Файл: В. Б. Кравченко (директор Института информационных наук и технологий безопасности Российского государственного гуманитарного университета).pdf
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 02.02.2024
Просмотров: 681
Скачиваний: 0
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
СОДЕРЖАНИЕ
Т а б л и ц а 7.1. Описание каналов утечки информации
Наименование канала утечки
Описание
Акустический
1) Мембранный перенос энергии речевых сигналов через перегородки за счет малой массы и слабого затухания сигнала.
2) Утечка информации за счет слабой акусти
ческой изоляции (щелей, неплотностей, от
верстий). К таким неплотностям можно отнести:
— щели возле закладных труб кабелей,
— щели у стояков системы отопления,
— вентиляцию,
— неплотности двери и дверной коробки
Вибрационный
Утечка информации за счет продольных колебаний ограждающих конструкций и арматуры системы центрального отопления
Электроакустический
Утечка информации за счет акустоэлектриче- ского преобразования в приемнике линии радиотрансляции
пэмин
Утечка информации за счет модуляции по
лезным сигналом ЭМ-полей, образующихся при работе бьповой техники
Выявление и учет факторов, воздействующих или могущих воздействовать на защищаемую информацию (угроз безопас
ности информации) в конкретных условиях, в соответствии с
ГОСТ Р 51275 — 99 [14] составляют основу для планирования и осуществления мероприятий, направленных на защиту информа
ции на объекте информатизации.
Перечень необходимых мер защиты информации определяется по результатам обследования объекта информатизации с учетом соотношения затрат на защиту информации с возможным ущер
бом от ее разглашения, утраты, уничтожения, искажения, нару
шения санкционированной доступности информации и работо
способности обрабатывающих ее технических средств, а также с учетом реальных возможностей перехвата и раскрытия содержа
ния информации. При этом основное внимание должно быть уде
лено защите информации, в отношении которой угрозы безопас
ности информации реализуются без применения сложных техни
ческих средств перехвата информации:
• речевой информации, циркулирующей в защищаемых поме
щениях;
• информации, обрабатываемой средствами вычислительной техники, от несанкционированного доступа и несанкционирован
ных действий;
• информации, выводимой на экраны видеомониторов;
• информации, передаваемой по каналам связи, выходящим за пределы КЗ.
Для защиты информации рекомендуется использовать серти
фицированные по требованиям безопасности информации тех
нические средства обработки и передачи информации, техниче
ские и программные средства зашиты информации. Надо учесть, что при обработке документированной конфиденциальной инфор
мации на объектах информатизации в государственных органах власти, предприятиях и учреждениях средства защиты информа
ционных систем подлежат обязательной сертификации.
Объекты информатизации должны быть аттестованы на соот
ветствие требованиям по защите информации. (Здесь и далее под аттестацией понимается комиссионная приемка объекта инфор
матизации силами предприятия с обязательным участием специа
листа по защите информации.)
Ответственность за обеспечение требований по технической защите конфиденциальной информации возлагается на руково
дителей учреждений и предприятий, эксплуатирующих объекты информатизации.
7.2. Задачи КСЗИ по выявлению угроз и КУИ
Организация работ по защите информации возлагается на ру
ководителей учреждений и предприятий, руководителей подраз
делений, осуществляющих разработку проектов объектов инфор
матизации и их эксплуатацию, а методическое руководство и кон
троль за эффективностью предусмотренных мер защиты инфор
мации — на руководителей подразделений по защите информа
ции (служб безопасности) учреждения (предприятия) [40].
На предприятии должны быть определены подразделения (или отдельные специалисты), ответственные за организацию и прове
дение (внедрение и эксплуатацию) мероприятий по защите ин
формации в ходе выполнения работ с использованием конфиден
циальной информации.
Разработка и внедрение СЗИ осуществляются во взаимодей
ствии разработчика со службой безопасности предприятия-заказ- чика, которая осуществляет методическое руководство и участву
ет: в разработке конкретных требований по защите информации, аналитическом обосновании необходимости создания СЗИ, со
гласовании выбора средств вычислительной техники и связи, тех
нических и программных средств защиты, организации работ по выявлению возможностей и предупреждению утечки и наруше
ния целостности защищаемой информации, в аттестации объек
тов информатизации.
Организация работ по созданию и эксплуатации объектов ин
форматизации и их СЗИ определяется в разрабатываемом на пред
приятии «Руководстве по защите информации» или в специаль
ном «Положении о порядке организации и проведения работ по защите информации» и должна предусматривать:
• порядок определения защищаемой информации;
• порядок привлечения подразделений предприятия, специа
лизированных сторонних организаций к разработке и эксплуата
ции объектов информатизации и СЗИ, их задачи и функции на различных стадиях создания и эксплуатации объекта информати
зации;
• порядок взаимодействия всех занятых в этой работе органи
заций, подразделений и специалистов;
• порядок разработки, ввода в действие и эксплуатацию объек
тов информатизации;
• ответственность должностных лиц за своевременность и ка
чество формирования требований по технической защите инфор
мации, за качество и научно-технический уровень разработки СЗИ.
Устанавливаются следующие стадии создания системы защиты информации:
• предпроектная стадия, включающая предпроектное обследо
вание объекта информатизации, разработку аналитического обо
снования необходимости создания СЗИ и технического (частного технического) задания на ее создание;
• стадия проектирования (разработки проектов) и реализации объекта информатизации, включающая разработку СЗИ в составе объекта информатизации;
• стадия ввода в действие СЗИ, включающая опытную эксплу
атацию и приемо-сдаточные испытания средств защиты инфор
мации, а также аттестацию объекта информатизации на соответ
ствие требованиям безопасности информации.
На предпроектной стадии по обследованию объекта информа
тизации:
• устанавливается необходимость обработки (обсуждения) кон
фиденциальной информации на данном объекте информатиза
ции;
• определяется перечень сведений конфиденциального харак
тера, подлежащих защите от утечки по техническим каналам;
• определяются (уточняются) угрозы безопасности информа
ции и модель вероятного нарушителя применительно к конкрет
ным условиям функционирования;
• определяются условия расположения объектов информатиза
ции относительно границ КЗ;
• определяются конфигурация и топология автоматизирован
ных систем и систем связи в целом и их отдельных компонент, физические, функциональные и технологические связи как внут
ри этих систем, так и с другими системами различного уровня и назначения;
• определяются технические средства и системы, предполагае
мые к использованию в разрабатываемой АС и системах связи, условия их расположения, общесистемные и прикладные про
граммные средства, имеющиеся на рынке и предлагаемые к раз
работке;
• определяются режимы обработки информации в АС в целом и в отдельных компонентах;
• определяется класс защищенности АС;
• определяется степень участия персонала в обработке (обсуж
дении, передаче, хранении) информации, характер их взаимодей
ствия между собой и со службой безопасности;
• определяются мероприятия по обеспечению конфиденциаль
ности информации в процессе проектирования объекта инфор
матизации.
По результатам предпроектного обследования разрабатывается аналитическое обоснование необходимости создания СЗИ.
На основе действующих нормативных правовых актов и мето
дических документов по защите конфиденциальной информации с учетом установленного класса защищенности АС задаются кон
кретные требования по защите информации, включаемые в тех
ническое (частное техническое) задание на разработку СЗИ.
Предпроектное обследование в части определения защищае
мой информации должно базироваться на документально оформ
ленных перечнях сведений конфиденциального характера. Пере
чень сведений конфиденциального характера составляется заказ
чиком объекта информатизации и оформляется за подписью со
ответствующего руководителя.
Предпроектное обследование может быть поручено специали
зированному предприятию, имеющему соответствующую лицен
зию, но и в этом случае анализ информационного обеспечения в части защищаемой информации целесообразно выполнять пред
ставителям предприятия-заказчика при методической помощи специализированного предприятия. Ознакомление специалистов этого предприятия с защищаемыми сведениями осуществляется в установленном на предприятии-заказчике порядке.
Аналитическое обоснование необходимости создания СЗИ дол
жно содержать:
• информационную характеристику и организационную струк
туру объекта информатизации;
• характеристику комплекса основных и вспомогательных тех
нических средств, программного обеспечения, режимов работы, технологического процесса обработки информации;
• возможные каналы утечки информации и перечень меропри
ятий по их устранению и ограничению;
• определяются технические средства и системы, предполагае
мые к использованию в разрабатываемой АС и системах связи, условия их расположения, общесистемные и прикладные про
граммные средства, имеющиеся на рынке и предлагаемые к раз
работке;
• определяются режимы обработки информации в АС в целом и в отдельных компонентах;
• определяется класс защищенности АС;
• определяется степень участия персонала в обработке (обсуж
дении, передаче, хранении) информации, характер их взаимодей
ствия между собой и со службой безопасности;
• определяются мероприятия по обеспечению конфиденциаль
ности информации в процессе проектирования объекта инфор
матизации.
По результатам предпроектного обследования разрабатывается аналитическое обоснование необходимости создания СЗИ.
На основе действующих нормативных правовых актов и мето
дических документов по защите конфиденциальной информации с учетом установленного класса защищенности АС задаются кон
кретные требования по защите информации, включаемые в тех
ническое (частное техническое) задание на разработку СЗИ.
Предпроектное обследование в части определения защищае
мой информации должно базироваться на документально оформ
ленных перечнях сведений конфиденциального характера. Пере
чень сведений конфиденциального характера составляется заказ
чиком объекта информатизации и оформляется за подписью со
ответствующего руководителя.
Предпроектное обследование может быть поручено специали
зированному предприятию, имеющему соответствующую лицен
зию, но и в этом случае анализ информационного обеспечения в части защищаемой информации целесообразно выполнять пред
ставителям предприятия-заказчика при методической помощи специализированного предприятия. Ознакомление специалистов этого предприятия с защищаемыми сведениями осуществляется в установленном на предприятии-заказчике порядке.
Аналитическое обоснование необходимости создания СЗИ дол
жно содержать:
• информационную характеристику и организационную струк
туру объекта информатизации;
• характеристику комплекса основных и вспомогательных тех
нических средств, программного обеспечения, режимов работы, технологического процесса обработки информации;
• возможные каналы утечки информации и перечень меропри
ятий по их устранению и ограничению;
• перечень предлагаемых к использованию сертифицирован
ных средств защиты информации;
• обоснование необходимости привлечения специализирован
ных организаций, имеющих необходимые лицензии на право про
ведения работ по защите информации;
• оценку материальных, трудовых и финансовых затрат на раз
работку и внедрение СЗИ;
• ориентировочные сроки разработки и внедрения СЗИ;
• перечень мероприятий по обеспечению конфиденциальности информации на стадии проектирования объекта информатизации.
Аналитическое обоснование подписывается руководителем пред проектного обследования, согласовывается с главным конст
руктором (должностным лицом, обеспечивающим научно-техни
ческое руководство создания объекта информатизации), руково
дителем службы безопасности и утверждается руководителем пред
приятия-заказчика.
Техническое (частное техническое) задание на разработку СЗИ должно содержать:
• обоснование разработки;
• исходные данные создаваемого (модернизируемого) объекта информатизации в техническом, программном, информационном и организационном аспектах;
• класс защищенности АС;
• ссылку на нормативные документы, с учетом которых будет разрабатываться СЗИ и приниматься в эксплуатацию объект ин
форматизации;
• конкретизацию требований к СЗИ на основе действующих нормативно-методических документов и установленного класса защищенности АС;
• перечень предполагаемых к использованию сертифицирован
ных средств защиты информации;
• обоснование проведения разработок собственных средств за
щиты информации, невозможности или нецелесообразности ис
пользования имеющихся на рынке сертифицированных средств защиты информации;
• состав, содержание и сроки проведения работ по этапам раз
работки и внедрения;
• перечень подрядных организаций-исполнителей видов работ;
• перечень предъявляемой заказчику научно-технической про
дукции и документации.
Техническое (частное техническое) задание на разработку СЗИ подписывается разработчиком, согласовывается со службой без
опасности предприятия-заказчика, подрядными организациями и утверждается заказчиком.
В целях дифференцированного подхода к защите информа
ции производится классификация АС по требованиям защищен
ности от НСД к информации. Класс защищенности АС от НСД к информации устанавливается совместно заказчиком и разра
ботчиком АС с привлечением специалистов по защите инфор
мации в соответствии с требованиями руководящего документа
(РД) Гостехкомиссии России «Автоматизированные системы.
Защита от несанкционированного доступа к информации. Клас
сификация автоматизированных систем и требования по защите информации» оформляются актом.
Пересмотр класса защищенности АС производится в обязатель
ном порядке, если произошло изменение хотя бы одного из кри
териев, на основании которых он был установлен.
На стадии проектирования и создания объекта информатиза
ции и СЗИ в его составе на основе предъявляемых требований и заданных заказчиком ограничений на финансовые, материальные, трудовые и временные ресурсы осуществляются следующие меро
приятия:
• разработка задания и проекта на строительные, строительно
монтажные работы (или реконструкцию) объекта информатиза
ции в соответствии с требованиями технического (частного тех
нического) задания на разработку СЗИ;
• разработка раздела технического проекта на объект информа
тизации в части защиты информации;
• строительно-монтажные работы в соответствии с проектной документацией, утвержденной заказчиком, размещением и мон
тажом технических средств и систем;
• разработка организационно-технических мероприятий по за
щите информации в соответствии с предъявляемыми требова
ниями;
• закупка сертифицированных образцов и серийно выпускае
мых в защищенном исполнении технических средств обработки, передачи и хранения информации, либо их сертификация;
• закупка сертифицированных технических, программных и программно-технических (в т.ч. криптографических) средств за
щиты информации и их установка;
• разработка (доработка) или закупка и последующая сертифи
кация по требованиям безопасности информации программных средств защиты информации в случае, когда на рынке отсутству
ют требуемые сертифицированные программные средства;
• организация охраны и физической защиты помещений объекта информатизации, исключающих несанкционированный доступ к техническим средствам обработки, хранения и передачи инфор
мации, их хищение и нарушение работоспособности, хищение носителей информации;
• разработка и реализация разрешительной системы доступа пользователей и эксплуатационного персонала к обрабатываемой
(обсуждаемой) на объекте информатизации информации;
ботчиком АС с привлечением специалистов по защите инфор
мации в соответствии с требованиями руководящего документа
(РД) Гостехкомиссии России «Автоматизированные системы.
Защита от несанкционированного доступа к информации. Клас
сификация автоматизированных систем и требования по защите информации» оформляются актом.
Пересмотр класса защищенности АС производится в обязатель
ном порядке, если произошло изменение хотя бы одного из кри
териев, на основании которых он был установлен.
На стадии проектирования и создания объекта информатиза
ции и СЗИ в его составе на основе предъявляемых требований и заданных заказчиком ограничений на финансовые, материальные, трудовые и временные ресурсы осуществляются следующие меро
приятия:
• разработка задания и проекта на строительные, строительно
монтажные работы (или реконструкцию) объекта информатиза
ции в соответствии с требованиями технического (частного тех
нического) задания на разработку СЗИ;
• разработка раздела технического проекта на объект информа
тизации в части защиты информации;
• строительно-монтажные работы в соответствии с проектной документацией, утвержденной заказчиком, размещением и мон
тажом технических средств и систем;
• разработка организационно-технических мероприятий по за
щите информации в соответствии с предъявляемыми требова
ниями;
• закупка сертифицированных образцов и серийно выпускае
мых в защищенном исполнении технических средств обработки, передачи и хранения информации, либо их сертификация;
• закупка сертифицированных технических, программных и программно-технических (в т.ч. криптографических) средств за
щиты информации и их установка;
• разработка (доработка) или закупка и последующая сертифи
кация по требованиям безопасности информации программных средств защиты информации в случае, когда на рынке отсутству
ют требуемые сертифицированные программные средства;
• организация охраны и физической защиты помещений объекта информатизации, исключающих несанкционированный доступ к техническим средствам обработки, хранения и передачи инфор
мации, их хищение и нарушение работоспособности, хищение носителей информации;
• разработка и реализация разрешительной системы доступа пользователей и эксплуатационного персонала к обрабатываемой
(обсуждаемой) на объекте информатизации информации;
• определение заказчиком подразделений и лиц, ответствен
ных за эксплуатацию средств и мер зашиты информации, обуче
ние назначенных лиц специфике работ по защите информации на стадии эксплуатации объекта информатизации;
• выполнение генерации пакета прикладных программ в комп
лексе с программными средствами защиты информации;
• разработка эксплуатационной документации на объект ин
форматизации и средства защиты информации, а также организа
ционно-распорядительной документации по защите информации
(приказов, инструкций и других документов);
• выполнение других мероприятий, специфичных для конк
ретных объектов информатизации и направлений защиты инфор
мации.
Задание на проектирование оформляется отдельным докумен
том, согласовывается с проектной организацией, службой (спе
циалистом) безопасности предприятия-заказчика в части доста
точности мер по технической защите информации и утверждается заказчиком.
Мероприятия по защите информации от утечки по техниче
ским каналам являются основным элементом проектных реше
ний, закладываемых в соответствующие разделы проекта, и раз
рабатываются одновременно с ними.
На стадии проектирования и создания объекта информатиза
ции оформляются также технический (технорабочий) проект и эксплуатационная документация СЗИ:
• пояснительная записка с изложением решений по комплексу организационных мер и программно-техническим (в том числе криптографическим) средствам обеспечения безопасности инфор
мации, состава средств защиты информации с указанием их соот
ветствия требованиям ТЗ;
• описание технического, программного, информационного обеспечения и технологии обработки (передачи) информации;
• план организационно-технических мероприятий по подго
товке объекта информатизации к внедрению средств и мер защи
ты информации;
• технический паспорт объекта информатизации;
• инструкции и руководства по эксплуатации технических и программных средств защиты для пользователей, администраторов системы, а также для работников службы защиты информации.
На стадии ввода в действие объекта информатизации и СЗИ осуществляются:
• опытная эксплуатация средств защиты информации в комп
лексе с другими техническими и программными средствами в це
лях проверки их работоспособности в составе объекта информа
тизации и отработки технологического процесса обработки (пе
редачи) информации;
• приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатации с оформлением приемо
сдаточного акта, подписываемого разработчиком (поставщиком) и заказчиком;
• аттестация объекта информатизации по требованиям без
опасности информации.
На этой стадии оформляются:
• акты внедрения средств защиты информации по результатам их приемо-сдаточных испытаний;
• предъявительский акт к проведению аттестационных испыта
ний;
• заключение по результатам аттестационных испытаний.
При положительных результатах аттестации на объект инфор
матизации оформляется аттестат соответствия требованиям по безопасности информации.
Кроме указанной документации в учреждении (на предприя
тии) оформляются приказы, указания и решения:
• о проектировании объекта информатизации, создании соот
ветствующих подразделений разработки и назначении ответствен
ных исполнителей;
• о формировании группы обследования и назначении ее руко
водителя;
• о заключении соответствующих договоров на проведение ра
бот;
• о назначении лиц, ответственных за эксплуатацию объекта информатизации;
• о начале обработки в АС (обсуждения в защищаемом поме
щении) конфиденциальной информации.
В целях своевременного выявления и предотвращения утечки информации по техническим каналам, исключения или суще
ственного затруднения несанкционированного доступа и предот
вращения специальных программно-технических воздействий, вызывающих нарушение целостности информации или работо
способность технических средств в учреждении (на предприятии), проводится периодический (не реже одного раза в год) контроль состояния защиты информации. Контроль осуществляется служ
бой безопасности учреждения (предприятия), а также отрасле
выми и федеральными органами контроля (для информации, режим защиты которой определяет государство) и заключается в оценке:
• соблюдения нормативных и методических документов Гос
техкомиссии России;
• работоспособности применяемых средств защиты информа
ции в соответствии с их эксплутационной документацией;
• знаний и выполнения персоналом своих функциональных обязанностей в части защиты информации.
Т
а б
л и
ц а
7.
2.
О
сн
ов
н
ы
е
м
ет
од
ы
и
ср
ед
ст
в
а
п
ол
уч
ен
и
я
и
за
щ
ит
ы
и
н
ф
о
р
м
а
ц
и
и
S
О
2 g
І £ &
з
В
о
S
Cd
^
^
ГО
QJ
S
X
у
§ • 1
С
м С
О
5 Р-
l a
о . £
о 5
cd
о
2
CQ
О
>? 2
го
а>
К
X
cd
CQ
О cd
& *
5 s
ё
=
х
0J
«и
Е -
Q. Д
5 «
£ s
та *т"
ю 5
о SS
I s
5 л
о •©*
cd S
5 Э
cd
S
X
X
1)
н
=г
с
и
CL>
5
X
cd
CQ
О cd
! «
Ч *
2
6 Я
^ л-»
of
s
ж
Л ■Г
CQ
*
o SS
r v
®
я °
X Jv
о -Ѳ-
cd S
S a
cd
С
>>
H
o
о
■=*
s
X
SP
о
cx
s
X
t
o.
о
s
a
a
S
C
l
0
•Ѳ*
X
s
0?
s
1
•§■ S
О X
g §
4 1
. . cd
S g
X О
cd С
CQ
-
S
X
3
о
о Си »
1 ... 11 12 13 14 15 16 17 18 ... 41