Лабораторная работа №1 Алексеева Дайана. Лабораторная работа 1 Содержательный анализ основных руководящих, нормативных и методических документов по защите информации и противодействию технической разведке
Скачать 403.3 Kb.
|
Министерство науки и высшего образования Российской Федерации Федеральное государственное автономное образовательное учреждение высшего образования «Северо – Восточный федеральный университет им. М. К. Аммосова» Колледж инфраструктурных технологий Кафедра эксплуатации и обслуживания информационных систем по лабораторной работе № 1 «Содержательный анализ основных руководящих, нормативных и методических документов по защите информации и противодействию технической разведке» Выполнил студент 2-го курса Группаж: ОИБАС 21-2 Алексеева Дайана Проверил(-a): Винокуров В.С. г. Якутск 2020 ЛАБОРАТОРНАЯ РАБОТА №1 Содержательный анализ основных руководящих, нормативных и методических документов по защите информации и противодействию технической разведкеЦель: получить представления об основных руководящих, нормативных и методических документов по защите информации и противодействию технической разведке. Способствовать формированию соответствующих общих и профессиональных компетенций: ОК-01, ОК-02, ОК03, ОК-04, ПК-3.1, ПК-3.2, ПК-3.3, ПК-3.4, ПК-3.5. Средства для выполнения работы: аппаратные: ПК; СЭДО СВФУ (Мoodle) - Портал электронного обучения СВФУ МДК.03.01 Техническая защита информации Подготовка к лабораторной работе Изучить соответствующие разделы. Разделиться на группы по 2-3 студента. Организовать работу в группе, распределить функции и роли. Распознать задачу в профессиональном и социальном контексте; Анализировать задачу и проблему и выделить её составные части; Определить этапы решения задачи; Составить план действия; Реализовать составленный план; Составить план личностного развития; Оценить свою выполненную работу и других групп. Найти, проанализировать и использовать для выполнения заданий, информационный материал в различных поисковых системах. Зайти в СЭДО СВФУ (Мoodle) - Портал электронного обучения СВФУ МДК.03.02 Инженерно-технические средства физической защиты объектов информатизации Открыть файл «Задания» и на первой строке написать Фамилию, имя, группу. Размер шрифта 14, Тimes New Roman. Теоретические сведенияДеятельность государственной системы защиты информации регламентируется документами, составляющими нормативно-правовую базу инженерно-технической защиты информации. Основу ее составляют документы, классификация которых приведена на рис. 25.2. Рис. 25.2. Классификация документов нормативно-правовой базы по защите информации По назначению документы делятся на: руководящие; нормативные; методические. Руководящие документы определяют структуру, права и обязанности органов и людей, обеспечивающих инженерно-техническую защиту информации на различных уровнях государственной системы. Руководящие документы разрабатываются на всех уровнях государственной системы защиты информации, причем документы на более низком уровне конкретизируют документы более высокого уровня. Любая деятельность по выполнению руководящих документов сопровождается принятием решений по тому или иному вопросу. Основу принятия решений составляет идентификация текущих факторов или признаков с эталонными. Совокупность эталонных факторов или признаков представляют собой сущность понятия «норма» и содержание нормативных документов. Понятие нормы широко используется во всех сферах деятельности людей. ; Например, в обществе существуют нормы поведения, часть кото- рых законодательно закреплена в Гражданском кодексе. Грубые отклонения от норм поведения - преступления и шкала наказаний в зависимости от уровня отклонения от нормы рассмотрены в Уголовном кодексе. Нормы в человеческом обществе могут изменяться эволюционно в процессе его развития и трансформироваться отдельными группами людей, обладающих силами и средствами психологического воздействия на население. Нормативы в области инженерно-технической защиты информации определены специалистами в нормативных документах. В результате сравнения текущих показателей защиты информации с требуемыми нормативами принимается решение об уровне безопасности защищаемой информации. Так как текущие показатели эффективности защиты информации зависят от большого числа факторов, то методики их определения разными органами и специалистами и, следовательно, полученные результаты в общем случае могут отличаться. Например, если не совпадают методики измерения уровней опасных сигналов у контролирующего и контролируемого органов, то специалистам контролируемого органа трудно доказать достаточность использованных мер защиты. Поэтому, как правило, одновременно разрабатываются нормативы и методики их определения, которые объединяются в нормативнометодические документы. Основные законы РФ, указы Президента РФ и Постановления Правительства РФ в области инженерно-технической защиты информации указаны в табл. 25.1. Таблица 25.1
Основу межведомственных документов составляют решения, руководящие и нормативнометодические документы ФСТЭК (Гостехкомиссии). В них рассматриваются основы концепции защиты информации от технической разведки, типовые положения об органах по защите информации, требования и методические рекомендации по защите информации от утечки по техническим каналам, руководящие документы по различным аспектам защиты информации в автоматизированных системах, нормативно-методические документы по противодействию различным видам технической разведки. В каждом ведомстве государства, являющемся владельцем или пользователем информации, содержащим государственную тайну, разрабатываются и конкретизируются руководящие и нормативно-методические документы и создаются органы, обеспечивающие защиту информации как в самом ведомстве, так и подчиненных подразделениях (организациях, предприятиях). К руководящим документам, разрабатываемым в организации (на предприятии), относятся: руководство (инструкция) по защите информации в организации (на предприятии); положение о подразделении организации, на которое возлагаются задачи по обеспечению безопасности информации; инструкции по защите отдельных источников информации, прежде всего информации о разрабатываемых изделиях и продукции. В различных организациях эти документы могут иметь разные наименования, отличающиеся от указанных. Но сущность этих документов остается неизменной, так как необходимость в них объективна. Порядок защиты информации в организации определяется соответствующим руководством (инструкцией). Оно может содержать следующие разделы: общие положения; перечень охраняемых сведений; демаскирующие признаки объектов организации; оценки возможностей органов и средств добывания информации; 1 организационные и технические мероприятия по защите информации; порядок планирования работ службы безопасности; порядок взаимодействия с государственными органами, решающими задачи по защите материальной и интеллектуальной собственности, государственной и коммерческой тайны. Но в данном руководстве нельзя учесть всех особенностей защиты информации в конкретных условиях. В любой организации постоянно меняется ситуация с источниками и носителями конфиденциальной информации, угрозами ее безопасности. Например, появлению нового товара на рынке предшествует большая работа, включающая различные этапы и стадии: проведение исследований, разработка лабораторных и действующих макетов, создание опытного образца и его доработка по результатам испытаний, подготовка производства (документации и дополнительного оборудования), изготовление опытной серии для выявления спроса на товар, массовый выпуск продукции. На каждом этапе и стадии к работе подключаются новые люди, разрабатываются новые документы, создаются узлы и блоки с информативными для них демаскирующими признаками. Созданию каждого изделия или самостоятельного документа сопутствует свой набор информационных элементов, их источников и носителей, угроз и каналов утечки информации, проявляющихся в различные моменты времени. Для защиты информации об изделии на каждом этапе его создания разрабатывается соответствующая инструкция. Инструкция должна содержать сведения, необходимые для обеспечения безопасности информации, в том числе: общие сведения об образце, защищаемые сведения о нем и его демаскирующие признаки, потенциальные угрозы безопасности информации, замысел и меры по защите, порядок контроля (задачи, органы контроля, имеющие право на проверку, средства контроля, допустимые значения контролируемых параметров, условия и методики, периодичность и виды контроля), фамилии лиц, ответственных за безопасность информации. Нормативно-методическую базу составляют [3]: государственные стандарты (ГОСТы); общие требования (ОТ), общие технические требования (ОТТ), тактико-технические требования (ТТТ), руководящие документы (РД) и другие документы; модели; нормы, методики и инструкции; эксплуатационно-техническая документация; учебно-методическая и научная литература. Перечень основных государственных стандартов на технические средства охраны указан в табл. 25.2. Таблица 25.2
государственную, военную, коммерческую или любую другую тайну. Перечень сведений, содержащих государственную тайну, основывается на положениях Закона «О государственной тайне»». Перечни подлежащих защите сведений этого закона конкретизируются ведомствами применительно к тематике конкретных организаций. В коммерческих структурах, выполняющих государственные заказы, перечни распространяются на информацию, относящуюся к этому заказу. Перечни сведений, составляющих коммерческую тайну, составляются руководством фирмы при участии сотрудников службы безопасности. Другие нормативные документы определяют максимально допустимые значения уровней сигналов с защищаемой информацией и концентрации демаскирующих веществ на границах контролируемых зон, непревышение которых обеспечивает требуемый уровень безопасности информации. Эти нормы разрабатываются соответствующими ведомствами, а для коммерческих структур, выполняющих негосударственные заказы, - специалистами этих структур. Кроме того, нормативные документы объединены с методиками измерения параметров норм. Работа по защите информации в организации проводится всеми его сотрудниками, но степень участия различных категорий существенно отличается. Любой сотрудник, подписавший обязательство о неразглашении тайны, участвует в защите информации хотя бы путем выполнения руководящих документов о защите информации. Контрольные вопросы: Основные задачи государственной системы защиты информации от технической разведки. Сущность категорий нарушений требований по защите информации. Структура государственной защиты информации от технической разведки. Задачи и структура Федеральной службы по техническому и экспортному контролю РФ (Государственной технической комиссии). Задачи и структура органов по защите информации Федеральной службы безопасности России. Задачи органов по обеспечению защиты информации ведомств. Виды и органы лицензирования продукции, деятельности и услуг по защите информации. Задачи и органы, обеспечивающие сертификацию средств по защите информации. Задачи и структура по защите информации в организациях (учреждениях, на предприятиях). Классификация документов нормативно-правовой базы по защите информации. Назначение руководящих и нормативно-методических документов по защите информации. Ответы: Основными задачами ФСБ России в области защиты информации являются: обеспечение в пределах своих полномочий защиты сведений, составляющих государственную тайну, и противодействия иностранным организациям, осуществляющим техническую разведку; формирование и реализация в пределах своих полномочий государственной и научно-технической политики в области обеспечения информационной безопасности. Нарушение правил защиты информации. Перспективы и риски арбитражных споров. Ситуации, связанные со ст. 13.12. КоАП РФ. - Организация оспаривает привлечение к ответственности по ст. 13.12 КоАП РФ за нарушение правил защиты информации. Нарушение требований о защите информации, составляющей государственную тайну, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации, за исключением случаев, предусмотренных частями 3 и 4 настоящей статьи, если такие действия (бездействие) не содержат уголовно наказуемого деяния В общей проблеме защиты информации от технических разведок и от ее утечки по техническим каналам, комплексное решение которой осуще-ствляется Государственной технической комиссией при Президенте Россий-ской Федерации, подобный класс технических средств разведки имеет свои специфические особенности, связанные с их разведывательными возможно-стями, факторами , ограничивающими их применение, методами перехвата информации, ее накопления и коммуникации, способами выявления и блоки-рования устройств 12.03.2004 Гостехкомиссия России преобразована в Федеральную службу по техническому и экспортному контролю Российской Федерации, которой переданы из ведения Минэкономразвития России: - функции по экспортному контролю. 05.01.1992 создана Государственная техническая комиссия при Президенте Российской Федерации (Гостехкомиссия России). Открыть полный текст документа. Федеральная служба по военно-техническому сотрудничеству (ФСВТС России) Органы исполнительной власти, переданные из ведения Минобороны России в ведение другим органам исполнительной власти, а также упраздненные. Гражданский кодекс (ГК РФ). Жилищный кодекс (ЖК РФ). Федеральный орган исполнительной власти, в пределах своих полномочий осуществляющий государственное управление в области обеспечения безопасности Российской Федерации, борьбы с терроризмом, защиты и охраны государственной границы Российской Федерации, охраны внутренних морских вод, территориального моря, исключительной экономической зоны, континентального шельфа Российской Федерации и их природных ресурсов, обеспечивающим информационную безопасность Российской Федерации и непосредственно реализующим основные направления деятельности органов федеральной службы безопасности, определенные законодательством Российской Федерации, а также координирующим контрразведывательную деятельность федеральных органов исполнительной власти, имеющих право на ее осуществление. обеспечение безопасности функционирования информационных и телекоммуникационных систем; развитие технологий защиты информации, обеспечивающих неприкосновенность частной жизни, личной и семейной тайны, безопасность информации ограниченного доступа; противодействие распространению идеологии терроризма, экстремизма, пропаганды насилия. Формирование информационного общества в целом не возможно без формирования культуры обеспечения безопасности в информационном пространстве как у пользователей, так и у владельцев информационных систем и ресурсов. Лицензирование деятельности по технической защите конфиденциальной информации. Получение лицензии на деятельность по технической защите конфиденциальной информации. Описание услуги. Как получить услугу. ... и данные документа о постановке соискателя лицензии на учет в налоговом органе, а также адрес налогового органа; лицензируемый вид деятельности, который соискатель лицензии намерен осуществлять. Основание для отказа: Наличие в представленных заявителем заявлении о предоставлении лицензии и (или) прилагаемых к нему документах недостоверной или искаженной информации Органы по сертификации осуществляют сертификацию средств защиты информации, оформляют сертификаты соответствия средств защиты информации требованиям по безопасности информации (далее – сертификат соответствия). 8. Испытательные лаборатории проводят сертификационные испытания средств защиты информации и по их результатам оформляют технические заключения и протоколы. Испытательные лаборатории должны обеспечивать полноту сертификационных испытаний средств защиты информации и достоверность их результатов. Техническая защита информации на предприятии. Защита информации в корпоративном и частном секторе. Задача обеспечения информационной безопасности предприятий решается своими силами или с привлечением внешних экспертов. Необходимо провести аудит и внедрить систему организационных и технических мер общего и специального характера, которые позволят эффективно обеспечить высокое качество информационной безопасности предприятия. Нормативно-правовые акты информационной безопасности. Защита данных на базе системы. СёрчИнформ КИБ. 30 дней для тестирования «СёрчИнформ КИБ»ОФОРМИТЬ ЗАЯВКУ.Виды юридических документов, посвященных защите информации. Юридическую документацию, касающуюся защиты секретных сведений, подразделяют на следующие виды: Базовые законы РФ в области информационных техннологий, в частности, «Об информации, информатизации и защите информации», «О государственной тайне» Документ может использоваться как нормативно-методический материал для заказчиков и разработчи-ков АС при формулировании и реализации требований по защите. Принятые сокращения. АС - автоматизированные системы НСД - несанкционированный доступ РД - руководящий документ СЗИ - система защиты информации СЗИ НСД - система защиты информации от несанкционированного доступа. |