|
Расширенный поиск
Приказ Федерального агентства по рыболовству от 06.03.2013 № 154В помещениях во время обработки и отображения на ПЭВМ информации ограниченного распространения должен присутствовать только персонал, допущенный к работе с данной информацией. Запрещается прием посетителей в помещениях, когда осуществляется обработка защищаемой информации. По окончании рабочего дня помещения с установленными защищенными АРМ должны сдаваться под охрану с включением сигнализации и с отметкой в книге приема и сдачи служебных помещений. Для хранения служебных документов и носителей с защищаемой информацией помещения снабжаются сейфами и металлическими шкафами. Помещения должны быть обеспечены средствами уничтожения документов. В случае применения для обработки информации СВТ, пропускной и внутриобъектовый режим объекта СВТ должен удовлетворять требованиям, предъявляемым к режимным объектам. Регламентация допуска сотрудников к использованию ресурсов ИИВС Росрыболовства В рамках разрешительной системы допуска устанавливается: кто, кому, какую информацию и для какого вида доступа может предоставить и при каких условиях; система разграничения доступа, которая предполагает определение для всех пользователей автоматизированной информационной системы информационных и программных ресурсов, доступных им для конкретных операций (чтение, запись, модификация, удаление, выполнение) с помощью заданных программно-технических средств доступа. Допуск сотрудников подразделений Росрыболовства к работе с автоматизированной системой и доступ к ее ресурсам должен быть строго регламентирован. Любые изменения состава и полномочий пользователей подсистем ИИВС Росрыболовства должны производиться установленным порядком согласно "Инструкции по внесению изменений в списки пользователей ИИВС и наделению их полномочиями доступа к ресурсам системы". Основными пользователями информации в ИИВС Росрыболовства являются сотрудники структурных подразделений Росрыболовства. Уровень полномочий каждого пользователя определяется индивидуально с соблюдением следующих требований: - открытая, конфиденциальная информация размещаются по возможности на различных серверах (это упрощает обеспечение защиты); - каждый сотрудник пользуется только предписанными ему правами по отношению к информации, с которой ему необходимо работать в соответствии с должностными обязанностями; - начальник имеет права на просмотр информации своих подчиненных только в установленных пределах в соответствии со своими должностными обязанностями; - наиболее ответственные технологические операции должны производиться по правилу "в две руки" - правильность введенной информации подтверждается другим должностным лицом, не имеющим права ввода информации. Все сотрудники Росрыболовства, допущенные к работе (пользователи) и обслуживающий персонал ИИВС Росрыболовства, должны нести персональную ответственность за нарушения установленного порядка автоматизированной обработки информации, правил хранения, использования и передачи находящихся в их распоряжении защищаемых ресурсов системы. Каждый сотрудник (при приеме на работу) должен подписывать Соглашение-обязательство о соблюдении и ответственности за нарушение установленных требований по сохранению служебной тайны, если такая работа предусматривается, а также правила работы с защищаемой информацией в ИИВС Росрыболовства. Обработка защищаемой информации в подсистемах ИИВС Росрыболовства должна производиться в соответствии с утвержденными технологическими инструкциями (техническими порядками) для данных подсистем. Для пользователей защищенных АРМ (то есть АРМ, на которых обрабатывается защищаемая информация или решаются подлежащие защите задачи и на которых установлены соответствующие средства защиты) должны быть разработаны необходимые технологические инструкции, включающие требования по обеспечению ИБ в Росрыболовстве. Регламентация процессов ведения баз данных и осуществления модификации информационных ресурсов Все операции по ведению БД Росрыболовства и допуск сотрудников структурных подразделений (а также сотрудников сторонних организаций, например компаний - интеграторов) к работе с этими базами данных должны быть строго регламентированы (должны производиться в соответствии с утвержденными технологическими инструкциями). Любые изменения состава и полномочий пользователей БД ИИВС Росрыболовства должны производиться установленным порядком. Распределение имен, генерация паролей, сопровождение правил разграничения доступа к базам данных возлагается на специальных пользователей - администраторов конкретных БД и системных администраторов. При этом могут использоваться как только штатные, так и дополнительные средства защиты СУБД и операционных систем (ОС). Регламентация процессов обслуживания и осуществления модификации аппаратных и программных ресурсов ИИВС Росрыболовства Все аппаратные и программные ресурсы ИИВС Росрыболовства должны быть установленным порядком категорированы (для каждого ресурса должен быть определен требуемый уровень защищенности). Подлежащие защите ресурсы системы (задачи, программы, АРМ) подлежат строгому учету (на основе использования соответствующих формуляров или специализированных баз данных). Аппаратно-программная конфигурация автоматизированных рабочих мест, на которых обрабатывается защищаемая информация (с которых возможен доступ к защищаемым ресурсам), должна соответствовать кругу возложенных на пользователей данного АРМ функциональных обязанностей. Все неиспользуемые в работе (лишние) устройства ввода-вывода информации (COM, LPT порты, дисководы НГМД, CD, USB и другие носители информации) на таких АРМ должны быть отключены (удалены), не нужные для работы программные средства и данные с дисков АРМ также должны быть удалены или запрещены к использованию. Для упрощения сопровождения, обслуживания и организации защиты АРМ должны оснащаться программными средствами и конфигурироваться унифицировано (в соответствии с установленными правилами). Ввод в эксплуатацию новых АРМ и все изменения в конфигурации технических и программных средств существующих АРМ в ИИВС Росрыболовства должны осуществляться только установленным порядком. Все программное обеспечение (разработанное специалистами отделов программирования компаний интеграторов Росрыболовства, полученное централизованно или приобретенной у фирм-производителей) должно установленным порядком проходить испытания и передаваться в отдел ИТ Административного управления Росрыболовства. В подсистемах ИИВС Росрыболовства должны устанавливаться и использоваться только полученные установленным порядком из отдела ИТ программные средства. Использование в ИИВС Росрыболовства ПО, не учтенного (и не проанализированного на пригодность к рабочему процессу Росрыболовства) в отделе ИТ Административного управления Росрыболовства - должно быть запрещено. Разработка ПО задач (комплексов задач), проведение испытаний разработанного и приобретенного ПО, передача ПО в эксплуатацию должна осуществляться в соответствии с установленным порядком разработки, проведения испытаний и передачи задач (комплексов задач) в эксплуатацию. Обеспечение и контроль физической целостности (неизменности конфигурации) аппаратных ресурсов ИИВС Росрыболовства На всех АРМ, подлежащих защите, должны быть установлены необходимые технические средства защиты (соответствующие категории данных АРМ). Узлы и блоки оборудования СВТ ИИВС, к которым доступ обслуживающего персонала в процессе эксплуатации не требуется, после наладочных, ремонтных и иных работ, связанных с доступом к их монтажным схемам должны закрываться и опечатываться (пломбироваться) сотрудниками службы технического контроля Росрыболовства. О вскрытии (опечатывании) блоков ПЭВМ делается запись в "Журнале учета нештатных ситуаций, фактов вскрытия и опечатывания блоков ПЭВМ, выполнения профилактических работ, установки и модификации аппаратных и программных средств АРМ подразделения". Повседневный и периодический контроль за целостностью и соответствием печатей (пломб) на системных блоках ПЭВМ должен осуществляться пользователями АРМ и администраторами ИБ (ответственными за ИБ подразделений Росрыболовства). Кадровая работа (подбор и подготовка персонала, обучение пользователей) До начала этапа эксплуатации автоматизированной системы ее пользователи, а также необходимый руководящий и обслуживающий персонал должны быть ознакомлены с перечнем сведений, подлежащих засекречиванию и защите, в части их касающейся, и своим уровнем полномочий, а также организационно-распорядительной, нормативной, технической и эксплуатационной документацией, определяющей требования и порядок обработки информации ограниченного распространения. ЗИ по всем перечисленным направлениям возможна только после выработки у пользователей определенной дисциплины, т.е. норм, обязательных для исполнения всеми, кто работает с ИИВС Росрыболовства. К таким нормам можно отнести запрещение любых умышленных или неумышленных действий, которые нарушают нормальную работу ИИВС Росрыболовства, вызывают дополнительные затраты ресурсов, нарушают целостность хранимой и обрабатываемой информации, нарушают интересы законных пользователей. Все сотрудники Росрыболовства, использующие при работе конкретные подсистемы ИИВС, должны быть ознакомлены с организационно-распорядительными документами по защите ИИВС Росрыболовства в части, их касающейся, должны знать и неукоснительно выполнять технологические инструкции и общие обязанности по обеспечению безопасности информации при использовании ИИВС Росрыболовства. Доведение требований указанных документов до лиц, допущенных к обработке защищаемой информации, должно осуществляться начальниками подразделений под роспись. Подразделения технической защиты информации (или ответственные сотрудники за информационную безопасность) Для непосредственной организации (построения) и эффективного функционирования системы ЗИ в Росрыболовстве должна быть создана специальная служба технической ЗИ или назначены ответственные лица из состава отдела ИТ Административного управления Росрыболовства. Служба (или ответственные лица) технической ЗИ должна представлять собой систему штатных или нештатных подразделений, ответственных сотрудников, предназначенных для организации квалифицированной разработки (совершенствования) системы ЗИ и организационного (административного) обеспечения ее функционирования во всех подразделениях Росрыболовства. На эти подразделения (или ответственных сотрудников за ИБ) целесообразно возложить решение следующих основных задач: - проведение в жизнь политики обеспечения ИБ, определение требований к системе ЗИ; - организация мероприятий и координация работ всех подразделений Росрыболовства по комплексной ЗИ; - контроль и оценка эффективности принятых мер и применяемых средств ЗИ. Основные функции подразделения ИБ (или сотрудников, ответственных за ИБ) заключаются в следующем: - формирование требований к системе защиты в процессе создания (развития) ИИВС Росрыболовства; - участие в проектировании системы защиты, ее испытаниях и приемке в эксплуатацию; - планирование, организация и обеспечение функционирования системы ЗИ в процессе функционирования ИИВС Росрыболовства; - распределение между пользователями необходимых реквизитов защиты; - наблюдение за функционированием системы защиты и ее элементов; - организация проверок надежности функционирования системы защиты; - обучение пользователей и персонала ИИВС Росрыболовства правилам безопасной обработки информации; - регламентация действий и контроль за администраторами БД, серверов и сетевых устройств (за сотрудниками, обеспечивающими правильность применения имеющихся в составе ОС, СУБД и т.п. средств разграничения доступа и других средств ЗИ); - взаимодействие с ответственными за ИБ в подразделениях Росрыболовства; - контроль за соблюдением пользователями и персоналом ИИВС установленных правил обращения с защищаемой информацией в процессе ее автоматизированной обработки; - принятие мер при попытках НСД к информации и при нарушениях правил функционирования системы защиты. Организационно-правовой статус подразделения ИБ или ответственных сотрудников за ИБ определяется следующим образом: - численность ответственных сотрудников за ИБ должно быть достаточной для выполнения всех перечисленных выше функций; - подразделение ИБ (или ответственные сотрудники за ИБ) должна подчиняться лицу, которое несет персональную ответственность за соблюдение правил обращения с защищаемой информацией; - персонал (или ответственные сотрудники за ИБ) службы защиты не должен иметь других обязанностей, связанных с функционированием ИИВС Росрыболовства (или такие обязанности должны быть сведены к минимуму); - ответственные сотрудники за ИБ должны иметь право доступа во все помещения, где установлена аппаратура ИИВС Росрыболовства и право прекращать автоматизированную обработку информации при наличии непосредственной угрозы для защищаемой информации; - руководителю подразделения ИБ (или ответственному сотруднику за ИБ) должно быть предоставлено право запрещать включение в число действующих новые элементы ИИВС Росрыболовства, если они не отвечают требованиям ЗИ и это может привести к серьезным последствиям в случае реализации значимых угроз ИБ; - подразделение ИБ (или ответственный сотрудник за ИБ) должны обеспечиваться всеми условиями, необходимыми для выполнения своих функций. Для решения задач, возложенных на подразделение ИБ, его сотрудники должны иметь следующие права: - определять необходимость и разрабатывать правовые документы, касающиеся вопросов обеспечения ИБ, включая документы, регламентирующие деятельность сотрудников структурных подразделений Росрыболовства, его территориальных органов и подведомственных организаций; - получать информацию от сотрудников структурных подразделений Росрыболовства, его территориальных органов и подведомственных организаций по вопросам применения информационных технологий и эксплуатации ИИВС; - участвовать в проработке технических решений по вопросам обеспечения ИБ при проектировании и разработке комплексов задач; - участвовать в испытаниях разработанных комплексов задач по вопросам оценки качества реализации требований по обеспечению ИБ; - контролировать деятельность сотрудников подразделений Росрыболовства, его территориальных органов и подведомственных организаций по вопросам обеспечения ИБ. В состав подразделения ИБ (или уполномоченных сотрудников по ИБ) ЗИ должны входить следующие специалисты: - ответственные за администрирование средств защиты от НСД (выбор, установка, настройка, снятие средств защиты, просмотр журналов регистрации событий, оперативный контроль за работой пользователей и реагирование на события НСД и т.п.); - ответственные за администрирование криптографических средств защиты (установка, настройка, снятие СКЗИ, генерация и распределение ключей и т.д.); - ответственные за решение вопросов ЗИ в разрабатываемых программистами и внедряемых прикладных программах (участие в разработке технических заданий по вопросам ЗИ, выбор средств и методов защиты, участие в испытаниях новых прикладных программ с целью проверки выполнения требований по ЗИ и т.д.); - специалисты по защите от утечки информации по техническим каналам. Ответственность за нарушения установленного порядка использования ИИВС Росрыболовства. Расследование нарушений. Любое грубое нарушение порядка и правил работы в ИИВС Росрыболовства сотрудниками структурных подразделений Росрыболовства, его территориальных органов и подведомственных организаций, а также других ведомств должно расследоваться. К виновным должны применяться адекватные меры воздействия. Мера ответственности персонала за действия, совершенные в нарушение установленных правил обеспечения безопасной автоматизированной обработки информации, должна определяться нанесенным ущербом, наличием злого умысла и другими факторами, указывающими на обстоятельства нарушения. Для реализации принципа персональной ответственности пользователей за свои действия необходимы: - индивидуальная идентификация пользователей и инициированных ими процессов, т.е. установление за ними идентификатора, на базе которого будет осуществляться разграничение доступа в соответствии с принципом обоснованности доступа; - проверка подлинности пользователей (аутентификация) на основе паролей, ключей на различной физической основе, биометрических характеристик личности и т.п.; - регистрация (протоколирование) работы механизмов контроля доступа к ресурсам информационных систем с указанием даты и времени, идентификаторов запрашивающего и запрашиваемых ресурсов, вида взаимодействия и его результата; - реакция на попытки НСД (сигнализация, блокировка и т.д.). 7.2. Физические средства защиты Физические меры защиты основаны на применении разного рода механических, электро- или электронно-механических устройств и сооружений, специально предназначенных для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам системы и защищаемой информации, а также технических средств визуального наблюдения, связи и охранной сигнализации. 7.2.1. Разграничение доступа на территорию и в помещения Физическая защита зданий, помещений, объектов и средств информатизации должна осуществляться путем установления соответствующих постов охраны, с помощью технических средств охраны или любыми другими способами, предотвращающими или существенно затрудняющими проникновение в здание, помещения посторонних лиц, хищение документов и информационных носителей, самих средств информатизации, исключающими нахождение внутри контролируемой (охраняемой) зоны технических средств разведки. Более современными, надежными системами физической защиты, дающими широкие возможности регистрации и контроля за доступом исполнителей и посторонних лиц в помещения, в которых проводятся работы и переговоры конфиденциального характера, обрабатывается и хранится такая информация, являются технические системы, основанные на таких методах идентификации и аутентификации персонала как магнитные и электронные карты с личными данными, биометрические характеристики личности, реализуемые в виде автоматизированных систем контроля за доступом в указанные помещения. Подобные автоматизированные системы могут быть реализованы на центральной ПЭВМ службы безопасности, собирающей информацию с большого количества терминалов, контролирующих доступ в помещения, к объектам и отдельным средствам информатизации. Для обеспечения физической безопасности компонентов ИИВС Росрыболовства службе ИБ (или ответственным сотрудникам) необходимо осуществить ряд организационных и технических мероприятий, включающих (кроме выполнения рекомендаций по инженерной и технической защите зданий и помещений): - проверку поступающего оборудования ИИВС Росрыболовства, предназначенного для обработки закрытой (конфиденциальной) информации, на: - наличие специально внедренных закладных устройств; - побочные электромагнитные излучения и наводки; - введение дополнительных ограничений по доступу в помещения (компьютерный зал, серверная и т.д.), предназначенные для хранения и обработки закрытой информации; - оборудование систем информатизации устройствами защиты от сбоев электропитания и помех в линиях связи. 7.3. Технические (аппаратно-программные) средства защиты Технические (аппаратно-программные) меры защиты основаны на использовании различных электронных устройств и специальных программ, входящих в состав ИИВС Росрыболовства и выполняющих (самостоятельно или в комплексе с другими средствами) функции защиты (идентификацию и аутентификацию пользователей, разграничение доступа к ресурсам, регистрацию событий, криптографическое закрытие информации и т.д.). С учетом всех требований и принципов обеспечения ИБ в ИИВС Росрыболовства по всем направлениям защиты в состав системы защиты должны быть включены следующие средства: - средства аутентификации потребителей (пользователей) и элементов ИИВС Росрыболовства (терминалов, задач, элементов баз данных и т.п.), соответствующих степени конфиденциальности информации и обрабатываемых данных; - средства разграничения доступа к данным; - средства криптографического закрытия информации в линиях передачи данных и в базах данных; - средства регистрации обращения и контроля за использованием защищаемой информации; - средства реагирования на обнаруженный НСД; - средства снижения уровня и информативности ПЭМИН, создаваемых различными элементами ИИВС Росрыболовства; - средства снижения уровня акустических излучений, сопровождающих функционирование элементов ИИВС Росрыболовства; - средства маскировки от оптических средств наблюдения; - средства электрической развязки как элементов ИИВС Росрыболовства, так и конструктивных элементов помещений, в которых размещается ИИВС (включая водопроводную и канализационную систему); - средства активного зашумления в радио и акустическом диапазонах. На технические средства защиты от НСД возлагается решение следующих основных задач (в соответствии с Руководящими документами Гостехкомиссии России и ГОСТ в области ИБ): - идентификация и аутентификация пользователей при помощи имен и/или специальных аппаратных средств (Touch Memory, Smart Card, Token и т.п.); - регламентация доступа пользователей к физическим устройствам компьютера (дискам, портам ввода-вывода); - избирательное (дискреционное) управление доступом к логическим дискам, каталогам и файлам; - полномочное (мандатное) разграничение доступа к защищаемым данным на рабочей станции и на файловом сервере; - создание замкнутой программной среды, разрешенной для запуска программ, расположенных как на локальных, так и на сетевых дисках; - защита от проникновения компьютерных вирусов и разрушительного воздействия вредоносных программ; - контроль целостности модулей системы защиты, системных областей диска и произвольных списков файлов в автоматическом режиме и по командам администратора; - регистрация всех действий пользователя в защищенном журнале, наличие нескольких уровней регистрации; - централизованный сбор, хранение и обработка на файловом сервере журналов регистрации рабочих станций сети; - защита данных системы защиты на файловом сервере от доступа всех пользователей, включая администратора сети; - централизованное управление настройками средств разграничения доступа на рабочих станциях сети; - оповещение администратора безопасности обо всех событиях НСД, происходящих на рабочих станциях; - оперативный контроль за работой пользователей сети, изменение режимов функционирования рабочих станций и возможность блокирования (при необходимости) любой станции сети. Успешное применение технических средств защиты предполагает, что выполнение перечисленных ниже требований обеспечено организационными мерами и используемыми физическими средствами защиты: - физическая целостность всех компонент ИИВС Росрыболовства обеспечена; - каждый сотрудник (пользователь системы) имеет уникальное системное имя и минимально необходимые для выполнения им своих функциональных обязанностей полномочия по доступу к ресурсам системы; - использование на рабочих станциях ИИВС Росрыболовства инструментальных и технологических программ (тестовых утилит, отладчиков и т.п.), позволяющих предпринять попытки взлома или обхода средств защиты, ограничено и строго регламентировано; - в защищенной системе нет программирующих пользователей. Разработка и отладка программ осуществляется за пределами защищенной системы; - все изменения конфигурации технических и программных средств ПЭВМ ИИВС Росрыболовства производятся строго установленным порядком только на основании обращений руководства структурных подразделений Росрыболовства, согласованных с Регламентом по ИБ; - сетевое оборудование (концентраторы, коммутаторы, маршрутизаторы и т.п.) располагается в местах, недоступных для посторонних (в специальных помещениях, шкафах и т.п.); - специальной службой технической ЗИ осуществляется непрерывное управление и административная поддержка функционирования средств защиты в соответствии с Положением о ИБ в Росрыболовстве, которое должно быть разработано. 7.3.1. Средства идентификации (опознавания) и аутентификации (подтверждения подлинности) пользователей В целях предотвращения работы с ИИВС Росрыболовства посторонних лиц необходимо обеспечить возможность распознавания системой каждого законного пользователя (или ограниченных групп пользователей). Для этого в системе (в защищенном месте) должен храниться ряд признаков каждого пользователя, по которым этого пользователя можно опознать. В дальнейшем при входе в систему, а при необходимости - и при выполнении определенных действий в системе, пользователь обязан себя идентифицировать, т.е. указать идентификатор, присвоенный ему в системе. Кроме того, для идентификации могут применяться различного рода устройства: магнитные карточки, ключевые вставки, дискеты и т.п. Аутентификация (подтверждение подлинности) пользователей должна осуществляться на основе использования паролей (секретных слов) или проверки уникальных характеристик (параметров) пользователей при помощи специальных биометрических средств. 7.3.2. Средства разграничения доступа зарегистрированных пользователей системы к ресурсам ИИВС Росрыболовства После распознавания пользователя система должна осуществлять авторизацию пользователя, то есть определять, какие права предоставлены пользователю: какие данные и как он может использовать, какие программы может выполнять, когда, как долго и с каких терминалов может работать, какие ресурсы системы может использовать и т.п. Авторизация пользователя должна осуществляться с использованием следующих механизмов реализации разграничения доступа: - механизмов избирательного управления доступом, основанных на использовании атрибутных схем, списков разрешений и т.п.; - механизмов полномочного управления доступом, основанных на использовании меток конфиденциальности ресурсов и уровней допуска пользователей; - механизмов обеспечения замкнутой среды доверенного программного обеспечения (индивидуальных для каждого пользователя списков разрешенных для запуска программ), поддерживаемых механизмами идентификации (распознавания) и аутентификации (подтверждения подлинности) пользователей при их входе в систему. Зоны ответственности и задачи конкретных технических средств защиты устанавливаются исходя из их возможностей и эксплуатационных характеристик, описанных в документации на данные средства. Технические средства разграничения доступа должны быть составной частью единой системы контроля доступа: - на контролируемую территорию; - в отдельные помещения; - к элементам ИИВС Росрыболовства и элементам системы ЗИ (физический доступ); - к ИР ИИВС Росрыболовства (программно-математический доступ); - к информационным хранилищам (носителям информации, томам, файлам, наборам данных, архивам, справкам, записям и т.д.); - к активным ресурсам (прикладным программам, задачам, формам запросов и т.п.); - к операционной системе, системным программам и программам защиты и т.п. 7.3.3. Средства обеспечения и контроля целостности программных и информационных ресурсов Контроль целостности программ, обрабатываемой информации и средств защиты, с целью обеспечения неизменности программной среды, определяемой предусмотренной технологией обработки, и защиты от несанкционированной корректировки информации должен обеспечиваться: - средствами подсчета контрольных сумм; - средствами электронной подписи (ЭП); - средствами сравнения критичных ресурсов с их эталонными копиями (и восстановления в случае нарушения целостности); - средствами разграничения доступа (запрет доступа с правами модификации или удаления). В целях ЗИ и программ от несанкционированного уничтожения или искажения необходимо обеспечить: - дублирование системных таблиц и данных; - дуплексирование и зеркальное отображение данных на дисках; - отслеживание транзакций; - периодический контроль целостности операционной системы и пользовательских программ, а также файлов пользователей; - антивирусный контроль; - резервное копирование данных по заранее установленной схеме; - хранение резервных копий вне помещения файл-сервера; - обеспечение непрерывности электропитания для файл-серверов и критичных рабочих станций и кондиционирование электропитания для остальных станций сети. 7.3.4. Средства оперативного контроля и регистрации событий безопасности Средства объективного контроля должны обеспечивать обнаружение и регистрацию всех событий (действий пользователей, попыток НСД и т.п.), которые могут повлечь за собой нарушение политики ИБ и привести к возникновению кризисных ситуаций. Средства контроля и регистрации должны предоставлять возможности: - ведение и анализ журналов регистрации событий ИБ (системных журналов). Журналы регистрации должны вестись для каждой рабочей станции сети; - оперативного ознакомления администратора ИБ с содержимым системного журнала любой станции и с журналом оперативных сообщений об НСД; - получения твердой копии (печати) системного журнала ИБ; - упорядочения системных журналов ИБ по дням и месяцам, а также установления ограничений на срок их хранения; - оперативного оповещения администратора ИБ о нарушениях. При регистрации событий в системном журнале ИБ должна фиксироваться следующая информация: - дата и время события; - идентификатор субъекта (пользователя, программы), осуществляющего регистрируемое действие; - действие (если регистрируется запрос на доступ, то отмечается объект и тип доступа). Средства контроля должны обеспечивать обнаружение и регистрацию следующих событий: - вход пользователя в систему; - вход пользователя в сеть; - неудачная попытка входа в систему или сеть (неправильный ввод пароля); - подключение к файловому серверу; - запуск программы; - завершение программы; - оставление программы резидентно в памяти; - попытка открытия файла недоступного для чтения; - попытка открытия на запись файла недоступного для записи; - попытка удаления файла недоступного для модификации; - попытка изменения атрибутов файла недоступного для модификации; - попытка запуска программы, недоступной для запуска; - попытка получения доступа к недоступному каталогу; - попытка чтения/записи информации с диска, недоступного пользователю; - попытка запуска программы с диска, недоступного пользователю; - нарушение целостности программ и данных системы защиты - другие сведения ИБ. Должны поддерживаться следующие основные способы реагирования на обнаруженные факты НСД (возможно с участием администратора ИБ): - извещение владельца информации о НСД к его данным; - снятие программы (задания) с дальнейшего выполнения; - извещение администратора БД и администратора ИБ; - отключение терминала (рабочей станции), с которого были осуществлены попытки НСД к информации; - исключение нарушителя из списка зарегистрированных пользователей; - подача сигнала тревоги и др. 7.3.5. Криптографические средства защиты информации Одним из важнейших элементов системы обеспечения ИБ ИИВС Росрыболовства должно быть использование криптографических методов и средств ЗИ от НСД при ее передаче по каналам связи. Все средства криптографической ЗИ в ИИВС Росрыболовства должны строиться на основе базисного криптографического ядра, прошедшего всесторонние исследования специализированными организациями ФАПСИ и ФСТЭК. Используемые средства криптографической защиты секретной информации должны быть сертифицированы, а вся подсистема, в которой они используются, должна быть аттестована или сертифицирована. Компании-интеграторы, исполнители - на использование криптографических средств в ИИВС Росрыболовства должны иметь лицензию, выдаваемую организацией, отвечающей за ИБ в РФ, определяемую при заключении государственного контракта. Ключевая система применяемых в ИИВС Росрыболовства криптографических средств должна обеспечивать криптографическую живучесть и многоуровневую защиту от компрометации ключевой информации, разделение пользователей по уровням обеспечения защиты и зонам их взаимодействия между собой и пользователями других уровней. Конфиденциальность и имитозащита информации при ее передаче по каналам связи должна обеспечиваться за счет применения в системе шифросредств абонентского и на отдельных направлениях канального шифрования. Сочетание абонентского и канального шифрования информации должно обеспечивать ее сквозную защиту по всему тракту прохождения, защищать информацию в случае ее ошибочной переадресации за счет сбоев и неисправностей аппаратно-программных средств центров коммутации. В ИИВС Росрыболовства, являющейся системой с распределенными ИР, также должны использоваться средства формирования и проверки электронной подписи, обеспечивающие целостность и юридически доказательное подтверждение подлинности сообщений, а также аутентификацию пользователей, абонентских пунктов и подтверждение времени отправления сообщений. При этом должны использоваться только стандартизованные алгоритмы цифровой подписи, а соответствующие средства, реализующие эти алгоритмы, должны быть сертифицированы организацией, отвечающей за ИБ в РФ. 7.4. ЗИ от утечки по техническим каналам В качестве основных мер ЗИ, циркулирующей в ИИВС Росрыболовства, рекомендуются: - использование сертифицированных серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации, а также образцов технических средств, прошедших специальные исследования, в соответствии с требованиями предписания на эксплуатацию; - использование сертифицированных средств ЗИ; - размещение объекта защиты относительно границы контролируемой зоны с учетом радиуса зоны возможного перехвата информации, полученного для данного объекта по результатам специальных исследований; - маскирующее зашумление побочных электромагнитных излучений и наводок информативных сигналов; - конструктивные доработки технических средств и помещений, где они расположены, в целях локализации возможных каналов утечки информации; - размещение понижающих трансформаторных подстанций электропитания и контуров заземления объектов защиты в пределах контролируемой зоны; - развязка цепей электропитания объектов защиты с помощью защитных фильтров, блокирующих (подавляющих) информативный сигнал; - периодическая проверка технических средств на отсутствие паразитной генерации их элементов; - создание выделенных сетей связи и передачи данных с учетом максимального затруднения доступа к ним посторонних лиц; - гальваническая или сетевая логическая (VLAN) развязка линий связи и других цепей между каналами связи, выходящими за пределы контролируемой зоны и находящимися внутри нее основными блоками; - использование защищенных каналов связи; - проверка импортных технических средств перед введением в эксплуатацию на отсутствие в них электронных устройств перехвата информации; - аттестация объектов СВТ. Техническая политика в области использования импортных технических средств информатизации Одним из методов технической разведки, промышленного шпионажа является внедрение в конструкцию технических средств информатизации специальных электронных (закладных) устройств для съема, перехвата, ретрансляции информации или вывода технических средств из строя. В целях противодействия такому методу воздействия для технических средств информатизации, предназначенных для обработки информации, составляющей информацию ограниченного распространения, должен осуществляться специальный порядок приобретения импортных технических средств, проведение специальных проверок этих средств, осуществляемых специализированными организациями в соответствии с требованиями и по методикам ИБ РФ. Использование технических средств иностранного производства для обработки и хранения конфиденциальной информации, или устанавливаемых в выделенных помещениях возможно при выполнении следующих условий: - проведены специальные исследования (сертификационные испытания) технических средств и выполнен полный комплекс работ по их специальной защите; - проведена специальная проверка технических средств на отсутствие в их составе возможно внедренных электронных устройств перехвата информации. Специальная проверка технических средств иностранного производства может не проводиться при условии: - если суммарное затухание сигналов при их распространении от места установки технического средства до границ контролируемой зоны объекта составляет величину не менее 60 дБ в диапазоне частот 10 МГц - 10 ГГц; Обеспечение ЗИ от утечки по техническим каналам при ее обработке (обсуждении), хранении и передаче по каналам связи предусматривает: - предотвращение утечки обрабатываемой техническими средствами информации за счет побочных электромагнитных излучений и наводок, а также электроакустических преобразований, создаваемых функционирующими техническими средствами; - выявление возможно внедренных в импортные технические средства специальных электронных устройств съема (ретрансляции) или разрушения информации (закладных устройств); - предотвращение утечки информации в линиях связи; - исключение перехвата техническими средствами речевой информации при ведении конфиденциальных переговоров. Предотвращение утечки обрабатываемой информации за счет побочных электромагнитных излучений и наводок, а также за счет электроакустических преобразований реализуется путем применения защищенных технических средств, сертифицированных по требованиям ИБ, внедрением объектовых мер защиты, в том числе установлением контролируемой зоны вокруг объектов ИИВС Росрыболовства, средств активного противодействия (при необходимости) и др. Конкретные требования к мерам объектовой защиты определяются по результатам специальных исследований технических средств с учетом установленной категории защищаемого объекта в зависимости от степени конфиденциальности обрабатываемой информации и условий ее размещения. Исключение перехвата техническими средствами речевой информации достигается проектными решениями, обеспечивающими необходимую звукоизоляцию помещений, применением технических средств и организационных мер защиты оборудования, расположенного в помещениях. Основными направлениями снижения уровня и информативности ПЭМИН являются: 1) разработка и выбор оптимальных схем и элементов, основанных на применении устройств с низким уровнем излучения типа: - жидкокристаллических и газоразрядных экранов отображения; - оптико-электронных и волоконно-оптических линий передачи данных; - запоминающих устройств на магнитных доменах, голографических запоминающих устройств и т.п.; 2) экранирование (развязка) отдельных элементов и устройств ИИВС Росрыболовства, реализуемое путем: - локального экранирования излучающих элементов СВТ и средств связи; - экранирование кабелей и устройств заземления; - применение развязывающих фильтров в цепях питания и т.п.; 3) использование специальных программ и кодов, базирующихся: - на применении мультипрограммных режимов обработки данных, обеспечивающих минимальные интервалы обращения к защищаемой информации; - на применении параллельных многоразрядных кодов, параллельных кодов с малой избыточностью, а также симметричных кодов; - на ограничении регулярности вывода и времени отображения информации на устройствах отображения; 4) применение активных мешающих или подавляющих воздействий, основанных на использовании встроенных синхронизированных генераторов: - генераторов импульсных помех; - специальных (инверсных) схем заполнения интервалов; 5) использование специальных схем нарушения регулярности вывода информации на устройства отображения. 7.5. Защита речевой информации при проведении закрытых переговоров Исходя из возможности перехвата речевой информации при проведении разговоров конфиденциального характера с помощью внедрения специальных электронных (закладных) устройств, транслирующих эту информацию, акустических, виброакустических и лазерных технических средств разведки, информации, наведенной на различные электрические и прочие цепи, выходящие за пределы контролируемой зоны, противодействие этим угрозам безопасности ИР должно осуществляться всеми доступными средствами и методами. Помещения, в которых предусматривается ведение конфиденциальных переговоров, должны быть проверены на предмет отсутствия в них (в стеновых панелях, фальшполах и фальшпотолках, мебели, технических средствах, размещенных в этих помещениях) закладных устройств, технические средства передачи информации (телефоны, телефаксы, модемы), а также различные электрические и прочие цепи, трубопроводы, системы вентиляции и кондиционирования и т.д. должны быть защищены таким образом, чтобы акустические сигналы не могли быть перехвачены за пределами контролируемой зоны, а в необходимых случаях и за пределами данного выделенного помещения. В этих целях используются проектные решения, обеспечивающие звукоизоляцию помещений, специальные средства обнаружения закладных устройств, устанавливаются временные или постоянные посты радиоконтроля, на технические средства передачи информации устанавливаются устройства, предотвращающие перехват акустических сигналов с линий связи, на электрические цепи, выходящие за пределы контролируемой зоны, ставятся фильтры, а на трубопроводы - диэлектрические вставки, используются системы активной защиты в акустическом и других диапазонах. 7.6. Управление системой обеспечения информационной безопасности Управление системой обеспечения ИБ в ИИВС Росрыболовства представляет собой целенаправленное воздействие на компоненты системы обеспечения безопасности (организационные, технические, программные и криптографические) с целью достижения требуемых показателей и норм защищенности циркулирующей в ИИВС Росрыболовства информации в условиях реализации основных угроз безопасности. Главной целью организации управления системой обеспечения ИБ является повышение надежности ЗИ в процессе ее обработки, хранения и передачи. Целями управления системой обеспечения ИБ являются: - на этапе создания и ввода в действие ИИВС Росрыболовства - разработка и реализация научно-технических программ и координационных планов создания нормативной правовой и технической баз, обеспечивающих использование передовых зарубежных средств и ИТ, производство отечественных технических и программных средств обработки и передачи информации в защищенном исполнении в интересах обеспечения ИБ ИИВС Росрыболовства; организация и координация взаимодействия в этой области разработчиков ИИВС Росрыболовства компаний интеграторов, концентрация кадровых, финансовых и иных ресурсов заинтересованных сторон при разработке и поэтапном вводе в действие системы; создание действенной организационной структуры, обеспечивающей комплексное решение задач ИБ при функционировании ИИВС Росрыболовства, в том числе службы безопасности ИИВС (или ответственных сотрудников за ИБ), оснащенной необходимыми программно-аппаратными средствами управления и контроля; - на этапе эксплуатации ИИВС Росрыболовства - обязательное и неукоснительное выполнение предусмотренных на этапе создания ИИВС правил и процедур, направленных на обеспечение ИБ, всеми задействованными в системе участниками, эффективное пресечение посягательств на ИР, технические средства и информационные технологии, своевременное выявление негативных тенденций и совершенствование управления в области ЗИ и ИБ. Управление системой обеспечения ИБ Росрыболовства реализуется специализированной подсистемой, представляющей собой совокупность органов управления, технических, программных и криптографических средств и организационных мероприятий и взаимодействующих друг с другом пунктов управления различных уровней. Органами управления являются подразделение ИБ (или ответственные сотрудники за ИБ), а пунктами управления - центр управления ИБ (далее - ЦУБ) и автоматизированные рабочие места администраторов (операторов) ИБ, расположенные на объектах ИИВС Росрыболовства. Функциями подсистемы управления являются: информационная, управляющая и вспомогательная. Информационная функция заключается в непрерывном контроле состояния системы защиты, проверке соответствия показателей защищенности допустимым значениям и немедленном информировании операторов безопасности о возникающих в ИИВС Росрыболовства ситуациях, способных привести к нарушению ИБ. К контролю состояния системы защиты предъявляются два требования: полнота и достоверность. Полнота характеризует степень охвата всех средств защиты и параметров их функционирования. Достоверность контроля характеризует степень адекватности значений контролируемых параметров их истинному значению. В результате обработки данных контроля формируется информация состояния системы защиты, которая обобщается (агрегируется) и передается на вышестоящие пункты управления. Управляющая функция заключается в формировании планов реализации технологических операций ИИВС Росрыболовства с учетом требований ИБ в условиях, сложившихся для данного момента времени, а также в определении места возникновения ситуации уязвимости информации и предотвращении ее утечки за счет оперативного блокирования участков ИИВС Росрыболовства, на которых возникают угрозы ИБ. К управляющим функциям подразделения ИБ (или ответственных сотрудников за ИБ) относятся учет, хранение, и выдача документов и информационных носителей, паролей и ключей. При этом генерация паролей, ключей, сопровождение средств разграничения доступа, приемка включаемых в программную среду ИИВС новых программных средств, контроль соответствия программной среды эталону, а также контроль за ходом технологического процесса обработки конфиденциальной информации возлагается на системных администраторов ИИВС Росрыболовства и администратора ИБ (или ответственных сотрудников), которые расположены в ЦУБ. К вспомогательным функциям подсистемы управления относятся учет всех операций, выполняемых в ИИВС с защищаемой информацией, формирование отчетных документов и сбор статистических данных с целью анализа и выявления потенциальных каналов утечки информации. 7.7. Контроль эффективности системы защиты Контроль эффективности ЗИ осуществляется с целью своевременного выявления и предотвращения утечки информации по техническим каналам, за счет несанкционированного доступа к ней, а также предупреждения возможных специальных воздействий, направленных на уничтожение информации, разрушение средств информатизации. Контроль может проводиться как подразделением ИБ (или ответственными сотрудниками за ИБ) (оперативный контроль в процессе информационного взаимодействия в ИИВС), так и привлекаемыми для этой цели компетентными организациями, имеющими лицензию на этот вид деятельности, а также государственными организациями, отвечающих за ИБ в РФ. Оценка эффективности мер ЗИ проводится с использованием технических и программных средств контроля на предмет соответствия установленным требованиям. Контроль может осуществляться администратором ИБ как с помощью штатных средств системы ЗИ от НСД, так и с помощью специальных программных средств контроля. 8. ПЕРВООЧЕРЕДНЫЕ МЕРОПРИЯТИЯ ПО ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ИИВС РОСРЫБОЛОВСТВА Для реализации основных положений настоящей Концепции целесообразно провести (осуществить) следующие мероприятия: - создать в центральном аппарате, во всех территориальных управлениях и подведомственных организациях Росрыболовства подразделения технической ЗИ в ИИВС и/или ввести ответственных (из числа сотрудников) за ИБ в структурных подразделениях, территориальных управлениях и подведомственных организациях Росрыболовства, определить их задачи и функции на различных стадиях создания, развития и эксплуатации ИИВС Росрыболовства и системы ЗИ; - для снижения затрат на создание системы защиты и упрощения категорирования и аттестации подсистем ИИВС Росрыболовства рассмотреть возможность внесения изменений в конфигурацию сетей и СВТ, технологии обработки, передачи и хранения (архивирования) информации (с целью максимального разделения подсистем ИИВС Росрыболовства, в которых обрабатывается информация различных категорий конфиденциальности); - определить порядок приобретения и использования сертифицированных серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации; образцов технических средств, прошедших специальные исследования, в соответствии с требованиями предписания на эксплуатацию, а также сертифицированных средств ЗИ; - уточнить (в том числе на основе апробации) конкретные требования к ИИВС, включаемые в ТЗ на разработку проектов ИИВС; - определить возможность использования в ИИВС Росрыболовства имеющихся сертифицированных средств ЗИ; - произвести закупку сертифицированных образцов и серийно выпускаемых технических и программных средств ЗИ и их внедрение на рабочих станциях и файловых серверах ИИВС с целью контроля за изменением конфигурации аппаратных и программных средств и действиями пользователей; - для обеспечения режима удаленного доступа пользователей по сети к информации конфиденциальных БД рассмотреть возможность разработки, сертификации и аттестации специальных криптографических средств. В их состав должны входить: сетевой криптошлюз, защищенные абонентские пункты доступа через криптошлюз, удостоверяющий центр (далее - УЦ) генерации и распространения ключей ЭП. На уровне прикладных программ необходимо разработать средства, обеспечивающие возможность доступа к конфиденциальным данным только с защищенных абонентских пунктов; - определить степень участия персонала в обработке (передаче, хранении, обсуждении) информации, характер его взаимодействия между собой и с подразделениями (или ответственными сотрудниками по ИБ) по ЗИ; - произвести разработку и реализацию разрешительной системы доступа пользователей и эксплуатационного персонала ИИВС Росрыболовства или иного объекта информатизации к обрабатываемой информации; - произвести разработку организационно-распорядительной и рабочей документации по эксплуатации объекта информатизации в защищенном исполнении, а также средств и мер ЗИ в ИИВС, регламентирующих процессы допуска пользователей к работе с ИИВС Росрыболовства, разработки, приобретения и использования программного обеспечения на рабочих станциях и серверах, порядок внесения изменений в конфигурацию аппаратных и программных средств при ремонте, развитии и обслуживании СВТ, порядок применения и администрирования средств ЗИ, на основе Регламентов по ИБ ; - для снижения риска перехвата в сети с других рабочих станций имен и паролей привилегированных пользователей (в особенности администраторов средств защиты и БД) организовать их работу в отдельных сегментах сети (VLan), шире применять сетевые устройства типа switch, не использовать удаленных режимов конфигурирования сетевых устройств (маршрутизаторов, концентраторов и т.п.); - исключить доступ программистов компаний интеграторов в эксплуатируемые подсистемы ИИВС Росрыболовства (к реальной информации и БД), организовать опытный участок ИИВС Росрыболовства для разработки и отладки программ. Передачу разработанных программ в эксплуатацию производить через ответственного за ИБ в Административном управлении Росрыболовства; - для защиты компонентов ИИВС Росрыболовства от неправомерных воздействий из других ИИВС (внешних) и внешних сетей по IP-протоколу целесообразно использовать на узлах корпоративной сети Росрыболовства сертифицированные установленным порядком межсетевые экраны; - произвести опытную эксплуатацию средств ЗИ в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объектов информатизации и отработки технологических процессов обработки (передачи) информации; - произвести специальную проверку импортных технических средств на предмет возможно внедренных в эти средства электронных устройств перехвата информации ("закладок"); - произвести специальную проверку выделенных помещений на предмет обнаружения возможно внедренных в эти помещения или предметы интерьера электронных устройств перехвата информации ("закладок"); - произвести обследование объекта информатизации и специальные исследования технических средств; - произвести конструктивные доработки технических средств и помещений, где они расположены, в целях локализации возможных технических каналов утечки информации (в случае необходимости); - произвести развязку цепей электропитания объектов защиты с помощью защитных фильтров, блокирующих (подавляющих) информативный сигнал; - произвести развязку линий связи и других цепей между выходящими за пределы контролируемой зоны и находящимися внутри нее; - произвести необходимую звуко- и виброизоляцию выделенных помещений; - произвести категорирование помещений, в которых проводятся обсуждения или ведутся переговоры по секретным вопросам (выделенных помещений); - произвести категорирование сегментов ИИВС Росрыболовства и служебных помещений, предназначенных для обработки, передачи и хранения конфиденциальной информации; - произвести классификацию защищенности автоматизированных систем от НСД к информации, предназначенных для обработки конфиденциальной информации; - произвести оформление технического паспорта объекта информатизации; - произвести аттестацию объекта информатизации по требованиям ЗИ и ИБ в РФ; - организовать охрану и физическую защиту объекта информатизации и отдельных технических средств, исключающих НСД к техническим средствам, их хищение и нарушение работоспособности; - организовать контроль состояния и эффективности ЗИ с оценкой выполнения требований нормативных документов организационно-технического характера, обоснованности принятых мер, проверки выполнения норм эффективности ЗИ по действующим методикам с применением поверенной контрольно-измерительной аппаратуры и сертифицированных программных средств контроля; - для контроля за состоянием защиты, выявлением слабых мест (уязвимостей) в системе защиты серверов и рабочих станций и принятия своевременных мер по их устранению (перекрытию возможности их использования злоумышленниками) необходимо использовать специальные программы оценки защищенности ЛВС ИИВС Росрыболовства; - в целях безопасного обмена информацией внутри ИИВС, а также с внешними организациями должен быть развернут, аттестован и аккредитован собственный УЦ Росрыболовства, в соответствии с федеральным законодательством РФ; - обмен документами в ИИВС должен быть обеспечен ЭП; - доступ к внешней электронной почте и Интернет по умолчанию для сотрудников Росрыболовства - закрыт и может быть предоставлен только по письменному указанию руководителей подразделений. Использование работниками доступа в Интернет и электронной почты должно контролироваться администратором ИБ Росрыболовства на основе утвержденного списка сотрудников, имеющих доступ к внешней почте и Интернет. Ресурсы сети Интернет, не имеющие отношения к производственной необходимости или потенциально опасные должны быть заблокированы (например, игровые и развлекательные сайты, сообщества социальных сетей, сетевые радиостанции и видео сервисы); - контроль за наличием информации непроизводственного характера в электронной почтовой системе и сети Интернет осуществляется администратором ИБ Росрыболовства с помощью автоматизированной системы контроля информационных потоков (СКИП). Приложение 1 ПЕРЕЧЕНЬ НОРМАТИВНЫХ ДОКУМЕНТОВ, РЕГЛАМЕНТИРУЮЩИХ ДЕЯТЕЛЬНОСТЬ В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ И ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В РОССИЙСКОЙ ФЕДЕРАЦИИ И ФЕДЕРАЛЬНОМ АГЕНТСТВЕ ПО РЫБОЛОВСТВУ РОССИЙСКОЙ ФЕДЕРАЦИИ Общее законодательство Конституция Российской Федерации Гражданский кодекс Российской Федерации Уголовный кодекс Российской Федерации Декларация прав и свобод человека и гражданина Российской Федерации Принята постановлением ВС РСФСР от 22 ноября 1991 г. N 1920-1 Доктрина информационной безопасности Российской Федерации Утверждена Президентом Российской Федерации В.В. Путиным 9 сентября 2000 г. N ПР-1895 Стратегия развития информационного общества Российской Федерации Утверждена Президентом Российской Федерации В.В. Путиным 7 февраля 2008 г. N Пр-212 Кодекс Российской Федерации об административных правонарушениях Трудовой кодекс Российской Федерации Приказы Федерального агентства по рыболовству - от 12 октября 2009 г. N 896 "Об утверждении Концепции внедрения и использования информационных технологий в деятельности Росрыболовства, его территориальных органов и находящихся в его ведении организаций" - от 4 мая 2009 г. N 365 "Об организации работы по информатизации деятельности Федерального агентства по рыболовству" Законодательные акты Российской Федерации - Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" - Федеральный закон от 06 апреля 2011 N 63-ФЗ "Об электронной подписи"; - Федеральный закон от 04 мая 2011 N 99-ФЗ "О лицензировании отдельных видов деятельности"; - Федеральный закон от 03 апреля 1995 N 40-ФЗ "О Федеральной службе безопасности"; - Федеральный закон от 28 декабря 2010 года N 390-ФЗ "О безопасности"; - Федеральный закон от 7 июля 2003 года N 126-ФЗ "О связи"; - Закон РФ от 21 июля 1993 г. N 5485-1 "О государственной тайне"; - Закон РФ от 7 февраля 1992 года N 2300-1 "О защите прав потребителей"; - Федеральный закон от 27 декабря 2002 года N 184-ФЗ "О техническом регулировании"; Указы Президента Российской Федерации - "О стратегии национальной безопасности Российской Федерации до 2020 года" от 12 мая 2009 года N 537 - "О Федеральной службе по техническому и экспортному контролю" от 16 августа 2004 г. N 1085 - "О защите государственных секретов Российской Федерации" от 14 января 1992 г. N 20; - "Об утверждении Перечня сведений, отнесенных к государственной тайне" от 30 ноября 1995 г. N 1203; - "О Межведомственной комиссии по защите государственной тайны" от 8 ноября 1995 г. N 1108; - "О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации" от 3 апреля 1995 г. N 334; - "О защите информационно-телекоммуникационных систем и баз данных от утечки конфиденциальной информации по техническим каналам" от 8 мая 1993 г. N 644; - "Об утверждении перечня сведений конфиденциального характера" от 6 марта 1997 г. N 188; - "О мерах по упорядочению разработки, производства, реализации, приобретения в целях продажи, ввоза в Российскую Федерацию и вывоза за ее пределы, а также использования специальных технических средств, предназначенных для негласного получения информации" от 9 января 1996 г. N 21; - "Об основах государственной политики в сфере информатизации" от 20 января 1994 г. N 170; - "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена" от 17 марта 2008 г. N 351 - "О совершенствовании информационно-телекоммуникационного обеспечения органов государственной власти и порядке их взаимодействия при реализации государственной политики в сфере информатизации" от 1 июля 1994 г. N 1390 (и разработанная во исполнение Указа - "Концепция формирования и развития единого информационного пространства России и соответствующих государственных информационных ресурсов"). - "О Федеральном агентстве по рыболовству" от 30 мая 2008 года N 863; Распоряжения Президента Российской Федерации - "Концепция формирования и развития единого информационного пространства России и соответствующих государственных информационных ресурсов", одобрена решением Президента Российской Федерации от 23 ноября 1995 г. N Пр-1694 Постановления Правительства Российской Федерации - "Об утверждении требований по обеспечению целостности, устойчивости функционирования и безопасности информационных систем общего пользования" от 25 августа 2009 г. N 104 - "О порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти" от 3 ноября 1994 г. N 1233 - "О лицензировании деятельности предприятий, учреждений и организации по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны" от 15 апреля 1995 г. N 333; - "Положение о лицензировании деятельности по разработке, производству, реализации и приобретению в целях продажи специальных технических средств, предназначенных для негласного получения информации" от 12 апреля 2012 г. N 287; - "Об утверждении Правил отнесения сведений, составляющих государственную тайну, к различным степеням секретности" от 04 сентября 1995 г. N 870; - "Об утверждении Положения о подготовке к передаче сведений, составляющих государственную тайну, другим государствам или международным организациям" от 02 августа 1997 г. N 973; - "О перечне сведений, которые не могут составлять коммерческую тайну" от 05 декабря 1991 г. N 35. - "О Федеральном агентстве по рыболовству" от 11 июня 2008 г. N 444 - "Концепция формирования в Российской Федерации электронного Правительства до 2010 года" от 6 мая 2008 г. N 632-р. - "Концепция долгосрочного социально-экономического развития Российской Федерации на период до 2020 года" от 17 ноября 2008 г. N 1662-р - "Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного распространения, и продукции (работ, услуг), сведения о которой составляют государственную тайну, предназначенной для эксплуатации в загранучреждениях Российской Федерации, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, об особенностях аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению соответствия указанной продукции (работ, услуг), и о внесении изменения в Положение о сертификации средств защиты информации" от 21 апреля 2010 г. N 266; - "О сертификации средств защиты информации" от 26 июня 1995 г. N 608; - "Концепция развития рыбного хозяйства Российской Федерации на период до 2020 года" от 2 сентября 2003 г. N 1265-р; - "О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций" от 16 марта 2009 г. N 228; - "Разработка и утверждение административных регламентов исполнения государственных функций и административных регламентов предоставления государственных услуг" от 16 мая 2011 г. N 373. Решения Гостехкомиссии России: - "Основы концепции защиты информации в Российской Федерации от иностранной технической разведки и от ее утечки по техническим каналам" от 16 ноября 1993 г. N 6; - "О типовых требованиях к содержанию и порядку разработки руководства по защите информации от технических разведок и от ее утечки по техническим каналам на объекте" от 03 октября 1995 г. N 42; - "Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации", утверждено приказом Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992; - "Положение о сертификации средств защиты информации по требованиям безопасности информации", утверждено приказом Государственной технической комиссии при Президенте Российской Федерации от 27 октября 1995 г. N 199 Совместные решения Гостехкомиссии России и ФАПСИ: - "Положение о государственном лицензировании деятельности в области защиты информации" от 24 апреля 1994 г. N 10; - "Система сертификации средств криптографической защиты информации" (N РОСС RU.0001.03001); - "Инструкция об организации и обеспечении безопасности хранения обработки и передачи по каналам связи с использованием СКЗИ информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну" от 13 июня 2001 г. N 152 Руководящие документы Гостехкомиссии России: - "Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации" (решение Председателя Гостехкомиссии России от 30 марта 1992 года); - "Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники" (решение Председателя Гостехкомиссии России от 30 марта 1992 г.); - "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" (решение Председателя Гостехкомиссии России от 30 марта 1992 г.); - "Автоматизированные системы. Защита от несанкционированного доступа к информации. Термины и определения" (решение Председателя Гостехкомиссии России от 30 марта 1992 г.); - "Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" (решение Председателя Гостехкомиссии России от 25 июля 1997 г.); - "Перечень средств защиты информации, подлежащих сертификации в системе сертификации Гостехкомиссии России" (N РОСС RU.0001.01БИ00); - "Положение об аккредитации испытательных лабораторий и органов по сертификации средств защиты информации по требованиям безопасности информации", утверждено Председателем Государственной технической комиссии при Президенте Российской Федерации 25 ноября 1994 г; - "Положение по аттестации объектов информатизации по требованиям безопасности информации", утверждено председателем Государственной технической комиссии при Президенте Российской Федерации 25 ноября 1994 г.; - "Руководящий документ. Безопасность информационных технологий. Положение по разработке профилей защиты и заданий по безопасности", утверждено председателем Государственной технической комиссии при Президенте Российской Федерации в 2003 г.; - "Безопасность информационных технологий. Руководство по формированию семейств профилей защиты", утверждено председателем Государственной технической комиссии при Президенте Российской Федерации в 2003 г.; - "Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации" (решение Гостехкомиссии России от 30 марта 1992 года); - "Специальные требования и рекомендациями по ЗИ, составляющей государственную тайну, от утечки по техническим каналам" (решение Гостехкомиссии России от 23 мая 1997 года N 55). Документы Роскомнадзора - "Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных", приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 19 августа 2011 г. N 706 Документы ФСБ России - "Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (положение пкз-2005)" Приложение к приказу ФСБ России от 9 февраля 2005 г. N 66; - "Требования о защите информации, содержащейся в информационных системах общего пользования" приказ от 31 августа 2010 года N 416/489. Документы ФСТЭК России - "Перечень технической документации, национальных стандартов и методических документов, необходимых для выполнения работ и оказания услуг, установленных Положением "О лицензировании деятельности по технической защите конфиденциальной информации, утвержденным постановлением Правительства Российской Федерации от 3 февраля 2012 г. N 79", утвержден директором ФСТЭК России 16 марта 2012 г. - "Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры" (утв. ФСТЭК России 18.05.2007) - "Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры" (утв. ФСТЭК России 18.05.2007) - "Общие требования по обеспечению безопасности информации в ключевых системах информационной инфраструктуры" (утв. ФСТЭК России 18.05.2007) - "Рекомендации по обеспечению безопасности информации в ключевых системах информационной инфраструктуры" (утв. ФСТЭК России 19.11.2007) Документы по созданию автоматизированных систем и систем защиты информации, регламентированию: Отечественные - ГОСТ Р ИСО/МЭК 17799-2005. "Информационные технологии. Практические правила управления информационной безопасностью" - "Терминология в области защиты информации. Справочник" (ВНИИ стандарт, 1993 г.); - ГОСТ 34.602-89 "Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированных систем"; - РД 50-34.698-90. "Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Требования к содержанию документов"; - ГОСТ 6.30-2003 "Унифицированная система организационно-распорядительной документации"; - ГОСТ 6.10.4-84 "Унифицированные системы документации. Придание юридической силы документам на машинном носителе и машинограмме, создаваемым средствами вычислительной техники"; - ГОСТ 34.201-89. "Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем"; - ГОСТ 28195-89. "Оценка качества программных средств. Общие положения"; - ГОСТ Р ИСО/МЭК 9126-93. "Информационная технология. Оценка программной продукции. Характеристики качества и руководства по их применению"; - ГОСТ 2.111-68. ЕСКД. "Нормоконтроль". Международные - ISO 15408. "Общие критерии оценки безопасности информационных технологий"; - ISO/IEC 17799:2005. "Международный стандарт информационной безопасности"; - ISO/IEC 27000:2009 "Information technology. Security techniques. Information security management systems. Overview and vocabulary" - Определения и основные принципы. Выпущен в июле 2009 г. - ISO/IEC 27001:2005/BS 7799-2:2005 "Information technology. Security techniques. Information security management systems. Requirements" - Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования. Выпущен в октябре 2005 г. - ISO/IEC 27002:2005, BS 7799-1:2005, BS ISO/IEC 17799:2005 "Information technology. Security techniques. Code of practice for information security management" - Информационные технологии. Методы обеспечения безопасности. Практические правила управления информационной безопасностью. Выпущен в июне 2005 г. - ISO/IEC 27003:2010 "Information Technology. Security Techniques. Information Security Management Systems Implementation Guidance" - Руководство по внедрению системы управления информационной безопасностью. Выпущен в январе 2010 г. - ISO/IEC 27004:2009 "Information technology. Security techniques. Information security management. Measurement" - Измерение эффективности системы управления информационной безопасностью. Выпущен в январе 2010 г. - ISO/IEC 27005:2008 "Information technology. Security techniques. Information security risk management" - Информационные технологии. Методы обеспечения безопасности. Управление рисками информационной безопасности. Выпущен в июне 2008 г. - ISO/IEC 27006:2007 "Information technology. Security techniques. Requirements for bodies providing audit and certification of information security management systems" - Информационные технологии. Методы обеспечения безопасности. Требования к органам аудита и сертификации систем управления информационной безопасностью. Выпущен в марте 2007 г. - ISO/IEC 27007 Information technology. Security techniques. Guidelines for Information Security Management Systems auditing (FCD) - Руководство для аудитора СУИБ. 2011 год. Стандарты по защите от НСД к информации: - ГОСТ Р 50922-2006. "Защита информации. Основные термины и определения)); - ГОСТ Р 50739-95. "Средства вычислительной техники. Защита от не санкционированного доступа к информации. Общие технические требования"; - ГОСТ 16325-88. "Машины вычислительные электронные цифровые общего назначения. Общие технические требования". Стандарты по криптографической защите и ЭП: - ГОСТ 28147-89. "Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования"; - ГОСТ Р 34.11-94. "Информационная технология. Криптографическая защита информации. Функция хэширования". - ГОСТ Р 34.10-2001. "Информационная технология, криптографическая защита информации, процессы формирования и проверки электронной цифровой подписи" Стандарты, применяемые при оценке качества объектов информатизации: - ГОСТ 28906-91. "Системы обработки информации. Взаимосвязь открытых систем. Базовая эталонная модель"; - ГОСТ 16504-81. "Система государственных испытаний продукции. Основные термины и определения"; - ГОСТ 28195-89. "Оценка качества программных средств. Общие положения"; Стандарты ЕСКД, СРПП: - ГОСТ 19.001-77. "Единая система программной документации. Общие положения"; - ГОСТ 34.603-92. "Информационная технология. Виды испытаний автоматизированных систем"; - ГОСТ 27201-87. "Машины вычислительные электронные персональные. Типы, основные параметры. Общие технические требования"; - ГОСТ 21964-76. "Внешние воздействующие факторы. Номенклатура и характеристики"; - ГОСТ Р 34.951-92. "Информационная технология. Взаимосвязь открытых систем. Услуги сетевого уровня"; Стандарты в области терминов и определений: - ГОСТ 15971-90. "Системы Обработки Информации. Термины и определения"; - ГОСТ 29099-91. "Сети вычислительные локальные. Термины и определения"; - ГОСТ 28806-90. "Качество программных средств. Термины и определения"; - ГОСТ Р 52292-2004. "Информационная технология. Электронный обмен информацией. Термины и определения". Методические рекомендации - "Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации", утверждено руководством 8 Центра ФСБ России от 21 февраля 2008 г. N 149/54-144; - "Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащие сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных", утверждено руководством 8 Центра ФСБ России от 21 февраля 2008 г. N 149/6/6-622; - "Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных", утверждена Заместителем директора ФСТЭК России 14 февраля 2008 г. Приложение 2 СПИСОК ИСПОЛЬЗОВАННЫХ СОКРАЩЕНИЙ АРМ Автоматизированное рабочее место АС Автоматизированная система БД База данных ВП Выделенное помещение ВТСС Вспомогательные технические средства и системы ГОСТ Государственный стандарт ЕСКД Единая система конструкторской документации ЕСПД Единая система программной документации ЗП Защищаемые помещения ЗИ Защита информации ИБ Информационная безопасность ИР Информационные ресурсы ИТ Информационные технологии ЛВС Локальная вычислительная сеть ИИВС Интегрированная информационно-вычислительная система НГМД Накопитель на гибком магнитном диске НД Нормативный документ НЖМД Накопитель на жестком магнитном диске НСД Несанкционированный доступ ОС Операционная система ОТЗИ Отдел технической ЗИ ОТСС Основные технические средства и системы ПО Программное обеспечение ПС Программные средства ПЭВМ Персональная ЭВМ ПЭМИН Побочные электромагнитные излучения и наводки РД Руководящий документ PC Рабочая станция сети СЗИ НСД Система защиты от НСД к информации СВТ Средство вычислительной техники СКЗИ Средство криптографической ЗИ СПД Система передачи данных СЦ Ситуационный центр СУБД Система управления базами данных ТЗ Техническое задание ТС Технические средства ТУ Территориальное управление УЦ Удостоверяющий центр ФАП Фонд алгоритмов и программ ФАПСИ Федеральное агентство правительственной связи и информации ФСТЭК Федеральная служба по техническому и экспортному контролю ЦА Центральный аппарат ЦОД Центр обработки данных ЭВМ Электронно-вычислительная машина ЭП Электронная подпись ЭМС Электромагнитная совместимость Приложение 3 ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ - Объект защиты - по ГОСТ Р 50992-96; - Организационный контроль эффективности защиты информации - по ГОСТ Р 50992-96; - Приемо-сдаточные испытания - по ГОСТ 16504-81; - Программа испытаний - по ГОСТ 16504-81; - Средство защиты информации - по ГОСТ Р 50992-96; - Цель защиты информации - по ГОСТ Р 50992-96; Кроме того, применены или нуждаются в описании следующие термины: АДМИНИСТРАТОР БЕЗОПАСНОСТИ - лицо или группа лиц, ответственных за обеспечение безопасности системы, за реализацию и непрерывность соблюдения установленных административных мер защиты и осуществляющих постоянную организационную поддержку функционирования применяемых физических и технических средств защиты; АДМИНИСТРАТОР ЗАЩИТЫ (БЕЗОПАСНОСТИ) ИНФОРМАЦИИ - лицо, ответственное за защиту автоматизированной системы от несанкционированного доступа к информации. АВТОМАТИЗИРОВАННАЯ СИСТЕМА ОБРАБОТКИ ИНФОРМАЦИИ (АС) - организационно-техническая система, представляющая собой совокупность следующих взаимосвязанных компонентов: технических средств обработки и передачи данных (средств вычислительной техники и связи), методов и алгоритмов обработки в виде соответствующего программного обеспечения, массивов (наборов, баз) данных на различных носителях, персонала и пользователей, объединенных по организационно-структурному, тематическому, технологическому или другим по признакам для выполнения автоматизированной обработки данных с целью удовлетворения информационных потребностей государственных органов, общественных или коммерческих организаций (юридических лиц), отдельных граждан (физических лиц) и иных потребителей информации; АТАКА НА АВТОМАТИЗИРОВАННУЮ СИСТЕМУ - любое действие, выполняемое нарушителем, которое приводит к реализации угрозы, путем использования уязвимостей АС; АВТОРИЗОВАННЫЙ СУБЪЕКТ ДОСТУПА - субъект, которому предоставлены соответствующие права доступа к объектам системы (полномочия); АНАЛИЗ РИСКОВ - систематическое использование информации для определения источников и величины рисков; АВТОРИЗАЦИЯ - разграничение доступа в соответствии с совокупностью правил, регламентирующих права доступа субъектов доступа к объектам доступа; АУТЕНТИФИКАЦИЯ - проверка принадлежности субъекту доступа предъявляемого им идентификатора, подтверждение подлинности; БЕЗОПАСНОСТЬ - состояние защищенности жизненно важных интересов личности, предприятия, общества и государства от внутренних и внешних угроз. Безопасность достигается проведением единой политики в области охраны и защиты важных ресурсов, системой мер экономического, политического, организационного и иного характера, адекватных угрозам жизненно важным интересам личности, общества и государства; БЕЗОПАСНОСТЬ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ - достижение требуемого уровня защиты (класса и категории защищенности) объекта информатизации при обработке информации и ее передаче через сети передачи данных (СПД), обеспечивающего сохранение таких ее качественных характеристик (свойств), как: секретность (конфиденциальность), целостность и доступность; БЕЗОПАСНОСТЬ СУБЪЕКТОВ ИНФОРМАЦИОННЫХ ОТНОШЕНИЙ - защищенность субъектов информационных отношений от нанесения им материального, морального или иного ущерба путем воздействия на информацию и/или средства ее обработки и передачи; БЕЗОПАСНОСТЬ АС (компьютерной системы) - защищенность АС от несанкционированного вмешательства в нормальный процесс ее функционирования, а также от попыток хищения, незаконной модификации или разрушения ее компонентов; БЕЗОПАСНОСТЬ ЛЮБОГО КОМПОНЕНТА (РЕСУРСА) АС - складывается из обеспечения трех его характеристик: конфиденциальности, целостности и доступности; Конфиденциальность компонента системы заключается в том, что он доступен только тем субъектам доступа (пользователям, программам, процессам), которым предоставлены на то соответствующие полномочия. Целостность компонента предполагает, что он может быть модифицирован только субъектом, имеющим для этого соответствующие права. Целостность является гарантией корректности (неизменности, работоспособности) компонента в любой момент времени. Доступность компонента означает, что имеющий соответствующие полномочия субъект может в любое время без особых проблем получить доступ к необходимому компоненту системы (ресурсу); БЕЗОПАСНОСТЬ ИНФОРМАЦИОННОЙ ТЕХНОЛОГИИ - защищенность технологического процесса переработки информации; БЕЗОПАСНОСТЬ ИНФОРМАЦИИ - защищенность информации от нежелательного (для соответствующих субъектов информационных отношений) ее разглашения (нарушения конфиденциальности), искажения (нарушения целостности), утраты или снижения степени доступности информации, а также незаконного ее тиражирования; ВНЕШНИЙ ВОЗДЕЙСТВУЮЩИЙ ФАКТОР - воздействующий фактор, внешний по отношению к объекту информатизации; ВНУТРЕННИЙ ВОЗДЕЙСТВУЮЩИЙ ФАКТОР - воздействующий фактор, внутренний по отношению к объекту информатизации; ВРЕДОНОСНЫЕ ПРОГРАММЫ - программы или измененные программы объекта информатизации (ОИ), приводящие к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ОИ; ВСПОМОГАТЕЛЬНЫЕ ТЕХНИЧЕСКИЕ СРЕДСТВА И СИСТЕМЫ (ВТСС) защищаемого объекта информатизации - технические средства и системы, не предназначенные для передачи, обработки и хранения секретной информации, устанавливаемые совместно с ОТСС или в выделенных помещениях. К ним относятся: - различного рода телефонные средства и системы; - средства вычислительной техники; - средства и системы передачи данных в системе радиосвязи; - средства и системы охранной и пожарной сигнализации; - средства и системы оповещения и сигнализации; - контрольно-измерительная аппаратура; - средства и системы кондиционирования; - средства и системы проводной радиотрансляционной сети и приема программ радиовещания и телевидения (абонентские громкоговорители, системы радиовещания; телевизоры и радиоприемники и т.д.); - средства электронной оргтехники; - средства и системы электрочасофикации; ВЫДЕЛЕННЫЕ ПОМЕЩЕНИЯ (ВП ИЛИ ЗП - ЗАЩИЩАЕМЫЕ ПОМЕЩЕНИЯ) - помещения (служебные кабинеты, актовые залы, конференц-залы и т.д.), специально предназначенные для проведения закрытых мероприятий (совещаний, обсуждений, конференций, переговоров и т.п.) в котором циркулирует конфиденциальная речевая информация (по секретным вопросам), а также помещения, оборудованные средствами правительственной связи, иных видов специальной связи; ДОСТУП К РЕСУРСУ - получение субъектом доступа возможности манипулировать (использовать, управлять, изменять характеристики и т.п.) данным ресурсом; ДОСТУП К ИНФОРМАЦИИ - ознакомление с информацией (копирование, тиражирование), ее модификация (корректировка) или уничтожение (удаление); Доступ к информации регламентируется ее правовым режимом и должен сопровождаться строгим соблюдением его требований. Доступ к информации, осуществленный с нарушениями требований ее правового режима, рассматривается как несанкционированный доступ; Доступ к информации - это также возможность получения информации и ее использования; ДОСТУПНОСТЬ ИНФОРМАЦИИ - свойство системы, в которой циркулирует информация (средств и технологии ее обработки), характеризующееся способностью обеспечивать своевременный беспрепятственный доступ к информации субъектов, имеющих на это надлежащие полномочия; ЕСТЕСТВЕННЫЕ УГРОЗЫ - это угрозы, вызванные воздействиями на АС и ее элементы объективных физических процессов или стихийных природных явлений, независящих от человека; ЗАМЫСЕЛ ЗАЩИТЫ - основная идея, раскрывающая состав, содержание, взаимосвязь и последовательность мероприятий, необходимых для достижения цели защиты информации и объекта; ЗАЩИТА ИНФОРМАЦИИ (ЗИ) - деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на информацию (ГОСТ Р 50922-2006); ЗИ это также организационные, правовые, технические и технологические меры по предотвращению угроз информационной безопасности и устранению их последствий (Концепция ИБ РФ). ЗИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА (НСД) - деятельность по предотвращению получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации (ГОСТ Р 50922-2006); ЗАЩИЩАЕМАЯ ИНФОРМАЦИЯ - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации (ГОСТ Р 50922-2006); ЗАЩИЩАЕМЫЕ ОБЪЕКТЫ ИНФОРМАТИЗАЦИИ: - средства и системы информатизации (средства вычислительной техники, автоматизированные системы различного уровня и назначения на базе средств вычислительной техники, в том числе информационно-вычислительные комплексы, сети и системы связи и передачи данных), технические средства приема, передачи и обработки информации (телефонии, звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео-, смысловой и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), используемые для обработки секретной информации; - технические средства и системы, не обрабатывающие непосредственно секретную информацию, но размещенные в помещениях, где обрабатывается (циркулирует) секретная информация; - выделенные помещения, предназначенные для ведения секретных переговоров или в которых размещены средства закрытой телефонной связи; ЗЛОУМЫШЛЕННИК - нарушитель, действующий умышленно из корыстных побуждений; ЖИЗНЕННО ВАЖНЫЕ ИНТЕРЕСЫ - совокупность потребностей, удовлетворение которых необходимо для надежного обеспечения существования и возможности прогрессивного развития субъекта (личности, организации, общества или государства). ФИЗИЧЕСКИЙ КАНАЛ УТЕЧКИ ИНФОРМАЦИИ - неконтролируемый физический путь от источника информации за пределы организации или круга лиц, обладающих охраняемыми сведениями, посредством которого возможно неправомерное (несанкционированное) овладение нарушителем защищаемой информацией; ИИВС - (Интегрированная информационно-вычислительная система) рассматривается как комплекс взаимоувязанных и взаимодействующих информационных подсистем, работающих как в сфере прямого управления Росрыболовства, так и в сфере подведомственных ему организаций. ИНФОРМАЦИЯ В АС - сведения о фактах, событиях, процессах и явлениях в некоторой предметной области, включенные в систему обработки информации, или являющиеся ее результатом в различных формах представления на различных носителях и используемые (необходимые) для оптимизации принимаемых решений в процессе управления объектами данной предметной области; ИСКУССТВЕННЫЕ УГРОЗЫ - это угрозы АС, вызванные деятельностью человека. Среди них, исходя из мотивации действий, можно выделить: - непреднамеренные (неумышленные, случайные) угрозы, вызванные ошибками в проектировании АС и ее элементов, ошибками в программном обеспечении, ошибками в действиях персонала и т.п.; - преднамеренные (умышленные) угрозы, связанные с корыстными устремлениями людей (злоумышленников); ИНФОРМАЦИОННЫЕ СПОСОБЫ НАРУШЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ - включают: - противозаконный сбор, распространение и использование информации; - манипулирование информацией (дезинформация, сокрытие или искажение информации); - незаконное копирование информации (данных и программ); - незаконное уничтожение информации; - хищение информации из баз и банков данных; - нарушение адресности и оперативности информационного обмена; - нарушение технологии обработки данных и информационного обмена. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ - состояние защищенности информационной среды общества, обеспечивающее ее формирование и развитие в интересах граждан, организаций и государства. Также см. "БЕЗОПАСНОСТЬ ИНФОРМАЦИИ" ИНФОРМАЦИЯ - сведения о лицах, предметах, событиях, явлениях и процессах, независимо от формы их представления. Информация может являться объектом публичных, гражданских и иных правовых отношений. Информация может свободно использоваться любым лицом и передаваться одним лицом другому лицу, если федеральными законами не установлены ограничения доступа к информации либо иные требования к порядку ее предоставления или распространения. Информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного распространения). Служебная информация ограниченного распространения без санкции должностного лица, принявшего решение об отнесении ее к разряду ограниченного распространения, не подлежит разглашению (распространению). Информация в зависимости от порядка ее предоставления или распространения подразделяется на: 1) информацию, свободно распространяемую; 2) информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях; 3) информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению; 4) информацию, распространение которой в Российской Федерации ограничивается или запрещается. Законодательством Российской Федерации могут быть установлены виды информации в зависимости от ее содержания или обладателя. ИНФОРМАЦИОННЫЕ РЕСУРСЫ - данные и документированная информация о жизнедеятельности общества, организованная, в базы и банки данных, а также другие формы организации информации. ИНФОРМАЦИОННАЯ СРЕДА - совокупность информационных ресурсов, общества система формирования, распространения и использования информации, информационной инфраструктуры. ИНФОРМАТИВНЫЙ СИГНАЛ - электрические сигналы, акустические, электромагнитные и другие физические поля, по параметрам которых может быть раскрыта секретная информация, передаваемая, хранимая или обрабатываемая в ОТСС и обсуждаемая в ВП; ИНФОРМАЦИОННАЯ ИНФРАСТРУКТУРА - совокупность центров обработки и анализа информации, каналов информационного обмена и телекоммуникации, линий связи, систем и средств защиты информации. ИНФОРМАЦИЯ С ОГРАНИЧЕННЫМ ДОСТУПОМ (Информация ограниченного распространения) - информация, для которой установлен специальный режим сбора, хранения, обработки, распространения и использования. КОМПЬЮТЕРНАЯ ИНФОРМАЦИЯ - информация в виде: - записей в памяти ЭВМ, электронных устройствах, на машинных носителях (элементы, файлы, блоки, базы данных, микропрограммы, прикладные и системные программы, пакеты и библиотеки программ, микросхемы, программно-информационные комплексы и др.), обеспечивающих функционирование объекта информатизации (сети); - сообщений, передаваемых по сетям передачи данных; - программно-информационного продукта, являющегося результатом генерации новой или обработки исходной документированной информации, представляемого непосредственно на экранах дисплеев ОИ, на внешних носителях данных (магнитные диски, магнитные ленты, оптические диски, дискеты, бумага для распечатки и т.п.) или через сети передачи данных; - электронных записей о субъектах прав; КОНФИДЕНЦИАЛЬНОСТЬ ИНФОРМАЦИИ - субъективно определяемая (приписываемая) информации характеристика (свойство), указывающая на необходимость введения ограничений на круг субъектов, имеющих доступ к данной информации, и обеспечиваемая способностью системы (среды) сохранять указанную информацию в тайне от субъектов, не имеющих полномочий на право доступа к ней; обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя; КОНТРОЛИРУЕМАЯ ЗОНА (КЗ) - это пространство, в котором исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового допуска, и посторонних транспортных средств. Границей КЗ могут являться: - периметр охраняемой территории предприятия (учреждения); - ограждающие конструкции охраняемого здания, охраняемой части здания, выделенного помещения. В отдельных случаях на период обработки техническими средствами секретной информации (проведения закрытого мероприятия) КЗ временно может устанавливаться большей, чем охраняемая территория предприятия. При этом должны приниматься организационно-режимные и технические меры, исключающие или существенно затрудняющие возможность ведения перехвата информации в этой зоне; ЗОНА 2 - пространство вокруг ОТСС, на границе и за пределами которого напряженность электромагнитного поля информативного сигнала не превышает нормированного значения; ЗОНА 1 - пространство вокруг ОТСС, на границе и за пределами которого уровень наведенного от ОТСС информативного сигнала в ВТСС, а также в посторонних проводах и линиях передачи информации, имеющих выход за пределы контролируемой зоны, не превышает нормированного значения. ЛИЦЕНЗИЯ В ОБЛАСТИ ЗИ - разрешение на право проведения тех или иных работ в области ЗИ; МОРАЛЬНО-ЭТИЧЕСКИЕ МЕРЫ ЗИ - традиционно сложившиеся в стране или обществе нормы поведения и правила обращения с информацией. Эти нормы большей частью не являются обязательными, как законодательно утвержденные нормы, однако, их несоблюдение ведет обычно к падению авторитета, престижа человека, группы лиц или организации. Морально-этические нормы бывают как неписаные (например, общепризнанные нормы честности, патриотизма и т.п.), так и писаные, то есть оформленные в некоторый свод (устав) правил или предписаний; Информация по документуЧитайте также
Изменен протокол лечения ковида23 февраля 2022 г. МедицинаГермания может полностью остановить «Северный поток – 2»23 февраля 2022 г. ЭкономикаБогатые уже не такие богатые23 февраля 2022 г. ОбществоОтныне иностранцы смогут найти на портале госуслуг полезную для себя информацию23 февраля 2022 г. ОбществоВакцина «Спутник М» прошла регистрацию в Казахстане22 февраля 2022 г. МедицинаМТС попала в переплет в связи с повышением тарифов22 февраля 2022 г. ГосударствоРегулятор откорректировал прогноз по инфляции22 февраля 2022 г. ЭкономикаСтоимость нефти Brent взяла курс на повышение22 февраля 2022 г. ЭкономикаКурсы иностранных валют снова выросли21 февраля 2022 г. Финансовые рынки |
Архив статей
2024 Май
|
