- •Лекция
- •Режим защиты конфиденциальной информации устанавливается собственником информационных ресурсов или уполномоченным лицом в соответствии
- •Объект информатизации
- •Защита информации на объекте информатизации достигается выполнением
- •Для защиты конфиденциальной информации используются сертифицированные по требованиям безопасности информации
- •Организация работ по защите информации возлагается на руководителей организаций, руководителей подразделений, осуществляющих разработку
- •Организация работ по созданию и эксплуатации объектов информатизации и их СЗИ определяется в
- •Рекомендуемые стадии создания СЗИ
- •На предпроектной стадии по обследованию объекта информатизации:
- •6.определяются технические средства и системы, предполагаемые к использованию в разрабатываемой АС и системах
- •По результатам предпроектного обследования разрабатывается
- •Предпроектное обследование может быть поручено специализированному предприятию, имеющему соответствующую лицензию, но и в
- •Аналитическое обоснование необходимости создания СЗИ должно содержать:
- •6.оценка материальных, трудовых и финансовых затрат на разработку и внедрение СЗИ;
- •Для анализа возможных технических каналов утечки на объекте изучаются:
- •Устанавливается: когда был построен объект (здание), какие организации привлекались для строительства, какие организации
- •Путем визуального наблюдения или фотографирования из окон защищаемых помещений устанавливаются окна близлежащих зданий,
- •Определяются инженерные коммуникации и посторонние проводники, выходящие за пределы контролируемой зоны, измеряется их
- •Техническое (частное техническое) задание на разработку СЗИ должно содержать:
- •7.обоснование проведения разработок собственных средств защиты информации, невозможности или нецелесообразности использования имеющихся на
- •На стадии проектирования и создания объекта информатизации и СЗИ в его составе на
- •5.закупка сертифицированных образцов и серийно выпускаемых в защищенном исполнении технических средств обработки, передачи
- •9.разработка и реализация разрешительной системы доступа пользователей и эксплуатационного персонала к обрабатываемой (обсуждаемой)
- •Техническое задание (ТЗ) на проектирование ОИ
- •На стадии проектирования и создания объекта информатизации оформляются также технический (техно- рабочий) проект
- •Техно - рабочий проект
- •На стадии ввода в действие объекта информатизации и СЗИ осуществляются:
- •На стадии ввода в действие объекта информатизации и СЗИ оформляются:
- •Контроль состояния защиты информации
- •Состав работ по защите информации циркулирующей в ЗП
- •Специальная проверка ЗП и установленного в нем оборудования с целью выявления возможно внедренных
- •Для исключения возможности скрытного подключения ТА и прослушивания ведущихся в ЗП разговоров не
- •В случае использования однопрограммного или трехпрограммного абонентского громкоговорителя в режиме приема первой программы
- •Если предложенными выше методами не удается обеспечить необходимую акустическую защиту, следует применять организационные
- •Организационные меры, направленные на исключение несанкционированного доступа в защищаемое помещение:
- •Защита информации, циркулирующей в системах звукоусиления и звукового сопровождения кинофильмов
- •Системы звукоусиления должны выполняться по проводной схеме передачи информации экранированными проводами и располагаться
- •В системах звукоусиления рекомендуется применять аппаратуру с симметричными входными и выходными цепями. В
- •Система электропитания и заземления должна соответствовать требованиям "Правил устройства электроустановок (ПУЭ)".
- •Защита информации при проведении звуко- и видеозаписи
- •Защита речевой информации при её передаче по каналам связи
6.определяются технические средства и системы, предполагаемые к использованию в разрабатываемой АС и системах связи, условия их расположения, общесистемные
иприкладные программные средства, имеющиеся на рынке
ипредлагаемые к разработке;
7.определяются режимы обработки информации в АС в целом и в отдельных компонентах;
8.определяется класс защищенности АС;
9.определяется степень участия персонала в обработке (обсуждении, передаче, хранении) информации, характер их взаимодействия между собой и со службой безопасности;
10.определяются мероприятия по обеспечению конфиденциальности информации в процессе проектирования объекта информатизации.
СТР-К
По результатам предпроектного обследования разрабатывается
аналитическое обоснование необходимости создания СЗИ.
На основе действующих нормативных правовых актов и методических документов по защите конфиденциальной информации, с учетом установленного класса защищенности АС задаются конкретные требования по защите информации, включаемые в техническое (частное техническое) задание на разработку СЗИ.
Предпроектное обследование в части определения защищаемой информации должно базироваться на документально оформленных перечнях сведений конфиденциального характера.
Перечень сведений конфиденциального характера составляется заказчиком объекта информатизации и оформляется за подписью соответствующего руководителя.
СТР-К
Предпроектное обследование может быть поручено специализированному предприятию, имеющему соответствующую лицензию, но и в этом случае анализ информационного обеспечения в части защищаемой информации целесообразно выполнять представителям предприятия-заказчика при методической помощи специализированной организации.
Ознакомление специалистов этой организации с защищаемыми сведениями осуществляется в установленном на предприятии-заказчике порядке.
СТР-К
Аналитическое обоснование необходимости создания СЗИ должно содержать:
1.информационную характеристику и организационную структуру объекта информатизации;
2.характеристику комплекса основных и вспомогательных технических средств, программного обеспечения, режимов работы, технологического процесса обработки информации;
3.возможные каналы утечки информации и перечень мероприятий по их устранению и ограничению;
4.перечень предлагаемых к использованию сертифицированных средств защиты информации;
5.обоснование необходимости привлечения специализированных организаций, имеющих необходимые лицензии на право проведения работ по защите информации;
СТР-К
6.оценка материальных, трудовых и финансовых затрат на разработку и внедрение СЗИ;
7.ориентировочные сроки разработки и внедрения СЗИ;
8.перечень мероприятий по обеспечению конфиденциальности информации на стадии проектирования объекта информатизации.
Аналитическое обоснование
подписывается руководителем предпроектного обследования,
согласовывается с главным конструктором (должностным лицом, обеспечивающим научно-техническое руководство создания объекта информатизации), руководителем службы безопасности
утверждается руководителем предприятия-заказчика.
СТР-К
Для анализа возможных технических каналов утечки на объекте изучаются:
план (в масштабе) прилегающей к зданию местности в радиусе до 150 - 300 м с указанием (по возможности) принадлежности зданий и границы контролируемой зоны;
поэтажные планы здания с указанием всех помещений и характеристиками их стен, перекрытий, материалов отделки, типов дверей и окон;
план-схема инженерных коммуникаций всего здания, включая систему вентиляции;
план-схема системы заземления объекта с указанием места расположения заземлителя;
план-схема системы электропитания здания с указанием места расположения разделительного трансформатора (подстанции), всех щитов и разводных коробок;
план-схема прокладки телефонных линий связи с указанием мест расположения распределительных коробок и установки телефонных аппаратов;
план-схема систем охранной и пожарной сигнализации с указанием мест установки и типов датчиков, а также распределительных
коробок.
Устанавливается: когда был построен объект (здание), какие организации привлекались для строительства, какие организации в нем ранее располагались.
При анализе условий расположения объекта определяются граница контролируемой зоны, места стоянки автомашин, а также здания, находящиеся в прямой видимости из окон защищаемых помещений за пределами контролируемой зоны. Определяются (по возможности) принадлежность этих зданий и режим доступа в них.
Определяются помещения, смежные с защищаемыми и находящиеся за пределами контролируемой зоны. Устанавливаются их принадлежность и режим доступа в них. Определяется возможность доступа с внешней стороны к окнам защищаемых помещений. Проводится оценка возможности утечки речевой информации из защищаемых помещений по акустовибрационным каналам.
Путем визуального наблюдения или фотографирования из окон защищаемых помещений устанавливаются окна близлежащих зданий, а также места стоянки автомашин, находящиеся в прямой видимости.
Проводится оценка возможности ведения из них разведки с использованием направленных микрофонов и лазерных акустических систем разведки, а также средств визуального наблюдения и съемки.
Устанавливается месторасположение трансформаторной подстанции, электрощитовой, распределительных щитов.
Определяются здания и помещения, находящиеся за пределами контролируемой зоны, которые запитываются от той же низковольтной шины трансформаторной подстанции, что и защищаемые объекты.
Измеряется длина линий электропитания от защищаемых объектов до возможных мест подключения средств перехвата информации (распределительных щитов, помещений и т.п.), находящихся за пределами контролируемой зоны.
Проводится оценка возможности приема информации, передаваемой сетевыми закладками (при их установке в защищаемых помещениях), за пределами контролируемой зоны.
Определяются инженерные коммуникации и посторонние проводники, выходящие за пределы контролируемой зоны, измеряется их длина от защищаемых объектов до мест возможного подключения средств перехвата информации.
Устанавливается месторасположение заземлителя, к которому подключен контур заземления защищаемого объекта. Определяются помещения, расположенные за пределами контролируемой зоны, которые подключены к тому же заземлителю.
Определяются места установки на объектах информатизации ТСОИ и прокладки их соединительных линий.
Проводится оценка возможности перехвата информации, обрабатываемой ТСОИ, специальными техническими средствами по электромагнитным и электрическим каналам утечки информации. В современных условиях целесообразно провести технический контроль по оценке реальных экранирующих свойств конструкций здания звуко- и виброизоляции помещений в целях учета их результатов при выработке мер защиты ТСОИ и выделенных помещений.
Техническое (частное техническое) задание на разработку СЗИ должно содержать:
1.обоснование разработки;
2.исходные данные создаваемого (модернизируемого) объекта информатизации в техническом, программном, информационном и организационном аспектах;
3.класс защищенности АС;
4.ссылку на нормативно-методические документы, с учетом которых будет разрабатываться СЗИ и приниматься в эксплуатацию объект информатизации;
5.требования к СЗИ на основе нормативно-методических документов и установленного класса защищенности АС;
6.перечень предполагаемых к использованию сертифицированных средств защиты информации;
СТР-К