Когда человек теряет богатство, он ничего не теряет. Когда человек теряет здоровье, он теряет кое-что. Когда человек теряет характер, он теряет все. © Билли Грэм 1000 - | 772 - или читать все...
Обратная связь Пожаловаться на материал

Лекция 7. Организация работ по защите информации, обрабатываемой техническими средствами


⇐ ПредыдущаяСтр 10 из 35Следующая ⇒

Вопросы:

Организационно-технические мероприятия по защите информации.

Вопросы проектирования, внедрения и эксплуатации АС и их систем зашиты информации.

1 Организационно-технические мероприятия по защите информации

Организация работ по защите информации, составляющей государственную и служебную тайну, при ее обработке техническими средствами определяется в целом "Положением о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от се утечки по техническим каналам".

Мероприятия по защите информации, обрабатываемой техническими средствами, осуществляются во взаимосвязи с другими мерами по обеспечению установленного законами Российской Федерации "Об информации, информатизации и защите информации" и "О государственной тайне" комплекса мер по защите сведений, составляющих государственную и служебную *) тайну.

В то же время эти мероприятия являются составной частью работ по созданию и эксплуатации систем информатизации учреждений и предприятий, располагающих такой информацией, и должны проводиться в установленном нормативными документами порядке в виде системы защиты секретной информации (СЗСИ).

Право на проведение работ со сведениями, составляющими государственную тайну, на разработку СЗИ и осуществление мероприятий по защите тайны предоставляется учреждениям и предприятиям в соответствии с "Положением о лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, оказанием услуг по защите государственной тайны" [19], а при оказании услуг в области защиты информации - и с "Положением о государственном лицензировании деятельности в области защиты информации" [20] по видам деятельности, являющимся компетенцией Гостехкомиссии России и ФАПСИ.

В соответствии с требованиями указанных документов право на обработку информации, составляющей государственную тайну, техническими средствами предоставляется только предприятиям, получившим лицензию на право проведения работ со сведениями соответствующей степени секретности, а на оказание услуг сторонним учреждениям и предприятиям - предприятиям, имеющим лицензию Гостехкомиссии России или ФАПСИ на право осуществления соответствующих видов деятельности в области защиты информации. Перечень таких предприятий с указанием конкретных видов деятельности публикуется Гостехкомиссией России и ФАПСИ.

Защита информации осуществляется путем выполнения комплекса мероприятий по предотвращению утечки информации по техническим каналам, за счет несанкционированного доступа к ней, предупреждения преднамеренных программно-технических воздействий с целью уничтожения или искажения информации в процессе ее обработки, передачи и хранения.

*) Вопросы обращения со служебной информацией, в т. ч. машинными носителями информации, определяются "Положением о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти", утвержденным постановлением Правительства Российской Федерации от 03.11 94 № 1233.

Основными организационно-техническими мероприятиями по защите информации являются:

лицензирование деятельности предприятий в области защиты информации;

разработка средств защиты информации и контроля за ее эффективностью и их использование;

сертификация средств защиты информации и контроля за ее эффективностью;

создание и применение автоматизированных информационных систем в защищенном исполнении;

аттестация объектов и систем информатизации на соответствие требованиям безопасности информации при проведении работ со сведениями соответствующей степени секретности.

Конкретные средства и меры защиты информации разрабатываются и применяются в зависимости от уровня секретности и ценности информации и от степени возможного ущерба в случае ее утечки, уничтожения, модификации.

Прежде чем перейти к вопросам непосредственной организации в учреждении, на предприятии работ по защите информации, обрабатываемой техническими средствами, проектирования, внедрения и эксплуатации систем информатизации, остановимся более подробно на проблеме обеспечения качества разрабатываемой, выпускаемой серийно и используемой потребителями защищенной техники и средств защиты информации, защищенных систем информатизации, а также оказываемых в области защиты информации услуг, имеющей ключевое значение в процессе информатизации и особенно защиты информации.

Проблему обеспечения качества продукции и услуг в области защиты информации можно условно разделить на три направления, взаимодополняющих друг друга:

лицензирование деятельности по оказанию услуг в области защиты информации;

сертификация средств и систем вычислительной техники и связи, СЗИ по требованиям безопасности информации;

аттестация объектов информатики по требованиям безопасности информации.

Каждое из этих направлении преследует свои цели, имеет свои отличительные особенности, занимает свою "нишу" в общей проблеме обеспечения качества продукции и услуг в области защиты информации. Они призваны стимулировать разработку на современном уровне и внедрение качественных средств и систем и защитить потребителя продукции и услуг от недобросовестной работы исполнителя (продавца).

Первостепенное значение в решении этой проблемы имеют требования по защите информации, изложенные в виде стандартов, иных нормативных и методических документов, которым должны отвечать эти средства и системы.

Для воплощения законодательных положений в жизнь необходим механизм их реализации в виде организационной структуры систем лицензирования деятельности в области защиты информации, сертификации продукции и аттестации объектов информатики по требованиям безопасности информации, возглавляемой органами государственного управления в пределах компетенции, определенной законодательством Российской Федерации, выполняющими организационную и координирующую деятельность в этом направлении, необходимы подзаконные нормативные акты, определяющие порядок создания и функционирования этих систем, стандарты и иные нормативные документы по безопасности информации, на соответствие требованиям которых проверяются средства и системы информатизации и услуги в этой области.

Необходимо также взаимодействие и объединение этих систем в рамках единой системы защиты информации, поддержанной в организационно-правовом, техническом и финансовом отношении на государственном уровне.

Основными нормативными актами системы, работающей под управлением Гостехкомиссии России, являются "Положение об обязательной сертификации продукции по требованиям безопасности информации" [22] и "Положение по аттестации объектов информатики по требованиям безопасности информации" 123].

Уместно заметить, что в соответствии с первым из них предложена обязательная сертификация, которой подлежат технические средства, в том числе иностранных) производства, предназначенные для обработки (передачи) информации, составляющей государственную тайну, для использования в управлении экологически опасными объектами, а также средства защиты и контроля защищенности такой информации. Об этом же говорится в ст.27 "Положения о государственной системе защиты информации...". Затраты на проведение обязательной сертификации продукции относятся на ее себестоимость и оплачиваются заявителями.

Несколько отличны требования по защите информации от НСД в АС.

Их отличие порождено тем, что СВТ разрабатываются и поставляются на рынок как элементы, из которых в дальнейшем проектируется АС, поэтому, не решая прикладных задач, СВТ не содержат пользовательской информации, которая собственно и подлежит защите. Следовательно, защищенность СВТ представляет собой потенциальную защищенность, т.е. свойство предотвращать или существенно затруднять НСД к информации, обрабатываемой в АС, построенной с использованием защищенных СВТ.

Но если защита СВТ обеспечивается только комплексом программно-технических средств, то защита АС обеспечивается как комплексом программно-технических средств, так и поддерживающих их организационных мер. Указанные отличия обусловили создание самостоятельных технических требований по защите информации, обрабатываемой в АС, от НСД в виде руководящего документа по стандартизации "Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации" [6], который должен использоваться заказчиками и разработчиками АС при формировании и реализации требований по защите.

Деление АС на соответствующие классы по условиям их функционирования с точки зрения защиты информации необходимо в целях разработки и применения обоснованных и экономически оправданных мер по достижению требуемого уровня защиты информации.

Дифференциация подхода к выбору методов и средств защиты определяется важностью обрабатываемой информации, различием АС по своему составу, структуре, способам обработки информации, количественному и качественному составу пользователей и обслуживающего персонала.

К числу определяющих признаков, по которым производится группировка АС по классам, относятся: наличие в АС информации различного уровня конфиденциальности, уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации и режим обработки данных в АС, коллективный или индивидуальный.

Устанавливается девять классов защищенности АС от НСД к информации. Классы подразделяются на группы, отличающиеся особенностями обработки информации в АС.

Третья группа классифицирует АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса - ЗБ и ЗА.

Вторая группа классифицирует АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности. Группа содержит два класса - 2Б и 2А.

Первая группа классифицирует многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней

конфиденциальности и не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов - 1Д, 1Г, 1В, 1Б и 1А.

Документом предусмотрено, что комплекс программно-технических средств и организационных решений по защите информации от НСД в общем случае реализуется в рамках системы защиты информации от НСД (СЗИ НСД), условно состоящей из следующих четырех подсистем: управления доступом, регистрации и учета, криптографической и обеспечения целостности (см. приложение).

Наличие и условия реализации требований в зависимости от класса АС приведены в табличном виде и представлены по группам классов.

В документе приведены условия использования в АС, предназначенной для обработки информации, являющейся собственностью государства и отнесенной к категории секретной, СВТ, защищенность которых определяется по РД "Показатели защищенности СВТ".

Кроме того, вопросы защиты информации и оценки качества в той или иной мере затрагивались в общем виде в ГОСТах серии В на проектирование, испытания и приемку, а также постановку на производство военной техники (ГОСТ В 15.210-78 "Испытания опытных образцов изделий", ГОСТ В 15.307-77 "Испытания и приемка серийных изделий" и ГОСТ В 15.211-78 "Порядок разработки программ и методик испытаний опытных образцов изделий. Общие положения".

В части сертификации программных средств с 1990 г. действует ГОСТ 28195-89 "Оценка качества программных средств".

Таким образом, при введении в действие систем сертификации качество продукции в рассматриваемой области будет оцениваться в соответствии с приведенными выше стандартами и иными нормативными документами по защите информации.

2. Вопросы проектирования, внедрения и эксплуатации АС и их систем зашиты информации

Рассматривая в предыдущей главе вопросы организационно-правового обеспечения безопасности информации, обрабатываемой техническими средствами и системами, имелось в виду прежде всего правовое регулирование на государственном уровне. Хотя отдельные аспекты права, организации работ захватывали и нижний уровень - уровень учреждений, а также предприятий различных форм собственности, использующих в своей деятельности технические средства для обработки информации, подлежащей защите, на котором возникает потребность в решении проблем безопасности информации, составляющей как государственную, служебную, так и коммерческую тайну, секреты производства (ноу-хау), а также безопасности самих автоматизированных систем, используемых, например, в управлении экологически опасными объектами.

Поэтому рассмотрим, как и с помощью каких организационных мероприятий и процедур могут решаться проблемы безопасности информации на всех этапах проектирования и эксплуатации автоматизированных систем и их систем защиты секретной (или иной подлежащей защите) информации (СЗСИ).

Организация защиты информации, обрабатываемой техническими средствами, возлагается на руководителей учреждений и предприятий, руководителей подразделений, разрабатывающих и эксплуатирующих системы информатизации, а методическое руководство и контроль за обеспечением защиты информации - на руководителей подразделений по защите информации службы безопасности предприятия-заказчика.

Система защиты секретной информации АС включает комплекс организационных, технических и программных (в т. ч. криптографических) средств и мероприятий по защите информации. Научно-техническое руководство и непосредственную организацию работ по созданию СЗСИ АС осуществляет главный конструктор этой системы или другое должностное лицо, обеспечивающее научно-техническое руководство всей разработкой системы информатизации.

Разработка СЗСИ производится подразделением, разрабатывающим на предприятии АС, либо специализированным предприятием, имеющим лицензию на этот вид деятельности в области защиты информации.

В случае разработки СЗСИ или ее отдельных компонент специализированным предприятием, имеющим лицензию на этот вид деятельности, на предприятии (в учреждении), для которого разрабатывается АС (предприятие-заказчик), определяется подразделение (или отдельные специалисты), ответственные за осуществление (внедрение и эксплуатацию) мероприятий по защите информации в ходе выполнения работ с использованием сведений, составляющих государственную тайну.

Разработка и внедрение СЗСИ АС проходит во взаимодействии с подразделениями по защите информации службы безопасности предприятия-заказчика, которые осуществляют на предприятии методическое руководство и участие в разработке конкретных требований по защите информации, аналитического обоснования необходимости создания СЗСИ, согласование выбора средств вычислительной техники и связи, технических и программных средств защиты, организацию работ по выявлению возможностей и предупреждению утечки секретной информации, участвуют в согласовании технических заданий на проведение работ, в аттестации АС по требованиям безопасности информации.

Организация в учреждении, на предприятии работ по созданию и эксплуатации АС и их СЗСИ приводится в "Положении о порядке организации и проведения на предприятии работ по защите информации, обрабатываемой техническими средствами", с учетом конкретных условий определяющем: ...........

- подразделения и отдельных специалистов, в том числе специализированных предприятий, участвующих в разработке и эксплуатации СЗСИ АС, их задачи и функции на различных стадиях создания СЗСИ; - вопросы взаимодействия всех задействованных в этой работе подразделений и специалистов: - ответственность должностных лиц за своевременность и качество постановки требований по защите информации, за качество и научно-технический уровень разработок СЗСИ.

Устанавливаются следующие стадии создания СЗСИ:

1) предпроектная стадия, включающая обследование объекта информатизации, разработку аналитического обоснования необходимости создания СЗСИ и раздела технического задания на создание АС по разработке СЗСИ;

2) стадия разработки проектов, включающая разработку СЗСИ в составе АС;

3) стадия ввода в действие СЗСИ, включающая опытную эксплуатацию и приемочные испытания средств защиты информации, а также аттестацию АС по требованиям безопасности информации.

В комплексе работ по созданию АС должна предусматриваться опережающая разработка и внедрение СЗСИ. Поясним, что это такое. Система защиты секретной информации реализуется в виде подсистемы АС и включает комплекс организационных, программно-технических (в том числе криптографических) средств, систем и мероприятий по защите информации. СЗСИ состоит из системной и функциональной частей. Системная часть является общей и применяется при разработке, внедрении и эксплуатации всех или большинства задач АС, функциональная часть обеспечивает защиту информации при решении конкретной задачи и специфична для нее. Поэтому от своевременной постановки и правильного решения вопросов системной части СЗСИ зависит своевременность разработки и эффективность самой автоматизированной системы.

1. На предпроектной стадии по обследованию объекта информатизации:

устанавливается необходимость обработки секретной информации в АС, подлежащей разработке, оценивается ее степень секретности и объемы;

определяются режимы обработки этой информации, комплекс основных технических средств, условия расположения объекта информатизации, общесистемные программные средства, предполагаемые к использованию в разрабатываемой АС;

определяется категория СВТ;

определяется класс АС;

определяется степень участия персонала АС в обработке (передаче, хранении, обсуждении) информации, характер их взаимодействия между собой и с подразделениями защиты информации;

оценивается возможность использования имеющихся на рынке сертифицированных средств защиты информации;

определяются мероприятия по защите секретной информации на стадии разработки АС;

на основе действующих государственных нормативных документов по защите информации с учетом установленных категории СВТ и класса защищенности АС задаются конкретные требования к СЗСИ АС, включаемые в раздел ТЗ на создание АС по разработке СЗСИ.

Результаты предпроектного обследования в части наличия подлежащей защите информации и оценки ее уровня конфиденциальности и ценности базируются только на документально оформленных перечнях сведений, будет ли этот перечень сведений, подлежащих засекречиванию или перечень сведений, составляющих служебную или коммерческую тайну.

Наличие таких перечней является необходимым условием, но недостаточным для решения вопроса об уровне конфиденциальности информаций, обрабатываемой в АС. В целях решения этого вопроса необходимо проанализировать структуру информационного обеспечения системы, необходимость наличия в ней защищаемых интегрированных сведений, объемы и формы представления информации для пользователей и другие составляющие.

Степень секретности (конфиденциальность) обрабатываемой информации определяется заказчиком АС и документально за подписью соответствующего руководителя представляется разработчику СЗСИ.

Предпроектное обследование может быть поручено специализированному предприятию, имеющему лицензию на этот вид деятельности, но и в этом случае анализ информационного обеспечения в части секретной информации целесообразно выполнять представителям предприятия-заказчика при методической помощи специализированного предприятия.

На основании результатов предпроектного обследования разрабатываются аналитическое обоснование необходимости создания СЗСИ и раздел ТЗ на ее разработку.

"Аналитическое обоснование необходимости создания СЗСИ" должно содержать:

информационную характеристику и организационную структуру объекта информатизации;

характеристику комплекса основных и вспомогательных технических средств, программного обеспечения, режимов работы, технологического процесса обработки информации;

возможные каналы утечки информации и перечень мероприятий по их устранению и ограничению;

предлагаемые к использованию сертифицированные средства защиты информации;

оценку материальных, трудовых и финансовых затрат на разработку и внедрение СЗСИ;

ориентировочные сроки разработки и внедрения СЗСИ;

обоснование необходимости привлечения специализированных предприятий для разработки СЗСИ;

перечень мероприятий по защите секретной информации на стации разработки АС.

Раздел "Технического задания на создание АС" на разработку СЗСИ должен содержать:

основание для разработки;

исходные данные создаваемой АС в техническом, программном, информационном и организационном аспектах;

категорию СВТ;

класс защищенности АС;

ссылку на государственные нормативные документы, с учетом которых будет разрабатываться СЗСИ и аттестовываться АС;

конкретизацию требований к СЗСИ на основе государственных нормативных документов и установленных категории и класса защищенности;

перечень предполагаемых к использованию сертифицированных средств защиты информации;

обоснование проведения разработок собственных средств защиты информации, невозможности или нецелесообразности использования имеющихся на рынке сертифицированных средств защиты информации;

состав и содержание работ по этапам разработки и внедрения, сроки и объемы финансирования работ;

перечень предъявляемой заказчику научно-технической продукции и документации.

Важным, с экономической точки зрения, является принятие решения исходя из требований к АС в целом и СЗСИ, в частности, о выборе из имеющихся на рынке сертифицированных средств защиты информации, привлечении лицензированного предприятия или о разработке специализированных средств собственными силами. Однако при этом не следует забывать об их последующей сертификации при необходимости обработки секретной информации.

В целях дифференцированного подхода к защите информации производится категорирование средств и систем вычислительной техники, предназначенных для обработки, передачи и хранения секретной информации, и классификация АС, предназначенных для обработки секретной и иной конфиденциальной информации.

Категория средств и систем вычислительной техники устанавливается в соответствии с действующим "Положением по категорированию объектов ЭВТ на территории СССР" (ПКО ЭВТ).

Класс защищенности АС от несанкционированного доступа к информации устанавливаются в соответствии с требованиями руководящего документа Гостехкомиссии России "Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации".

Па основании требований п.2.18. этого РД устанавливается следующий порядок классификации АС в зависимости от степени секретности обрабатываемой информации:

АС, обрабатывающие информацию с грифом "секретно", должны быть отнесены по степени защищенности к классам ЗА, 2А и не ниже 1В;

АС, обрабатывающие информацию с грифом "совершенно секретно", должны быть защищены по классам ЗА, 2А и не ниже 1Б;

АС, обрабатывающие информацию с грифом "особой важности", должны быть защищены по классам ЗА, 2А, 1 А.

2. На стадии проектирования АС и СЗСИ в ее составе на основе предъявляемых к системе требований и заданных заказчиком ограничений на финансовые, материальные, трудовые и временные ресурсы осуществляются:

разработка задания и проекта на строительство или реконструкцию объекта информатизации в соответствии с требованиями ТЗ на разработку СЗСИ:

разработка раздела технического проекта на АС в части СЗСИ;

строительно-монтажные работы по оборудованию (переоборудованию) объекта информатизации в соответствии с проектной документацией, утвержденной заказчиком;

разработка организационно-технических мероприятий по защите объекта информатизации в соответствии с предъявляемыми требованиями;

закупка сертифицированных серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации;

закупка и специальные исследования на побочные электромагнитные излучения и наводки несертифицированных технических средств с выдачей предписаний на их эксплуатацию;

специальная проверка импортных технических средств на предмет возможно внедренных в эти средства специальных электронных устройств ("закладок");

размещение и монтаж технических средств АС;

закупка сертифицированных серийно выпускаемых технических и программных (в том числе криптографических) СЗИ и их адаптация;

разработка и последующая сертификация программных СЗИ в случае, когда на рынке отсутствуют требуемые программные средства;

объектовые исследования технических средств АС на побочные электромагнитные излучения и наводки с целью определения соответствия установленной категории для этих технических средств;

монтаж средств активной защиты в случае, когда по результатам специальных или объектовых исследований технических средств не выполняются нормы защиты информации для установленной категории этих технических средств;

организация охраны и физической защиты объекта информатизации и отдельных технических средств;

разработка и реализация разрешительной системы доступа пользователей и эксплуатационного персонала АС к обрабатываемой информации, оформляемом в виде раздела "Положения о разрешительной системе допуска исполнителей к документам и сведениям в учреждении (на предприятии)";

определение заказчиком подразделений и лиц, ответственных за эксплуатацию СЗСИ, обучение назначенных лиц специфике работ по защите информации на стадии эксплуатации АС;

выполнение генерации пакета прикладных программ в комплексе с программными средствами зашиты информации;

разработка организационно-распорядительной и рабочей документации по эксплуатации АС в защищенном исполнении, а также средств и мер защиты информации (приказов, инструкций и других документов).

Для эффективной и надежной с точки зрения обеспечения безопасности информации работ АС необходимо правильно организовать разрешительную систему доступа пользователей к информации в АС, т.е. предоставить пользователям право работать с той информацией, которая необходима им для выполнения своих функциональных обязанностей, установить их полномочия по доступу к информации. Это означает, что необходимо определить и оформить порядок установления уровня полномочий пользователей, а также круга лиц, которым это право предоставлено, установить правила разграничения доступа,

регламентирующие права доступа субъектов к объектам, т.е. не только кто из пользователей АС и их программ допускается к тем или иным, программам, файлам, записям, но и какие действия при этом они могут осуществлять (читать, писать, выполнять). Все это оформляется службой безопасности информации или администратором АС в виде матрицы доступа или иных правил разграничения доступа.

Среди организационных мероприятий по обеспечению безопасности информации - охрана объекта, на котором расположена защищаемая АС (территория, здания, помещения, хранилища информационных носителей), путем установления соответствующих постов технических средств охраны или любыми другими способами, предотвращающими или существенно затрудняющими хищение СВТ, информационных носителей, а также НСД к СВТ и линиям связи.

Следует отметить, что в последнее время в направлении физической защиты помещений, самих СВТ, информационных носителей наблюдается смещение акцентов в сторону использования в этих целях средств защиты, основанных на новых принципах. Например, доступ в помещения разрешается и контролируется с помощью АС, оконечными устройствами которой являются различного рода терминалы, использующие средства аутентификации на различных физических принципах, с помощью которых осуществляется разграничение доступа в помещения, вход в систему и т.д.

3. На стадии ввода в действие АС и СЗСИ в ее составе осуществляются:

опытная эксплуатация разработанных или адаптированных средств защиты информации в комплексе с прикладными программами в целях проверки их работоспособности и отработки технологического процесса обработки информации;

приемочные испытания СЗИ по результатам опытной эксплуатации с оформлением приемо-сдаточного акта, подписываемого разработчиком (поставщиком) и заказчиком;

аттестация АС по требованиям безопасности информации, которая производится аккредитованным в установленном порядке органом по аттестации в соответствии с "Положением по аттестации объектов информатики по требованиям безопасности информации", действующим в системе сертификации продукции и аттестации объектов информатики, работающей под управлением Гостехкомиссии России.

При положительных результатах аттестации владельцу АС выдается "Аттестат соответствия АС требованиям безопасности информации". Эксплуатация АС осуществляется в полном соответствии с утвержденной организационно-распорядительной и эксплуатационной документацией, предписаниями на эксплуатацию технических средств.

Технология обработки информации в АС различна и зависит от используемых СВТ, программных средств, режимов работы. Не вдаваясь в особенности технологического процесса, обусловленные различиями в технике, программном обеспечении и другими причинами, можно констатировать, что основной характерной особенностью, связанной с обработкой секретной или иной подлежащей защите информации, является функционирование системы защиты информации от НСД (СЗИ НСД) как комплекса программно-технических средств и организационных (процедурных) решений, предусматривающей учет, хранение и выдачу пользователям информационных носителей, паролей, ключей, ведение служебной информации СЗИ НСД (генерацию паролей, ключей, сопровождение правил разграничения доступа), оперативный контроль за функционированием СЗСИ, контроль соответствия общесистемной программной среды эталону и приемку включаемых в АС новых программных средств, контроль за ходом технологического процесса обработки информации путем регистрации анализа действий пользователей, сигнализации опасных событий.

Перечисленные составляющие являются функциональной направленностью службы безопасности информации, администратора АС и фиксируются, с одной стороны, в положениях об этих службах и общей организационной документации по обеспечению безопасности информации ("Положение о порядке организации и проведения на предприятии работ по защите информации в АС", "Инструкция по защите информации, обрабатываемой в АС предприятия", разделе "Положения о разрешительной системе допуска исполнителей к документам и сведениям на предприятии", определяющем особенности системы допуска в процессе разработки и функционирования AQ, а с другой стороны, в проектной документации СЗИ НСД (инструкциях администратору АС, службе безопасности информации, пользователю АС).

Следует отметить, что без надлежащей организационной поддержки программно-технических средств защиты информации от НСД и точного выполнения предусмотренных проектной документацией процедур в должной мере не решить проблему обеспечения безопасности информации в АС, какими бы совершенными эти программно-технические средства не были.

Контроль состояния и эффективности защиты информации осуществляется подразделениями по защите информации службы безопасности предприятия-заказчика и заключается в проверке по действующим методикам выполнения требований нормативных документов по защите информации, а также в оценке обоснованности и эффективности принятых мер.

Дата добавления: 2018-10-25; просмотров: 687; Мы поможем в написании вашей работы!

Поделиться с друзьями:


⇐ Предыдущая567891011121314Следующая ⇒


Мы поможем в написании ваших работ!
.
.
© 2014-2024 — Студопедия.Нет — Информационный студенческий ресурс. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав (0.049)