|
|||||||
АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция |
Мероприятия по комплексной защите информации в СФЗ ЯОИсходя из модели вероятного нарушителя СФЗ и перечня угроз информационной безопасности разрабатывается подсистема защиты информации, которая реализуется в виде комплекса средств и мероприятий по защите информации в СФЗ [12.6]. Основными направлениями защиты информации являются: • обеспечение защиты информационных ресурсов от хищения, утраты, утечки, уничтожения, искажения и подделки за счет несанкционированного доступа (НСД) и специальных воздействий; • обеспечение защиты информации, в том числе речевой, от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи. Подсистема защиты информации должна предусматривать комплекс организационных, программных, технических и криптографических средств и мер по защите информации (рис. 12.1) в процессе традиционного документооборота, при автоматизированной обработке и хранении информации, при ее передаче по каналам связи, при ведении на пунктах управления СФЗ разговоров, раскрывающих информацию с ограниченным доступом в отношении СФЗ. В качестве основных мер защиты информации, циркулирующей в технических средствах и обсуждаемой на пунктах управления СФЗ, при транспортировке ЯМ, в рамках указанных направлений обеспечения информационной безопасности осуществляются: • реализация разрешительной системы допуска исполнителей (пользователей, обслуживающего персонала) к работам, документам и информации секретного (конфиденциального) характера; • физическая защита собственно пунктов управления СФЗ и других жизненно-важных объектов и технических средств информатизации, в том числе, размещенных в транспортных средствах, перевозящих ЯМ, с помощью сил охраны и технических средств, предотвращающих или существенно затрудняющих проникновение в здания, помещения, транспортные средства посторонних лиц, хищение документов и информационных носителей, самих средств информатизации, исключающих нахождение внутри защищенной зоны технических средств разведки или промышленного шпионажа; • ограничение доступа персонала и посторонних лиц в здания и в помещения (в зоны ограниченного доступа), где размещены средства информатизации и коммуникации, на которых обрабатывается (хранится, передается) информация секретного (конфиденциального) характера, непосредственно к самим средствам информатизации и коммуникациям; • разграничение доступа пользователей и обслуживающего персонала к данным, программным средствам обработки (передачи) и защиты информации; • учет документов, информационных массивов, регистрация действий пользователей информационных систем и обслуживающего персонала, контроль за несанкционированным доступом и действиями пользователей, обслуживающего персонала и посторонних лиц;
Рис. 12.1. Структура подсистемы ЗИ
• применение сертифицированных по требованиям безопасности информации технических и программных средств; • криптографическое преобразование информации, обрабатываемой и передаваемой средствами вычислительной техники и связи (при необходимости, определяемой особенностями функционирования конкретных СФЗ); • надежное хранение традиционных и машинных носителей информации, ключей (ключевой документации) и их обращение, исключающее их хищение, подмену и уничтожение; • необходимое резервирование технических средств и дублирование массивов и носителей информации; • снижение уровня и информативности ПЭМИН, создаваемых различными элементами автоматизированных систем и технических средств СФЗ; • снижение уровня акустических излучений; • электрическая развязка цепей питания, заземления и других цепей объектов информатизации, выходящих за предела контролируемой территории; • активное зашумление в различных диапазонах; • противодействие оптическим средствам наблюдения и лазерным средствам перехвата; • проверка эффективности защиты помещений пунктов управления СФЗ и технических средств и систем в реальных условиях их размещения и эксплуатации с целью определения достаточности мер защиты с учетом установленной категории; • предотвращение внедрения в автоматизированные системы программ-вирусов, программных закладок. В целях дифференцированного подхода к защите информации, осуществляемого в целях разработки и применения необходимых и достаточных средств защиты информации, а также обоснованных мер по достижению требуемого уровня информационной безопасности, в СФЗ должно проводиться: • категорирование помещений пунктов управления СФЗ, в которых ведутся конфиденциальные разговоры, раскрывающие особенности функционирования СФЗ; • категорирование технических средств и систем, предназначенных для обработки, передачи и хранения информации, составляющей государственную тайну; • классификация автоматизированных систем СФЗ; • классификация систем транкинговой радиосвязи. Категорирование помещений пунктов управления СФЗ и технических средств и систем производится в установленном порядке в соответствии с требованиями СТР в зависимости от степени секретности обсуждаемых вопросов (обрабатываемой, хранимой и передаваемой информации) и условий расположения (эксплуатации) этих помещений и средств в охраняемых зонах относительно мест возможного перехвата. Общие требования и решения по защите информации от несанкционированного доступа определяются на основании Руководящего документа Гостехкомиссии России [12.9], исходя из конкретных условий функционирования АС СФЗ и с учетом таких дополнительных признаков, как: • категорийность охраняемой зоны физической защиты (защищенная, внутренняя, особо важная); • особенности полномочий персонала СФЗ по отношению к защищаемым информационным ресурсам АС СФЗ при коллективной обработке данных, включая использование правила «двух (трех) лиц» при выполнении действий в особо важных и локальных высоко-опасных зонах; • режим обработки данных в АС СФЗ (автоматический, полуавтоматический). При классификации систем транкинговой радиосвязи учитываются: • уровень защищенности ресурсов этих систем (базовых станций, мобильных радиостанций, радиотелефонов), включая циркулирующую в системе информацию (речевую, цифровые информационные и управляющие данные) от НСД; • уровень их защищенности от отказа или прерывания обслуживания абонентов; • режим функционирования (автономный, комплексный - с выходом на другие системы связи, включая АТС, УАТС); • средства и методы администрирования систем транкинговой радиосвязи. Дифференциация подхода к установлению различных наборов требований по защите информации и выбору методов и средств защиты в зависимости от класса АС СФЗ и категории технических средств и систем определяется уровнем чувствительности ресурсов АС СФЗ по отношению к нарушению их безопасности, а также степенью опасности для людей и окружающей среды в случае осуществления несанкционированных действий с ЯМ и установками, возникающими из-за нарушений информационной безопасности АС СФЗ. Мероприятия по комплексной защите информации разрабатываются и реализуются в соответствии с требованиями стандартов и иных государственных нормативных документов по защите информации. Перечень необходимых средств и мер защиты информации определяется по результатам обследования проектируемой (модернизируемой) СФЗ в целом или ее отдельных составляющих. При этом следует учитывать, что стоимость реализации защиты информации должна быть соизмерима с риском, который является приемлемым для конкретного ЯО. Система физической защиты должна быть аттестована на соответствие требованиям безопасности информации с учетом обработки и передачи в ней сведений соответствующей степени секретности (конфиденциальности). С целью своевременного выявления и предотвращения утечки информации по техническим каналам, исключения или существенного затруднения несанкционированного доступа к информации, хищения технических средств и носителей информации, предотвращения специальных программно-технических воздействий, вызывающих нарушение целостности информации или работоспособность технических средств, должен осуществляться контроль состояния и эффективности защиты информации. Контроль заключается в проверке по действующим методикам выполнения требований нормативных документов по защите информации, а также в оценке обоснованности и эффективности принятых мер.
Поиск по сайту: |
Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Студалл.Орг (0.004 сек.) |