Оснащение техническими средствами хранения и обработки информации



Организация хранения конфиденциальных документов и машинных носителей информации, а также оборудование режимных помещений осуществляется в соответствии с установленными в ОРГАНИЗАЦИИ требованиями.

В случае оснащения помещений средствами охранной сигнализации, а также автоматизированной системой приема и регистрации сигналов от этих средств, прием-сдача таких помещений под охрану осуществляется на основании специально разрабатываемой инструкции, утверждаемой Руководителем ОРГАНИЗАЦИИ после согласования с подразделением безопасности.

В режимно-секретном органе (РСО) на случай пожара, аварии или стихийного бедствия разрабатывается инструкция, утверждаемая Руководителем ОРГАНИЗАЦИИ, в которой предусматривается порядок вызова должностных лиц, вскрытия режимных помещений, очередность и порядок спасения секретных документов и изделий и дальнейшего их хранения. Инструкция должна находиться в подразделении охраны, независимо от его ведомственной принадлежности.

Режимно-секретный орган должен быть обеспечен средствами уничтожения документов.

В случае применения для обработки конфиденциальной информации средств вычислительной техники, создается система защиты секретной информации (СЗСИ), которая направлена на обеспечение сохранности информации во время разработки, монтажа, эксплуатации, ремонта и списания СВТ путем предотвращения случаев несанкционированного доступа к информации, ее утечки за счет побочных электромагнитных излучений и наводок и разрушения.

Применяемая СЗСИ должна проходить обязательную сертификацию (аттестацию) на соответствие требованиям безопасности информации.

Обработка конфиденциальной информации на СВТ разрешается только после завершения работ по созданию СЗСИ, проверки ее функционирования и аттестации.

Защита информации от утечки по техническим каналам осуществляется в соответствии со «Специальными требованиями и рекомендациями по защите информации, составляющей государственную тайну, от утечки по техническим каналам» (решение Гостехкомиссии России от 23 мая 1997 года № 55).

Работы по обеспечению безопасности информации, обрабатываемой с помощью АС ОРГАНИЗАЦИИ, можно условно разделить на следующие группы:

· обеспечение физической безопасности компонентов АС ОРГАНИЗАЦИИ (специально внедренные закладные устройства, побочные электромагнитные излучения и наводки, повреждения, сбои питания, кражи и т.п.);

· обеспечение логической безопасности АС ОРГАНИЗАЦИИ (защита от несанкционированного доступа, от ошибок в действиях пользователей и программ и т.д.);

· обеспечение социальной безопасности АС ОРГАНИЗАЦИИ (разработка организационных документов, соответствующих законодательным нормам, регулирующих применение компьютерных технологий, порядок расследования и наказания за компьютерные преступления, контроль и предотвращение неправильного использования информации в случае, когда она хранится или обрабатывается с помощью компьютерных систем).

 

 


ОСНОВНЫЕ ПРИНЦИПЫ ПОСТРОЕНИЯ СИСТЕМЫ КОМПЛЕКСНОЙ ЗАЩИТЫ ИНФОРМАЦИИ

Построение системы обеспечения безопасности информации АС ОРГАНИЗАЦИИ и ее функционирование должны осуществляться в соответствии со следующими основными принципами:

· законность;

· системность;

· комплексность;

· непрерывность;

· своевременность;

· преемственность и непрерывность совершенствования;

· разумная достаточность;

· персональная ответственность;

· минимизация полномочий;

· взаимодействие и сотрудничество;

· гибкость системы защиты;

· открытость алгоритмов и механизмов защиты;

· простота применения средств защиты;

· научная обоснованность и техническая реализуемость;

· специализация и профессионализм;

· обязательность контроля.

Законность

Предполагает осуществление защитных мероприятий и разработку системы безопасности информации АС ОРГАНИЗАЦИИ в соответствии с действующим законодательством в области информации, информатизации и защиты информации, других нормативных актов по безопасности информации, утвержденных органами государственной власти и управления в пределах их компетенции, с применением всех дозволенных методов обнаружения и пресечения правонарушений при работе с информацией. Принятые меры безопасности информации не должны препятствовать доступу правоохранительных органов в предусмотренных законодательством случаях к информации конкретных систем.

Пользователи и обслуживающий персонал АС ОРГАНИЗАЦИИ должны иметь представление об ответственности за правонарушения в области систем автоматизированной обработки информации (статьи 272, 273, 274 Уголовного Кодекса РФ и т.п.).

Системность

Системный подход к построению системы защиты информации в АС ОРГАНИЗАЦИИ предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения проблемы обеспечения безопасности информации АС ОРГАНИЗАЦИИ.

При создании системы защиты должны учитываться все слабые и наиболее уязвимые места системы обработки информации, а также характер, возможные объекты и направления атак на систему со стороны нарушителей (особенно высококвалифицированных злоумышленников), пути проникновения в распределенные системы и НСД к информации. Система защиты должна строиться с учетом не только всех известных каналов проникновения и НСД к информации, но и с учетом возможности появления принципиально новых путей реализации угроз безопасности.

Комплексность

Комплексное использование методов и средств защиты компьютерных систем предполагает согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существенные (значимые) каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов. Защита должна строиться эшелонировано. Внешняя защита должна обеспечиваться физическими средствами, организационными и правовыми мерами. Одним из наиболее укрепленных рубежей призваны быть средства защиты, реализованные на уровне операционных систем (ОС) СВТ в силу того, что ОС - это та часть компьютерной системы, которая управляет использованием всех ее ресурсов. Прикладной уровень защиты, учитывающий особенности предметной области, представляет внутренний рубеж защиты.

Непрерывность защиты

Защита информации – не разовое мероприятие и не простая совокупность проведенных мероприятий и установленных средств защиты, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла АС ОРГАНИЗАЦИИ, начиная с самых ранних стадий проектирования, а не только на этапе ее эксплуатации.

Большинству физических и технических средств защиты для эффективного выполнения своих функций необходима постоянная организационная (административная) поддержка (своевременная смена и обеспечение правильного хранения и применения имен, паролей, ключей шифрования, переопределение полномочий и т.п.). Перерывы в работе средств защиты могут быть использованы злоумышленниками для анализа применяемых методов и средств защиты, для внедрения специальных программных и аппаратных "закладок" и других средств преодоления системы защиты после восстановления ее функционирования.

Своевременность

Предполагает упреждающий характер мер обеспечения безопасности информации, то есть постановку задач по комплексной защите АС и реализацию мер обеспечения безопасности информации на ранних стадиях разработки АС в целом и ее системы защиты информации, в частности.

Разработка системы защиты должна вестись параллельно с разработкой и развитием самой защищаемой системы. Это позволит учесть требования безопасности при проектировании архитектуры и, в конечном счете, создать более эффективные (как по затратам ресурсов, так и по стойкости) защищенные системы.


Дата добавления: 2018-02-15; просмотров: 317;