Главная страница
Навигация по странице:

  • 38 Стадия ввода в действие СЗИ (опытная эксплуатация и приемо-сдаточные испытания средств защиты информации, аттестация объекта информатизации на соответствие требованиям безопасности информации).

    		•

    1. Пассивные и активные методы и способы защиты каналов утечки информации


    Скачать 222.15 Kb.
    Название1. Пассивные и активные методы и способы защиты каналов утечки информации
    Анкорotvety.docx
    Дата19.03.2018
    Размер222.15 Kb.
    Формат файлаdocx
    Имя файлаotvety.docx
    ТипДокументы
    #16912
    страница8 из 8
    1   2   3   4   5   6   7   8

    37 Стадия проектирования (разработки проектов) и реализации защиты информации на объекте информатизации.

    Содержание работ на стадии проектирования и создания объекта информатизации и системы защиты информации в его составе

    На стадии проектирования и создания объекта информации и системы защиты информации в его составе на основе предъявленных требований и заданных заказчиком ограничении на финансовые, материальные, трудовые и временные ресурсы осуществляются следующими мероприятиями:

    • Разработку задания и проекта на строительные, строительно-монтажные работы (реконструкцию) объекта информатизации с учетом требований технического задания на разработку системы защиты информации;

    • Разработку раздела технического проекта на объект информатизации в части защиты информации;

    • Строительно-монтажные работы в соответствии с проектной документацией, утвержденной заказчиком, размещением и монтажом технических средств и систем;

    • Разработку организационно-технических мероприятий по защите информации в соответствии с предъявленными требованиями;

    • Закупка сертифицированных образцов и серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации либо их сертификации;

    • Закупка сертифицированных технических средств защиты информации программных и программно-технических средств защиты информации и их установка;

    • Разработка, доработка или закупка и последующая сертификация по требованиям безопасности информации, программных средств защиты информации в случае, когда на рынке отсутствует требуемые сертифицированные программные средства;

    • Организация охраны и физической защиты помещений объекта информатизации, исключая несанкционированный доступ к техническим средствам обработки, ранения и передачи информации, их хищение и нарушение работоспособности, хищение носителей информации;

    • Разработка и реализация разрешительной системы доступа пользователей и эксплуатации персонала к обрабатываемой (обсуждаемой) на объекте информатизированной информации;

    • Выполнение инсталляции пакета прикладных программ в комплексе с программными средствами;

    • Разработка эксплуатации документации на объект информатизации и средства защиты информации, а также организационно-распорядительной документации по защите информации (приказы, инструкции и другие документы);

    • Выполнение других мероприятий специфичных для конкретных объектов информатизации и направлений защиты информации.

    Техническое задание на проектирование объекта информатизации оформляется отдельным документом, согласовывается с проектной организацией, службой (специалистом) безопасности организации-заказчика в части достаточности мер по технической защите информации и утверждается заказчиком.

    Мероприятие по защите информации от утечки по техническим каналам относятся основным элементам проектных решений, которые включаются в соответствующие разделы проекта и разрабатываются одновременно с ними.

    38 Стадия ввода в действие СЗИ (опытная эксплуатация и приемо-сдаточные испытания средств защиты информации, аттестация объекта информатизации на соответствие требованиям безопасности информации).

    На стадии проектирования и создания объекта информатизации оформляются также технический (технорабочий) проект и эксплуатационная документация системы защиты информации, состоящая из следующих документов:

    • Пояснительной записки с изложением решений по комплексу организационных мер и программно-техническим средствам обеспечения безопасности информации, составу средств защиты информации с указанием их соответствия требованиям ТЗ;

    • Описание технического, программного информационного обеспечения и технологии обработки (передачи) информации;

    • Плана организационно-технических мероприятий по подготовки объекта информатизации к внедрению средств и мер защиты информации;

    • Технического паспорта объекта информатизации (формы технических паспортов на автоматизированные системы и защищенные помещения приведены в СТР-К);

    • Инструкций и руководств по эксплуатации технических и программных средств защиты для пользователей, администраторов системы, а также для сотрудников службы безопасности.

    ^ На стадии ввода в действие объекта информатизации и системы защиты информации осуществляются:

    • Опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объекта информатизации и отработки технологического процесса обработки (передачи) информации;

    • Приемосдаточные испытания средств защиты информации по результатам опытной эксплуатации с оформлением приемосдаточного акта, подписываемого разработчиком (поставщиком) и заказчиком;

    • Аттестация объекта информатизации по требованию безопасности информации.

    На стадии ввода в действие объекта информатизации и системы защиты информации оформляются:

    • Акты внедрения средств защиты информации по результатам их приемо-сдаточных испытаний;

    • Протоколы аттестационных испытаний и заключение по их результатам;

    • Аттестат соответствия объекта информатизации требованиям по безопасности информации (формы «аттестатов соответствия» для автоматизированных систем и защищенного помещения приведены в приложениях СТР-К).

    ^ Кроме вышеуказанной документации в организации оформляются приказы, указания и решения:

    • На проектирование объекта информатизации и назначение ответственных исполнителей;

    • На проведение работ по защите информации;

    • О назначении лиц, ответственных за эксплуатацию объекта информатизации;

    • На обработку в защищенном помещении (обсуждение) или в автоматизированной системе конфиденциальной информации.

    Эксплуатация объекта информатизации осуществляется в полном соответствии с утвержденной организационно-распорядительной и эксплуатационной документацией с учетом требовании и положений СТР-К по защите речевой конфиденциальной информации и обрабатываемой в автоматизированных системах. С целью своевременного выявления и предотвращения утечки информации по техническим каналам, исключения или существенного затруднения несанкционированного доступа к ней и предотвращение специальных программно-технических воздействий, вызывающих нарушение конфиденциальности, целостности или доступности информации, в организации проводятся периодический (не реже 1 раза в год) контроль состояния защиты информации. Контроль осуществляется службой безопасности информации.

    ^ Отраслевыми и федеральными органами контроля состояния защиты информации проводится не реже 1 раза в 2 года и заключается в оценке:

    • Соблюдение требований нормативно-методических документов по защите информации;

    • Работоспособности применяемых средств защиты информации в соответствии с их эксплуатационной документацией;

    • Знаний и выполнения персоналом своих функциональных обязанностей в части защиты информации.

    Собственник или владелец конфиденциальной информации имеет право обратиться в органы государственной власти для оценки правильности выполнения норм и требований по защите его информации в информационных системах.

    При необходимости по решению руководителя организации могут быть проведены работы по поиску электронных устройств съема информации (закладочных устройств), возможно внедренных в защищенное помещение или технические средства, осуществляемые организациями, имеющие у себя соответствующие лицензии ФСБ России.

    В организациях Минобороны России работы по поиску электронных устройств съема информации (закладочных устройств) возможно внедренных в защищенное помещение или технические средства могут производится подразделениями, допущенными к проведению тих работ в установленном порядке.

    ^ Аттестация объекта информатизации – комплекс организационно-технические мероприятий, в результате которых посредством специального документа – аттестата соответствия подтверждается, что объект соответствует требованиям стандартов и иных нормативно-технических документов по безопасности информации, утвержденных федеральным органом по сертификации и аттестации.

    ^ Требования и рекомендации по защите речевой конфиденциальной информации

    Утечка речевой информации возможна за счет следующих каналов:

    • Акустического излучения информативного речевого сигнала;

    • Виброакустических сигналов, возникающих посредствам преобразования информативного акустического сигнала при воздействии его на строительные конструкции и инженерно-технические системы в защищенных помещениях;

    • Прослушивание разговоров, ведущихся в защищенных помещениях по информационным каналам общего пользования (городская телефонная сеть, сотовая, транкинговая (т.е. циркулярная) и пейджинговая связь, радиотелефон) за счет скрытного подключения оконечных устройств этих видов связи;

    • Электрических сигналов, возникающих в результате преобразования информативного сигнала из акустического в электрический за счет микрофонного эффекта и распространяющихся по проводам и линиям передачи информации, выходящим за пределы контролируемой зоны;

    • Побочных электромагнитных излучений информативного сигнала от обрабатывающих информацию технических средств, в том числе возникающих за счет паразитной генерации и линий передачи информации;

    • Электрических сигналов, наводимых от обрабатывающих информацию технических средств и линий ее передачи, на провода и линии, выходящие за пределы контролируемой зоны;

    • Радиоизлучений, модулированных информативным сигналом, возникающих при работе различных генераторов, входящих в состав технических средств, установленных в защищенном помещении или при наличии паразитной генерации в их узлах (элементах);

    • Радиоизлучений, электрических или инфракрасных сигналов, модулированных информативным сигналом от специальных электронных устройств съема речевой информации (закладочных устройств), закладываемых в защищенное помещение, технические средства и системы обработки информации.

    Также следует учитывать возможность хищения технических средств с хранящейся в них записанной речевой информации или отдельных носителей с такой информацией.

    Основные требования и рекомендации по защите речевой информации, циркулирующей в защищаемых помещениях

    Защищаемые помещения должны размещаться в пределах контролируемой зоны организации. Рекомендуется размещать их на максимальном удалении от ее границ; ограждающие конструкции защищенных помещений (стены, полы, потолки) не должны являться смежными с помещениями других организаций. Не рекомендуется располагать защищенные помещения на первых этажах зданий. Окна защищенных помещений рекомендуется закрывать шторами или жалюзи.

    Защищаемые помещения оснащаются сертифицированными по требованиям безопасности информации ОТСС и ВТСС или соответствующими средствами защиты. эксплуатация ОТСС, ВТСС и средств защиты должна осуществляться в соответствии с эксплуатационной документации на них.

    Специальная проверка защищенного помещения и установленного в нем оборудования возможна внедренных в них электронных устройств съема информации (закладок) проводится при необходимости по решению руководителя организации.
    1   2   3   4   5   6   7   8

    написать администратору сайта