Учебное пособие по ИБ (1027402), страница 9
Текст из файла (страница 9)
Основные направления защитыинформации (защита информации отнесанкционированного доступа и защитаинформации от утечки по техническимканалам)»ОСНОВНЫЕ НАПРАВЛЕНИЯ ЗАЩИТЫИНФОРМАЦИИОбеспечение защитыинформации от НСД,хищения, утраты,уничтожения, искаженияподделки, блокированияи специальныхвоздействийОбеспечение защитыинформацииот утечки потехническим каналампри её обработке,хранении ипередачепо каналам связи152НЕКОТОРЫЕ ОПРЕДЕЛЕНИЯ2Несанкционированный доступ (НСД) - доступ к информации или действия синформацией, нарушающие правила разграничения доступа с использованием штатныхсредств, предоставляемых СВТ или АС (СТР-К).Защита информации от несанкционированного доступа (НСД): Деятельность,направленная на предотвращение получения защищаемой информациизаинтересованным субъектом с нарушением установленных правовыми документамиили собственником, владельцем информации прав или правил доступа к защищаемойинформации.Защита информации от несанкционированного воздействия (НСВ): Деятельность,направленная на предотвращение воздействия на защищаемую информацию снарушением установленных прав и (или) правил на изменение информации,приводящего к её искажению, уничтожению, блокированию доступа к информации, атакже к утрате, уничтожению или сбою функционирования носителя информации.Защита информации от непреднамеренного воздействия (НПВ): Деятельность,направленная на предотвращение воздействия на защищаемую информацию ошибок еепользователя, сбоя технических и программных средств информационных систем,природных явлений или иных нецеленаправленных на изменение информациимероприятий, приводящих к искажению, уничтожению, копированию, блокированиюдоступа к информации, а также к утрате, уничтожению или сбою функционированияносителя информации.ВИДЫ ИНФОРМАЦИИ, ПОДЛЕЖАЩИЕ ЗАЩИТЕ ВПЕРВООЧЕРЕДНОМ ПОРЯДКЕОсновное внимание должно быть уделено защите информации,в отношении которой угрозы безопасности информацииреализуются без применения сложных технических средствперехвата информацииРечевой информации, циркулирующей в ЗПИнформации, обрабатываемой СВТ, отнесанкционированного доступа инесанкционированных действийИнформации, выводимой на экраны видеомониторовИнформации, хранящейся на физических носителях,в том числе входящих в состав АСИнформации, передаваемой по каналам связи,выходящим за пределы КЗ353ОСНОВНЫЕ ПУТИ РЕАЛИЗАЦИИМЕРОПРИЯТИЙ ПО ЗАЩИТЕ ИНФОРМАЦИИ4Защита информации на объекте информатизациидостигается выполнением:- комплекса организационных мероприятий- применением(при необходимости)средств защитыинформации отутечкиинформациипо техническимканалам.- применением (при необходимости)средств защиты информацииот утечки за счет несанкционированногодоступа к ней, по предупреждениюпреднамеренных программно-техническихвоздействий с целью нарушения целостности(модификации, уничтожения) информациив процессе ее обработки, передачи и хранения,нарушения ее доступности иработоспособности технических средств.ОБЩАЯ КЛАССИФИКАЦИЯСРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИСредства защиты информации (СЗИ)ТехническиеПрограммнотехническиеПрограммные554ОСНОВНЫЕ МЕРЫ ЗАЩИТЫ ИНФОРМАЦИИОТ УТЕЧКИ ПО КАНАЛАМ ПЭМИН6♦ Использование сертифицированных серийно выпускаемых в защищенномисполнении технических средств обработки, передачи и хранения информации.♦ Использование технических средств, удовлетворяющихстандартов по электромагнитной совместимости.требованиям♦ Использование сертифицированных средств защиты информации.♦ Размещение объектов защиты на максимально возможном расстоянии отграниц КЗ.♦ Размещение понижающих трансформаторных подстанций электропитания иконтуров заземления объектов защиты в пределах КЗ.♦ Использование сертифицированных систем гарантированного электропитания(источников бесперебойного питания).♦ Развязка цепей электропитания объектов защиты с помощью сетевыхпомехоподавляющих фильтров, блокирующих (подавляющих) информативныйсигнал.♦ Электромагнитная развязка между информационными цепями, по которымциркулирует защищаемая информация и линиями связи, другими цепями ВТСС,выходящими за пределы КЗ.♦ Использование защищенных каналов связи.ОСНОВНЫЕ МЕРЫ ЗАЩИТЫ ИНФОРМАЦИИОТ НСД (хищения, утраты)♦7Реализация разрешительной системы допуска исполнителей (пользователей,обслуживающего персонала) к информации и связанным с ее использованием работам,документам.♦ Ограничение доступа персонала и посторонних лиц в ЗП и помещения, где размещенысредства информатизации и коммуникационное оборудование, а также хранятся носителиинформации.♦ Разграничение доступа пользователей и обслуживающего персонала к информационнымресурсам, программным средствам обработки (передачи) и защиты информации.♦ Регистрация действий пользователей АС и обслуживающего персонала, контрольнесанкционированного доступа и действий пользователей, обслуживающего персонала ипосторонних лиц.♦ Учет и надежное хранение бумажных и машинных носителей конфиденциальнойинформации и их обращение, исключающее хищение, подмену и уничтожение.♦ Использование сертифицированных по требованиям безопасности информацииспециальных защитных знаков, создаваемых на основе физико-химических технологий дляконтроля доступа к объектам защиты и для защиты документов от подделки.♦ Резервирование технических средств, дублирование массивов и носителей информации.♦ Предотвращение внедрения в АС программ-вирусов, программных закладок.♦ Размещение дисплеев и других средств отображения информации, исключающее еенесанкционированный просмотр.♦ Организация физической защиты помещений и собственно технических средствобработки информации с использованием технических средств охраны, предотвращающихили существенно затрудняющих проникновение в здания, помещения посторонних лиц,хищение документов и носителей информации, самих средств информатизации.55Тема 5«Структура, задачи и основные функцииГосударственной системы защитыинформации»Лекция, 1 часПОНЯТИЕ ГОСУДАРСТВЕННОЙ СИСТЕМЫЗАЩИТЫ ИНФОРМАЦИИГосударственная система защиты информации представляет собойсовокупность органов и исполнителей, используемой ими техникизащиты информации, а также объектов защиты, организованная ифункционирующая по правилам, установленным соответствующимиправовыми, организационно-распорядительными и нормативнымидокументами в области защиты информации.Государственная система защиты информации является составнойчастью системы обеспечения национальной безопасностиРоссийской Федерации и призвана защищать безопасность государстваот внешних и внутренних угроз в информационной сфере.Организацию деятельности государственной системытехнической защиты информации на федеральном,межрегиональном, региональном, отраслевом и объектовомуровнях, а также руководство указаннойГосударственной системой осуществляет ФСТЭК России156ОСНОВНЫЕ ПРИНЦИПЫ ФУНКЦИОНИРОВАНИЯГОСУДАРСТВЕННОЙ СИСТЕМЫЗАЩИТЫ ИНФОРМАЦИИ2Деятельность государственной системы защитыинформации осуществляется на основе принципов:Законности.♦ Подконтрольности президенту Российской Федерации.♦ Разграничения полномочий федеральных органовисполнительной власти, органов исполнительной властисубъектов Российской Федерации, органов местногосамоуправления, предприятий, учреждений и организацийпо защите информации.♦ Сочетания правовых, организационно-технических испециальных методов защиты информации.♦ПРАВОВЫЕ ОСНОВЫ ДЕЯТЕЛЬНОСТИГОСУДАРСТВЕННОЙ СИСТЕМЫЗАЩИТЫ ИНФОРМАЦИИ♦ Конституция Российской Федерации.♦ Законы Российской Федерации:«О безопасности»,«О государственной тайне»,«Об информации, информатизации и защите информации»,«Об участии в международном информационном обмене»♦ Доктрина информационной безопасности Российской Федерации.♦ Положение о государственной системе защиты информациив Российской Федерации от иностранных технических разведоки от утечки по техническим (утверждено ПостановлениемСовета Министров – Правительства Российской Федерацииот 15 сентября 1993 г.
№ 912–51).♦ Указы президента Российской Федерации (№ 1085 от 16.8.2004 г.).♦ Постановления правительства Российской Федерации.♦ Другие правовые акты федеральных органов власти в областизащиты информации.357ЦЕЛИ ГОСУДАРСТВЕННОЙ СИСТЕМЫЗАЩИТЫ ИНФОРМАЦИИ4Целями государственной системы защитыинформации являются:Предотвращение или существенное снижение ущербанациональной безопасности Российской Федерации сиспользованием методов и средств защиты информации.♦Обеспечение условий, способствующих реализацииполитики Российской Федерации в сфере безопасностиГосударства.♦Содействие экономическому и научно - техническомупрогрессу страны.♦ОСНОВНЫЕ ЗАДАЧИ ГОСУДАРСТВЕННОЙ СИСТЕМЫЗАЩИТЫ ИНФОРМАЦИИ5♦ Проведение единой технической политики, организация икоординация работ по защите информации в военной, экономической,научно-технической и других сферах деятельности.♦ Исключение или существенное затруднение добыванияинформации техническими средствами разведки.♦ Принятие правовых актов, регулирующих отношения вобласти защиты информации.♦ Организация сил, создание средств защиты информации иконтроля их эффективности.♦ Контроль состояния защиты информации в органахгосударственной власти и на предприятиях.♦ Анализ состояния государственной системы, выявлениеключевых проблем в области защиты информации.♦ Определение приоритетных направления государственной системызащиты информации.♦ Нормативно-методическое и информационное обеспечение работпо защите информации.58СРУКТУРА ГОСУДАРСТВЕННОЙ СИСТЕМЫЗАЩИТЫ ИНФОРМАЦИИОрганизационная структура6Государственную систему защиты информации образуют:♦ Федеральная служба технического и экспортного контроля (ФСТЭК России) и еётерриториальные органы (региональные управления в субъектах Российской Федерации).♦ Федеральные органы исполнительной власти, другие органы и организации РоссийскойФедерации, руководящие работники которых входят в состав коллегии ФСТЭК России подолжности (Минюст, Минобороны, МЧС, МВД, МИД, Минпромэнерго, Минэкономразвития,Минприроды, ФСО, ФСБ, СВР, ГУСП, РАН, ЦБР).♦ Структурные подразделения по защите информации федеральных органовисполнительной власти, других органов государственной власти и организаций РоссийскойФедерации.♦ Предприятия, проводящие работы с использованием сведений, отнесенных кинформации ограниченного доступа, и их подразделения по защите информации.♦ Научно-исследовательские организации по проблемам защиты информации.♦ Организации-разработчики средств защиты информации, защищенных техническихсредств и средств контроля эффективности защиты информации.♦ Предприятия, оказывающие услуги в области защиты информации.♦ Организации Федерального агентства по техническому регулированию и метрологии(бывшего Госстандарта России), выполняющие работы по стандартизации в областизащиты информации.♦ Органы системы лицензирования деятельности в области защиты информации.♦ Органы системы сертификации средств защиты информации.♦ Органы системы аттестации объектов защиты по требованиям безопасностиинформации.Функциональная структура(основные элементы)7Государственная системазащиты информации♦ Система лицензирования деятельностипредприятий в области защиты информации♦ Система сертификации средств защитыинформации♦ Система аттестации объектов информатизациипо требованиям безопасности информации59Тема 7«Лицензирование деятельности вобласти защитыконфиденциальной информации,сертификация средств защитыинформации и аттестацияобъектов информатизации»Лекция, 1 часСИСТЕМА ЛИЦЕНЗИРОВАНИЯ В ОБЛАСТИ ЗАЩИТЫКОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ1Лицензия - специальное разрешение на осуществление конкретноговида деятельности при обязательном соблюдении лицензионныхтребований и условий, выданное лицензирующим органомюридическому лицу или индивидуальному предпринимателюЛицензирование - мероприятия, связанные с предоставлением лицензий,переоформлением документов, подтверждающих наличие лицензий,приостановлением и возобновлением действия лицензий, аннулированиемлицензий и контролем лицензирующих органов за соблюдениемлицензиатами при осуществлении лицензируемых видов деятельностисоответствующих лицензионных требований и условий.Правительство Российской ФедерацииЛицензирующие органыФСБ РоссииФСТЭК РоссииСоискатели лицензий (заявители)60ЛИЦЕНЗИРУЕМЫЕ ВИДЫ ДЕЯТЕЛЬНОСТИ В ОБЛАСТИЗАЩИТЫ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ (1)2ФСТЭК РоссииДеятельность по технической защите конфиденциальнойинформацииРазработка и (или) производство средств защитыконфиденциальной информацииЛИЦЕНЗИРУЕМЫЕ ВИДЫ ДЕЯТЕЛЬНОСТИ В ОБЛАСТИЗАЩИТЫ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ (2)3ФСБ РоссииРазработка и (или) производство средств защиты конфиденциальнойинформации (в пределах компетенции ФСБ).Разработка, производство, реализация и приобретение в целях продажиспециальных технических средств, предназначенных для негласногополученияинформации,индивидуальнымипредпринимателямииюридическимилицами,осуществляющимипредпринимательскуюдеятельность.Деятельность по выявлению электронных устройств, предназначенных длянегласного получения информации, в помещениях и технических средствах(за исключением случая, если указанная деятельность осуществляется дляобеспечения собственных нужд юридического лица или индивидуальногопредпринимателя).Деятельность по распространению шифровальных (криптографических)средств.Деятельностьпотехническомуобслуживаниюшифровальных(криптографических) средств.Предоставление услуг в области шифрования информации.Разработка, производство шифровальных (криптографических) средств,защищенных с использованием шифровальных (криптографических) средствинформационных систем, телекоммуникационных систем.61Нормативные документы, определяющиепорядок лицензирования в области защитыконфиденциальной информации4♦ Федеральный закон Российской Федерации «О лицензированииотдельных видов деятельности» (№ 128-ФЗ от 8 августа 2001 г.).♦ Указ Президента Российской Федерации от 06.03.97 г.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
