Зайцев А.П. и др. Технические средства и методы защиты информации (7-е издание, 2012) (1095365), страница 64
Текст из файла (страница 64)
Контроллервырабатывает электроимпульсы высокого напряжения, которые оказываютнелетальное воздействие на нарушителя. В результате воздействия на ограждение (замыкание или обрыв проводов) активизируется сигнал тревоги, который поступает на охранную панель.Параметры системы (количество проводов, расстояние между ними, длина контролируемой зоны) являются различными и выбираются в соответствиис требованиями по охране объекта. Система позволяет создавать проводныеэлектризуемые ограждения различной конфигурации:• на заборы любого типа в виде козырька;• по верху стен и крыш в виде козырька;• совместно с существующим ограждением в виде второго забора;• как отдельно стоящий забор.322Вопросы для самопроверки1.
Перечислите категории объектов, подлежащих охране.2. Что относят к техническим средствам физической защиты информации?3. Основные задачи, решаемые физическими средствами защиты.4. Состав системы обеспечения безопасности объектов.5. Что входит в состав системы охранно-тревожной сигнализации?6. Что входит в состав системы контроля и управления доступом?7. Что входит в состав системы пожарной сигнализации и пожаротушения?8. Перечислите возможный состав периметровой охраны.9.
На каких принципах базируется обеспечение безопасности объекта?10. Что предусматривают адекватные меры защиты?11. Назначение системы охранно-тревожной сигнализации.12. Назначение датчиков системы охранной сигнализации.13. Средства, применяемые для записи видеосигналов.14. Разделение охранных извещателей по физическому принципу действия.15.
Назовите основные типы извещателей.16. Принципы действия пожарных извещателей.17. Функции системы контроля и управления доступом на объекте.18. Назначение системы пожарной сигнализации (ПС).19. Какого типа бывают пожарные оповещатели?20. Перечислите функциональные зоны охраны объекта.21. В каких случаях применяются периметровые средства охраны?22.
Требования к периметровой системе охраны.23. Принципиальные преимущества тепловизионных средств наблюденияза объектами.24. Принцип действия емкостного средства обнаружения нарушителя.25. Принцип действия радиолучевых охранных систем.26. Принцип работы радиоволновой охранной системы.3236. АТТЕСТАЦИЯ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ6.1. Общие сведенияСистема аттестации объектов информатизации по требованиям безопасности информации является составной частью Системы сертификации средствзащиты информации по требованиям безопасности информации № РОССRU.0001.01БИ00 и создана Гостехкомиссией России в 1995 г. в соответствии сПостановлением Правительства Российской Федерации «О сертификации средствзащиты информации» от 26 июня 1995 г.
№ 608.Под объектом информатизации, аттестуемым по требованиям безопасности информации, понимают совокупность информационных ресурсов, средстви систем обработки информации (автоматизированные системы различногоуровня и назначения), используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых ониустановлены, и выделенные (защищаемые) помещения. Выделенное помещение – это специальное помещение, предназначенное для регулярного проведения собраний, совещаний, бесед и других мероприятий секретного характера. Если в помещении обсуждается конфиденциальная информация, то ононазывается защищаемым.На указанных объектах могут быть установлены вспомогательные технические средства и системы, не участвующие в обработке защищаемой информации, но посредством наводок, на которые возможна утечка защищаемойинформации.
Они также испытываются при проведении аттестации.Аттестация объектов информатизации – это комплекс организационнотехнических мероприятий, в результате выполнения которых посредствомспециального документа – «Аттестата соответствия» – подтверждается, чтообъект информатизации соответствует требованиям стандартов и иных нормативных и методических документов по безопасности информации, утвержденных ФСТЭК (Гостехкомиссией) России. К нормативно-техническим документам относятся Нормы противодействия акустической речевой разведке(предельные возможности инженерно-технической разведки по добываниюинформации), Специальные требования и рекомендации по защите информации, составляющей государственную тайну, от ее утечки по техническим каналам (СТР), а также нормы и требования по защите информации от утечкипо каналу ПЭМИН.Наличие на объекте информатизации действующего «Аттестата соответствия» дает право обpаботки инфоpмации с уpовнем секpетности (конфиденциальности) на пеpиод вpемени, установленный в «Аттестате соответствия».324Нормативно-правовую базу составляют основные документы:1.
«Об информации, информационных технологиях и защите информации». Федеральный закон от 27.07.2006 г. №149-ФЗ.2. Постановление Правительства Российской Федерации от 26.06.1995 г.№608 «О сертификации средств защиты информации».3. Положение по аттестации объектов информатизации по требованиямбезопасности информации (утв.
25.01.1994 г. Гостехкомиссией России).4. Нормативно-методический документ «Специальные требования и рекомендации по технической защите конфиденциальной информации» (Гостехкомиссия России, 2002 г.).5. РД «Защита от несанкционированного доступа к информации. Термины и определения».6. РД «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации».7. РД «Автоматизированные системы.
Защита от несанкционированногодоступа к информации. Классификация автоматизированных систем и требования по защите информации».8. РД «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации».Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров.
Государственную тайну составляют защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности,распространение которых может нанести ущерб безопасности РоссийскойФедерации.В некоторых случаях обработки конфиденциальной информации аттестация носит добровольный характер (добровольная аттестация) и можетосуществляться по инициативе заказчика или владельца объектаинформатизации.Сведения конфиденциального характера – сведения, входящие в следующий перечень:– сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовойинформации в установленных федеральными законами случаях;– сведения, составляющие тайну следствия и судопроизводства;– служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна);325– сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации ифедеральными законами (врачебная, нотариальная, адвокатская тайна, тайнапереписки, телефонных переговоров, почтовых отправлений, телеграфных ииных сообщений и т.д.);– сведения, связанные с коммерческой деятельностью, доступ к которымограничен органами государственной власти в соответствии с Гражданскимкодексом Российской Федерации и федеральными законами (коммерческаятайна);– сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.Аттестация предусматривает комплексную проверку объекта информатизации в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасностиинформации.При аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации:1) от несанкционированного доступа (в том числе от компьютерныхвирусов);2) от утечки за счет побочных электромагнитных излучений и наводокпри специальных воздействиях на объект (высокочастотное навязывание и облучение, электромагнитное и радиационное воздействие);3) от утечки или воздействия за счет встроенных специальных устройств.Аттестация объектов информатизации, обрабатывающих сведения, составляющие государственную тайну, проводится специально аккредитованными ФСТЭК России органами по аттестации объектов информатизации согласно Положению по аттестации объектов информатизации.Аттестацию собственных объектов информатизации, обрабатывающих конфиденциальную информацию (не являющуюся государственной тайной), организация может выполнить самостоятельно при наличии лицензии, подготовленных специалистов, соответствующей нормативной и методической литературы, а также контрольно-измерительной аппаратуры и средств контролязащищенности информации.Порядок проведения аттестации состоит из следующих этапов:1) подача и рассмотрение заявки на аттестацию;2) предварительное ознакомление с аттестуемым объектом;3) испытания несертифицированных средств и систем защиты информации, используемых на аттестуемом объекте;4) разработка программы и методики испытаний;5) проведение аттестационных испытаний ОИ;6) оформление, регистрация и выдача «Аттестата соответствия»;3267) рассмотрение апелляций;8) осуществление госконтроля и надзора, инспекционного контроля запроведением аттестации и эксплуатацией аттестованных объектов информатизации.Этапы аттестационных испытаний включают в себя:1.
Анализ организационной структуры объекта информатизации, информационных потоков, состава и структуры комплекса технических средств ипрограммного обеспечения, системы защиты информации, разработанной документации и ее соответствия требованиям нормативной документации позащите информации.2. Определение правильности категорирования объектов ЭВТ и классификации АС, выбора и применения сертифицированных средств и систем защиты информации.3. Проверку уровня подготовки кадров и распределение ответственности персонала за обеспечение выполнения требований по безопасности информации.4. Проведение комплексных аттестационных испытаний ОИ в реальныхусловиях эксплуатации путем проверки фактического выполнения установленных требований на различных этапах технологического процесса обработки защищаемой информации.5.
Оформление протоколов испытаний и заключения по результатам испытаний с конкретными рекомендациями по устранению допущенных нарушений, приведению системы защиты в соответствие с установленными требованиями, рекомендациями по контролю за функционированием ОИ.«Аттестат соответствия» оформляется и выдается не более чем на 3 годапосле утверждения заключения по результатам аттестационных испытаний.Ведение сводных информационных баз аттестованных объектов информатизации осуществляется территориальными управлениями ФСТЭК России. Ответственность за выполнение установленных условий функционирования ОИ,технологии обработки защищаемой информации и требований по безопасности информации несет владелец аттестованного объекта информатизации.Аттестация объекта информатизации на соответствие требованиям побезопасности информации требует совместной работы заказчика и исполнителя.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
