- •Этапы построения ксзи
- •Субъекты и объекты ксзи
- •Порядок проведения аттестации и контроля объектов информатизации
- •Организационная структура системы аттестации объектов информатизации по требованиям безопасности информации
- •Назначение аттестации объектов информатизации
- •6. Основные руководящие документы фстэк России по аттестации объектов информатизации
- •Основные руководящие документы фстэк России по аттестации объектов информатизации
- •Права, ответственность и обязанности органа по аттестации
- •Исходные данные по аттестуемому объекту информатизации
- •Оформление, регистрация и выдача аттестатов соответствия
- •Действия в случае изменения условий и технологии обработки защищаемой информации
- •Требования к нормативным и методическим документам по аттестации объектов информатизации
- •12. Каналы утечки информации, обрабатываемой в овт
- •Каналы утечки информации, обрабатываемой в овт
- •Разрешительные документы, необходимые для проведения работ по аттестации ои
- •14. Методы и средства защиты информации в овт от утечки по техническим каналам
- •Методы и средства защиты информации в овт от утечки по техническим каналам
- •Мероприятия по защите информации на ои
- •16. Требования к средствам защиты информации на ои
- •Требования к средствам защиты информации на ои
- •Каналы утечки речевой информации в вп
- •18. Методы и средства защиты информации в вп от утечки по техническим каналам
- •Методы и средства защиты информации в вп от утечки по техническим каналам
- •Структура программы проведения аттестационных испытаний ои
- •20. Классификация автоматизированных систем в составе объектов вычислительной техники
- •Классификация автоматизированных систем в составе объектов вычислительной техники
- •Категорирование объектов информатизации
- •Подбор средств защиты информации от несанкционированного доступа
- •Организация защиты пэвм от несанкционированного доступа
- •24. Методы и средства защиты от несанкционированного доступа
- •Методы и средства защиты от несанкционированного доступа
- •Методы защиты программно-аппаратными средствами ас
- •Требования и рекомендации по защите информации от несанкционированного доступа
Методы и средства защиты информации в вп от утечки по техническим каналам
Организационно-режимные мероприятия по защите:
- определение границ контролируемой зоны и обеспечение ее режима функционирования;
- организация контроля и ограничение доступа в ВП;
- использование на объекте сертифицированных СЗИ и ВТСС;
- привлечение к проведению работ по защите информации организаций, имеющих лицензию на данный вид деятельности;
- категорирование и аттестация ВП на соответствие требованиям защиты;
- введение различного рода ограничений в режимы работы ВП.
Технические мероприятия по защите:
Пассивные способы:
- звуко- и виброизоляция выделенных помещений;
- фильтрация информационных сигналов в силовых и слаботочных сетях;
- установка автономных или стабилизированных источников электропитания;
- использование специальных конструкций оконных блоков, специальных пленок, жалюзи и штор.
Активные способы:
- акустическое и вибрационное зашумление строительных конструкций.
Структура программы проведения аттестационных испытаний ои
20. Классификация автоматизированных систем в составе объектов вычислительной техники
Классификация автоматизированных систем в составе объектов вычислительной техники
Класс защищенности автоматизированной системы от НСД к информации устанавливается заказчиком и разработчиком автоматизированной системы с привлечением специалистов по защите информации в соответствии с требованиями руководящих документов Гостехкомиссии России по этому направлению работ.
Классификация необходима для более детальной, дифференцированной разработки требований по защите от НСД с учетом специфических особенностей этих систем.
В основу системы классификации АС положены следующие характеристики объектов и субъектов защиты, а также способов их взаимодействия:
информационные - определяющие ценность информации, ее объем и степень (гриф) конфиденциальности, а также возможные последствия неправильного функционирования АС из-за искажения (потери) информации;
организационные - определяющие полномочия пользователей;
технологические - определяющие условия обработки информации, например, способ обработки (автономный, мультипрограммный и т.д.), время циркуляции (транзит, хранение и т.д.), вид АС (автономная, сеть, стационарная, подвижная и т.д.).
Основными этапами классификации АС являются:
разработка и анализ исходных данных;
выявление основных признаков АС, необходимых для классификации;
сравнение выявленных признаков АС с классифицируемыми;
присвоение АС соответствующего класса защиты информации от НСД.
Необходимыми исходными данными для проведения классификации конкретной АС являются:
перечень защищаемых информационных ресурсов АС и их уровень конфиденциальности;
перечень лиц, имеющих доступ к штатным средствам АС, с указанием их уровня полномочий;
матрица доступа или полномочий субъектов доступа по отношению к защищаемым информационным ресурсам АС;
режим обработки данных в АС.
Выбор класса АС производится заказчиком и разработчиком с привлечением специалистов по защите информации.
К числу определяющих признаков, по которым производится группировка АС в различные классы, относятся:
наличие в АС информации различного уровня конфиденциальности;
уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;
режим обработки данных в АС - коллективный или индивидуальный.
Классификация АС приведена в Руководящем документе "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требований по защите информации", (Гостехкомиссия РФ, 1992 г., далее - РД к АС). Помимо определения собственно «групп» и «классов» в РД к АС определены основные классификационные требования к каждой группе и классу.
Данный РД устанавливается девять классов защищенности АС от несанкционированного доступа к информации. Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС. В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности АС. Класс, соответствующий высшей степени защищенности для данной группы, обозначается индексом № A, где № - номер группы от 1 до 3. Следующий класс обозначается Б и т.д.
Третья группа включает АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Данная группа содержит два класса 3Б и 3А.
Вторая группа включает АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и/или хранимой на носителях различного уровня конфиденциальности. Эта группа содержит два класса 2Б и 2А.
Первая группа включает многопользовательские АС, в которых одновременно обрабатывается и/или хранится информация разных уровней конфиденциальности и не все пользователи имеют право доступа ко всей информации АС. Данная группа содержит пять классов: 1Д, 1Г, 1В, 1Б и 1А.