТЕМЫ ОБРАБОТКИ ИНФОРМАЦИИ. РАЗРАБОТКА ТЕХНИЧЕСКОГО ЗАДАНИЯ
  16. Понятие защиты информации Для более глубокого понимания проблемы определим еще дв