- •Организационное обеспечение информационной безопасности
- •Введение
- •Раздел 1. Основы организации обеспечения информационной безопасности и зи
- •1.1. Основные положения концепции обеспечения информационной безопасности рф
- •1.2. Распределение полномочий по обеспечению информационной безопасности в рф
- •1.3. Научно-технические проблемы, требующие скоординированных действий различных органов государственной власти
- •1.4. Технологическая схема организации зи
- •1.4.1. Организационно-правовое обеспечение информационной безопасности
- •1.4.2. Инженерно-технические методы и средства защиты информации
- •1.4.3. Программные и программно-аппаратные методы и средства обеспечения информационной безопасности
- •1.5. Сбор информации о защищаемых объектах
- •1.6. Оценка состояния безопасности информации
- •1.7. Определение целей и задач зи. Принятие решений по зи
- •1.8. Планирование и организация выполнения мероприятий по зи
- •Раздел 2. Система документов в области обеспечения информационной безопасности и защиты информации
- •2.1. Обоснование необходимой и достаточной системы документов в области зи. Общегосударственные документы
- •2.2. Организационно-распорядительные документы
- •2.3. Специальные нормативные документы фстэк России по вопросам защиты информации от технических разведок, несанкционированного доступа и несанкционированных воздействий на информацию
- •2.3.1. Комплексная защита
- •2.3.2. Физическая защита объектов
- •2.3.3. Противодействие техническим разведкам
- •2.3.4. Защита информации от ее утечки по техническим каналам
- •2.3.5. Защита информации от несанкционированного доступа
- •2.3.6. Нормативные документы государственной системы стандартизации
- •Раздел 3. Определение целей и задач обеспечения информационной безопасности и защиты информации
- •3.2. Обоснование целей и задач зи. Показатели эффективности достижения целей и решения задач зи
- •3.3. Обоснование перечней охраняемых сведений об объектах защиты. Обоснование перечней защищаемых информационных ресурсов. Обоснование требований по защите объектов
- •Раздел 4. Лицензирование деятельности в области зи
- •4.1. Правовые основы лицензирование деятельности в области зи
- •4.2. Структура системы лицензирования, функции ее органов
- •4.2.1.Организационная структура системы государственного лицензирования деятельности предприятий в области защиты информации
- •4.2.2. Государственные органы по лицензированию в пределах своей компетенции осуществляют следующие функции
- •4.2.3. Лицензионные центры осуществляют следующие функции
- •4.2.4. Лицензиаты обязаны
- •4.3. Порядок проведения лицензирования. Распределений полномочий по лицензированию деятельности в области зи между федеральными органами государственной власти
- •4.3.1. Порядок проведения лицензирования предприятий-заявителей в области защиты информации включает следующие действия
- •4.3.1.1. Экспертиза предприятия-заявителя
- •4.3.1.2. Заявление на получение лицензии
- •4.3.1.3. Оформление лицензии и ее выдача
- •4.3.1.4. Рассмотрение спорных вопросов
- •4.3.1.5. Досрочное приостановление или прекращение действия лицензии
- •4.3.1.6. Учёт лицензиатов
- •4.3.2. Контроль и надзор за полнотой и качеством проводимых лицензиатами работ в области защиты информации
- •Раздел 5. Сертификация средств зи
- •5.1. Правовые основы сертификации зи
- •5.2. Структура системы сертификации, функции ее органов. Распределений полномочий по сертификации средств зи между федеральными органами государственной власти
- •5.3. Порядок сертификации зи
- •Раздел 6. Аттестация объектов информатизации по требованиям безопасности информации
- •6.1. Правовые основы аттестации объектов информатизации по требованиям безопасности информации
- •6.2. Структура системы аттестации, функции ее органов. Распределений полномочий по аттестации между федеральными органами государственной власти
- •6.3. Порядок аттестации объектов информатизации органов управления, промышленных объектов, систем информатизации и связи
- •Раздел 7. Подготовка (переподготовка) и повышение квалификации специалистов в области зи
- •7.1. Правовые основы подготовки специалистов в области зи
- •7.2. Система учебных заведений. Перечень специальностей. Основные нормативные документы по подготовке специалистов в области зи
- •7.2.1. Специальность 090102 "Компьютерная безопасность"
- •7.2.2. Специальность 090105 “Комплексное обеспечение информационной безопасности”
- •7.2.3. Специальность 090106 “Информационная безопасность телекоммуникационных систем”
- •Раздел 8. Организация контроля состояния зи
- •8.1. Правовые основы контроля состояния зи
- •8.2. Основные организационно-распорядительные и нормативные документы по контролю состояния зи
- •8.3. Цели и задачи контроля
- •8.4. Формы контроля: межведомственный контроль; ведомственный контроль; контроль, осуществляемый собственником информации
- •239 8.5. Органы контроля
- •8.6. Контроль организации и эффективности зи
- •8.7. Нарушения установленных требований и норм зи
- •Раздел 9. Организация зи на объектах органов государственной власти и управления
- •9.1. Требования к содержанию Руководств по зи на объекте
- •9.2. Цели и задачи зи. Определение защищаемых информационных ресурсов
- •9.3. Оценка возможностей технических разведок и других источников угроз безопасности информации
- •9.4. Разработка организационных и технических мероприятий по зи
- •9.5. Аттестация объектов информатизации по требованиям безопасности информации.
- •Раздел 10. Организация зи в системах и средствах информатизации и связи
- •10.1. Объекты защиты. Цели и задачи зи
- •10.2. Оценка возможностей технических разведок и других источников угроз безопасности информации
- •10.3. Разработка организационных и технических мероприятий по зи
- •10.4. Контроль состояния зи в системах и средствах информатизации и связи
- •Заключение
- •Библиографический список
- •394026 Воронеж, Московский просп., 14.
10.2. Оценка возможностей технических разведок и других источников угроз безопасности информации
Мероприятия по технической защите информации от ее утечки по техническим каналам направлены на исключение или существенное затруднение получения разведками защищаемой документированной информации, а также недокументированной речевой, телевизионной и другой информации, содержащей сведения, составляющие государственную тайну. Под документированной информацией (документом) при этом понимается зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать.
К объектам защиты от утечки информации по техническим каналам могут относиться:
технические средства обработки информации (ТСОИ);
информационные системы;
защищаемые объекты информатизации.
Технические средства обработки информации (ТСОИ), которые включают средства связи, звукоусиления, звукозаписи, вычислительные сети, средства изготовления и размножения документов, средства телевидения и другие технические средства, реализующие информационные процессы. В ряде документов эти средства называются также техническими средствами обработки и передачи информации (обозначаются аббревиатурой ТСПИ). ТСОИ составляют основу современных информационных систем, под которыми понимается организационно упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих информационные процессы.
ТСОИ подразделяются на основные технические средства и системы (ОТСС), используемые для обработки защищаемой от утечки информации, и вспомогательные технические средства и системы (ВТСС), непосредственно не участвующие в обработке секретной или конфиденциальной информации, но используемые совместно с ними и находящиеся в зоне электромагнитного поля, создаваемого ОТСС.
К ОТСС относятся электронно-вычислительная техника, режимные АТС, системы оперативно-командной и громкоговорящей связи, системы звукоусиления и звукозаписи, соединительные линии, прокладываемых между отдельными техническими средствами и их элементами, распределительные и коммутационные устройства и т.д.
К ВТСС относятся технические средства открытой телефонной, громкоговорящей связи, системы пожарной и охранной сигнализации, системы электропитания, радиофикации и часофикации, бытовые электроприборы. В качестве объектов защиты наибольший интерес представляют ВТСС, имеющие выход за пределы контролируемой зоны, то есть зоны, в которой исключено появление посторонних лиц и транспортных средств.
Кроме соединительных линий технических средств обработки информации и ВТСС за пределы контролируемой зоны могут выходить провода и кабели, к ним не относящиеся, но проходящие через помещения, где установлены технические средства, а также металлические трубы систем отопления, водоснабжения и другие токопроводящие металлоконструкции. Такие провода, кабели и токопроводящие элементы называются посторонними проводниками и также подлежат защите.
По реализуемому в ОТСС информационному процессу они могут быть подразделены на средства сбора, обработки, накопления, хранения, поиска и распространения информации. Необходимо отметить, что эффективная реализация информационного процесса невозможна без управления, его обеспечения и обслуживания, поэтому к ОЗ в необходимых случаях также следует относить средства управления, обеспечения и обслуживания защищаемого информационного процесса, включая ВТСС, цели электропитания, заземления, системы водо-, тепло-, газоснабжения, наводки на которые могут приводить к утечке защищаемой информации, а также помещения в которых они установлены.
Кроме перечисленных выше признаков, ОЗ могут быть классифицированы по степени их сложности. Классы таких ОЗ могут образовывать компоненты ТСОИ, сами ТСОИ, комплексы средств автоматизации, включая помещения или объекты, в которых они расположены, локальные или распределенные информационно-вычислительные системы (сети).
В качестве обобщенного понятия, характеризующего сложный объект защиты, используется понятие защищаемый объект информатизации. Под защищаемым объектом информатизации (ОИ) понимается совокупность средств обеспечения информационных процессов, информационных ресурсов, используемых в соответствии с заданной информационной технологией помещений или объектов, в которых они установлены, а также сами помещения, предназначенные для ведения секретных или конфиденциальных переговоров.