Cum se configurează smartphone-uri și PC-uri. Portal informativ
  • Acasă
  • Windows 7, XP
  • Cerințe pentru suportul tehnic al sistemelor de securitate a informațiilor. Termeni, definiții și abrevieri

Cerințe pentru suportul tehnic al sistemelor de securitate a informațiilor. Termeni, definiții și abrevieri

18.04.2019 Windows 7, XP

V caz general cerințele de protecție informatie clasificata similar cu cerințele de protecție informații confidențiale, cu toate acestea, există diferențe fundamentale. Deoarece informațiile clasificate au cel mai înalt rang, cerințele pentru acestea sunt cu un ordin de mărime mai mari. Prin urmare, din cauza asemănării cerințelor acestor două categorii de informații, reținem doar acele puncte care se referă direct la protecția informațiilor clasificate.

Subsistemul de control al accesului ar trebui:

Gestionați fluxurile de informații cu etichete de confidențialitate. În acest caz, nivelul de confidențialitate al unității nu trebuie să fie mai mic decât nivelul de confidențialitate al informațiilor înregistrate pe acesta;

Subsistemul de înregistrare și contabilitate ar trebui:

Înregistrați eliberarea documentelor tipărite (grafice) pentru o copie „tipărită”. Această acțiune trebuie să indice volumul real al documentului emis (număr de pagini, coli, copii) și rezultatul emiterii (reușită - întreg volumul, nereușită);

Înregistrați încercările de a accesa instrumentele software (programe, procese, sarcini, sarcini) la fișierele protejate. Parametrii de înregistrare indică:

2) tipul operației solicitate (citire, scriere, ștergere, executare, extindere etc.);

Înregistrați încercările de a accesa instrumentele software la următoarele obiecte suplimentare de acces protejate: terminale, calculatoare, noduri de rețea de calculatoare, linii de comunicație (canale), dispozitive externe Calculatoare, programe, volume, directoare, fișiere, înregistrări, câmpuri de înregistrări. Parametrii de înregistrare indică:

1) numele programului (proces, sarcină, sarcină) care accesează fișierele;

2) tipul operației solicitate (citire, scriere, montare, captare etc.);

Înregistrați modificări ale puterilor subiecților de acces, precum și ale statutului obiectelor de acces. Parametrii de înregistrare indică:

1) data și ora schimbării autorității;

2) identificatorul subiectului accesului (administratorul) care a efectuat modificările;

Efectuați contabilizarea automată a fișierelor protejate create folosind marcarea suplimentară a acestora utilizată în subsistemul de control acces. Marcajul trebuie să reflecte nivelul de confidențialitate al obiectului;

Păstrați evidența mijloacelor de informare protejate cu înregistrarea emiterii (primirii) acestora într-un jurnal special (fișier card);

Efectuați mai multe tipuri de medii protejate contabile (duplicate);

Semnal despre încercările de încălcare a protecției;

Subsistemul de asigurare a integrității ar trebui:

Efectuați protecția fizică a SVT (dispozitive și medii). În acest caz, ar trebui să se asigure prezența constantă a securității pe teritoriul clădirii și incintei în care se află CNE. Protecția trebuie efectuată cu ajutorul mijloace tehnice personal de securitate și special, precum și utilizarea unui control strict al accesului și a echipamentelor speciale în incinta CNE;

Asigurați prezența unui administrator sau a unui întreg serviciu de securitate a informațiilor responsabil cu menținerea, funcționarea normală și monitorizarea activității sistemului de securitate a informațiilor din sistemul neautorizat. Administratorul trebuie să aibă propriul terminal și fondurile necesare control operationalși impactul asupra siguranței centralei;

Efectuați testarea periodică a funcțiilor sistemului de securitate a informațiilor al NSD la schimbare mediu softwareși personalul CNE care utilizează software special cel puțin o dată pe an;

Utilizați numai echipament de protecție certificat. Certificarea acestora se realizează de către centre speciale de certificare sau întreprinderi specializate autorizate să efectueze certificarea mijloacelor de protecție a sistemelor de securitate a informațiilor DNS;

Să comparăm cele două grupuri de cerințe discutate mai sus și caracteristicile acestora pentru protejarea informațiilor de diferite categorii (confidențiale și secrete). Este clar că mecanismele cheie de protecție care formează grupul principal de mecanisme anti-manipulare („Subsistemul de control al accesului”) sunt:

Identificarea și autentificarea subiecților de acces la intrarea în sistem prin identificator (cod) și parolă condiționat permanent;

Controlul accesului subiecților la resursele protejate în conformitate cu matricea de acces.

Cerință suplimentară și diferenta fundamentala la securizarea informațiilor clasificate, mecanismul de securitate trebuie să controleze fluxul de informații prin intermediul etichetelor de confidențialitate. În acest caz, nivelul de confidențialitate al unității nu trebuie să fie mai mic decât nivelul de confidențialitate al informațiilor înregistrate pe acesta.

Toate aceste trei mecanisme sunt fundamentale. Ele sunt legate în felul următor: toate drepturile de acces la resurse (politica de delimitare a accesului la resurse) sunt stabilite pentru un anumit subiect de acces (utilizator). Prin urmare, subiectul accesului (utilizatorul) trebuie identificat la intrarea în sistem, respectiv autenticitatea acestuia trebuie controlată. Acest lucru se face de obicei prin utilizarea cuvant secret- parola.

INSTRUCȚIUNI GOST:
Cerințele pentru protecția informațiilor împotriva accesului neautorizat includ cerințele stabilite în NTD care operează în industria (departamentul) clientului.

CONȚINUT FORMAL:
IS trebuie să ofere protecție împotriva accesului neautorizat (NSD) la un nivel nu mai mic decât cel stabilit de cerințele pentru categoria 1D, conform clasificării actualului document de orientare al Comisiei Tehnice de Stat a Rusiei " Sisteme automatizate... Protecție împotriva accesului neautorizat la informații. Clasificarea sistemelor automatizate „1992
Componentele subsistemului anti-manipulare trebuie să asigure:
- identificarea utilizatorului;
- verificarea autoritatii utilizatorului atunci cand lucreaza cu sistemul;
- diferențierea accesului utilizatorilor la nivel de sarcini și matrice de informații.
Înregistrările de audit ale sistemului și aplicațiilor trebuie protejate împotriva accesului neautorizat atât local, cât și în arhivă.
Nivel de securitate împotriva accesului neautorizat la fonduri tehnologie de calcul prelucrarea informațiilor confidențiale trebuie să îndeplinească cerințele pentru clasa de securitate 6, în conformitate cu cerințele actualului document de orientare al Comisiei Tehnice de Stat a Rusiei „Facilități de calculatoare. Protecție împotriva accesului neautorizat la informații. Indicatori de securitate împotriva accesului neautorizat la informații”.
Partea protejată a sistemului trebuie să utilizeze parole „oarbe” (la tastarea unei parole, caracterele acesteia nu sunt afișate pe ecran sau sunt înlocuite cu un tip de caractere; numărul de caractere nu corespunde lungimii parolei).
Partea protejată a sistemului ar trebui să blocheze automat sesiunile utilizatorilor și aplicațiilor în avans timpi date inactivitate de la utilizatori și aplicații.
Partea protejată a sistemului ar trebui să împiedice lucrul cu informații necategorizate în sesiunea unui utilizator autorizat să acceseze informații confidențiale.
Partea protejată a sistemului trebuie să utilizeze un sistem de securitate cu mai multe straturi. Partea protejată a sistemului trebuie să fie separată de partea neprotejată a sistemului printr-un firewall.

Cerințe privind siguranța informațiilor în caz de accidente

INSTRUCȚIUNI GOST:
În cerințele privind siguranța informațiilor se dă o listă de evenimente: accidente, defecțiuni ale mijloacelor tehnice (inclusiv pierderea puterii) etc., în care trebuie asigurată siguranța informațiilor din sistem.

CONȚINUT FORMAL:
Software-ul AC Frames trebuie să-și recupereze funcționalitatea la o repornire grațioasă a hardware-ului. Ar trebui să fie posibilă organizarea automată și (sau) manuală Rezervă copie date de sistem prin intermediul software-ului de sistem și de bază (OS, DBMS), care face parte din complexul software și hardware al Clientului.
Cerințele de mai sus nu se aplică componentelor de sistem dezvoltate de terți și sunt valabile numai dacă sunt respectate regulile de utilizare a acestor componente, inclusiv instalarea la timp a actualizărilor recomandate de producătorii software-ului achiziționat.

Cerințe de protecție împotriva influențelor externe

O analiză a stării de fapt în domeniul protecției informațiilor arată că s-a dezvoltat deja un concept și o structură de protecție bine formate, a căror bază este:

1. Un arsenal foarte dezvoltat de mijloace tehnice de protecție a informațiilor, produs pe bază industrială.

2. Un număr semnificativ de firme specializate în abordarea problemelor de securitate a informațiilor.

3. Un sistem de opinii destul de bine definit asupra acestei probleme.

4.prezenţa unor semnificative experienta practica si altul.

Și totuși, așa cum arată presa internă și străină, acțiunile rău intenționate asupra informației nu numai că nu scad, ci au și o tendință ascendentă constantă.

Experiența arată că pentru a combate această tendință este necesară o organizare ordonată și intenționată a procesului de protecție. resurse informaționale.

În plus, următoarele ar trebui să participe activ la aceasta:

· Specialisti profesionisti;

· Administrare;

· angajați;

· Utilizatori.

Rezultă că:

1. Asigurarea securității informațiilor nu poate fi un act unic. Acesta este un proces continuu, care constă în fundamentarea și implementarea celor mai raționale metode, metode și modalități de îmbunătățire și dezvoltare a sistemului de protecție, monitorizare continuă starea ei, identificându-i îngustă și puncte slabeși acțiuni ilegale.

2. Securitatea informaţiei poate fi asigurată numai dacă utilizare integratăîntregul arsenal de echipamente de protecție disponibile în toate elementele structurale sistem de producereși în toate etapele ciclului tehnologic de prelucrare a informațiilor. Cel mai mare efect este obținut atunci când toate mijloacele, metodele și măsurile utilizate sunt combinate într-un singur mecanism holistic - sistem de securitate a informațiilor. În același timp, funcționarea sistemului ar trebui monitorizată, actualizată și completată în funcție de schimbările din condițiile externe și interne.

3. Niciun sistem de securitate a informațiilor nu poate oferi nivelul necesar de securitate a informațiilor fără o pregătire adecvată a utilizatorilor și fără respectarea tuturor regulilor stabilite care vizează protejarea acesteia.

Ținând cont de experiența acumulată, este posibil să se definească sistemul de protecție a informațiilor ca un set organizat de organisme speciale, mijloace, metode și măsuri care asigură protecție împotriva amenintari externe.

Astfel, prin sistemul de securitate înțelegem un ansamblu organizat de organe speciale, servicii, mijloace, metode și măsuri care asigură protecția intereselor vitale ale individului, întreprinderii și statului de amenințările interne și externe.

Ca orice sistem, sistemul securitatea informatiei are scopuri, obiective, metode și mijloace de activitate proprii, care sunt coordonate în loc și timp, în funcție de condiții.

Din punctul de vedere al unei abordări sistematice a protecției informațiilor, sunt impuse anumite cerințe. Protecția informațiilor ar trebui să fie:

1. Continuu. Această cerință provine din faptul că atacatorii caută doar o oportunitate de a ocoli protecția informațiilor de care sunt interesați.

2. Planificat. Planificarea se realizează prin elaborarea de planuri detaliate de către fiecare serviciu pentru protecția informațiilor din domeniul său de competență, ținând cont de scopul general al întreprinderii (organizației).

3. Concentrat. Protejat este ceea ce ar trebui protejat în interese scop specific, nu totul.

4. Rezonabil. Complexitatea sarcinilor de rezolvat, volumul mare de muncă, precum și resursele limitate fac necesară o fundamentare științifică profundă a deciziilor luate pentru protejarea informațiilor. La justificarea necesității de protecție, este necesar să se pornească de la politica externă, apărarea și interesele economice ale statului, punând în rezolvarea problemelor idei și realizări științifice și tehnice avansate.

5. Suficient.Înseamnă nevoia de a căuta măsuri de protecție fiabile, evitând costurile inutile. Este asigurată prin utilizarea celor mai avansate metode și mijloace de protecție. Promovează echilibrul intereselor statului și organizațiilor individuale (întreprinderi), cetățenilor.

6. Flexibil în management. Având în vedere numărul mare de obiecte și informații protejate, o posibilă schimbare bruscă a mediului de informații, condițiile de protecție și importanța informațiilor protejate, este necesară o structură flexibilă care să ofere capacitatea de a prezice amenințările și neutralizarea lor proactivă, promptă și eliminarea eficientă a consecințelor amenințării. Este asigurat în principal de un grad ridicat de automatizare a mijloacelor și sistemelor de protecție și prezența feedback-ului de mare viteză.

7. Specificul . Datele specifice sunt supuse protecției, obiectul obiectivului protecției, a căror pierdere poate cauza anumite daune organizației.

8. Activ . Este necesar să se protejeze informațiile cu un grad suficient de persistență

9. De încredere. Metodele și formele de protecție trebuie să acopere în mod fiabil modalități posibile accesul ilegal la secretele protejate, indiferent de forma de prezentare a acestora, limbajul de exprimare și tipul de suport fizic pe care sunt fixate.

10. în timp util. Promptitudinea dictează necesitatea dezvoltării măsurilor de protecție și control în avans, înainte de începerea lucrărilor secrete. Comportament intempestiv măsurile de protecție nu numai că îi pot reduce eficacitatea, ci pot duce și la rezultatul opus.

11. Universal. Se crede că în funcție de tipul canalului de scurgere sau de modalitatea de acces neautorizat, acesta trebuie blocat, oriunde apare, prin mijloace rezonabile și suficiente, indiferent de natura, forma și tipul informațiilor.

12. Integrat. Pentru a proteja informațiile în toată diversitatea ei elemente structurale toate tipurile și formele de protecție ar trebui aplicate în în întregime... Este inadmisibilă utilizarea numai a anumitor forme sau mijloace tehnice. Natura complexă a protecției provine din faptul că protecția este un fenomen specific, care este un sistem complex de procese indisolubil interconectate și interdependente, fiecare dintre ele, la rândul său, având multe laturi, proprietăți, tendințe care se condiționează reciproc.

Experiența străină și națională arată că, pentru a asigura îndeplinirea unor astfel de cerințe de securitate cu multiple fațete, sistemul de protecție a informațiilor trebuie să indeplinesc anumite conditii:

1. Acoperă întreg complexul tehnologic al activităților informaționale.

2. Să fie variat în ceea ce privește mijloacele utilizate, pe mai multe niveluri cu o secvență ierarhică de acces.

3. Fiți deschis la modificări și completări ale măsurilor de securitate a informațiilor.

4. Fii non-standard și variat. La alegerea mijloacelor de protecție nu se poate conta pe ignoranța intrușilor cu privire la capacitățile acestuia.

5. Fii simplu pentru întreținereși ușor de utilizat.

6. Fii de încredere. Orice defecțiuni ale mijloacelor tehnice sunt motivul apariției unor canale necontrolate de scurgere de informații.

7. A fi cuprinzător, a avea integritate, adică nicio parte nu poate fi îndepărtată fără a aduce atingere întregului sistem.

Anumite cerințe sunt impuse și sistemului de securitate a informațiilor. :

· Claritatea definirii puterilor si drepturilor utilizatorilor de a accesa anumite tipuri de informatii;

· Acordarea utilizatorului a autorităţii minime necesare pentru îndeplinirea lucrărilor atribuite;

· Minimizarea numărului de mijloace comune de protecție pentru mai mulți utilizatori;

· Înregistrarea cazurilor și încercărilor de acces neautorizat la informații confidențiale;

· Oferirea unei evaluări a gradului de confidențialitate a informațiilor;

· Asigurarea controlului asupra integrității echipamentelor de protecție și a răspunsului imediat la defecțiunea acestora.

Abordare istorică a clasificării informatii de stat(date) în funcție de nivelurile de cerințe pentru securitatea acesteia se bazează pe luarea în considerare și furnizarea unei singure proprietăți a informațiilor - confidențialitatea (secretul). Cerințele pentru asigurarea integrității și disponibilității informațiilor, de regulă, apar doar indirect printre cerințele generale pentru sistemele de prelucrare a acestor date. Se crede că, deoarece doar un cerc restrâns de persoane de încredere are acces la informații, probabilitatea denaturarii acesteia (distrugerea neautorizată) este neglijabilă. Nivel scăzutîncrederea în AS și preferința pentru tehnologia informației pe hârtie exacerbează și mai mult limitările acestei abordări.

Dacă o astfel de abordare este într-o oarecare măsură justificată din cauza priorității existente a proprietăților de securitate ale informațiilor importante de stat, atunci aceasta nu înseamnă deloc că transferul său mecanic într-un alt domeniu (cu alte subiecte și interesele acestora) va avea succes.

În multe domenii de activitate (domenii), ponderea informațiilor confidențiale este relativ mică. Pentru comercial și Informații personale, precum și pentru informațiile de stat care nu sunt supuse clasificării, prioritatea proprietăților de securitate a informațiilor poate fi diferită. Pentru informații deschise, a căror prejudiciu de la divulgare este nesemnificativă, cele mai importante calități pot fi accesibilitatea, integritatea sau protecția împotriva replicării ilegale. De exemplu, pentru documentele de plată (financiare), cea mai importantă este proprietatea integrității acestora (fiabilitatea, nedistorsionat). Apoi, în ordinea importanței, vine proprietatea disponibilității (pierderea unui document de plată sau întârzierea plăților poate fi foarte costisitoare). Este posibil să nu existe deloc cerințe pentru a asigura confidențialitatea documentelor individuale de plată.

Încercările de a aborda soluția problemelor de protecție a acestor informații din punctul de vedere al prevederii tradiționale a confidențialității nu fac decât să eșueze. Principalele motive pentru aceasta, în opinia noastră, sunt îngustimea abordării existente a protecției informațiilor, lipsa de experiență și elaborările adecvate în ceea ce privește asigurarea integrității și disponibilității informațiilor care nu sunt confidențiale.

Dezvoltarea unui sistem de clasificare a informațiilor în funcție de nivelurile de cerințe pentru securitatea acesteia presupune introducerea unui număr de grade (gradații) de cerințe care să asigure fiecare dintre proprietățile securității informațiilor: disponibilitate, integritate, confidențialitate și protecție împotriva replicării. Un exemplu de gradare a cerințelor de securitate:

· Fără cerințe;

· Scăzut;

· Mediu;

· Înalt;

· foarte inalt.

Numărul de gradații discrete și semnificația atașată acestora pot diferi. Principalul lucru este că cerințele de securitate proprietăți diverse informațiile au fost indicate separat și mai degrabă specific (pe baza gravității posibilelor daune aduse subiecților relațiilor informaționale din încălcarea fiecăreia dintre proprietățile securității informațiilor).

În viitor, orice document separat complet complet funcțional (un set de caractere) care conține anumite informații, indiferent de tipul de suport pe care se află, va fi numit pachet informativ.

Ne vom referi la un tip de pachete de informații ca pachete (documente standard) care sunt similare în unele caracteristici (structură, tehnologie de procesare, tip de informație etc.).

Provocarea este de a determina niveluri reale interesul (ridic, mediu, scăzut, absent) al subiecților în asigurarea cerințelor de securitate a fiecăreia dintre proprietăți tipuri diferite pachete de informații care circulă în UA.

Cerințele pentru sistemul de protecție a CNE în ansamblu (metode și mijloace de protecție) ar trebui determinate pe baza cerințelor de securitate pentru diferite tipuri de pachete de informații procesate în CNE și ținând cont de particularitățile tehnologiilor specifice pentru procesarea și transmiterea acestora. (vulnerabilitate).

Tipurile de pachete de informații cu priorități și niveluri egale de cerințe de securitate (gradul de importanță al asigurării proprietăților lor de securitate: disponibilitate, integritate și confidențialitate) sunt combinate într-o singură categorie.

Procedura propusă pentru determinarea cerințelor de securitate a informațiilor care circulă în sistem este prezentată mai jos:

1. Se întocmește o listă generală a tipurilor de pachete de informații care circulă în sistem (documente, tabele). Pentru a face acest lucru, ținând cont domeniul subiectului sistemele, pachetele de informații sunt împărțite în tipuri în funcție de subiectul lor, scopul funcțional, asemănarea tehnologiei de prelucrare etc. Recomandate.

2. În etapele ulterioare, împărțirea inițială a informațiilor (datelor) în tipuri de pachete poate fi rafinată ținând cont de cerințele pentru securitatea acestora.

Apoi, pentru fiecare tip de pachete evidențiat în primul paragraf și fiecare proprietate critică a informațiilor (disponibilitate, integritate, confidențialitate) sunt determinate (de exemplu, prin metoda judecății expertului):

Lista și importanța (semnificația pe o scară separată) a subiecților ale căror interese sunt afectate în caz de încălcare a acestei proprietati informație;

· Nivelul daunelor cauzate acestora (nesemnificative, mici, medii, mari, foarte mari etc.) si nivelul corespunzator al cerintelor de securitate.

La determinarea nivelului de daune cauzate, este necesar să se țină seama de:

· Costul eventualelor pierderi în obținerea de informații de către un concurent;

· Costul restabilirii informațiilor în cazul pierderii acesteia;

· Costuri de restabilire a funcționării normale a centralei nucleare etc.

Dacă apar dificultăți din cauza dispersării mari a estimărilor pentru părți diferite informații despre un tip de pachete, apoi împărțirea informațiilor în tipuri de pachete ar trebui reconsiderată, revenind la paragraful anterior tehnici.

3. Pentru fiecare tip de pachete informative, ținând cont de semnificația subiecților și de nivelurile de deteriorare cauzate acestora, se stabilește gradul de securitate necesar pentru fiecare dintre proprietățile informațiilor (dacă semnificația subiectelor este egală). , atunci valoare maximă nivel).

Un exemplu de evaluare a cerințelor de securitate pentru un anumit tip de pachete de informații este prezentat în Tabelul 1.

tabelul 1

Evaluarea cerințelor de securitate pentru pachetele de informații

Subiecte Nivelul de deteriorare prin proprietățile informațiilor
Confidențialitate Integritate Disponibilitate Protecție la replicare
N 1 Nu In medie In medie Nu
N 2 Înalt In medie In medie Nu
N 3 Scăzut Scăzut Scăzut Nu
În cele din urmă Înalt In medie In medie Nu

Un sistem de securitate a informațiilor, ca orice sistem, trebuie să aibă anumite tipuri prevedere proprie, bazându-se pe care își va îndeplini funcția țintă.

Având în vedere acest lucru, sistemul de protecție a informațiilor poate avea:

1. Suport juridic. Acestea includ reglementări, reglementări, instrucțiuni, linii directoare, ale căror cerințe sunt obligatorii în domeniul lor.

2. Suport organizațional. Înseamnă că implementarea securității informațiilor este realizată de anumite unități structurale, precum: serviciul de securitate a documentelor; serviciul regimului, admiterea, protectia; serviciu de securitate a informațiilor prin mijloace tehnice; activităţi de informare şi analitică şi altele.

3. Hardware. Se presupune că mijloacele tehnice vor fi utilizate pe scară largă atât pentru protejarea informațiilor, cât și pentru asigurarea funcționării sistemului de securitate a informațiilor în sine.

4. Suport informațional. Include informatii, date, indicatori, parametri care stau la baza solutionarii problemelor care asigura functionarea sistemului. Acesta poate include atât indicatori de acces, contabilitate, stocare, cât și sisteme de suport informațional pentru sarcini de calcul de altă natură legate de activitățile serviciului de securitate.

5. Software. Include diverse programe de informare, contabilitate, statistică și calcul care oferă o evaluare a prezenței și pericolului canale diferite scurgeri și căi de intrare neautorizată în surse de informații confidențiale.

6. Software de matematică. Presupune utilizare metode matematice pentru diverse calcule legate de evaluarea pericolului mijloacelor tehnice ale intrușilor, zone și standarde de protecție necesară.

7. Suport lingvistic. Un set de mijloace lingvistice speciale de comunicare între specialiști și utilizatori în domeniul securității informațiilor.

8. Suport normativ și metodologic. Acestea includ normele și reglementările activităților organelor, serviciilor, mijloacelor care implementează funcții de protecție a informațiilor, diverse tipuri de tehnici care asigură activitățile utilizatorilor atunci când își desfășoară activitatea în condiții. cerințe stricte protectia informatiilor.

Cerințe pentru sisteme moderne securitatea informațiilor se bazează pe materiale ale standardelor interne de securitate a informațiilor și documente de orientare (DR) pentru protecția tehnică a informațiilor ale Comisiei Tehnice de Stat (SCC) din Rusia.

Sistemul (subsistemul) de protecție a informațiilor prelucrate în sisteme automate de diferite niveluri și scopuri ar trebui să prevadă un complex de organizare, software, tehnic și, dacă este necesar, mijloace criptograficeși măsuri de protejare a informațiilor atunci când acestea prelucrare automată, stocare și transmitere prin canale de comunicare.

Principalele domenii de protecție a informațiilor sunt:

  • asigurarea protecției informațiilor împotriva furtului, pierderii, scurgerilor, distrugerii, denaturării și falsificării ca urmare acces neautorizat(NSD) și influențe speciale;
  • asigurarea protectiei informatiilor impotriva scurgerii de catre canale tehniceîn timpul procesării, stocării și transmiterii acestuia prin canale de comunicație.

Următoarele sunt recomandate ca măsuri principale de protecție a informațiilor:

  • documentarea listei de informații confidențiale, ținând cont de specificul departamental și de industrie a acestor informații;
  • implementarea unui sistem permisiv de acces al interpreților (utilizatori, personal de service) la informații și lucrări și documente legate de utilizarea acestuia;
  • restricţionarea accesului personalului şi străinii la sediul protejat și la incinta unde sunt amplasate mijloacele de informare și comunicare și sunt depozitate purtătorii de informații;
  • diferențierea accesului utilizatorilor și personalului de servicii la resursele informaționale, software-ul de prelucrare (transmitere) și protecția informațiilor;
  • înregistrarea acțiunilor utilizatorului sistem automatizat(AS) și personalul de service, controlul asupra serviciului neautorizat și a acțiunilor utilizatorilor, personalului de service și persoanelor neautorizate;
  • contabilitate şi depozitare sigură suporturi de date pe hârtie și mașini, chei (documentația cheii) și circulația acestora, excluzând furtul, înlocuirea și distrugerea acestora;
  • utilizare semne speciale de protecție(SPZ), creată pe baza tehnologiilor fizico-chimice pentru controlul accesului la obiectele de protecție și pentru protejarea documentelor împotriva falsului;
  • redundanță necesară mijloace tehnice și duplicare de matrice și purtători de informații;
  • utilizarea mijloacelor tehnice certificate produse în serie într-un proiect protejat pentru prelucrarea, transferul și stocarea informațiilor;
  • utilizarea mijloacelor tehnice care îndeplinesc cerinţele standardelor pentru compatibilitate electromagnetica;
  • utilizarea instrumentelor certificate de securitate a informațiilor;
  • amplasarea obiectelor de protecție la distanța maximă posibilă față de frontieră zona controlata (KZ);
  • plasarea dolarului posturi de transformare alimentarea cu energie și buclele de masă ale obiectelor de protecție din cadrul scurtcircuitului;
  • decuplarea circuitelor de alimentare a obiectelor de protectie cu ajutorul filtrelor de protectie care blocheaza (suprima) semnalul informativ;

Apendice. Cerințe pentru sistemele moderne de protecție 399

  • izolarea electromagnetică între liniile de comunicație și alte circuite mijloace si sisteme tehnice auxiliare(VTSS), trecând dincolo de scurtcircuit, și circuite informaționale prin care circulă informația protejată;
  • utilizarea canalelor de comunicare sigure și criptografice mijloace de protectie a informatiilor(SZI);
  • plasarea de afișaje și alte mijloace de afișare a informațiilor, cu excepția vizualizării neautorizate a informațiilor;
  • organizare protectie fizica incintelor si mijloacelor tehnice propriu-zise cu ajutorul fortelor de securitate si mijloace tehnice care impiedica sau impiedica semnificativ intrarea in incinta a persoanelor neautorizate, furtul documentelor si purtători de informații, mijloacele de informatizare propriu-zise, ​​excluzând prezența mijloacelor tehnice de recunoaștere sau spionaj industrial în interiorul zonei controlate;
  • Transformare criptografică a informațiilor procesate și transmise prin tehnologia informatică și comunicarea;
  • prevenirea introducerii de programe viruși și marcaje software în AS.

În scopul unei abordări diferențiate a protecției informațiilor prelucrate în UA la diferite niveluri și scopuri, se realizează clasificarea UA. Clasificarea NPP se realizează pe baza cerințelor Comitetului Vamal de Stat RD din Rusia „Sisteme automate. Protecție împotriva accesului neautorizat la informații. Clasificarea Sistemelor Automatizate și Cerințe pentru Protecția Informației”.

Cerințele specifice pentru protecția informațiilor și măsurile de implementare a acestora sunt determinate în funcție de clasa de securitate stabilită pentru UA. Clasele de securitate recomandate ale AU, SPZ, mijloacele de securitate a informațiilor prin nivelul de control al absenței capacităților nedeclarate, precum și indicatorii prin clasele de securitate ale SVT și ME de la NSD la informații sunt date în tabel.

Persoanele admise la prelucrarea automată a informațiilor confidențiale sunt responsabile de respectarea procedurii stabilite în instituție (la întreprindere) pentru a asigura protecția acestor informații.

Clasele de securitate de la manipularea informațiilor

Guvernarea

document

Cursuri de securitate

Automatizat

grupa 1

Facilităţi

tehnica de calcul

a 3-a grupă

Firewall-uri

Special

semne de protecție

Oportunități nedeclarate

Cerințele specifice pentru sistemele moderne de securitate a informațiilor sunt prezentate în următoarele documente de orientare ale Comisiei Tehnice de Stat a Rusiei și standardele de stat RF:

  • 1. Sisteme automate. Protecție împotriva falsificării informațiilor. Clasificarea UA și cerințele pentru protecția informațiilor. RD Comitetul de Stat Vamal al Rusiei. M., 1992.
  • 2. Facilități informatice. Protecție împotriva falsificării informațiilor. Indicatori de securitate de la NSD la informații. RD Comitetul de Stat Vamal al Rusiei. M., 1992.
  • 3. Facilități informatice. PE MINE. Protecție împotriva falsificării informațiilor. Indicatori de securitate de la NSD la informații. RD Comitetul de Stat Vamal al Rusiei. M., 1997.
  • 4. Protecția informațiilor. Semne speciale de protecție. Clasificare și Cerințe generale... RD Comitetul de Stat Vamal al Rusiei. M., 1992.
  • 5. Protecție împotriva falsificării informațiilor. Partea 1. Software pentru securitatea informațiilor. Clasificarea în funcție de nivelul de control al absenței oportunităților nedeclarate. RD Comitetul de Stat Vamal al Rusiei. M., 1999.
  • 6. Cerințe și recomandări speciale pentru protecția tehnică a informațiilor confidențiale (STR-K). RD Comitetul de Stat Vamal al Rusiei. M., 2001.
  • 7. GOST R 50739-95. Dotări informatice. Protecție împotriva accesului neautorizat la informații. Cerințe tehnice generale.
  • 8.GOST R 51583-2000. Protejarea datelor. Procedura de creare a sistemelor într-un design protejat.

Baza suport juridic securitatea informațiilor din Rusia, pe lângă actele juridice de reglementare, sunt documente conceptuale. Ele sunt adoptate la nivelul președintelui Federației Ruse, al Guvernului Federației Ruse și al altor organisme guvernamentale. În special, astfel de documente sunt Doctrina securității informaționale a Federației Ruse și Strategia de securitate națională a Federației Ruse până în 2020.

Concept (din lat.conception)- planul general, care determină strategia de acţiune. Conceptul de securitate a informațiilor este un sistem de opinii cu privire la esența, scopurile, principiile și organizarea securității informațiilor.

Conceptul de securitate a informațiilor presupune:

  1. Definirea conceptului, esenței și obiectivelor protecției informațiilor.
  2. Ce informații trebuie protejate, care sunt criteriile de clasificare ca fiind protejate.
  3. Diferențierea informațiilor protejate: a) după grade de confidențialitate, b) după proprietari și proprietari.
  4. Determinarea componenței și clasificării mijloacelor de informare protejate.
  5. Determinarea surselor, tipurilor și metodelor de influență destabilizatoare asupra informației, motive, circumstanțe și condiții de influență, canale, metode și mijloace de acces neautorizat la informații.
  6. Definiţia metodelor şi mijloace de protectie a informatiilor.
  7. Personal pentru securitatea informațiilor.

Adică, documentele de concept definesc atitudine generalăși politica statului într-un anumit domeniu, precum și să servească drept bază pentru crearea documentelor de reglementare și juridice.

Strategia de securitate națională până în 2020 a fost aprobată de președintele D. Medvedev la 12 mai 2009. Strategia este „un sistem recunoscut oficial de priorități naționale strategice, obiective și măsuri în domeniul politicii interne și externe care determină starea securității naționale și nivelul de dezvoltare durabilă a statului pe termen lung”.

Documentul conține 6 secțiuni:

  1. Dispoziții generale
  2. Lumea modernă și Rusia: tendințe de stat și dezvoltare
  3. Interese naționale Federația Rusăși priorități naționale strategice
  4. Asigurarea securității naționale
  5. Organizațional, de reglementare, juridic și baze de informare implementarea acestei Strategii
  6. Principalele caracteristici ale stării de securitate națională în componența a 112 puncte separate

Prevederile generale oferă o listă de concepte de bază în domeniul securității naționale:

securitate naționala- starea de protecție a individului, a societății și a statului împotriva amenințărilor interne și externe, care face posibilă asigurarea drepturilor constituționale, libertăților, a unei calități și a unui nivel de trai decent al cetățenilor, a suveranității, a integrității teritoriale și a dezvoltării durabile a Rusiei; Federația, apărarea și securitatea statului;

interesele naționale ale Federației Ruse- un ansamblu de nevoi interne si externe ale statului in asigurarea securitatii si dezvoltarii durabile a individului, societatii si statului;

amenințare la adresa securității naționale- posibilitatea directă sau indirectă de a aduce prejudicii drepturilor constituționale, libertăților, calității decente și standardului de viață al cetățenilor, suveranității și integrității teritoriale, dezvoltării durabile a Federației Ruse, apărării și securității statului;

priorități naționale strategice- cele mai importante domenii de asigurare a securității naționale, conform cărora sunt implementate drepturile și libertățile constituționale ale cetățenilor Federației Ruse, se realizează dezvoltarea social-economică durabilă și protecția suveranității, independenței și integrității teritoriale a țării;

sistemul de securitate națională- forţe şi mijloace de asigurare a securităţii naţionale;

forțele naționale de securitate- Forțele armate ale Federației Ruse, alte trupe, formațiuni militare și organisme în care legislația federală prevede un serviciu militar și (sau) de aplicare a legii, precum și organismele guvernamentale federale care participă la asigurarea securității naționale a statului pe baza a legislației Federației Ruse;

mijloace de asigurare a securității naționale- tehnologii, precum și cele tehnice, software, lingvistice, juridice, mijloace organizatorice, inclusiv canalele de telecomunicații utilizate în sistemul de securitate națională pentru colectarea, generarea, prelucrarea, transmiterea sau primirea de informații privind starea securității naționale și măsuri de consolidare a acesteia.

„Dispozițiile conceptuale în domeniul asigurării securității naționale se bazează pe relația fundamentală și interdependența Strategiei de securitate națională a Federației Ruse pentru perioada până în 2020 și a Conceptului de dezvoltare socio-economică pe termen lung a Federației Ruse pentru perioada până în 2020.” Este important de subliniat că Documentul se concentrează în mod special pe securitatea națională, adică pe securitatea intereselor statului în ansamblu. În același timp, sarcina asigurării securității naționale este recunoscută ca o sarcină complexă, pentru soluționarea căreia sunt prezentate în Strategie următoarele domenii de activitate:

  • Îmbunătățirea calității vieții cetățenilor ruși;
  • Creșterea economică;
  • Știință, tehnologie și educație;
  • Sănătate;
  • Cultură;
  • Ecologia sistemelor vii și managementul rațional al naturii.

Partea finală descrie principalele caracteristici ale stării de securitate națională și anume:

  1. rata șomajului (ponderea populației active economic);
  2. coeficientul decilului (raportul veniturilor a 10% dintre cei mai mulți și 10% din populația cea mai săracă);
  3. nivelul de creștere a prețurilor de consum;
  4. nivelul datoriei publice externe și interne ca procent din produsul intern brut;
  5. nivelul de asigurare a resurselor pentru sănătate, cultură, educație și știință ca procent din produsul intern brut;
  6. nivelul de reînnoire anuală a armelor, echipamentelor militare și speciale;
  7. nivelul de asigurare a personalului militar și ingineresc.

Pentru comparație: în Europa, coeficientul decilului este în intervalul 6-8, în SUA - 10-12, în Rusia, conform Academia RusăȘtiințe, 14-17. Acest parametru este cel mai semnificativ în determinarea stării securității naționale și una dintre sarcinile principale la acest moment este reducerea sa maximă.

În general, Strategia Națională de Securitate a Federației Ruse până în 2020 a devenit un document fundamental nou, al cărui scop principal este planificarea dezvoltării sistemului de securitate națională, inclusiv a obiectivelor, măsurilor și procedurilor pentru asigurarea acestuia. Strategia a devenit un fel de răspuns la noua situație internațională și a reflectat punctele de vedere și planurile conducerii ruse în legătură cu politica externă.

Dacă Strategia se concentrează pe probleme de securitate națională, atunci documentul conceptual fundamental în domeniul securității informațiilor este Doctrina securității informațiilor, aprobat la 9 septembrie 2000. Doctrina securității informaționale a Federației Ruse reflectă opiniile oficiale cu privire la scopurile, obiectivele, principiile și direcțiile principale de asigurare a securității informaționale a Federației Ruse. Doctrina servește drept bază pentru:

  • formatia politici publiceîn domeniul securității informațiilor din Federația Rusă;
  • pregătirea de propuneri de perfecţionare a planului juridic, metodologic, ştiinţific şi tehnic şi suport organizatoric securitatea informațiilor din Federația Rusă;
  • dezvoltarea de programe țintite pentru asigurarea securității informaționale a Federației Ruse.

Doctrina identifică patru componente interesele naționaleîn domeniul relaţiilor informaţionale:

  • Respectarea drepturilor și libertăților omului în domeniul obținerii și utilizării informațiilor, asigurând reînnoirea spirituală a Rusiei, păstrarea și întărirea valorilor morale ale societății, a tradițiilor de patriotism și umanism, a potențialului cultural și științific al țării. ;
  • Suport informațional al politicii interne și externe de stat a țării;
  • Dezvoltare tehnologia Informatiei conform timpului;
  • Protecția resurselor informaționale împotriva accesului neautorizat, asigurând securitatea sistemelor informatice și de telecomunicații, ambele deja implementate și create pe teritoriul Rusiei.

Este dată următoarea definiție a securității informațiilor - starea de protecție a intereselor sale naționale în sfera informațională determinate de un ansamblu de interese echilibrate ale individului, societății și statului.

Astfel, aici conceptul de securitate a informațiilor este mai extins decât cel discutat de noi în prelegerea anterioară.

Conform Doctrinei amenintari la securitatea informatiei sunt împărțite în următoarele tipuri:

  • amenințări la adresa drepturilor și libertăților constituționale ale omului și ale cetățeanului, ale conștiinței individuale, de grup și publice, renașterea spirituală a Rusiei. Un exemplu de acest tip de amenințare poate fi restricția ilegală a accesului la informații, dezinformarea deliberată sau interceptarea telefoanelor.
  • amenințări suport informativ politica de stat a Rusiei. Aceasta include perturbarea presei de stat, monopolizarea piata informatiilor Rusia.
  • amenințări la adresa dezvoltării industria rusă informație. Interesant este că achiziționarea de către autoritățile publice a mijloacelor străine de informatizare este echivalată în Doctrină cu o amenințare, întrucât interferează producătorii interni dezvolta. Ieșirea de specialiști de înaltă calificare aparține și el acestui tip de amenințare.
  • amenintari de securitate mijloace și sisteme de informare și telecomunicații, ambele deja desfășurate și create pe teritoriul Rusiei. Acest tip de amenințare este cel mai aproape de înțelegere, deoarece acestuia îi aparțin amenințările atacurilor și impacturilor „clasice”. Aceasta include colectarea și prelucrarea ilegală a informațiilor, furtul, scurgerea prin canale tehnice și acces neautorizat la informare. Pe parcursul cursului, ne vom opri mai detaliat asupra acestui tip de amenințare.

Îmbunătățirea mecanismelor juridice de reglementare a relațiilor publice apărute în sfera informațională este domeniu prioritar politica de stat în domeniul securității informațiilor a Federației Ruse. Sprijinul juridic al securității informaționale a Federației Ruse ar trebui să se bazeze, în primul rând, pe respectarea principiilor legalității, echilibrului intereselor cetățenilor, societății și statului în sfera informațională.

  • Respectarea principiului legalității necesită ca organele federale ale puterii de stat și organele puterii de stat ale entităților constitutive ale Federației Ruse, la soluționarea conflictelor apărute în sfera informațională, să fie strict ghidate de actele legislative și alte acte normative juridice care reglementează relațiile în acest domeniu. zonă.
  • Respectarea principiului echilibrului intereselor cetăţenilor, societăţii şi statului în sfera informaţională presupune consolidarea legislativă a priorităţii acestor interese în zone diferite viața societății, precum și utilizarea formelor de control public asupra activităților organelor federale ale puterii de stat și ale organelor puterii de stat ale entităților constitutive ale Federației Ruse. Punerea în aplicare a garanțiilor drepturilor și libertăților constituționale ale omului și cetățenilor aferente activităților din sfera informațională este cea mai importantă sarcină a statului în domeniul securității informațiilor.
  • Dezvoltarea mecanismelor de susținere juridică a securității informațiilor din Federația Rusă include măsuri de informatizare sfera juridicăîn general.

Este important de menționat că Doctrina nu este un document juridic normativ, adică nu este obligatoriu pentru executare nici de către stat, nici de autoritățile sale, nici de cetățeni sau organizații. Doctrina este dezvoltată pentru un anume etapa istorica dezvoltare și se implementează în viitor sub formă de legi, reglementări și măsuri practice, care vor fi discutate mai jos.

2.2. Acte legislative și alte acte juridice în domeniul protecției tehnice a informațiilor.

Actele juridice normative privind protecția tehnică a informațiilor sunt legi federale, decrete și ordine ale președintelui Federației Ruse, rezoluții ale Guvernului Federației Ruse. Actele juridice normative sunt principala sursă de drept în stat. Forța juridică actele juridice de reglementare este semnul cel mai esenţial al încadrării lor. Ea determină locul și semnificația lor în sistem comun reglementare de stat. Legea este principalul act juridic normativ. La legile din domeniu protectie tehnica informațiile pot fi atribuite: activități de licențiere pentru protecția tehnică a informațiilor confidențiale „din 15.08.2006

  • „Cu privire la activitățile de licențiere pentru dezvoltarea și (sau) producerea de mijloace de protecție a informațiilor confidențiale” din 31.08.2006

    • Documentele organizatorice sunt carte, regulamente, instrucțiuni. Cartele și instrucțiunile sunt emise la nivel organizațional și, în general, nu sunt relevante pentru reglementare guvernamentală... În contextul acestei prelegeri, documentul cheie de acest tip este pozitia. Un regulament este un document consolidat care definește procedura de formare, structura, funcțiile, competența, responsabilitățile și organizarea activității sistemului organelor de stat. Regulamentul poate reglementa și activitățile oficiali... În domeniul protecției tehnice a informațiilor, principalele prevederi sunt:

    • Regulamentul privind Serviciul Federal pentru control tehnic si export din 16.08.2004
    • Reglementări privind autorizarea de stat a activităților în domeniul protecției informațiilor din 27.04.1994
    • Reglementări privind activitățile de licențiere pentru protecția tehnică a informațiilor confidențiale din 15.08.2006
    • Regulamentul privind certificarea mijloace de protectie a informatiilor din 26.06.1995
    • Reglementări privind atestarea obiectelor de informatizare în conformitate cu cerințele de securitate a informațiilor 25/11/1996 etc.

    Există, de asemenea, un grup de documente normative și metodologice privind protecția tehnică a informațiilor. Acest grup include documente de orientare FSTEC din Rusia, FSB al Rusiei și alții organisme autorizate... Lista actuală a documentelor din domeniul protecției tehnice a informațiilor poate fi găsită pe site-ul web al FSTEC din Rusia.

    Top articole similare

    Mișcare diferită a mouse-ului pe verticală și pe orizontală
    Mișcare diferită a mouse-ului pe verticală și pe orizontală
    Cum să comprimați texturile în Fallout 4
    Cum să comprimați texturile în Fallout 4
    Rămâne doar să înțelegem nivelul cerut
    Rămâne doar să înțelegem nivelul cerut
    Categorii:
    © 2021 bumotors.ru. Cum se configurează smartphone-uri și PC-uri. Portal informativ.