Лекция
Состав, порядок проведения и исполнители работ по защите и аттестации защищаемых помещений по требованиям безопасности информации
Режим защиты конфиденциальной информации устанавливается собственником информационных ресурсов или уполномоченным лицом в соответствии с законодательством Российской Федерации.
Уровень технической защиты конфиденциальной информации, а так же перечень необходимых мер защиты определяется дифференцированно по результатам обследования объекта информатизации с учётом соотношения затрат на организацию защиты информации и величины ущерба, который может быть нанесён собственнику информационных ресурсов.
СТР-К
Объект информатизации
совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объектов информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения или объекты, предназначенные для ведения конфиденциальных переговоров.
ВП ОВТ |
ЗП АС |
Защищаемые помещения (ЗП) - помещения (служебные кабинеты, актовые, конференц-залы и т.д.), специально предназначенные для проведения конфиденциальных мероприятий (совещаний, обсуждений, конференций, переговоров и т.п.).
СТР-К
Защита информации на объекте информатизации достигается выполнением
комплекса организационных мероприятий применением средств защиты
информации
от утечки по техническим каналам, НСД, программно-технических воздействий с целью нарушения целостности (модификации, уничтожения) и доступности информации в процессе её обработки, передачи и хранения, а так же работоспособности технических средств
Разработка мер и обеспечение ЗИ осуществляются подразделениями по защите информации (службами безопасности) или отдельными специалистами, назначаемыми руководством организаций для проведения таких работ.
Разработка мер защиты информации может осуществляться также сторонними организациями, имеющими лицензии на право проведения соответствующих работ.
СТР-К
Для защиты конфиденциальной информации используются сертифицированные по требованиям безопасности информации
технические средства защиты информации.
Объекты информатизации должны быть аттестованы по требованиям безопасности информации в соответствии с нормативными документами Гостехкомиссии России и требованиями СТР-К.
Ответственность за обеспечение требований по технической защите конфиденциальной информации возлагается на руководителей организаций, эксплуатирующих объекты информатизации.
СТР-К
Организация работ по защите информации возлагается на руководителей организаций, руководителей подразделений, осуществляющих разработку проектов объектов информатизации и их эксплуатацию.
Методическое руководство и контроль за эффективностью предусмотренных мер защиты информации возлагается на руководителей подразделений по защите информации (служб безопасности) организации.
Научно-техническое руководство и непосредственную организацию работ по созданию (модернизации) СЗИ объекта информатизации осуществляет его главный конструктор или другое должностное лицо, обеспечивающее научно-техническое руководство созданием объекта информатизации.
СТР-К
|
Разработка СЗИ |
|
Подразделениями |
Специализированными организациями, |
|
организации |
имеющими лицензии ФСТЭК или ФСБ |
|
на соответствующий вид деятельности |
||
|
Осуществляет методическое руководство и участвует в разработке конкретных требований по защите информации, аналитическом обосновании необходимости создания СЗИ, согласовании выбора средств вычислительной техники и связи, технических и программных средств защиты, организации работ по выявлению возможных каналов утечки информации или воздействий на неё и предупреждению утечки и нарушения целостности защищаемой информации, в аттестации объектов информатизации.
Служба |
|
Разработчик |
безопасности |
СЗИ |
|
Организация - |
|
Определяются подразделения (отдельные |
заказчик |
|
|
|
специалисты), ответственные за организацию и |
|
|
|
проведение мероприятий по ЗИ |
СТР-К
Организация работ по созданию и эксплуатации объектов информатизации и их СЗИ определяется в разрабатываемом
"Положении о порядке организации и проведения работ по защите конфиденциальной информации"
или в приложении к
"Руководству по защите информации от утечки по техническим каналам на объекте"
идолжна предусматривать:
порядок определения защищаемой информации;
порядок привлечения подразделений организации, специализированных сторонних организаций к разработке и эксплуатации объектов информатизации и СЗИ, их задачи и функции на различных стадиях создания и эксплуатации объекта информатизации;
порядок взаимодействия всех занятых в этой работе организаций, подразделений и специалистов;
порядок разработки, ввода в действие и эксплуатацию объектов информатизации;
ответственность должностных лиц за своевременность и качество формирования требований по технической защите информации, за качество и научно-технический уровень разработки СЗИ.
СТР-К
Рекомендуемые стадии создания СЗИ
1 |
|
Предпроектная стадия |
|
предпроектное |
разработка |
разработка технического |
|
обследование ОИ |
аналитического |
(частного технического) |
|
|
|
обоснования |
задания на создание СЗИ |
|
|
необходимости |
|
|
|
создания СЗИ |
|
2 |
|
Стадия проектирования |
|
|
|||
разработка СЗИ в составе объекта информатизации |
|||
3 |
Стадия ввода в действие СЗИ |
||
опытная |
|
приемо-сдаточные |
аттестация объекта |
эксплуатация |
|
испытания средств ЗИ |
информатизации на |
|
|
|
соответствие |
требованиям безопасности информации
СТР-К
На предпроектной стадии по обследованию объекта информатизации:
1.устанавливается необходимость обработки (обсуждения) конфиденциальной информации на данном объекте информатизации;
2.определяется перечень сведений конфиденциального характера, подлежащих защите от утечки по техническим каналам;
3.определяются (уточняются) угрозы безопасности информации и модель вероятного нарушителя применительно к конкретным условиям функционирования объекта;
4.определяются условия расположения объектов информатизации относительно границ КЗ;
5.определяются конфигурация и топология АС и систем связи в целом и их отдельных компонент, физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назначения; СТР-К