Шпаргалка по "Информатике"

• изменение или ввод новых программ обработки защищаемой информации в АС должен осуществляться совместно разработчиком АС и администратором АС;

• при увольнении или перемещении администраторов АС руководителем учреждения (предприятия) по согласованию со службой безопасности должны быть приняты меры по оперативному изменению паролей, идентификаторов и ключей шифрования.

5.4.3. Все носители информации на бумажной, магнитной, оптической (магнито-оптической) основе, используемые в технологическом процессе обработки информации в АС, подлежат учету в том производственном, научном или функциональном подразделении, которое является владельцем АС, обрабатывающей эту информацию.

5.4.4. Учет съемных носителей информации на магнитной или оптической основе (гибкие магнитные диски, съемные накопители информации большой емкости или картриджи, съемные пакеты дисков, иные магнитные, оптические или магнито-оптические диски, магнитные ленты и т.п.), а также распечаток текстовой, графической и иной информации на бумажной или пластиковой (прозрачной) основе осуществляется по карточкам или журналам установленной формы, в том числе автоматизировано с использованием средств вычислительной техники. Журнальная форма учета может использоваться в АС с небольшим объемом документооборота.

5.4.5. Съемные носители информации  на магнитной или оптической  основе в зависимости от характера  или длительности использования  допускается учитывать совместно  с другими документами по установленным  для этого учетным формам.

При этом перед выполнением работ  сотрудником, ответственным за их учет, на этих носителях информации предварительно проставляются любым доступным  способом следующие учетные реквизиты: учетный номер и дата, пометка "Для служебного пользования", номер экземпляра, подпись этого  сотрудника, а также другие возможные  реквизиты, идентифицирующие этот носитель.

5.4.6. Распечатки допускается учитывать  совместно с другими традиционными  печатными документами по установленным  для этого учетным формам.

5.4.7. Временно не используемые  носители информации должны храниться  пользователем в местах, недоступных  для посторонних лиц.

 

38 Обеспечение защиты информации при взаимодействии с информационными сетями общего пользования.

 

6.1.1. В настоящем разделе приведены рекомендации, определяющие условия и порядок подключения абонентов к информационным сетям общего пользования (Сетям), а также рекомендации по обеспечению безопасности конфиденциальной информации, содержащейся в негосударственных информационных ресурсах, режим защиты которой определяет собственник этих ресурсов (коммерческая тайна - в соответствии с п.2.3. СТР-К), при подключении и взаимодействии абонентов с этими сетями.

6.1.2. Данные рекомендации определены, исходя из требований РД "Средства  вычислительной техники. Межсетевые  экраны. Защита от несанкционированного  доступа к информации. Показатели  защищенности от несанкционированного  доступа к информации", настоящего  документа, а также следующих  основных угроз безопасности  информации, возникающих при взаимодействии  с информационными сетями общего  пользования: 

• несанкционированного доступа к информации, хранящейся и обрабатываемой во внутренних ЛВС (серверах, рабочих станциях) или на автономных ПЭВМ, как из Сетей, так и из внутренних ЛВС;

• несанкционированного доступа к коммуникационному оборудованию (маршрутизатору, концентратору, мосту, мультиплексору, серверу, Web/Proxy серверу), соединяющему внутренние ЛВС учреждения (предприятия) с Сетями;

• несанкционированного доступа к данным (сообщениям), передаваемым между внутренними ЛВС и Сетями, включая их модификацию, имитацию и уничтожение;

• заражения программного обеспечения компьютерными "вирусами" из Сети, как посредством приема "зараженных" файлов, так и посредством E-mail, апплетов языка JAVA и объектов ActiveX Control;

• внедрения программных закладок с целью получения НСД к информации, а также дезорганизации работы внутренней ЛВС и ее взаимодействия с Сетями;

• несанкционированной передачи защищаемой конфиденциальной информации ЛВС в Сеть;

• возможности перехвата информации внутренней ЛВС за счет побочных электромагнитных излучений и наводок от основных технических средств, обрабатывающих такую информацию.

 

35     ТРЕБОВАНИЯ И РЕКОМЕНДАЦИИ ПО ЗАЩИТЕ ИНФОРМАЦИИ, ОБРАБАТЫВАЕМОЙ СРЕДСТВАМИ ВТ

Общие положения 

5.1.1. Система (подсистема) защиты  информации, обрабатываемой в автоматизированных  системах различного уровня и  назначения, должна предусматривать  комплекс организационных, программных,  технических и, при необходимости,  криптографических средств и  мер по защите информации при  ее автоматизированной обработке  и хранении, при ее передаче  по каналам связи. 

5.1.2. Основными направлениями защиты  информации являются:

• обеспечение защиты информации от хищения, утраты, утечки, уничтожения, искажения и подделки за счет НСД и специальных воздействий;

• обеспечение защиты информации от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи.

5.1.3. В качестве основных мер  защиты информации рекомендуются: 

• документальное оформление перечня сведений конфиденциального характера с учетом ведомственной и отраслевой специфики этих сведений;

• реализация разрешительной системы допуска исполнителей (пользователей, обслуживающего персонала) к информации и связанным с ее использованием работам, документам;

• ограничение доступа персонала и посторонних лиц в защищаемые помещения и помещения, где размещены средства информатизации и коммуникации, а также хранятся носители информации;

• разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;

• регистрация действий пользователей АС и обслуживающего персонала, контроль за несанкционированным доступом и действиями пользователей, обслуживающего персонала и посторонних лиц;

• учет и надежное хранение бумажных и машинных носителей информации, ключей (ключевой документации) и их обращение, исключающее их хищение, подмену и уничтожение;

• использование СЗЗ, создаваемых на основе физико-химических технологий для контроля доступа к объектам защиты и для защиты документов от подделки;

• необходимое резервирование технических средств и дублирование массивов и носителей информации;

• использование сертифицированных серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации;

• использование технических средств, удовлетворяющих требованиям стандартов по электромагнитной совместимости;

• использование сертифицированных средств защиты информации;

• размещение объектов защиты на максимально возможном расстоянии относительно границы КЗ;

• размещение понижающих трансформаторных подстанций электропитания и контуров заземления объектов защиты в пределах КЗ;

• развязка цепей электропитания объектов защиты с помощью защитных фильтров, блокирующих (подавляющих) информативный сигнал;

• электромагнитная развязка между линиями связи и другими цепями ВТСС, выходящими за пределы КЗ, и информационными цепями, по которым циркулирует защищаемая информация;

• использование защищенных каналов связи (защищенных ВОЛС и криптографических средств ЗИ;

• размещение дисплеев и других средств отображения информации, исключающее несанкционированный просмотр информации;

• организация физической защиты помещений и собственно технических средств с помощью сил охраны и технических средств, предотвращающих или существенно затрудняющих проникновение в здания, помещения посторонних лиц, хищение документов и информационных носителей, самих средств информатизации, исключающих нахождение внутри контролируемой зоны технических средств разведки или промышленного шпионажа;

• криптографическое преобразование информации, обрабатываемой и передаваемой средствами вычислительной техники и связи (при необходимости, определяемой особенностями функционирования конкретных АС и систем связи);

• предотвращение внедрения в автоматизированные системы программ-вирусов, программных закладок.

Обязательность тех или иных мер для защиты различных видов  конфиденциальной информации конкретизирована в последующих подразделах документа.

5.1.4. В целях дифференцированного подхода к защите информации, обрабатываемой в АС различного уровня и назначения, осуществляемого в целях разработки и применения необходимых и достаточных мер и средств защиты информации, проводится классификация автоматизированных систем (форма акта классификации АС приведена в приложении № 1).

5.1.5. Классифицируются АС любого  уровня и назначения. Классификация  АС осуществляется на основании  требований РД Гостехкомиссии России "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации" и настоящего раздела документа.

5.1.6. Классификации подлежат все  действующие, но ранее не классифицированные, и разрабатываемые АС, предназначенные  для обработки конфиденциальной  информации.

5.1.7. Если АС, классифицированная  ранее, включается в состав  вычислительной сети или системы  и соединяется с другими техническими  средствами линиями связи различной  физической природы, образуемая  при этом АС более высокого  уровня классифицируется в целом,  а в отношении АС нижнего  уровня классификация не производится.

Если объединяются АС различных  классов защищенности, то интегрированная  АС должна классифицироваться по высшему  классу защищенности входящих в нее  АС, за исключением случаев их объединения  посредством межсетевого экрана, когда каждая из объединяющихся АС может сохранять свой класс защищенности. Требования к используемым при этом межсетевым экранам изложены в подразделе 5.9.

5.1.8. При рассмотрении и определении  режима обработки данных в АС учитывается, что индивидуальным (монопольным) режимом обработки считается режим, при котором ко всей обрабатываемой информации, к программным средствам и носителям информации этой системы допущен только один пользователь.

Режим, при котором различные  пользователи, в т.ч. обслуживающий персонал и программисты, работают в одной АС, рассматривается как коллективный. Коллективным режимом работы считается также и последовательный во времени режим работы различных пользователей и обслуживающего персонала.

5.1.9. В случае, когда признаки классифицируемой АС (п. 1.7. РД Гостехкомиссии России "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации") не совпадают с предложенными в РД (п. 1.9) группами по особенностям обработки информации в АС, то при классификации выбирается наиболее близкая группа защищенности с предъявлением к АС соответствующих дополнительных требований по защите информации. (Например, однопользовательская АС с информацией различного уровня конфиденциальности по формальным признакам не может быть отнесена к 3 группе защищенности. Однако, если дополнительно реализовать в такой системе управление потоками информации, то необходимый уровень защиты будет обеспечен).

5.1.10. Конкретные требования по защите информации и мероприятия по их выполнению определяются в зависимости от установленного для АС класса защищенности. Рекомендуемые классы защищенности АС, СЗЗ, средств защиты информации по уровню контроля отсутствия недекларированных возможностей, а также показатели по классам защищенности СВТ и МЭ от несанкционированного доступа к информации приведены в приложении № 7.

5.1.11. Лица, допущенные к автоматизированной  обработке конфиденциальной информации, несут ответственность за соблюдение  ими установленного в учреждении (на предприятии) порядка обеспечения  защиты этой информации.

Для получения доступа к конфиденциальной информации они должны изучить требования настоящего документа, других нормативных  документов по защите информации, действующих  в учреждении (на предприятии) в части  их касающейся.

 

30    Отнесения сведений, составляющих государственную тайну,  к различным степеням секретности

Важным признаком государственной  тайны является степень секретности  сведений, отнесенных к ней. Проблема засекречивания информации и определения  степени секретности сведений, документов, изделий и работ является од¬ной из основных во всей деятельности по защите информации. Она имеет большое государственное значение, предопределяет методологию и методику защиты информации, объем работы по ее защите. Правила засекречивания информации определяют политику государства в области защиты секретов, в них находит отражение концепция руководства страны в области защиты государственных секретов.