Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
Предоплата всего
Подписываем
5.1.1. Система (подсистема) защиты информации, обрабатываемой в АС различного уровня и назначения, должна предусматривать комплекс организационных, программных, технических средств и мер по защите информации при ее автоматизированной обработке, хранении и передаче по каналам связи.
5.1.2. Основными направлениями защиты информации являются:
обеспечение защиты информации от хищения, утраты, утечки, уничтожения, искажения, подделки и блокирования доступа к ней за счет НСД и специальных воздействий;
обеспечение защиты информации от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи.
5.1.3. В качестве основных мер защиты информации рекомендуются:
документальное оформление перечня сведений конфиденциального характера, в том числе с учетом ведомственной и отраслевой специфики этих сведений;
реализация разрешительной системы допуска исполнителей (пользователей, обслуживающего персонала) к информации и связанным с ее использованием работам, документам;
ограничение доступа персонала и посторонних лиц в ЗП и помещения, где размещены средства информатизации и коммуникационное оборудование, а также хранятся носители информации;
разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;
регистрация действий пользователей АС и обслуживающего персонала, контроль несанкционированного доступа и действий пользователей, обслуживающего персонала и посторонних лиц;
учет и надежное хранение бумажных и машинных носителей конфиденциальной информации и их обращение, исключающее хищение, подмену и уничтожение;
использование сертифицированных по требованиям безопасности информации специальных защитных знаков, создаваемых на основе физико-химических технологий для контроля доступа к объектам защиты и для защиты документов от подделки;
резервирование технических средств, дублирование массивов и носителей информации;
использование сертифицированных серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации;
использование технических средств, удовлетворяющих требованиям стандартов по электромагнитной совместимости;
использование сертифицированных средств защиты информации;
размещение объектов защиты на максимально возможном расстоянии от границы КЗ;
размещение понижающих трансформаторных подстанций электропитания и контуров заземления объектов защиты в пределах КЗ;
использование сертифицированных систем гарантированного электропитания (источников бесперебойного питания);
развязка цепей электропитания объектов защиты с помощью сетевых помехоподавляющих фильтров, блокирующих (подавляющих) информативный сигнал;
электромагнитная развязка между информационными цепями, по которым циркулирует защищаемая информация и линиями связи, другими цепями ВТСС, выходящими за пределы КЗ;
использование защищенных каналов связи;
размещение дисплеев и других средств отображения информации, исключающее ее несанкционированный просмотр;
организация физической защиты помещений и собственно технических средств обработки информации с использованием технических средств охраны, предотвращающих или существенно затрудняющих проникновение в здания, помещения посторонних лиц, хищение документов и носителей информации, самих средств информатизации;
предотвращение внедрения в АС программ-вирусов, программных закладок.
5.1.4. В целях дифференцированного подхода к защите информации, обрабатываемой в АС различного уровня и назначения, осуществляемого в целях разработки и применения необходимых и достаточных мер, оптимизации выбора средств защиты информации и затрат на защиту информации, проводится классификация автоматизированных систем (форма акта классификации АС приведена в приложении № 7).
5.1.5. Классификация АС осуществляется на основании требований РД Гостехкомиссии России и настоящего раздела документа.
5.1.6. Классификации подлежат действующие, но ранее не классифицированные, а также разрабатываемые АС, предназначенные для обработки конфиденциальной информации.
5.1.7. Если классифицированная АС интегрируется в состав вычислительной сети или системы, то классификации подлежит образуемая в результате интеграции вычислительная сеть.
Если объединяются АС различных классов защищенности, то интегрированная АС должна классифицироваться по высшему классу защищенности входящих в нее АС. Исключением является случай их объединения посредством межсетевого экрана, когда каждая из объединяющихся АС может сохранять свой класс защищенности. Требования к используемым при этом межсетевым экранам изложены в подразделе 5.7.
5.1.8. При рассмотрении и определении режима обработки данных в АС учитывается, что индивидуальным (монопольным) режимом обработки считается режим, при котором ко всей обрабатываемой информации и ее носителям допущен только один пользователь.
Режим, при котором различные пользователи, в т.ч. обслуживающий персонал и программисты, работают в одной АС, рассматривается как коллективный.
Индивидуальным режимом работы считается также последовательный во времени режим работы различных пользователей и обслуживающего персонала, при котором в АС физически отсутствует информация других пользователей. В противном случае такой режим работы считается многопользовательским.
5.1.9. В случае, когда признаки классифицируемой АС (п. 1.7. РД Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации») не совпадают с предложенными в РД (п. 1.9) группами по особенностям обработки информации в АС, то при классификации выбирается наиболее близкая группа защищенности с предъявлением к АС соответствующих дополнительных требований по защите информации. (Например, однопользовательская АС с информацией различного
уровня конфиденциальности не может быть отнесена к 3 группе защищенности. Однако если дополнительно реализовать в такой системе управление потоками информации, то необходимый уровень защиты будет обеспечен).
5.1.10. Конкретные требования по защите информации и мероприятия по их выполнению определяются в зависимости от установленного для АС класса защищенности. Требования к классам защищенности определены РД Гостехкомиссии России.
5.1.11. Лица, допущенные к автоматизированной обработке информации, несут ответственность за соблюдение ими установленного в организации порядка обеспечения защиты этой информации.
Для получения доступа к информации они должны изучить требования настоящего документа, других нормативных документов по защите информации, действующих в организации, в части их касающейся.
5.2.1. Организация, состав и содержание проводимых работ по защите информации, организационно-распорядительной, проектной и эксплуатационной документации должны отвечать требованиям раздела 3 настоящего документа.
5.2.2. В организации должны быть документально оформлены перечни сведений конфиденциального характера, подлежащих защите. Эти перечни могут носить как обобщающий характер в области деятельности организации, так и иметь отношение к какому-либо отдельному направлению работ. Все исполнители должны быть ознакомлены с этими перечнями в части, их касающейся.
5.2.3. АС, обрабатывающие конфиденциальную информацию, должны защищаться в соответствии с требованиями настоящего документа и РД Гостехкомиссии России.
Так, АС, обрабатывающие информацию, содержащую сведения, составляющие служебную тайну, или персональные данные, должны иметь класс защищенности не ниже 3Б, 2Б и 1Г. и 3Б, 2Б и 1Д соответственно.
По решению руководителя организации могут быть приняты дополнительные меры по защите от НСД информации обрабатываемой в АС. Например, в АС может быть введено управление потоками информации и сигнализация попыток нарушения защиты.
5.2.4. Для обработки информации, содержащей сведения, составляющие служебную тайну, или персональные данные, следует использовать СВТ, удовлетворяющие требованиям стандартов Российской Федерации по электромагнитной совместимости, по безопасности, по санитарным нормам, предъявляемым к видеодисплейным терминалам ПЭВМ, например, ГОСТ 29216-91, ГОСТ Р 50948-96, ГОСТ Р 50949-96, ГОСТ Р 50923-96, СанПиН 2.2.2.542-96.
Для повышения уровня защищенности информации рекомендуется использовать сертифицированные по требованиям безопасности информации СВТ.
5.2.5. Для передачи информации по каналам связи, выходящим за пределы КЗ, необходимо использовать защищенные каналы связи, в том числе защищенные волоконно-оптические линии связи, а при использовании открытых каналов связи, применять криптографические средства защиты информации. Применяемые средства защиты информации должны быть сертифицированы.
5.2.6. Носители информации на магнитной (магнито-оптической), оптической и бумажной основе должны учитываться, храниться и уничтожаться в подразделениях организаций в установленном порядке.
5.2.7. Доступ к информации исполнителей (пользователей, обслуживающего персонала) осуществляется в соответствии с разрешительной системой допуска
исполнителей к документам и сведениям конфиденциального характера, действующей в организации.
5.2.8. При необходимости указанный минимальный набор рекомендуемых организационно-технических мер защиты информации может быть расширен по решению руководителя организации.
Решение о составе и содержании мероприятий, а также используемых средств защиты информации принимается руководителем организации по результатам обследования создаваемой (модернизируемой) АС с учетом важности (ценности) защищаемой информации.
5.3.1. Эксплуатация АС и СЗИ в ее составе осуществляется в соответствии с установленным в организации порядком, в том числе технологическими инструкциями по эксплуатации СЗИ НСД для пользователей, администраторов АС и работников службы безопасности.
5.3.2. Для обеспечения защиты информации в процессе эксплуатации АС рекомендуется предусматривать соблюдение следующих основных положений и требований:
допуск к защищаемой информации лиц, работающих в АС (пользователей, обслуживающего персонала), должен производиться в соответствии с порядком, установленным разрешительной системой допуска;
на период обработки защищаемой информации в помещениях, где размещаются ОТСС, могут находиться только лица, допущенные в установленном порядке к обрабатываемой информации, допуск других лиц для проведения необходимых профилактических или ремонтных работ может осуществляться в эти помещения только с разрешения руководителя организации или руководителя службы безопасности;
в случае размещения в одном помещении нескольких технических средств отображения информации должен быть исключен несанкционированный просмотр выводимой на них информации;
по окончании обработки информации пользователь обязан произвести стирание остаточной информации на несъёмных носителях (жестких дисках) и в оперативной памяти. Одним из способов стирания остаточной информации в оперативной памяти является перезагрузка ПЭВМ;
изменение или ввод новых программ обработки защищаемой информации в АС должен осуществляться совместно разработчиком АС и администратором АС, при этом АС подлежит переаттестации;
при увольнении или перемещении администраторов АС руководителем организации по согласованию со службой безопасности должны быть приняты меры по оперативному изменению паролей и идентификаторов.
5.3.3. Все носители информации на бумажной, магнитной, оптической (магнито-оптической) основе, используемые в технологическом процессе обработки информации в АС, подлежат учету в соответствующем подразделении.
5.3.4. Учет съемных носителей информации (гибкие магнитные диски, съемные накопители информации большой емкости или картриджи, съемные пакеты дисков, иные магнитные, оптические или магнито-оптические диски, магнитные ленты и т.п.), а также распечаток текстовой, графической и иной информации на бумажной или пластиковой (прозрачной) основе осуществляется по карточкам или журналам установленной формы, в
том числе автоматизировано с использованием средств вычислительной техники. Журнальная форма учета может использоваться в АС с небольшим объемом документооборота.
5.3.5. Съемные носители информации на магнитной или оптической основе, в зависимости от характера или длительности использования, допускается учитывать совместно с другими документами по установленным для этого учетным формам.
При этом перед выполнением работ сотрудником, ответственным за их учет, на этих носителях информации предварительно проставляются любым доступным способом следующие учетные реквизиты: учетный номер и дата, пометка «Для служебного пользования», «Коммерческая тайна» и т.п., номер экземпляра, подпись этого сотрудника, а также другие возможные реквизиты, идентифицирующие носитель информации.
5.3.6. Распечатки допускается учитывать совместно с другими традиционными печатными документами по установленным для этого учетным формам.
5.3.7. Временно не используемые носители информации должны храниться пользователем в местах, недоступных для посторонних лиц.
5.4.1. Автоматизированные системы могут быть выполнены в виде автоматизированных рабочих мест (АРМ) на базе автономных ПЭВМ с необходимым для решения конкретных задач периферийным оборудованием (принтер, сканер, внешние накопители и т.п.).
Порядок разработки и эксплуатации АРМ на базе автономных ПЭВМ по составу и содержанию проводимых работ в части защиты информации, организационно-распорядительной, проектной и эксплуатационной документации должны отвечать требованиям настоящего документа.
5.4.2. Автоматизированные рабочие места на базе автономных ПЭВМ подлежат классификации в соответствии с требованиями РД Гостехкомиссии России и настоящего документа.
5.4.3. При использовании на АРМ технологии обработки информации на съемных накопителях большой емкости, классификация АС производится на основании анализа режима доступа пользователей АС к информации на используемом съемном накопителе (либо одновременно используемом их комплексе).
5.5.1. Технология обработки информации с использованием съемных накопителей информации большой емкости предусматривает запись на съемный накопитель прикладного программного обеспечения (или его части) и обрабатываемой информации пользователя.
В качестве устройств для работы по этой технологии могут быть использованы накопители на магнитном, магнито - оптическом дисках различной конструкции, как встроенные (съемные), так и выносные. Одновременно может быть установлено несколько съемных накопителей информации большой емкости.
Основной особенностью применения такой технологии для АРМ на базе автономных ПЭВМ, с точки зрения защиты информации, является исключение хранения информации на ПЭВМ в нерабочее время.
Эта технология может быть использована для обработки защищаемой информации без применения сертифицированных средств защиты информации от НСД и использования средств физической защиты помещений с АРМ.
5.5.2. На стадии предпроектного обследования необходимо провести детальный анализ технологического процесса обработки информации, обращая внимание, прежде всего, на технологию обмена информацией (при использовании съемных накопителей информации большой емкости или гибких магнитных дисков с другими АРМ, как использующими, так и не использующими эту технологию, на создание условий, исключающих запись информации на неучтенные носители информации, несанкционированное ознакомление с этой информацией, на организацию выдачи информации на печать.
5.5.3. Обмен конфиденциальной информацией между АРМ должен осуществляться только на учтенных носителях информации с учетом допуска исполнителей, работающих на АРМ, к передаваемой информации.
5.5.4. На рабочих местах исполнителей, работающих по этой технологии, во время работы не должно быть неучтенных накопителей информации.
В случае формирования конфиденциальных документов с использованием открытой текстовой и графической информации, представленной на накопителях информации, такие накопители информации должны быть «закрыты на запись».
Условия и порядок применения таких процедур должны быть отражены в технологии обработки информации.
5.5.5. При использовании в этой технологии современных средств вычислительной техники, оснащенных энергонезависимой, управляемой из вне перезаписываемой памятью, перед началом работ с конфиденциальной информацией при загрузке ПЭВМ рекомендуется выполнить процедуру проверки целостности перезаписываемой памяти. При обнаружении нарушения целостности перезаписываемой памяти необходимо, поставить об этом в известность руководителя подразделения и службу безопасности.
5.5.6. Должна быть разработана и по согласованию со службой безопасности утверждена руководителем организации технология обработки конфиденциальной информации, использующая съемные накопители информации большой емкости и предусматривающая выполнение вышеуказанных и других требований по защите информации, учитывающих условия размещения, эксплуатации АРМ, учет носителей информации, а также другие требования, вытекающие из особенностей функционирования АРМ.
5.6.1. Характерными особенностями ЛВС являются распределенное хранение информации, ее удаленная обработка и передача, а также сложность проведения контроля за работой пользователей и общей защищенностью ЛВС.
5.6.2. Конфиденциальная информация может обрабатываться только в ЛВС, расположенных в пределах КЗ, или при соблюдении условий, изложенных в подпунктах 5.7.4 и 5.7.5 настоящего документа.
5.6.3. Средства защиты информации от НСД должны использоваться во всех узлах ЛВС, независимо от наличия (отсутствия) конфиденциальной информации в данном узле ЛВС, и требуют постоянного квалифицированного контроля настроек СЗИ администратором безопасности информации.
5.6.4. Класс защищенности ЛВС определяется в соответствии с требованиями действующих РД Гостехкомиссии России.
5.6.5. Для управления, контроля защищенности ЛВС и распределения системных ресурсов в ЛВС, включая управление средствами защиты информации, обрабатываемой (хранимой, передаваемой) в ЛВС, должны использоваться соответствующие сертифицированные по требованиям безопасности информации средства защиты.
5.6.6. Состав пользователей ЛВС устанавливается письменным распоряжением руководителя организации (структурного подразделения) и должен контролироваться. Все изменения состава пользователей, их прав и привилегий должны регистрироваться.
5.6.7. Каждый администратор и пользователь должен иметь уникальные идентификатор и пароль.
5.7.1. Положения данного подраздела относятся к взаимодействию ЛВС, ни одна из которых не имеет выхода в сеть общего пользования типа Internet.
5.7.2. Контроль взаимодействия ЛВС с другими вычислительными сетями должен быть постоянным и осуществляться с использованием сертифицированных по требованиям безопасности информации средств контроля (средств обнаружения вторжений, мониторинга сети, активного аудита и т.п.) Коммуникационное оборудование и все точки соединения с локальными периферийными устройствами ЛВС должны располагаться в пределах КЗ.
5.7.3. При конфигурировании коммуникационного оборудования (маршрутизаторов, концентраторов, мостов и мультиплексоров) рекомендуется разделять трафик отдельных сетевых фрагментов с учетом решаемых задач пользователей ЛВС.
5.7.4. Подключение ЛВС к другой автоматизированной системе (локальной или распределенной вычислительной сети) должно осуществляться с использованием МЭ, требования к которым определяются РД Гостехкомиссии России.
Например, для защиты АС при ее взаимодействии с другой АС по каналам связи необходимо использовать:
- в АС класса 1Г – МЭ не ниже класса 4;
- в АС класса 1Д и 2Б, ЗБ – МЭ класса 5 или выше.
5.7.5. Для защиты конфиденциальной информации, передаваемой между АС по каналам связи, выходящим за пределы КЗ, необходимо использовать защищенные каналы связи, включая доверенные каналы и защищенные волоконно-оптические линии связи, а при использовании открытых каналов связи - сертифицированные ФАПСИ криптографические средства защиты информации.
5.8.1. При работе с системами управления базами данных (СУБД) и базами данных (БД) необходимо учитывать следующие особенности защиты информации от НСД:
в БД может накапливаться большой объем интегрированной информации по различным тематическим направлениям, предназначенной для различных пользователей;
БД могут быть физически распределены по различным устройствам и узлам сети;
БД могут включать различную конфиденциальную информацию;
разграничение доступа пользователей к объектам БД (таблицам, схемам, процедурам, записям, полям записей в базах данных и т.п.), может осуществляться только средствами СУБД;
регистрация действий пользователей при работе с объектами БД может осуществляться и средствами СУБД, если таковые имеются;
СУБД могут обеспечивать одновременный доступ многих пользователей (клиентов) к БД с помощью сетевых протоколов, при этом запросы пользователя к БД обрабатываются на сервере и результаты обработки направляются пользователям (клиентам).
5.8.2. С учетом указанных особенностей при создании БД рекомендуется:
при выборе СУБД ориентироваться на операционные системы и СУБД, включающие штатные сертифицированные средства защиты информации от НСД либо имеющие соответствующие сертифицированные дополнения в виде СЗИ НСД;
при использовании современных СУБД, основанных на модели клиент-сервер, использовать их штатные средства защиты информации от НСД, применять средства регистрации (аудита) и разграничение доступа к объектам БД на основе прав, привилегий, ролей, представлений (VIEW), процедур и т.п.
6.1.2. Основными целями абонентов Сети являются:
получение общедоступной информации из Сети;
обеспечение удаленного доступа к ресурсам АП своей организации;
обеспечение межсетевого взаимодействия отдельных АП одной организации через Сеть;
обеспечение межсетевого взаимодействия АП разных организаций через Сеть.
6.1.3. Основными угрозами безопасности информационных ресурсов АП являются:
a) НСД к информационным ресурсам АП с целью нарушения их конфиденциальности, целостности, доступности, используя следующие методы реализации угрозы:
маскировка под уполномоченного абонента Сети на основе активного или пассивного перехвата данных аутентификации;
маскировка под уполномоченного абонента Сети на основе подделки сетевых адресов;
маскировка использования запрещенного сервиса под использование разрешенного сервиса;
внедрение компьютерных вирусов или других вредоносных программ.
б) НСД к информации о структуре, разрешенных сервисах, способах их реализации и существующих уязвимостях АП путем перехвата сетевых пакетов и анализа их содержания;
в) блокировка межсетевого взаимодействия путем нарушения целостности данных о настройках коммуникационного оборудования, обеспечивающего взаимодействие АП с Сетью.
6.1.4. Методами обеспечения безопасности информации при взаимодействии АП с Сетью являются:
межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для скрытия структуры АП;
мониторинг вторжений в ЛВС, нарушающих или создающих предпосылки к нарушению установленных в организации требований по защите информации;
анализ защищенности АП, предполагающий применение специализированных программных средств (сканеров безопасности), позволяющих осуществлять анализ защищенности АП;
шифрование информации при ее передаче по Сети, а также использование электронно-цифровой подписи для контроля целостности и подтверждения подлинности отправителя и/или получателя информации;
использование смарт-карт, электронных замков и других носителей информации для надежной идентификации и аутентификации пользователей;
использование средств антивирусной защиты;
централизованное управление системой информационной безопасности АП.
6.2.1. Обоснование необходимости подключения АП к Сети должно содержать:
наименование Сети, к которой осуществляется подключение, и реквизиты провайдера Сети;
состав технических и программных средств, входящих в состав АП;
предполагаемые виды работ и используемые прикладные сервисы Сети (E-Mail, FTP, Telnet, HTTP и т.п.) для АП;
режим подключения АП к Сети (постоянный, в т.ч. круглосуточный, временный);
меры и средства защиты информации от НСД, которые будут применяться на АП, организация-изготовитель, сведения о сертификации, конфигурация, правила работы с ними;
перечень сведений конфиденциального характера, обрабатываемых (хранимых) на АП, подключаемых к Сети.
6.3.1. Ответственность за выполнение мероприятий по защите информации при подключении АП к Сети несет руководитель организации.
6.3.2. Допуск к работам на АП с определением полномочий пользователей и порядок контроля за выполнением мероприятий по обеспечению безопасности информации оформляется приказом по организации.
6.3.3. Для выполнения мероприятий по обеспечению безопасности информации при подключении к Сети и контроля их эффективности приказом по организации назначается администратор безопасности.
6.3.4. К работе на АП не допускаются лица, не ознакомленные с требованиями по безопасности информации.
6.3.5. В организации рекомендуется осуществлять учет пользователей АП.
6.3.6. Мероприятия по обеспечению безопасности информации должны быть отражены в инструкциях, определяющих:
порядок подключения АП к Сети;
порядок изменения состава и конфигурации технических и программных средств АП;
порядок допуска и регистрации пользователей АП;
порядок оформления разрешений для пользователей АП на обмен информацией в Сети;
порядок установки и настройки на АП программного обеспечения, его обновления;
порядок применения средств защиты от НСД на АП и при организации взаимодействия с Сетью;
порядок работы пользователей с описанием всех разрешенных видов и способов взаимодействия с Сетью;
обязанности и ответственность пользователей и администратора безопасности при взаимодействии с Сетью;
порядок контроля за выполнением мероприятий по обеспечению защиты информации и работой пользователей.
6.3.7. Пользователи АП обязаны:
знать и выполнять требования инструкций по обеспечению безопасности информации на АП;
знать порядок работы на АП;
знать и соблюдать правила работы со средствами защиты информации от НСД, используемыми на АП.
6.3.8. Для приемки в эксплуатацию АП приказом по организации назначается аттестационная комиссия, проверяющая выполнение установленных настоящим документом рекомендаций.
6.3.9. По результатам работы комиссии оформляется заключение, в котором отражаются:
типы и номера технических средств рабочих мест АП, их состав и конфигурация;
состав общего и специального программного обеспечения, настройки, конфигурация средств, используемых для взаимодействия с Сетью;
перечень мероприятий по обеспечению защиты информации, проведенных при установке технических средств и программного обеспечения;
перечень установленных средств защиты информации, средств антивирусной защиты, инструкций по обеспечению защиты информации на АП.
6.3.10. При работе с Сетью необходимо исключить:
подключение технических средств (серверы, рабочие станции), имеющих выход в Сеть, к другим техническим средствам (Сетям), не определенным в обосновании подключения к Сети;
изменение состава и конфигурации программных и технических средств АП без санкции администратора безопасности.
6.3.11. Контроль за выполнением мероприятий по обеспечению защиты информации на АП возлагается на администратора безопасности, руководителей соответствующих подразделений, определенных приказом по организации.
6.3.12. Рекомендации по обеспечению безопасности информации при подключении АП к Сети с целью получения общедоступной информации из Сети
6.3.12.1. Для обеспечения защиты информационных ресурсов АП при подключении к Сети необходимо:
обеспечивать фильтрацию входящих/исходящих сетевых пакетов по правилам, заданным администратором безопасности;
скрывать внутреннюю структуру АП;
осуществлять периодический анализ безопасности установленных МЭ на основе имитации внешних атак на АП;
осуществлять активный аудит безопасности АП (узлов, сегментов, сетевого оборудования и т.д.) на предмет обнаружения в режиме реального времени несанкционированной сетевой активности;
осуществлять анализ принимаемой из Сети информации, в том числе на наличие компьютерных вирусов.
6.3.12.2. Для реализации сформулированных рекомендаций могут применяться следующие основные типы программных и программно-технических средств:
межсетевые экраны;
системы обнаружения вторжений;
средства анализа защищенности АП;
специализированные комплексы защиты и анализа защищенности информации.
6.3.13. Рекомендации по обеспечению безопасности информации при удаленном доступе к ресурсам АП
6.3.13.1. Для обеспечения безопасности информационных ресурсов при удаленном доступе к АП через Сеть необходимо:
осуществлять проверку подлинности отправителя (удаленного пользователя) и целостности передаваемых по Сети данных;
реализовать управление доступом к защищаемым ресурсам АП;
использовать атрибуты безопасности.
В соответствии с установленными в организации требованиями по безопасности информации могут предъявляться дополнительные требования.
6.3.13.2. Сервисы безопасности, не определенные в установленных в организации требованиях по защите информации, не должны предоставляться программными, программно-техническими средствами удаленного пользователя и АП организации.
6.3.13.3. Для реализации сформулированных рекомендаций могут применяться следующие основные типы программных и программно-технических средств:
средства построения виртуальных частных сетей;
средства реализации и/или поддержки инфраструктуры открытых ключей;
средства хранения идентификационных/аутентификационных признаков пользователей.
6.3.14. Рекомендации по обеспечению безопасности информации при межсетевом взаимодействии отдельных АП одной организации через Сеть
6.3.14.1. Для обеспечения безопасности информационных ресурсов при межсетевом взаимодействии отдельных АП одной организации через Сеть необходимо:
создать доверенный канал между взаимодействующими объектами (субъектами) через Сеть;
осуществлять аутентификацию взаимодействующих объектов (субъектов) и проверку подлинности отправителя и целостности передаваемых по Сети данных.
В соответствии с установленными в организации требованиями по безопасности информации могут предъявляться дополнительные требования.
6.3.14.2. Сервисы безопасности, не определенные в установленных в организации требованиях по защите информации, не должны предоставляться программно-техническими средствами АП организации.
6.3.14.3. Для реализации сформулированных рекомендаций могут применяться следующие основные типы программных и программно-технических средств:
средства построения виртуальных частных сетей;
средства защиты от НСД к информации – для управления доступом к программному обеспечению и устройствам, реализующим функции создания защищенного канала;
средства хранения идентификационных/аутентификационных признаков пользователей.
6.3.15.1. Кроме рекомендаций, сформулированных в п.6.3.14, дополнительно необходимо обеспечить:
предотвращение возможности отрицания отправителем информации факта ее отправки получателю;
предотвращение возможности отрицания получателем информации факта получения этой информации.
Примечание:
1. Порядок использования средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, определяется Положением ПКЗ-99, утвержденным приказом ФАПСИ от 23 сентября 1999 г. № 158 и зарегистрированным Министерством юстиции Российской Федерации за № 2029 от 28 декабря 1999 г.
2. По решению руководителя организации могут быть приняты дополнительные технические меры по обеспечению безопасности конфиденциальной информации, содержащейся в негосударственных информационных ресурсах организации, при подключении и взаимодействии АП с Сетью.
Для служебного пользования
Экз. №
Утверждаю
Руководитель организации
_______________
(Ф. И. О.)
“___” ___________ ______ г.
ПЕРЕЧЕНЬ
сведений конфиденциального характера
|
№ п/п |
Наименование сведений |
Типы документов, где возможно появление сведений конфиденциального характера |
|
1. |
Сведения раскрывающие систему, средства защиты информации ЛВС предприятия от НСД, а также значения действующих кодов и паролей. |
Руководство по защите конфиденциальной информации предприятия (учреждения). |
|
2. |
Сводный перечень работ предприятия на перспективу, на год (квартал). |
План работ предприятия на перспективу. |
|
3. |
Сведения, содержащиеся в лицевых счетах пайщиков страховых взносов. |
ст. 6, п. 2 ФЗ РФ "Об индивидуальном (персонифицированном) учете в системе государственного пенсионного страхования". |
|
4. |
Сведения, содержащиеся в индивидуальном лицевом счете застрахованного лица. |
ст. 6, п. 2 ФЗ РФ "Об индивидуальном (персонифицированном) учете в системе государственного пенсионного страхования". |
|
5. |
Основные показатели задания на проектирование комплекса (установки). НОУ-ХАУ технологии - различные технические, коммерческие и другие сведения, оформленные в виде технической документации. |
ТТЗ и ТЭО. Техническая документация с пометкой "Для служебного пользования". |
|
6. |
Методические материалы, типовые технологические и конструктивные решения, разработанные на предприятии и используемые при проектировании. |
Методики, проектная и конструкторская документация. |
|
7. |
Требования по обеспечению сохранения служебной тайны при выполнении работ на предприятии. |
План работ предприятия на перспективу. Раздел ТТЗ на НИР (НИОКР). |
|
8. |
Порядок передачи служебной информации ограниченного распространения другим организациям. |
Руководство по защите конфиденциальной информации предприятия (учреждения). |
УТВЕРЖДАЮ
Руководитель организации
________________(Ф.И.О.)
"___"___________ _____г.
ТЕХНИЧЕСКИЙ ПАСПОРТ
_________________________________________________
(указывается полное наименование автоматизированной системы)
СОГЛАСОВАНО РАЗРАБОТАЛ
_______________________ ____________________
(Представитель подразделения
по защите информации)
"___"_________ ____ г.
(Год)
1. Общие сведения об АС
1.1.Наименование АС:_____________________________________________________
(полное наименование АС)
1.2. Расположение АС:
___________________________________________________________________
(адрес, здание, строение, этаж, комнаты)
1.3. Класс АС:
(номер и дата акта классификации АС, класс АС)
2. Состав оборудования АС
2.1. Состав ОТСС:
Таблица 1
П Е Р Е Ч Е Н Ь
основных технических средств и систем,
входящих в состав АС___________________
|
№ п/п |
Тип ОТСС |
Заводской номер |
Сведения по сертификации, специсследованиям и спецпроверкам |
2.2. Состав ВТСС объекта:
Таблица 2
П Е Р Е Ч Е Н Ь
вспомогательных технических средств, входящих в состав АС ___
_________________________ (средств вычислительной техники, не участвующих в обработке конфиденциальной информации)
|
№ п/п |
Тип ВТСС |
Заводской номер |
Примечание |
2.3. Структура, топология и размещение ОТСС относительно границ контролируемой зоны объекта:
структурная (топологическая) схема с указанием информационных связей между устройствами; схема размещения и расположения ОТСС на объекте с привязкой к границам контролируемой зоны, схема прокладки линий передачи конфиденциальной информации с привязкой к границам контролируемой зоны объекта.
2.4. Системы электропитания и заземления:
схемы электропитания и заземления ОТСС объекта. Схемы прокладки кабелей и шины заземления. Схемы расположения трансформаторной подстанции и заземляющих устройств с привязкой к границам контролируемой зоны объекта. Схемы электропитания розеточной и осветительной сети объекта. Сведения о величине сопротивления заземляющего устройства.
2.5. Состав средств защиты информации:
Таблица 3
ПЕРЕЧЕНЬ
средств защиты информации, установленных на АС __________
|
№ п/п |
Наименование и тип технического средства |
Заводской номер |
Сведения о сертификате |
Место и дата установки |
3. Сведения об аттестации объекта информатизации на соответствие требованиям по безопасности информации:
инвентарные номера аттестата соответствия, заключения по результатам аттестационных испытаний, протоколов испытаний и даты их регистрации.
4. Результаты периодического контроля.
Таблица 4
|
Дата проведения |
Наименование организации, проводившей проверку |
Результаты проверки, номер отчетного документа |
Лист регистрации изменений