- •Лекция
- •Режим защиты конфиденциальной информации устанавливается собственником информационных ресурсов или уполномоченным лицом в соответствии
- •Объект информатизации
- •Защита информации на объекте информатизации достигается выполнением
- •Для защиты конфиденциальной информации используются сертифицированные по требованиям безопасности информации
- •Организация работ по защите информации возлагается на руководителей организаций, руководителей подразделений, осуществляющих разработку
- •Организация работ по созданию и эксплуатации объектов информатизации и их СЗИ определяется в
- •Рекомендуемые стадии создания СЗИ
- •На предпроектной стадии по обследованию объекта информатизации:
- •6.определяются технические средства и системы, предполагаемые к использованию в разрабатываемой АС и системах
- •По результатам предпроектного обследования разрабатывается
- •Предпроектное обследование может быть поручено специализированному предприятию, имеющему соответствующую лицензию, но и в
- •Аналитическое обоснование необходимости создания СЗИ должно содержать:
- •6.оценка материальных, трудовых и финансовых затрат на разработку и внедрение СЗИ;
- •Для анализа возможных технических каналов утечки на объекте изучаются:
- •Устанавливается: когда был построен объект (здание), какие организации привлекались для строительства, какие организации
- •Путем визуального наблюдения или фотографирования из окон защищаемых помещений устанавливаются окна близлежащих зданий,
- •Определяются инженерные коммуникации и посторонние проводники, выходящие за пределы контролируемой зоны, измеряется их
- •Техническое (частное техническое) задание на разработку СЗИ должно содержать:
- •7.обоснование проведения разработок собственных средств защиты информации, невозможности или нецелесообразности использования имеющихся на
- •На стадии проектирования и создания объекта информатизации и СЗИ в его составе на
- •5.закупка сертифицированных образцов и серийно выпускаемых в защищенном исполнении технических средств обработки, передачи
- •9.разработка и реализация разрешительной системы доступа пользователей и эксплуатационного персонала к обрабатываемой (обсуждаемой)
- •Техническое задание (ТЗ) на проектирование ОИ
- •На стадии проектирования и создания объекта информатизации оформляются также технический (техно- рабочий) проект
- •Техно - рабочий проект
- •На стадии ввода в действие объекта информатизации и СЗИ осуществляются:
- •На стадии ввода в действие объекта информатизации и СЗИ оформляются:
- •Контроль состояния защиты информации
- •Состав работ по защите информации циркулирующей в ЗП
- •Специальная проверка ЗП и установленного в нем оборудования с целью выявления возможно внедренных
- •Для исключения возможности скрытного подключения ТА и прослушивания ведущихся в ЗП разговоров не
- •В случае использования однопрограммного или трехпрограммного абонентского громкоговорителя в режиме приема первой программы
- •Если предложенными выше методами не удается обеспечить необходимую акустическую защиту, следует применять организационные
- •Организационные меры, направленные на исключение несанкционированного доступа в защищаемое помещение:
- •Защита информации, циркулирующей в системах звукоусиления и звукового сопровождения кинофильмов
- •Системы звукоусиления должны выполняться по проводной схеме передачи информации экранированными проводами и располагаться
- •В системах звукоусиления рекомендуется применять аппаратуру с симметричными входными и выходными цепями. В
- •Система электропитания и заземления должна соответствовать требованиям "Правил устройства электроустановок (ПУЭ)".
- •Защита информации при проведении звуко- и видеозаписи
- •Защита речевой информации при её передаче по каналам связи
Лекция
Состав, порядок проведения и исполнители работ по защите и аттестации защищаемых помещений по требованиям безопасности информации
Режим защиты конфиденциальной информации устанавливается собственником информационных ресурсов или уполномоченным лицом в соответствии с законодательством Российской Федерации.
Уровень технической защиты конфиденциальной информации, а так же перечень необходимых мер защиты определяется дифференцированно по результатам обследования объекта информатизации с учётом соотношения затрат на организацию защиты информации и величины ущерба, который может быть нанесён собственнику информационных ресурсов.
СТР-К
Объект информатизации
совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объектов информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения или объекты, предназначенные для ведения конфиденциальных переговоров.
ВП ОВТ |
ЗП АС |
Защищаемые помещения (ЗП) - помещения (служебные кабинеты, актовые, конференц-залы и т.д.), специально предназначенные для проведения конфиденциальных мероприятий (совещаний, обсуждений, конференций, переговоров и т.п.).
СТР-К
Защита информации на объекте информатизации достигается выполнением
комплекса организационных мероприятий применением средств защиты
информации
от утечки по техническим каналам, НСД, программно-технических воздействий с целью нарушения целостности (модификации, уничтожения) и доступности информации в процессе её обработки, передачи и хранения, а так же работоспособности технических средств
Разработка мер и обеспечение ЗИ осуществляются подразделениями по защите информации (службами безопасности) или отдельными специалистами, назначаемыми руководством организаций для проведения таких работ.
Разработка мер защиты информации может осуществляться также сторонними организациями, имеющими лицензии на право проведения соответствующих работ.
СТР-К
Для защиты конфиденциальной информации используются сертифицированные по требованиям безопасности информации
технические средства защиты информации.
Объекты информатизации должны быть аттестованы по требованиям безопасности информации в соответствии с нормативными документами Гостехкомиссии России и требованиями СТР-К.
Ответственность за обеспечение требований по технической защите конфиденциальной информации возлагается на руководителей организаций, эксплуатирующих объекты информатизации.
СТР-К
Организация работ по защите информации возлагается на руководителей организаций, руководителей подразделений, осуществляющих разработку проектов объектов информатизации и их эксплуатацию.
Методическое руководство и контроль за эффективностью предусмотренных мер защиты информации возлагается на руководителей подразделений по защите информации (служб безопасности) организации.
Научно-техническое руководство и непосредственную организацию работ по созданию (модернизации) СЗИ объекта информатизации осуществляет его главный конструктор или другое должностное лицо, обеспечивающее научно-техническое руководство созданием объекта информатизации.
СТР-К
|
Разработка СЗИ |
|
Подразделениями |
Специализированными организациями, |
|
организации |
имеющими лицензии ФСТЭК или ФСБ |
|
на соответствующий вид деятельности |
||
|
Осуществляет методическое руководство и участвует в разработке конкретных требований по защите информации, аналитическом обосновании необходимости создания СЗИ, согласовании выбора средств вычислительной техники и связи, технических и программных средств защиты, организации работ по выявлению возможных каналов утечки информации или воздействий на неё и предупреждению утечки и нарушения целостности защищаемой информации, в аттестации объектов информатизации.
Служба |
|
Разработчик |
безопасности |
СЗИ |
|
Организация - |
|
Определяются подразделения (отдельные |
заказчик |
|
|
|
специалисты), ответственные за организацию и |
|
|
|
проведение мероприятий по ЗИ |
СТР-К
Организация работ по созданию и эксплуатации объектов информатизации и их СЗИ определяется в разрабатываемом
"Положении о порядке организации и проведения работ по защите конфиденциальной информации"
или в приложении к
"Руководству по защите информации от утечки по техническим каналам на объекте"
идолжна предусматривать:
порядок определения защищаемой информации;
порядок привлечения подразделений организации, специализированных сторонних организаций к разработке и эксплуатации объектов информатизации и СЗИ, их задачи и функции на различных стадиях создания и эксплуатации объекта информатизации;
порядок взаимодействия всех занятых в этой работе организаций, подразделений и специалистов;
порядок разработки, ввода в действие и эксплуатацию объектов информатизации;
ответственность должностных лиц за своевременность и качество формирования требований по технической защите информации, за качество и научно-технический уровень разработки СЗИ.
СТР-К
Рекомендуемые стадии создания СЗИ
1 |
|
Предпроектная стадия |
|
предпроектное |
разработка |
разработка технического |
|
обследование ОИ |
аналитического |
(частного технического) |
|
|
|
обоснования |
задания на создание СЗИ |
|
|
необходимости |
|
|
|
создания СЗИ |
|
2 |
|
Стадия проектирования |
|
|
|||
разработка СЗИ в составе объекта информатизации |
|||
3 |
Стадия ввода в действие СЗИ |
||
опытная |
|
приемо-сдаточные |
аттестация объекта |
эксплуатация |
|
испытания средств ЗИ |
информатизации на |
|
|
|
соответствие |
требованиям безопасности информации
СТР-К
На предпроектной стадии по обследованию объекта информатизации:
1.устанавливается необходимость обработки (обсуждения) конфиденциальной информации на данном объекте информатизации;
2.определяется перечень сведений конфиденциального характера, подлежащих защите от утечки по техническим каналам;
3.определяются (уточняются) угрозы безопасности информации и модель вероятного нарушителя применительно к конкретным условиям функционирования объекта;
4.определяются условия расположения объектов информатизации относительно границ КЗ;
5.определяются конфигурация и топология АС и систем связи в целом и их отдельных компонент, физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назначения; СТР-К