Kako podesiti pametne telefone i računare. Informativni portal
  • Dom
  • Windows 7, XP
  • Zahtjevi za tehničku podršku sistema informacione sigurnosti. Termini, definicije i skraćenice

Zahtjevi za tehničku podršku sistema informacione sigurnosti. Termini, definicije i skraćenice

18.04.2019 Windows 7, XP

V opšti slučaj zahtjevi zaštite povjerljive informacije slično zahtjevima zaštite povjerljiva informacija, međutim, postoje fundamentalne razlike. Budući da povjerljivi podaci imaju najviši rang, zahtjevi za njima su za red veličine veći. Stoga, zbog sličnosti u zahtjevima ove dvije kategorije informacija, ističemo samo one tačke koje se direktno odnose na zaštitu tajnih podataka.

Podsistem kontrole pristupa bi trebao:

Upravljajte tokovima informacija pomoću oznaka privatnosti. U tom slučaju, nivo povjerljivosti diska ne smije biti niži od nivoa povjerljivosti podataka koji su na njemu zabilježeni;

Registracijski i računovodstveni podsistem bi trebao:

Registrirajte izdavanje štampanih (grafičkih) dokumenata za "hard" kopiju. Ova akcija mora navesti stvarni obim izdatog dokumenta (broj stranica, listova, primjeraka) i rezultat izdavanja (uspješno - cijeli obim, neuspješan);

Registrirajte pokušaje pristupa softverskim alatima (programi, procesi, zadaci, zadaci) zaštićenim datotekama. Parametri registracije ukazuju na:

2) vrstu tražene operacije (čitanje, pisanje, brisanje, izvršavanje, proširenje i sl.);

Registrirajte pokušaje pristupa softverskim alatima sljedećim dodatnim zaštićenim objektima pristupa: terminalima, računarima, čvorovima računarske mreže, komunikacionim linijama (kanalima), eksternih uređaja Računari, programi, tomovi, direktoriji, fajlovi, zapisi, polja zapisa. Parametri registracije ukazuju na:

1) naziv programa (proces, zadatak, zadatak) koji pristupa datotekama;

2) vrstu tražene operacije (čitanje, pisanje, montiranje, snimanje itd.);

Registrirajte promjene ovlaštenja subjekata pristupa, kao i status objekata pristupa. Parametri registracije ukazuju na:

1) datum i vreme promene ovlašćenja;

2) identifikator subjekta pristupa (administratora) koji je izvršio izmene;

Izvršiti automatsko obračunavanje kreiranih zaštićenih datoteka koristeći njihovu dodatnu oznaku koja se koristi u podsistemu kontrole pristupa. Označavanje treba da odražava nivo povjerljivosti objekta;

Voditi evidenciju zaštićenih medija sa upisom njihovog izdavanja (prijema) u poseban dnevnik (kartoteka);

Voditi nekoliko vrsta računovodstveno (dupliranih) zaštićenih medija;

Signal o pokušaju narušavanja zaštite;

Podsistem osiguranja integriteta bi trebao:

Izvršiti fizičku zaštitu SVT (uređaja i medija). U tom slučaju treba obezbediti stalno prisustvo obezbeđenja na teritoriji zgrade i prostorija u kojima se nalazi NEK. Zaštita se mora izvršiti uz pomoć tehnička sredstva obezbeđenje i specijalno osoblje, kao i korišćenje stroge kontrole pristupa i posebne opreme u prostorijama NEK;

Osigurati prisustvo administratora ili cjelokupne službe informacione sigurnosti zadužene za održavanje, normalno funkcionisanje i praćenje rada sistema informacione sigurnosti neovlašćenog sistema. Administrator mora imati svoj terminal i neophodna sredstva operativna kontrola i uticaj na sigurnost postrojenja;

Sprovesti periodično testiranje funkcija sistema informacione bezbednosti NSD-a prilikom promene softversko okruženje i osoblje NEK koje koristi poseban softver najmanje jednom godišnje;

Koristite samo certificiranu zaštitnu opremu. Njihovu sertifikaciju vrše posebni sertifikacioni centri ili specijalizovana preduzeća licencirana za vršenje sertifikacije sredstava zaštite sistema informacione bezbednosti NSD;

Uporedimo dvije grupe zahtjeva o kojima smo gore govorili i njihove karakteristike za zaštitu informacija različitih kategorija (povjerljivih i tajnih). Jasno je da su ključni zaštitni mehanizmi koji čine glavnu grupu mehanizama protiv neovlaštenog pristupa („Podsistem kontrole pristupa“):

Identifikacija i autentifikacija subjekata pristupa prilikom ulaska u sistem identifikatorom (šidom) i uslovno trajnom lozinkom;

Kontrola pristupa subjekata zaštićenim resursima u skladu sa pristupnom matricom.

Dodatni zahtjev i fundamentalna razlika kada se obezbjeđuje povjerljiva informacija, sigurnosni mehanizam mora kontrolirati tok informacija pomoću oznaka povjerljivosti. U tom slučaju, nivo povjerljivosti diska ne smije biti niži od nivoa povjerljivosti podataka koji su na njemu zabilježeni.

Sva tri ova mehanizma su fundamentalna. Oni su povezani na sljedeći način: sva prava pristupa resursima (politika razgraničenja pristupa resursima) su postavljena za određenog subjekta pristupa (korisnika). Dakle, subjekt pristupa (korisnik) mora biti identifikovan pri ulasku u sistem, odnosno mora se kontrolisati njegova autentičnost. To se obično radi upotrebom tajna riječ- lozinka.

GOST UPUTSTVO:
Zahtjevi za zaštitu informacija od neovlaštenog pristupa uključuju zahtjeve utvrđene u NTD koji djeluje u djelatnosti (odjelu) korisnika.

FORMALNI SADRŽAJ:
IS mora pružiti zaštitu od neovlaštenog pristupa (NSD) na nivou koji nije niži od onog koji je utvrđen zahtjevima za kategoriju 1D prema klasifikaciji trenutnog vodiča Državne tehničke komisije Rusije " Automatizovani sistemi... Zaštita od neovlaštenog pristupa informacijama. Klasifikacija automatizovanih sistema „1992
Komponente podsistema protiv neovlaštenog pristupa moraju obezbijediti:
- identifikacija korisnika;
- provjera ovlaštenja korisnika pri radu sa sistemom;
- diferencijacija pristupa korisnika na nivou zadataka i informacionih nizova.
Zapisi revizije sistema i aplikacije moraju biti zaštićeni od neovlašćenog pristupa kako lokalno tako i u arhivi.
Nivo sigurnosti od neovlaštenog pristupa sredstvima računarska tehnologija obrada povjerljivih informacija mora ispunjavati zahtjeve za sigurnosnu klasu 6 u skladu sa zahtjevima važećeg dokumenta smjernica Državne tehničke komisije Rusije „Kompjuterski objekti. Zaštita od neovlaštenog pristupa informacijama. Indikatori sigurnosti od neovlašćenog pristupa informacijama”.
Zaštićeni dio sistema mora koristiti "slijepe" lozinke (pri upisivanju lozinke njeni karakteri se ne prikazuju na ekranu ili se zamjenjuju jednom vrstom znakova; broj znakova ne odgovara dužini lozinke).
Zaštićeni dio sistema bi trebao automatski unaprijed blokirati sesije korisnika i aplikacije data vremena neaktivnost korisnika i aplikacija.
Zaštićeni dio sistema treba da onemogući rad sa nekategorisanim informacijama u okviru sesije korisnika ovlaštenog za pristup povjerljivim informacijama.
Zaštićeni dio sistema mora koristiti višeslojni sigurnosni sistem. Zaštićeni dio sistema mora biti odvojen od nezaštićenog dijela sistema zaštitnim zidom.

Zahtjevi za sigurnost informacija u slučaju nezgoda

GOST UPUTSTVO:
U zahtjevima za sigurnost informacija dat je spisak događaja: nesreće, kvarovi tehničkih sredstava (uključujući gubitak struje) i sl., u kojima se mora osigurati sigurnost informacija u sistemu.

FORMALNI SADRŽAJ:
Softver AC Frames mora povratiti svoju funkcionalnost nakon gracioznog ponovnog pokretanja hardvera. Trebalo bi biti moguće organizirati automatsko i (ili) ručno Rezervna kopija sistemske podatke putem sistemskog i osnovnog softvera (OS, DBMS), koji je dio softversko-hardverskog kompleksa Naručioca.
Gore navedeni zahtjevi se ne odnose na sistemske komponente razvijene od strane trećih strana i vrijede samo ako se poštuju pravila korištenja ovih komponenti, uključujući pravovremenu instalaciju ažuriranja preporučenih od strane proizvođača kupljenog softvera.

Zahtjevi za zaštitu od utjecaja vanjskih utjecaja

Analiza stanja u oblasti zaštite informacija pokazuje da je već razvijena dobro formirana koncepcija i struktura zaštite, čija je osnova:

1. Visoko razvijen arsenal tehničkih sredstava zaštite informacija, proizveden na industrijskoj osnovi.

2. Značajan broj firmi specijalizovanih za rješavanje pitanja sigurnosti informacija.

3. Prilično dobro definisan sistem pogleda na ovaj problem.

4.prisustvo značajnih praktično iskustvo i drugih.

I pored toga, kako svjedoče domaća i strana štampa, zlonamjerne radnje na informacije ne samo da se ne smanjuju, već imaju stalni trend rasta.

Iskustvo pokazuje da je za suzbijanje ove tendencije neophodna uredna i svrsishodna organizacija procesa zaštite. informacionih resursa.

Štaviše, u tome bi trebalo da aktivno učestvuju:

· Stručni specijalisti;

· Administracija;

· zaposleni;

· Korisnici.

Iz toga slijedi da:

1. Osiguravanje sigurnosti informacija ne može biti jednokratni čin. Ovo je kontinuirani proces, koji se sastoji u potkrepljivanju i implementaciji najracionalnijih metoda, metoda i načina za unapređenje i razvoj sistema zaštite, kontinuirano praćenje njeno stanje, identifikujući njeno usko i slabe tačke i nezakonite radnje.

2. Sigurnost informacija može se osigurati samo ako integrisana upotreba kompletan arsenal raspoložive zaštitne opreme u svim elementima konstrukcije proizvodni sistem iu svim fazama tehnološkog ciklusa obrade informacija. Najveći efekat se postiže kada se sva sredstva, metode i mjere koje se koriste spoje u jedan holistički mehanizam - informacioni sigurnosni sistem. Istovremeno, funkcionisanje sistema treba pratiti, ažurirati i dopunjavati u zavisnosti od promena spoljašnjih i unutrašnjih uslova.

3. Nijedan sistem informacione bezbjednosti ne može obezbijediti traženi nivo informacione sigurnosti bez odgovarajuće obuke korisnika i njihovog poštovanja svih utvrđenih pravila koja imaju za cilj njegovu zaštitu.

Uzimajući u obzir stečeno iskustvo, sistem zaštite informacija moguće je definisati kao organizovani skup posebnih tijela, sredstava, metoda i mjera koje obezbjeđuju zaštitu od unutrašnjih i spoljne pretnje.

Dakle, pod sistemom bezbednosti podrazumevamo organizovan skup posebnih organa, službi, sredstava, metoda i mera kojima se obezbeđuje zaštita vitalnih interesa pojedinca, preduzeća i države od unutrašnjih i spoljašnjih pretnji.

Kao i svaki sistem, sistem sigurnost informacija ima svoje ciljeve, ciljeve, metode i sredstva djelovanja, koji su usklađeni na mjestu i vremenu, u zavisnosti od uslova.

Sa stanovišta sistematskog pristupa zaštiti informacija, nameću se određeni zahtjevi. Zaštita informacija treba da bude:

1. Kontinuirano. Ovaj zahtjev proizlazi iz činjenice da napadači samo traže priliku da zaobiđu zaštitu informacija koje ih zanimaju.

2. Planirano. Planiranje se vrši izradom detaljnih planova svake službe za zaštitu informacija iz svoje nadležnosti, vodeći računa o opštem cilju preduzeća (organizacije).

3. Fokusirano. Zaštićeno je ono što treba štititi u interesima specifične svrhe, ne sve.

4. Razumno. Složenost zadataka koji se rješavaju, veliki obim posla, kao i ograničeni resursi čine neophodnim dubinsku naučnu utemeljenost odluka koje se donose u cilju zaštite informacija. Prilikom opravdavanja potrebe zaštite potrebno je polaziti od spoljnopolitičkih, odbrambenih i ekonomskih interesa države, polažući u rješavanju problema napredne naučne i tehničke ideje i dostignuća.

5. Dovoljno. Znači potrebu traženja pouzdanih mjera zaštite, izbjegavajući nepotrebne troškove. Osigurava se korištenjem najnaprednijih metoda i sredstava zaštite. Promoviše ravnotežu interesa države i pojedinih organizacija (preduzeća), građana.

6. Fleksibilan u upravljanju. S obzirom na veliki broj zaštićenih objekata i informacija, moguću oštru promjenu obavještajnog okruženja, uslova zaštite i važnosti zaštićenih informacija, potrebna je fleksibilna struktura koja obezbjeđuje mogućnost predviđanja prijetnji i njihove proaktivne neutralizacije, brze i efikasno otklanjanje posledica pretnje. Omogućeno je uglavnom visokim stepenom automatizacije zaštitnih sredstava i sistema i prisustvom povratne sprege velike brzine.

7. Specifično . Konkretni podaci podležu zaštiti, objektivno podložni zaštiti, čiji gubitak može prouzrokovati određenu štetu organizaciji.

8. Aktivan . Potrebno je zaštititi informacije sa dovoljnim stepenom postojanosti

9. Pouzdan. Metode i oblici zaštite moraju pouzdano pokrivati mogući načini nezakonit pristup zaštićenim tajnama, bez obzira na oblik njihovog predstavljanja, jezik izražavanja i vrstu fizičkog medija na kojem su fiksirane.

10. Pravovremeno. Blagovremenost diktira potrebu da se unaprijed razviju mjere zaštite i kontrole, prije početka tajnog rada. Neblagovremeno postupanje mjere zaštite ne samo da mogu smanjiti njegovu efikasnost, već i dovesti do suprotnog rezultata.

11. Universal. Smatra se da, ovisno o vrsti kanala curenja ili načinu neovlaštenog pristupa, on mora biti blokiran, gdje god se pojavi, razumnim i dovoljnim sredstvima, bez obzira na prirodu, oblik i vrstu informacije.

12. Integrisano. Za zaštitu informacija u svoj njihovoj raznolikosti strukturni elementi treba primijeniti sve vrste i oblike zaštite u cijelosti... Nedopustivo je koristiti samo određene forme ili tehnička sredstva. Složenost zaštite proizilazi iz činjenice da je zaštita specifičan fenomen, koji predstavlja složen sistem neraskidivo međusobno povezanih i međusobno zavisnih procesa, od kojih svaki sa svoje strane ima mnogo različitih međusobno uslovljenih strana, svojstava, tendencija.

Strana i domaća iskustva pokazuju da sistem zaštite informacija mora, kako bi se osiguralo ispunjenje ovako višestrukih sigurnosnih zahtjeva. ispunjavaju određene uslove:

1. Pokriti cjelokupni tehnološki kompleks informacionih aktivnosti.

2. Biti raznolik u smislu korišćenih sredstava, na više nivoa sa hijerarhijskim redosledom pristupa.

3. Budite otvoreni za promjene i dopune mjera sigurnosti informacija.

4. Budite nestandardni i raznoliki. Prilikom odabira sredstava zaštite ne može se računati na neznanje uljeza u pogledu njegovih mogućnosti.

5. Budite jednostavni za Održavanje i user-friendly.

6. Budite pouzdani. Svaki kvar tehničkih sredstava razlog je za pojavu nekontrolisanih kanala curenja informacija.

7. Biti sveobuhvatan, imati integritet, što znači da se nijedan dio ne može ukloniti bez štete po cijeli sistem.

Određeni zahtjevi nameću se i sistemu sigurnosti informacija. :

· Jasnoća definicije ovlašćenja i prava korisnika na pristup određenim vrstama informacija;

· Davanje korisniku minimalnih ovlašćenja potrebnih za obavljanje dodeljenog posla;

· Minimiziranje broja zajedničkih zaštitnih sredstava za više korisnika;

· evidentiranje slučajeva i pokušaja neovlaštenog pristupa povjerljivim informacijama;

· Pružanje procjene stepena povjerljivih informacija;

· Osiguravanje kontrole integriteta zaštitne opreme i trenutnog reagovanja na njihov kvar.

Istorijski pristup klasifikaciji državne informacije(podaci) prema nivoima zahtjeva za njihovu sigurnost zasniva se na razmatranju i obezbjeđivanju samo jednog svojstva informacije – njene povjerljivosti (tajnosti). Zahtjevi za osiguranjem integriteta i dostupnosti informacija po pravilu se samo posredno pojavljuju među općim zahtjevima za sisteme za obradu ovih podataka. Smatra se da, budući da samo uzak krug osoba od povjerenja ima pristup informacijama, vjerovatnoća njihovog iskrivljavanja (neovlaštenog uništavanja) je zanemarljiva. Nizak nivo povjerenje u AS i sklonost prema informacionoj tehnologiji zasnovanoj na papiru dodatno pogoršavaju ograničenja ovog pristupa.

Ako je takav pristup u određenoj mjeri opravdan zbog postojećeg prioriteta sigurnosnih svojstava važnih državnih informacija, onda to uopće ne znači da će njihov mehanički prijenos u drugu predmetnu oblast (sa drugim subjektima i njihovim interesima) biti uspješan.

U mnogim oblastima aktivnosti (predmetne oblasti) udio povjerljivih informacija je relativno mali. Za komercijalne i lična informacija, kao i za informacije o stanju koje ne podliježu klasifikaciji, prioritet svojstava sigurnosti informacija može biti drugačiji. Za otvorene informacije, čija je šteta od otkrivanja neznatna, najvažniji kvaliteti mogu biti pristupačnost, integritet ili zaštita od ilegalnog umnožavanja. Na primjer, za platne (finansijske) dokumente najvažnije je svojstvo njihovog integriteta (pouzdanost, neiskrivljenost). Zatim, po važnosti, dolazi svojstvo dostupnosti (gubitak platnog dokumenta ili kašnjenje u plaćanju može biti veoma skupo). Možda uopće ne postoje zahtjevi za osiguranje povjerljivosti pojedinačnih dokumenata plaćanja.

Pokušaji da se rješavanju pitanja zaštite takvih informacija pristupi sa stanovišta tradicionalnog obezbjeđenja povjerljivosti samo propadaju. Osnovni razlozi za to, po našem mišljenju, su uskost postojećeg pristupa zaštiti informacija, nedostatak iskustva i odgovarajućih razrada u smislu obezbjeđivanja integriteta i dostupnosti informacija koje nisu povjerljive.

Razvoj sistema za klasifikaciju informacija prema nivoima zahtjeva za njihovu sigurnost podrazumijeva uvođenje većeg broja stupnjeva (gradacija) zahtjeva kako bi se osiguralo svako od svojstava informacione sigurnosti: dostupnost, integritet, povjerljivost i zaštita od replikacije. Primjer gradacije sigurnosnih zahtjeva:

· Nema zahtjeva;

· Niska;

· Srednji;

· Visoka;

· veoma visoko.

Broj diskretnih gradacija i značenje koje im se pripisuje mogu se razlikovati. Glavna stvar je da su zahtjevi za sigurnost razna svojstva informacije su naznačene odvojeno i prilično konkretno (na osnovu težine moguće štete za subjekte informacionih odnosa zbog povrede svakog od svojstava informacione bezbednosti).

Ubuduće će se svaki zasebni funkcionalno potpun dokument (neki skup znakova) koji sadrži određene informacije, bez obzira na vrstu medija na kojem se nalazi, nazivati informativni paket.

Jednu vrstu informacionih paketa nazivaćemo paketima (standardnim dokumentima) koji su slični po nekim karakteristikama (struktura, tehnologija obrade, vrsta informacija itd.).

Izazov je odrediti realni nivoi zainteresovanost (visoka, srednja, niska, odsutna) subjekata za obezbeđivanje uslova za sigurnost svake od nekretnina različite vrste informativni paketi koji kruže AU.

Zahtjeve za sistem zaštite NPP-a u cjelini (metode i sredstva zaštite) treba odrediti na osnovu sigurnosnih zahtjeva za različite vrste paketa informacija koji se obrađuju u NPP-u, a uzimajući u obzir posebnosti specifičnih tehnologija za njihovu obradu i prijenos (ranjivost).

Tipovi informacionih paketa sa jednakim prioritetima i nivoima bezbednosnih zahteva (stepen važnosti obezbeđivanja njihovih bezbednosnih svojstava: dostupnost, integritet i poverljivost) su kombinovani u jednu kategoriju.

Predloženi postupak za utvrđivanje zahtjeva za sigurnost informacija koje kruže u sistemu je predstavljen u nastavku:

1. Sastavlja se opšta lista tipova informacionih paketa koji kruže u sistemu (dokumenti, tabele). Da biste to učinili, uzimajući u obzir predmetna oblast sistema, informacioni paketi se dijele na tipove prema predmetu, funkcionalnoj namjeni, sličnosti tehnologije obrade itd. istaknuto.

2. U narednim fazama, početna podjela informacija (podataka) na vrste paketa može se precizirati uzimajući u obzir zahtjeve za njihovu sigurnost.

Zatim, za svaku vrstu paketa istaknutu u prvom pasusu, i svako kritično svojstvo informacija (dostupnost, integritet, povjerljivost) se određuju (na primjer, metodom stručne prosudbe):

Spisak i značaj (značaj na posebnoj skali) subjekata čiji su interesi pogođeni u slučaju povrede ove imovine informacije;

· Nivo štete koja im je nanesena (beznačajna, mala, srednja, velika, veoma velika, itd.) i odgovarajući nivo sigurnosnih zahtjeva.

Prilikom utvrđivanja stepena nastale štete potrebno je uzeti u obzir:

· Troškovi mogućih gubitaka u dobijanju informacija od strane konkurenta;

· Troškovi vraćanja informacija u slučaju njihovog gubitka;

· Troškovi uspostavljanja normalnog rada nuklearke i dr.

Ako se pojave poteškoće zbog velikog raspršivanja procjena za različitim dijelovima informacije o jednoj vrsti paketa, onda treba ponovo razmotriti podjelu informacija na vrste paketa, vraćajući se na prethodni stav tehnike.

3. Za svaku vrstu informacionih paketa, uzimajući u obzir značaj subjekata i nivoe štete na njima, utvrđuje se stepen neophodne sigurnosti za svako od svojstava informacije (ako je značaj subjekata jednak , onda maksimalna vrijednost nivo).

Primjer procjene sigurnosnih zahtjeva za određenu vrstu informacijskih paketa dat je u tabeli 1.

Tabela 1

Procjena sigurnosnih zahtjeva za informacijske pakete

Subjekti Nivo oštećenja prema svojstvima informacija
Povjerljivost Integritet Dostupnost Zaštita od replikacije
N 1 Ne Prosjek Prosjek Ne
N 2 Visoko Prosjek Prosjek Ne
N 3 Nisko Nisko Nisko Ne
Na kraju Visoko Prosjek Prosjek Ne

Sistem sigurnosti informacija, kao i svaki sistem, mora imati određene tipove vlastitu odredbu, oslanjajući se na koje će obavljati svoju ciljnu funkciju.

Imajući to na umu, sistem zaštite informacija može imati:

1. Pravna podrška. To uključuje propise, propise, uputstva, smjernice, čiji su zahtjevi obavezni u okviru njihovog djelokruga.

2. Organizacijska podrška. To znači da implementaciju informacione sigurnosti sprovode određene strukturne jedinice, kao što su: služba bezbednosti dokumenata; služba režima, prijem, zaštita; usluga informacione sigurnosti tehničkim sredstvima; informaciono-analitičke aktivnosti i drugo.

3. Hardver. Pretpostavlja se da će se tehnička sredstva široko koristiti kako za zaštitu informacija, tako i za osiguranje rada samog sistema informacione sigurnosti.

4. Informaciona podrška. Uključuje informacije, podatke, indikatore, parametre koji su u osnovi rješavanja problema koji osiguravaju funkcionisanje sistema. Ovo može uključivati ​​i indikatore pristupa, računovodstva, skladištenja i sisteme podrške informacijama za proračunske zadatke različite prirode koji se odnose na aktivnosti službe sigurnosti.

5. Softver. Uključuje različite informacione, računovodstvene, statističke i računske programe koji daju procjenu prisutnosti i opasnosti različitim kanalima curenja i načini neovlaštenog ulaska u izvore povjerljivih informacija.

6. Matematički softver. Pretpostavlja upotrebu matematičke metode za različite proračune vezane za procjenu opasnosti tehničkih sredstava od uljeza, zone i standarde potrebne zaštite.

7. Jezička podrška. Skup posebnih jezičkih sredstava komunikacije između stručnjaka i korisnika u oblasti informacione sigurnosti.

8. Regulatorna i metodološka podrška. To uključuje norme i propise o radu organa, službi, sredstva koja sprovode funkcije zaštite informacija, razne vrste tehnika koje obezbeđuju aktivnosti korisnika prilikom obavljanja posla u uslovima strogi zahtjevi zaštita informacija.

Zahtjevi za savremeni sistemi informaciona bezbednost zasnovana je na materijalima domaćih standarda bezbednosti informacija i uputstava (RD) za tehničku zaštitu informacija Državne tehničke komisije (SCC) Rusije.

Sistem (podsistem) za zaštitu informacija obrađenih u automatizovanim sistemima različitih nivoa i namena treba da obezbedi kompleks organizacionih, softverskih, tehničkih i, po potrebi, kriptografskim sredstvima i mjere zaštite informacija kada se automatizovana obrada, skladištenje i prijenos putem komunikacijskih kanala.

Glavne oblasti zaštite informacija su:

  • osiguravanje zaštite informacija od krađe, gubitka, curenja, uništenja, izobličenja i krivotvorenja kao posljedica neovlašćeni pristup(NSD) i posebni uticaji;
  • osiguranje zaštite informacija od curenja putem tehnički kanali tokom njegove obrade, skladištenja i prijenosa putem komunikacijskih kanala.

Kao glavne mjere za zaštitu informacija preporučuju se sljedeće:

  • dokumentovanje liste povjerljivih informacija, uzimajući u obzir specifičnosti odjela i industrije ovih informacija;
  • implementacija sistema dozvole za pristup izvođača (korisnika, uslužnog osoblja) informacijama i poslovima i dokumentima koji se odnose na njihovo korišćenje;
  • ograničavanje pristupa osoblja i autsajderi zaštićenim prostorijama i prostorijama u kojima se nalaze sredstva informatizacije i komunikacije i pohranjuju nosioci informacija;
  • razlikovanje pristupa korisnika i uslužnog osoblja informacionim resursima, softveru za obradu (prenos) i zaštitu informacija;
  • registraciju radnji korisnika automatizovani sistem(AS) i servisno osoblje, kontrolu neovlašćenog servisa i postupanja korisnika, servisnog osoblja i neovlašćenih lica;
  • računovodstvo i sigurno skladište papirni i mašinski nosači podataka, ključevi (ključna dokumentacija) i njihov promet, isključujući njihovu krađu, zamjenu i uništavanje;
  • upotreba posebnim zaštitnim znakovima(SPZ), kreiran na bazi fizičko-hemijskih tehnologija za kontrolu pristupa objektima zaštite i za zaštitu dokumenata od falsifikata;
  • potreban višak tehnička sredstva i umnožavanje nizova i nosača informacija;
  • korištenje certificiranih serijski proizvedenih u zaštićenom dizajnu tehničkih sredstava za obradu, prijenos i pohranjivanje informacija;
  • korištenje tehničkih sredstava koja ispunjavaju zahtjeve standarda za elektromagnetna kompatibilnost;
  • korištenje certificiranih alata za sigurnost informacija;
  • postavljanje objekata zaštite na maksimalnoj mogućoj udaljenosti u odnosu na granicu kontrolisano područje (KZ);
  • plasman buck transformatorske podstanice napajanje i petlje uzemljenja objekata zaštite u okviru kratkog spoja;
  • razdvajanje strujnih krugova objekata zaštite pomoću zaštitnih filtera koji blokiraju (prigušuju) informativni signal;

Dodatak. Zahtjevi za moderne sisteme zaštite 399

  • elektromagnetna izolacija između komunikacionih linija i drugih kola pomoćna tehnička sredstva i sistemi(VTSS), nadilazeći kratki spoj, i informacijska kola kroz koja kruže zaštićena informacija;
  • korištenje sigurnih komunikacijskih kanala i kriptografskih sredstva za zaštitu informacija(SZI);
  • postavljanje displeja i drugih sredstava za prikazivanje informacija, isključujući neovlašteno gledanje informacija;
  • organizacija fizička zaštita prostorija i stvarnih tehničkih sredstava uz pomoć snaga bezbednosti i tehničkih sredstava koja sprečavaju ili značajno onemogućavaju ulazak neovlašćenih lica u prostorije, krađu dokumenata i nosioci informacija, sama sredstva informatizacije, isključujući prisustvo tehničkih sredstava izviđanja ili industrijske špijunaže unutar kontrolisane zone;
  • kriptografska transformacija informacija koje se obrađuju i prenose pomoću računalne tehnologije i komunikacije;
  • sprečavanje unošenja virusnih programa i softverskih oznaka u AS.

U cilju diferenciranog pristupa zaštiti informacija koje se obrađuju u AU različitih nivoa i namjena, vrši se klasifikacija AU. Klasifikacija NPP se vrši na osnovu zahteva Državnog carinskog komiteta RD Rusije „Automatizovani sistemi. Zaštita od neovlaštenog pristupa informacijama. Klasifikacija automatizovanih sistema i zahtevi za zaštitu informacija“.

Specifični zahtjevi za zaštitu informacija i mjere za njihovu implementaciju određuju se u zavisnosti od klase sigurnosti utvrđene za AU. Preporučene klase sigurnosti AU, SPZ, sredstva informacione sigurnosti prema stepenu kontrole odsustva neprijavljenih sposobnosti, kao i indikatori za sigurnosne klase SVT i ME od NSD do informacija dati su u tabeli.

Lica koja su primljena na automatizovanu obradu poverljivih informacija dužna su da poštuju proceduru utvrđenu u instituciji (u preduzeću) radi obezbeđenja zaštite ovih informacija.

Sigurnosne klase od petljanja u informacije

Vladanje

dokument

Sigurnosne klase

Automatizovano

1. grupa

Objekti

računarstvo

3. grupa

Zaštitni zidovi

Poseban

zaštitni znakovi

Neprijavljene prilike

Specifični zahtjevi za savremene sisteme informacione sigurnosti dati su u sljedećim smjernicama Državne tehničke komisije Rusije i državni standardi RF:

  • 1. Automatski sistemi. Zaštita od neovlaštenog pristupa informacijama. Klasifikacija AU i zahtjevi za zaštitu informacija. RD Državni carinski komitet Rusije. M., 1992.
  • 2. Računarska oprema. Zaštita od neovlaštenog pristupa informacijama. Indikatori sigurnosti od NSD do informacija. RD Državni carinski komitet Rusije. M., 1992.
  • 3. Računarska oprema. ME. Zaštita od neovlaštenog pristupa informacijama. Indikatori sigurnosti od NSD do informacija. RD Državni carinski komitet Rusije. M., 1997.
  • 4. Zaštita informacija. Posebni zaštitni znakovi. Klasifikacija i Opšti zahtjevi... RD Državni carinski komitet Rusije. M., 1992.
  • 5. Zaštita od neovlaštenog pristupa informacijama. Dio 1. Softver za sigurnost informacija. Klasifikacija prema stepenu kontrole odsustva neprijavljenih mogućnosti. RD Državni carinski komitet Rusije. M., 1999.
  • 6. Posebni zahtjevi i preporuke za tehničku zaštitu povjerljivih informacija (STR-K). RD Državni carinski komitet Rusije. M., 2001.
  • 7. GOST R 50739-95. Računarska oprema. Zaštita od neovlaštenog pristupa informacijama. Opšti tehnički zahtjevi.
  • 8.GOST R 51583-2000. Zaštita podataka. Postupak izrade sistema u zaštićenom dizajnu.

Osnova pravna podrška informaciona sigurnost Rusije, pored regulatornih pravnih akata, su konceptualni dokumenti. Oni se usvajaju na nivou predsjednika Ruske Federacije, Vlade Ruske Federacije i drugih državnih organa. Konkretno, takvi dokumenti su Doktrina informacione sigurnosti Ruske Federacije i Strategija nacionalne sigurnosti Ruske Federacije do 2020. godine.

Koncept (od lat.conception)- generalni plan, koji određuje strategiju djelovanja. Koncept informacione bezbednosti je sistem pogleda na suštinu, ciljeve, principe i organizaciju informacione bezbednosti.

Koncept sigurnosti informacija pretpostavlja:

  1. Definicija pojma, suštine i ciljeva zaštite informacija.
  2. Koje informacije treba zaštititi, koji su kriterijumi za njihovo klasifikovanje kao zaštićene.
  3. Razlikovanje zaštićenih informacija: a) prema stepenu povjerljivosti, b) prema vlasnicima i vlasnicima.
  4. Određivanje sastava i klasifikacija medija zaštićenih informacija.
  5. Utvrđivanje izvora, vrsta i metoda destabilizirajućeg uticaja na informacije, razloga, okolnosti i uslova uticaja, kanala, metoda i sredstava neovlašćenog pristupa informacijama.
  6. Definicija metoda i sredstva za zaštitu informacija.
  7. Osoblje za sigurnost informacija.

To jest, koncept papiri definišu opšti stav i politike države u datoj oblasti, kao i da služe kao osnova za kreiranje regulatornih i pravnih dokumenata.

Strategiju nacionalne bezbednosti do 2020. odobrio je predsednik D. Medvedev 12. maja 2009. godine. Strategija je "zvanično priznat sistem strateških nacionalnih prioriteta, ciljeva i mjera u oblasti unutrašnje i vanjske politike koji određuju stanje nacionalne sigurnosti i nivo održivog razvoja države na duži rok".

Dokument sadrži 6 sekcija:

  1. Opće odredbe
  2. Savremeni svijet i Rusija: stanje i trendovi razvoja
  3. Nacionalni interesi Ruska Federacija i strateški nacionalni prioriteti
  4. Osiguravanje nacionalne sigurnosti
  5. Organizacioni, regulatorni, pravni i informacione baze implementaciju ove strategije
  6. Glavne karakteristike stanja nacionalne sigurnosti u sastavu 112 zasebnih tačaka

Opšte odredbe daju listu osnovnih pojmova u oblasti nacionalne sigurnosti:

Nacionalna sigurnost- stanje zaštite pojedinca, društva i države od unutrašnjih i vanjskih prijetnji, koje omogućava osiguranje ustavnih prava, sloboda, pristojan kvalitet i standard života građana, suverenitet, teritorijalni integritet i održivi razvoj Rusije Federacija, odbrana i sigurnost države;

nacionalni interesi Ruske Federacije- skup unutrašnjih i eksternih potreba države u obezbjeđivanju sigurnosti i održivog razvoja pojedinca, društva i države;

prijetnja nacionalnoj sigurnosti- direktna ili indirektna mogućnost nanošenja štete ustavnim pravima, slobodama, pristojnom kvalitetu i standardu života građana, suverenitetu i teritorijalnom integritetu, održivom razvoju Ruske Federacije, odbrani i sigurnosti države;

strateški nacionalni prioriteti- najvažnije oblasti osiguranja nacionalne sigurnosti, prema kojima se ostvaruju ustavna prava i slobode građana Ruske Federacije, održivi društveno-ekonomski razvoj i zaštita suvereniteta, nezavisnosti i teritorijalnog integriteta zemlje;

sistem nacionalne bezbednosti- snage i sredstva za obezbeđivanje nacionalne bezbednosti;

snage nacionalne bezbednosti- Oružane snage Ruske Federacije, druge trupe, vojne formacije i tijela u kojima savezno zakonodavstvo predviđa vojnu i (ili) službu za provođenje zakona, kao i tijela savezne vlade koja učestvuju u osiguravanju nacionalne sigurnosti države na osnovu zakonodavstva Ruske Federacije;

sredstva za obezbeđivanje nacionalne bezbednosti- tehnologije, kao i tehničke, softverske, lingvističke, pravne, organizacionim sredstvima, uključujući telekomunikacione kanale koji se koriste u sistemu nacionalne bezbednosti za prikupljanje, generisanje, obradu, prenos ili prijem informacija o stanju nacionalne bezbednosti i mere za njeno jačanje.

„Konceptualne odredbe u oblasti osiguranja nacionalne sigurnosti zasnovane su na temeljnom odnosu i međuzavisnosti Strategije nacionalne sigurnosti Ruske Federacije za period do 2020. godine i Koncepta dugoročnog društveno-ekonomskog razvoja Ruske Federacije za period do 2020." Važno je naglasiti da je Dokument posebno usmjeren na nacionalnu sigurnost, odnosno na sigurnost interesa države u cjelini. Istovremeno, zadatak osiguranja nacionalne sigurnosti prepoznat je kao složen zadatak za čije su rješavanje u Strategiji predstavljene sljedeće oblasti djelovanja:

  • Poboljšanje kvaliteta života građana Rusije;
  • Ekonomski rast;
  • Nauka, tehnologija i obrazovanje;
  • Zdravstvena njega;
  • Kultura;
  • Ekologija živih sistema i racionalno upravljanje prirodom.

Završni dio opisuje glavne karakteristike stanja nacionalne sigurnosti, i to:

  1. stopa nezaposlenosti (udio ekonomski aktivnog stanovništva);
  2. decilni koeficijent (odnos prihoda 10% najsiromašnijeg i 10% najsiromašnijeg stanovništva);
  3. nivo rasta potrošačkih cijena;
  4. nivo javnog spoljnog i unutrašnjeg duga kao procenat bruto domaćeg proizvoda;
  5. stepen obezbjeđenja sredstava za zdravstvo, kulturu, obrazovanje i nauku u procentima bruto domaćeg proizvoda;
  6. nivo godišnje obnove naoružanja, vojne i specijalne opreme;
  7. nivo obezbeđenja vojnog i inžinjerijskog osoblja.

Za poređenje: u Evropi je decilni koeficijent u rasponu od 6-8, u SAD-u - 10-12, u Rusiji, prema Ruska akademija nauke, 14-17. Ovaj parametar je najznačajniji u određivanju stanja nacionalne bezbjednosti i jedan od glavnih zadataka ovog trenutka je njegovo maksimalno smanjenje.

Generalno, Strategija nacionalne sigurnosti Ruske Federacije do 2020. godine postala je fundamentalno novi dokument, čija je glavna svrha planiranje razvoja sistema nacionalne sigurnosti, uključujući ciljeve, mjere i procedure za njegovo osiguranje. Strategija je postala svojevrsni odgovor na novonastalu međunarodnu situaciju i odražavala je stavove i planove ruskog rukovodstva u odnosu na vanjsku politiku.

Ako je Strategija usmerena na pitanja nacionalne bezbednosti, onda je osnovni konceptualni dokument u oblasti informacione bezbednosti Doktrina informacione sigurnosti, odobreno 9. septembra 2000. godine. Doktrina informacione sigurnosti Ruske Federacije odražava zvanične stavove o ciljevima, ciljevima, principima i glavnim pravcima osiguranja informacione sigurnosti Ruske Federacije. Doktrina služi kao osnova za:

  • formacija javna politika u oblasti informacione sigurnosti Ruske Federacije;
  • priprema predloga za unapređenje pravnog, metodološkog, naučno-tehničkog i organizaciona podrška informaciona sigurnost Ruske Federacije;
  • razvoj ciljanih programa za osiguranje informacione sigurnosti Ruske Federacije.

Doktrina identifikuje četiri komponente nacionalni interesi u oblasti informacionih odnosa:

  • Poštivanje ljudskih prava i sloboda u oblasti dobijanja i korišćenja informacija, obezbeđivanje duhovne obnove Rusije, očuvanje i jačanje moralnih vrednosti društva, tradicije patriotizma i humanizma, kulturnog i naučnog potencijala zemlje. ;
  • Informatička podrška unutrašnje i vanjske državne politike zemlje;
  • Razvoj informacione tehnologije prema vremenu;
  • Zaštita informacionih resursa od neovlašćenog pristupa, obezbeđivanje bezbednosti informacionih i telekomunikacionih sistema, kako već raspoređenih tako i stvorenih na teritoriji Rusije.

Daje se sljedeća definicija informacione sigurnosti – stanje zaštite njenih nacionalnih interesa u informatička sfera određena skupom uravnoteženih interesa pojedinca, društva i države.

Dakle, koncept informacione bezbednosti je ovde prošireniji od onog o kome smo govorili u prethodnom predavanju.

Prema Doktrini prijetnje sigurnosti informacija dijele se na sljedeće vrste:

  • prijetnje ustavnim pravima i slobodama čovjeka i građanina, individualne, grupne i javne svijesti, duhovni preporod Rusije. Primjer ove vrste prijetnje može biti nezakonito ograničavanje pristupa informacijama, namjerno dezinformacija ili prisluškivanje.
  • prijetnje informatička podrška državna politika Rusije. To uključuje prekid rada državnih medija, monopolizaciju tržište informacija Rusija.
  • prijetnje razvoju ruska industrija informacije. Zanimljivo je da je kupovina stranih informatizacijskih sredstava od strane javnih organa u Doktrini izjednačena sa prijetnjom, jer ometa domaći proizvođači razvijati. Odliv visokokvalifikovanih stručnjaka takođe spada u ovu vrstu pretnje.
  • sigurnosne prijetnje informacionih i telekomunikacionih sredstava i sistema, koji su već raspoređeni i stvoreni na teritoriji Rusije. Ova vrsta prijetnje je najbliža razumijevanju, jer njoj pripadaju prijetnje „klasičnih“ napada i udara. To uključuje nezakonito prikupljanje i obradu informacija, krađu, curenje putem tehničkih kanala i neovlašćeni pristup na informacije. Tokom kursa ćemo se detaljnije zadržati na ovoj vrsti prijetnji.

Unapređenje pravnih mehanizama za regulisanje javnih odnosa koji nastaju u informacionoj sferi je prioritetno područje državna politika u oblasti informacione bezbednosti Ruske Federacije. Pravna podrška informacionoj bezbednosti Ruske Federacije treba da se zasniva, pre svega, na poštivanju principa zakonitosti, ravnoteže interesa građana, društva i države u informacionoj sferi.

  • Poštivanje načela zakonitosti zahtijeva od saveznih organa državne vlasti i organa državne vlasti konstitutivnih entiteta Ruske Federacije da se pri rješavanju sukoba koji nastaju u informacionoj sferi striktno rukovode zakonodavnim i drugim normativnim pravnim aktima koji regulišu odnose u ovoj oblasti. području.
  • Poštivanje principa ravnoteže interesa građana, društva i države u informacionoj sferi pretpostavlja zakonsku konsolidaciju prioriteta ovih interesa u različitim oblastimaživot društva, kao i korištenje oblika javne kontrole nad aktivnostima saveznih organa državne vlasti i tijela državne vlasti konstitutivnih entiteta Ruske Federacije. Sprovođenje garancija ustavnih ljudskih i građanskih prava i sloboda u vezi sa aktivnostima u informacionoj sferi najvažniji je zadatak države u oblasti informacione bezbednosti.
  • Razvoj mehanizama za pravnu podršku informatičke sigurnosti Ruske Federacije uključuje mjere za informatizaciju pravnoj sferi općenito.

Važno je napomenuti da Doktrina nije normativno pravni dokument, odnosno nije obavezna za izvršenje ni od strane države ni njenih organa, ni građana ili organizacija. Doktrina je razvijena za određeno istorijskoj pozornici razvoja i implementira se u budućnosti u obliku zakona, propisa i praktičnih mjera, o čemu će biti riječi u nastavku.

2.2. Zakonski i drugi pravni akti iz oblasti tehničke zaštite informacija.

Normativni pravni akti o tehničkoj zaštiti informacija su savezni zakoni, uredbe i naredbe predsjednika Ruske Federacije, rezolucije Vlade Ruske Federacije. Normativni pravni akti su glavni izvor prava u državi. Pravna snaga regulatorni pravni akti je najbitniji znak njihove klasifikacije. To određuje njihovo mjesto i značaj u zajednički sistem državna regulatorna regulativa. Zakon je glavni normativni pravni akt. Za zakone na terenu tehnička zaštita informacije se mogu pripisati: poslovima licenciranja za tehničku zaštitu povjerljivih informacija "od 15.08.2006.

  • „O poslovima licenciranja za razvoj i (ili) proizvodnju sredstava za zaštitu povjerljivih informacija“ od 31.08.2006.

    • Organizacioni dokumenti su povelje, propisi, uputstva. Povelje i uputstva se izdaju na nivou organizacije i generalno nisu relevantne za vladina regulativa... U kontekstu ovog predavanja, ključni dokument ovog tipa je pozicija. Propis je objedinjeni dokument koji definiše postupak formiranja, strukturu, funkcije, nadležnost, nadležnosti i organizaciju rada sistema državnih organa. Propisom se mogu regulisati i djelatnosti zvaničnici... U oblasti tehničke zaštite informacija, glavne odredbe su:

    • Uredba o Federalna služba za tehničku i izvoznu kontrolu od 16.08.2004
    • Pravilnik o državnom licenciranju djelatnosti u oblasti zaštite informacija od 27.04.1994
    • Pravilnik o licenciranju djelatnosti tehničke zaštite povjerljivih informacija od 15.08.2006.
    • Pravilnik o certifikaciji sredstva za zaštitu informacija od 26.06.1995
    • Pravilnik o atestiranju objekata informatizacije u skladu sa zahtjevima informacione sigurnosti 25.11.1996.

    Postoji i grupa normativnih i metodoloških dokumenata o tehničkoj zaštiti informacija. Ova grupa uključuje dokumente sa uputstvima FSTEC Rusije, FSB Rusije i dr ovlaštena tijela... Aktuelna lista dokumenata iz oblasti tehničke zaštite informacija može se naći na web stranici FSTEC Rusije.

    Top srodni članci

    Odabir Linux distribucije: Preporuke za početnike Koja je verzija Linuxa najbolja
    Odabir Linux distribucije: Preporuke za početnike Koja je verzija Linuxa najbolja
    Kako pronaći datoteku na Windows računaru Konfiguriranje opcija pretraživanja u Windows 7
    Kako pronaći datoteku na Windows računaru Konfiguriranje opcija pretraživanja u Windows 7
    Kako kontrolisati računar bez miša?
    Kako kontrolisati računar bez miša?
    Kategorije:
    © 2021 bumotors.ru. Kako podesiti pametne telefone i računare. Informativni portal.