Файл: В. Б. Кравченко (директор Института информационных наук и технологий безопасности Российского государственного гуманитарного университета).pdf
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 02.02.2024
Просмотров: 769
Скачиваний: 0
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
СОДЕРЖАНИЕ
1) разработка и выбор оптимальных схем и элементов, осно
ванных на применении устройств с низким уровнем излучения:
— жидкокристаллических и газоразрядных экранов отображе
ния;
— оптико-электронных и волоконно-оптических линий пере
дачи данных;
— запоминающих устройств на магнитных доменах, гологра
фических запоминающих устройств и т.п.;
2) экранирование (развязка) отдельных элементов и устройств
АС, реализуемое путем:
• локального экранирования излучающих элементов СВТ и средств связи;
« экранирования кабелей и устройств заземления;
• применения развязывающих фильтров в цепях питания и т. п.;
3) использование специальных программ и кодов, базирую
щихся:
• на применении мультипрограммных режимов обработки дан
ных, обеспечивающих минимальные интервалы обращения к за
щищаемой информации;
• применении параллельных многоразрядных кодов, параллель
ных кодов с малой избыточностью, а также симметричных кодов;
• на ограничении регулярности вывода и времени отображения информации на устройствах отображения;
4) применение активных мешающих воздействий, основанных на использовании встроенных синхронизированных генераторов:
• генераторов импульсных помех;
• специальных (инверсных) схем заполнения интервалов;
5) использование специальных схем нарушения регулярности вывода информации на устройства отображения.
Защита речевой информации при проведении закрытых перего
воров.
Исходя из возможности перехвата речевой информации при проведении разговоров конфиденциального характера с по
мощью внедрения специальных электронных (закладных) уст
ройств, транслирующих эту информацию, акустических, вибро- акустических и лазерных технических средств разведки, инфор
мации, наведенной на различные электрические и прочие цепи, выходящие за пределы контролируемой зоны, противодействие этим угрозам безопасности информационных ресурсов должно осуществляться всеми доступными средствами и методами.
Помещения, в которых предусматривается ведение конфиден
циальных переговоров, должны быть проверены на предмет от
сутствия в них (в стеновых панелях, фальшполах и фальшпотол- ках, мебели, технических средствах, размещенных в этих помеще
ниях) закладных устройств. Технические средства передачи ин
формации (телефоны, телефаксы, модемы), а также различные электрические и прочие цепи, трубопроводы, системы вентиля
ции и кондиционирования должны быть защищены таким обра
зом, чтобы акустические сигналы не могли быть перехвачены за пределами контролируемой зоны, а в необходимых случаях и за пределами данного выделенного помещения.
В этих целях используются проектные решения, обеспечиваю
щие звукоизоляцию помещений, специальные средства обнару
жения закладных устройств, устанавливаются временные или по
стоянные посты радиоконтроля, на технические средства переда
чи информации устанавливаются устройства, предотвращающие перехват акустических сигналов с линий связи, на электрические цепи, выходящие за пределы контролируемой зоны, ставятся филь
тры, а на трубопроводы — диэлектрические вставки, используют
ся системы активной защиты в акустическом и других диапазо
нах.
Управление системой обеспечения безопасности информации в
АС.
Управление представляет собой целенаправленное воздействие на компоненты системы обеспечения безопасности (организаци
онные, технические, программные и криптографические) с це
лью достижения требуемых показателей и норм защищенности циркулирующей в АС организации информации в условиях реа
лизации основных угроз безопасности.
Главная цель организации управления системой обеспечения безопасности информации — повышение надежности защиты информации в процессе ее обработки, хранения и передачи.
Целями управления системой обеспечения безопасности ин
формации являются:
• на этапе создания и ввода в действие АС организации — раз
работка и реализация научно-технических программ и координа
ционных планов создания нормативно-правовых основ и техниче
ской базы, обеспечивающей использование передовых зарубежных средств и информационных технологий и производство отечествен
ных технических и программных средств обработки и передачи информации в защищенном исполнении в интересах обеспече
ния безопасности информации АС; организация и координация взаимодействия в этой области разработчиков АС, концентрация кадровых, финансовых и иных ресурсов заинтересованных сто
рон при разработке и поэтапном вводе в действие системы; созда
ние действенной организационной структуры, обеспечивающей комплексное решение задач безопасности информации при функ
ционировании АС, в том числе службы безопасности АС, осна
щенной необходимыми программно-аппаратными средствами управления и контроля;
• на этапе эксплуатации АС — обязательное и неукоснитель
ное выполнение предусмотренных на этапе создания АС правил и процедур, направленных на обеспечение безопасности информа
ции, всеми задействованными в системе участниками; эффектив
зом, чтобы акустические сигналы не могли быть перехвачены за пределами контролируемой зоны, а в необходимых случаях и за пределами данного выделенного помещения.
В этих целях используются проектные решения, обеспечиваю
щие звукоизоляцию помещений, специальные средства обнару
жения закладных устройств, устанавливаются временные или по
стоянные посты радиоконтроля, на технические средства переда
чи информации устанавливаются устройства, предотвращающие перехват акустических сигналов с линий связи, на электрические цепи, выходящие за пределы контролируемой зоны, ставятся филь
тры, а на трубопроводы — диэлектрические вставки, используют
ся системы активной защиты в акустическом и других диапазо
нах.
Управление системой обеспечения безопасности информации в
АС.
Управление представляет собой целенаправленное воздействие на компоненты системы обеспечения безопасности (организаци
онные, технические, программные и криптографические) с це
лью достижения требуемых показателей и норм защищенности циркулирующей в АС организации информации в условиях реа
лизации основных угроз безопасности.
Главная цель организации управления системой обеспечения безопасности информации — повышение надежности защиты информации в процессе ее обработки, хранения и передачи.
Целями управления системой обеспечения безопасности ин
формации являются:
• на этапе создания и ввода в действие АС организации — раз
работка и реализация научно-технических программ и координа
ционных планов создания нормативно-правовых основ и техниче
ской базы, обеспечивающей использование передовых зарубежных средств и информационных технологий и производство отечествен
ных технических и программных средств обработки и передачи информации в защищенном исполнении в интересах обеспече
ния безопасности информации АС; организация и координация взаимодействия в этой области разработчиков АС, концентрация кадровых, финансовых и иных ресурсов заинтересованных сто
рон при разработке и поэтапном вводе в действие системы; созда
ние действенной организационной структуры, обеспечивающей комплексное решение задач безопасности информации при функ
ционировании АС, в том числе службы безопасности АС, осна
щенной необходимыми программно-аппаратными средствами управления и контроля;
• на этапе эксплуатации АС — обязательное и неукоснитель
ное выполнение предусмотренных на этапе создания АС правил и процедур, направленных на обеспечение безопасности информа
ции, всеми задействованными в системе участниками; эффектив
ное пресечение посягательств на информационные ресурсы, тех
нические средства и информационные технологии; своевремен
ное выявление негативных тенденций и совершенствование уп
равления в области зашиты информации.
Управление системой обеспечения безопасности информации реализуется специализированной подсистемой, представляющей собой совокупность органов управления, технических, программ
ных и криптографических средств, а также организационных ме
роприятий и взаимодействующих друг с другом пунктов управле
ния различных уровней.
Органами управления являются подразделения безопасности информации, а пунктами управления — центр управления без
опасностью (ЦУБ) и автоматизированные рабочие места админи
страторов (операторов) безопасности, расположенные на объек
тах АС организации.
Подсистемы управления выполняют информационную, управ
ляющую и вспомогательную функции.
Информационная функция заключается в непрерывном конт
роле состояния системы защиты, проверке соответствия показа
телей защищенности допустимым значениям и немедленном ин
формировании операторов безопасности о возникающих в АС ситуациях, способных привести к нарушению безопасности ин
формации.
К контролю состояния системы защиты предъявляются два требования: полнота и достоверность. Полнота характеризует степень охвата всех средств защиты и параметров их функцио
нирования. Достоверность контроля характеризует степень адек
ватности значений контролируемых параметров их истинному значению. В результате обработки данных контроля формирует
ся информация состояния системы защиты, которая обобщается
(агрегируется) и передается на вышестоящие пункты управле
ния.
Управляющая функция заключается в формировании планов реализации технологических операций АС с учетом требований безопасности информации в условиях, сложившихся для данного момента времени, а также в определении места возникновения ситуации уязвимости информации и предотвращении ее утечки за счет оперативного блокирования участков АС, на которых воз
никают угрозы безопасности информации. К управляющим функ
циям службы безопасности относятся учет, хранение и выдача документов и информационных носителей, паролей и ключей. При этом генерация паролей, ключей, сопровождение средств разгра
ничения доступа, приемка включаемых в программную среду АС новых программных средств, контроль соответствия программной среды эталону, а также контроль за ходом технологического про
цесса обработки секретной (конфиденциальной) информации воз
нические средства и информационные технологии; своевремен
ное выявление негативных тенденций и совершенствование уп
равления в области зашиты информации.
Управление системой обеспечения безопасности информации реализуется специализированной подсистемой, представляющей собой совокупность органов управления, технических, программ
ных и криптографических средств, а также организационных ме
роприятий и взаимодействующих друг с другом пунктов управле
ния различных уровней.
Органами управления являются подразделения безопасности информации, а пунктами управления — центр управления без
опасностью (ЦУБ) и автоматизированные рабочие места админи
страторов (операторов) безопасности, расположенные на объек
тах АС организации.
Подсистемы управления выполняют информационную, управ
ляющую и вспомогательную функции.
Информационная функция заключается в непрерывном конт
роле состояния системы защиты, проверке соответствия показа
телей защищенности допустимым значениям и немедленном ин
формировании операторов безопасности о возникающих в АС ситуациях, способных привести к нарушению безопасности ин
формации.
К контролю состояния системы защиты предъявляются два требования: полнота и достоверность. Полнота характеризует степень охвата всех средств защиты и параметров их функцио
нирования. Достоверность контроля характеризует степень адек
ватности значений контролируемых параметров их истинному значению. В результате обработки данных контроля формирует
ся информация состояния системы защиты, которая обобщается
(агрегируется) и передается на вышестоящие пункты управле
ния.
Управляющая функция заключается в формировании планов реализации технологических операций АС с учетом требований безопасности информации в условиях, сложившихся для данного момента времени, а также в определении места возникновения ситуации уязвимости информации и предотвращении ее утечки за счет оперативного блокирования участков АС, на которых воз
никают угрозы безопасности информации. К управляющим функ
циям службы безопасности относятся учет, хранение и выдача документов и информационных носителей, паролей и ключей. При этом генерация паролей, ключей, сопровождение средств разгра
ничения доступа, приемка включаемых в программную среду АС новых программных средств, контроль соответствия программной среды эталону, а также контроль за ходом технологического про
цесса обработки секретной (конфиденциальной) информации воз
лагаются на администратора автоматизированной системы (базы данных) и администратора службы безопасности, которые распо
ложены в ЦУБ.
К вспомогательным функциям подсистемы управления отно
сятся учет всех операций, выполняемых в АС с защищаемой ин
формацией, формирование отчетных документов и сбор статис
тических данных с целью анализа и выявления потенциальных каналов утечки информации.
Контроль эффективности защиты информации.
Контроль осу
ществляется в целях своевременного выявления и предотвраще
ния утечки информации по техническим каналам за счет несанк
ционированного доступа к ней, а также предупреждения возмож
ных специальных воздействий, направленных на уничтожение информации, разрушение средств информатизации.
Контроль может проводиться как службой безопасности (опе
ративный контроль в процессе информационного взаимодействия в АС), так и привлекаемыми для этой цели компетентными орга
низациями, имеющими лицензию на этот вид деятельности, а так
же Инспекцией ФСТЭК России или ФСБ России в пределах их компетенции.
Оценка эффективности мер защиты информации проводится с использованием технических и программных средств контроля на предмет соответствия установленным требованиям.
Контроль может осуществляться администратором безопасно
сти как с помощью штатных средств системы защиты информа
ции от НСД, так и с помощью специальных программных средств контроля.
ложены в ЦУБ.
К вспомогательным функциям подсистемы управления отно
сятся учет всех операций, выполняемых в АС с защищаемой ин
формацией, формирование отчетных документов и сбор статис
тических данных с целью анализа и выявления потенциальных каналов утечки информации.
Контроль эффективности защиты информации.
Контроль осу
ществляется в целях своевременного выявления и предотвраще
ния утечки информации по техническим каналам за счет несанк
ционированного доступа к ней, а также предупреждения возмож
ных специальных воздействий, направленных на уничтожение информации, разрушение средств информатизации.
Контроль может проводиться как службой безопасности (опе
ративный контроль в процессе информационного взаимодействия в АС), так и привлекаемыми для этой цели компетентными орга
низациями, имеющими лицензию на этот вид деятельности, а так
же Инспекцией ФСТЭК России или ФСБ России в пределах их компетенции.
Оценка эффективности мер защиты информации проводится с использованием технических и программных средств контроля на предмет соответствия установленным требованиям.
Контроль может осуществляться администратором безопасно
сти как с помощью штатных средств системы защиты информа
ции от НСД, так и с помощью специальных программных средств контроля.
1 ... 18 19 20 21 22 23 24 25 ... 41
10.8. Первоочередные мероприятия
по обеспечению безопасности информации
АС организации
В данном разделе Концепции описаны мероприятия по реали
зации ее положений. Необходимо:
• создать во всех территориальных подразделениях организа
ции подразделений технической защиты информации в АС орга
низации и ввести ответственных (можно внештатных, из числа сотрудников подразделения) за безопасность информации в струк
турных подразделениях организации, определить их задачи и функ
ции на различных стадиях создания, развития и эксплуатации АС и системы защиты информации;
• рассмотреть возможность внесения изменений в конфигура
цию сетей и СВТ, технологии обработки, передачи и хранения
(архивирования) информации (с целью максимального разделе
ния подсистем АС организации, в которых обрабатывается ин
формация различных категорий конфиденциальности), для сни
жения затрат на создание системы защиты и упрощения катего- рирования и аттестации подсистем АС организации;
• определить порядок приобретения и использования серти
фицированных серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информа
ции; образцов технических средств, прошедших специальные ис
следования, в соответствии с требованиями предписания на экс
плуатацию, а также сертифицированных средств защиты инфор
мации;
• уточнить (в том числе на основе апробации) конкретные тре
бования к СЗИ, включаемые в ТЗ на разработку СЗИ АС органи
зации;
• определить возможность использования в АС организации имеющихся сертифицированных средств защиты информации;
• произвести закупку сертифицированных образцов и серийно выпускаемых технических и программных средств зашиты инфор
мации («Secret Net» и т.п.) и их внедрение на рабочих станциях и файловых серверах сети с целью контроля за изменением конфи
гурации аппаратных и программных средств и действиями пользо
вателей;
• осуществить разработку и последующую сертификацию про
граммных средств защиты информации в случае, когда на рынке отсутствуют требуемые программные средства;
• для обеспечения режима удаленного доступа пользователей по сети организации к информации конфиденциальных баз дан
ных рассмотреть возможность разработки, сертификации и аттес
тации специальных криптографических средств; в их состав дол
жны входить: сетевой криптошлюз, защищенные абонентские пункты доступа через криптошлюз, центр генерации и распро
странения ключей; на уровне прикладных программ необходимо разработать средства, обеспечивающие возможность доступа к конфиденциальным данным только с защищенных абонентских пунктов;
• определить степень участия персонала в обработке (передаче, хранении, обсуждении) информации, характер его взаимодействия между собой и с подразделениями по защите информации;
• произвести разработку и реализацию разрешительной систе
мы доступа пользователей и эксплуатационного персонала АС организации или иного объекта информатизации к обрабатывае
мой информации, оформляемой в виде раздела «Положения о разрешительной системе допуска исполнителей к документам и сведениям»;
• осуществить разработку организационно-распорядительной и рабочей документации по эксплуатации объекта информатиза
формация различных категорий конфиденциальности), для сни
жения затрат на создание системы защиты и упрощения катего- рирования и аттестации подсистем АС организации;
• определить порядок приобретения и использования серти
фицированных серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информа
ции; образцов технических средств, прошедших специальные ис
следования, в соответствии с требованиями предписания на экс
плуатацию, а также сертифицированных средств защиты инфор
мации;
• уточнить (в том числе на основе апробации) конкретные тре
бования к СЗИ, включаемые в ТЗ на разработку СЗИ АС органи
зации;
• определить возможность использования в АС организации имеющихся сертифицированных средств защиты информации;
• произвести закупку сертифицированных образцов и серийно выпускаемых технических и программных средств зашиты инфор
мации («Secret Net» и т.п.) и их внедрение на рабочих станциях и файловых серверах сети с целью контроля за изменением конфи
гурации аппаратных и программных средств и действиями пользо
вателей;
• осуществить разработку и последующую сертификацию про
граммных средств защиты информации в случае, когда на рынке отсутствуют требуемые программные средства;
• для обеспечения режима удаленного доступа пользователей по сети организации к информации конфиденциальных баз дан
ных рассмотреть возможность разработки, сертификации и аттес
тации специальных криптографических средств; в их состав дол
жны входить: сетевой криптошлюз, защищенные абонентские пункты доступа через криптошлюз, центр генерации и распро
странения ключей; на уровне прикладных программ необходимо разработать средства, обеспечивающие возможность доступа к конфиденциальным данным только с защищенных абонентских пунктов;
• определить степень участия персонала в обработке (передаче, хранении, обсуждении) информации, характер его взаимодействия между собой и с подразделениями по защите информации;
• произвести разработку и реализацию разрешительной систе
мы доступа пользователей и эксплуатационного персонала АС организации или иного объекта информатизации к обрабатывае
мой информации, оформляемой в виде раздела «Положения о разрешительной системе допуска исполнителей к документам и сведениям»;
• осуществить разработку организационно-распорядительной и рабочей документации по эксплуатации объекта информатиза
ции в защищенном исполнении, а также средств и мер защиты информации в АС организации (план защиты, инструкции, обя
занности и т.п.), регламентирующих процессы допуска пользова
телей к работе с АС организации, разработки, приобретения и использования программного обеспечения на рабочих станциях и серверах, порядок внесения изменений в конфигурацию аппарат
ных и программных средств при ремонте, развитии и обслужива
нии СВТ, порядок применения и администрирования средств за
щиты информации и т.п.;
• для снижения риска перехвата в сети с других рабочих стан
ций имен и паролей привилегированных пользователей (в осо
бенности администраторов средств защиты и баз данных) органи
зовать их работу в отдельных сегментах сети, шире применять сетевые устройства типа switch, не использовать удаленные режи
мы конфигурирования сетевых устройств (маршрутизаторов, кон
центраторов и т.п.);
• исключить доступ программистов в эксплуатируемые под
системы АС организации (к реальной информации и базам дан
ных), организовать опытный участок АС для разработки и от
ладки программ; передачу разработанных программ в эксплуата
цию производить через архив эталонов программ (фонд алго
ритмов и программ) подразделения, ответственного за эксплуата
цию ПО;
• для защиты компонентов ЛВС органов организации от не
правомерных воздействий из других ЛВС организации и внешних сетей по IP-протоколу целесообразно использовать на узлах кор
поративной сети организации сертифицированные установленным порядком межсетевые экраны;
• осуществить опытную эксплуатацию средств защиты инфор
мации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объек
тов информатизации и отработки технологических процессов об
работки (передачи) информации;
• произвести специальную проверку импортных технических средств на предмет обнаружения возможно внедренных в них элек
тронных устройств перехвата информации («закладок»);
• произвести специальную проверку выделенных помещений на предмет обнаружения возможно внедренных в них или в пред
меты интерьера электронных устройств перехвата информации
(«закладок»);
• обследовать объект информатизации и провести специаль
ные исследования технических средств;
• выполнить конструктивные доработки технических средств и помещений, где они расположены, в целях локализации возмож
ных технических каналов утечки информации (в случае необхо
димости);
занности и т.п.), регламентирующих процессы допуска пользова
телей к работе с АС организации, разработки, приобретения и использования программного обеспечения на рабочих станциях и серверах, порядок внесения изменений в конфигурацию аппарат
ных и программных средств при ремонте, развитии и обслужива
нии СВТ, порядок применения и администрирования средств за
щиты информации и т.п.;
• для снижения риска перехвата в сети с других рабочих стан
ций имен и паролей привилегированных пользователей (в осо
бенности администраторов средств защиты и баз данных) органи
зовать их работу в отдельных сегментах сети, шире применять сетевые устройства типа switch, не использовать удаленные режи
мы конфигурирования сетевых устройств (маршрутизаторов, кон
центраторов и т.п.);
• исключить доступ программистов в эксплуатируемые под
системы АС организации (к реальной информации и базам дан
ных), организовать опытный участок АС для разработки и от
ладки программ; передачу разработанных программ в эксплуата
цию производить через архив эталонов программ (фонд алго
ритмов и программ) подразделения, ответственного за эксплуата
цию ПО;
• для защиты компонентов ЛВС органов организации от не
правомерных воздействий из других ЛВС организации и внешних сетей по IP-протоколу целесообразно использовать на узлах кор
поративной сети организации сертифицированные установленным порядком межсетевые экраны;
• осуществить опытную эксплуатацию средств защиты инфор
мации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объек
тов информатизации и отработки технологических процессов об
работки (передачи) информации;
• произвести специальную проверку импортных технических средств на предмет обнаружения возможно внедренных в них элек
тронных устройств перехвата информации («закладок»);
• произвести специальную проверку выделенных помещений на предмет обнаружения возможно внедренных в них или в пред
меты интерьера электронных устройств перехвата информации
(«закладок»);
• обследовать объект информатизации и провести специаль
ные исследования технических средств;
• выполнить конструктивные доработки технических средств и помещений, где они расположены, в целях локализации возмож
ных технических каналов утечки информации (в случае необхо
димости);