Опубликован: 01.02.2012 | Доступ: свободный | Студентов: 7085 / 3188 | Оценка: 4.43 / 4.27 | Длительность: 19:35:00
Лекция 11:

Требования и рекомендации по защите информации

< Лекция 10 || Лекция 11: 1234 || Лекция 12 >
Аннотация: Лекция представляет собой анализ основных моментов СТР-К в области защиты АС от НСД. Описаны основные требования и рекомендации в зависимости от класса АС и режима обработки информации в ней.

Требования и рекомендации по защите информации, обрабатываемой средствами вычислительной техники

Рассмотрим основные аспекты документа "Специальные требования и рекомендации по технической защите конфиденциальной информации" (далее СТР-К).

Документ определяет следующие основные вопросы защиты информации:

  • организацию работ по защите информации, в том числе при разработке и модернизации объектов информатизации и их систем защиты информации;
  • состав и основное содержание организационно-распорядительной, проектной, эксплуатационной и иной документации по защите информации;
  • требования и рекомендации по защите речевой информации при осуществлении переговоров, в том числе с использованием технических средств;
  • требования и рекомендации по защите информации при ее автоматизированной обработке и передаче с использованием технических средств;
  • порядок обеспечения защиты информации при эксплуатации объектов информатизации;
  • особенности защиты информации при разработке и эксплуатации автоматизированных систем, использующих различные типы средств вычислительной техники и информационные технологии;
  • порядок обеспечения защиты информации при взаимодействии абонентов с информационными сетями общего пользования.

Система или подсистема защиты информации, обрабатываемой в АС различного уровня и назначения, должна предусматривать комплекс организационных, программных, технических и, при необходимости, криптографических средств и мер по защите информации при ее автоматизированной обработке и хранении, при ее передаче по каналам связи.

Как уже отмечалось выше, основными направлениями защиты информации в АС является обеспечение безопасности от НСД и от утечки по техническим каналам утечки.

В качестве основных мер защиты информации рекомендуются (но не требуется!):

  • документальное оформление перечня сведений конфиденциального характера с учетом ведомственной и отраслевой специфики этих сведений;
  • реализация разрешительной системы допуска исполнителей (пользователей, обслуживающего персонала) к информации и связанным с ее использованием работам, документам;
  • ограничение доступа персонала и посторонних лиц в защищаемые помещения и помещения, где размещены средства информатизации и коммуникации, а также хранятся носители информации;
  • разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;
  • регистрация действий пользователей АС и обслуживающего персонала, контроль за несанкционированным доступом и действиями пользователей, обслуживающего персонала и посторонних лиц;
  • учет и надежное хранение бумажных и машинных носителей информации, ключей (ключевой документации) и их обращение, исключающее их хищение, подмену и уничтожение;
  • использование СЗЗ, создаваемых на основе физико-химических технологий для контроля доступа к объектам защиты и для защиты документов от подделки; необходимое резервирование технических средств и дублирование массивов и носителей информации. Специальный защитный знак (СЗЗ) - сертифицированное и зарегистрированное в установленном порядке изделие, предназначенное для контроля несанкционированного доступа к объектам защиты путем определения подлинности и целостности СЗЗ, путем сравнения самого знака или композиции "СЗЗ - подложка" по критериям соответствия характерным признакам визуальными, инструментальными и другими методами;
  • использование сертифицированных серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации;
  • использование технических средств, удовлетворяющих требованиям стандартов по электромагнитной совместимости;
  • использование сертифицированных средств защиты информации;
  • размещение объектов защиты на максимально возможном расстоянии относительно границы КЗ;
  • размещение понижающих трансформаторных подстанций электропитания и контуров заземления объектов защиты в пределах КЗ;
  • развязка цепей электропитания объектов защиты с помощью защитных фильтров, блокирующих (подавляющих) информативный сигнал;
  • электромагнитная развязка между линиями связи и другими цепями ВТСС, выходящими за пределы КЗ, и информационными цепями, по которым циркулирует защищаемая информация;
  • использование защищенных каналов связи (защищенных ВОЛС и криптографических средств ЗИ;
  • размещение дисплеев и других средств отображения информации, исключающее несанкционированный просмотр информации;
  • организация физической защиты помещений и собственно технических средств с помощью сил охраны и технических средств, предотвращающих или существенно затрудняющих проникновение в здания, помещения посторонних лиц, хищение документов и информационных носителей, самих средств информатизации, исключающих нахождение внутри контролируемой зоны технических средств разведки или промышленного шпионажа;
  • криптографическое преобразование информации, обрабатываемой и передаваемой средствами вычислительной техники и связи (при необходимости, определяемой особенностями функционирования конкретных АС и систем связи);
  • предотвращение внедрения в автоматизированные системы программ-вирусов, программных закладок[11.1].

Обязательность тех или иных мер по защите информации также конкретизирована в СТР-К в зависимости от категории АС, "степени секретности" и режима обработки информации, особенностей построения конкретной АС и т.п.

Основной целью классификации АС, рассмотренной нами ранее, СТР-К называет дифференциальный подход к защите информации с целью разработки и применения необходимых и достаточных мер и средств защиты информации.

< Лекция 10 || Лекция 11: 1234 || Лекция 12 >
Ирина Тихонова
Ирина Тихонова
Кирсан Стёпкин
Кирсан Стёпкин

Здравствуйте, насколько актуальным является курс "Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных". По прежнему ли курс соответствует ФСТЭК России?