7.1.3. Физические меры

Физические меры обеспечения безопасности информации основаны на применении разного рода механических, электро- или электронно-механических устройств и сооружений, специально предназначенных для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам информационных систем и защищаемой информации ограниченного доступа, а также технических средств визуального наблюдения, связи и охранной сигнализации.

7.1.3.1. Разграничение доступа в помещения и на территорию объектов защиты

Физическая защита административных зданий, служебных помещений, объемов и средств информатизации и связи МЧС России должна осуществляться путем установления соответствующих постов охраны, с помощью технических средств охраны или любыми другими способами, предотвращающими или существенно затрудняющими проникновение посторонних лиц, хищение документов, носителей информации и технических средств информатизации и исключающими нахождение внутри контролируемой (охраняемой) зоны технических средств разведки.

Более современными, надежными системами физической зашиты, дающими широкие возможности регистрации и контроля за доступом исполнителей и посторонних

3')

лиц п служебные помещения, в которых проводятся работы и ведутся переговоры секретного или конфиденциального характера, обрабатывается и хранится информация ограниченного доступа, являются технические системы, основанные на таких методах идентификации и аутентификации личности, как магнитные и электронные карты с личными данными, биометрические характеристики личности, реализуемые в виде автоматизированных систем контроля за доступом в указанные помещения.

Для обеспечения физической безопасности компонентов АС МЧС России и автономных АРМ необходимо осуществить ряд организационных и технических мероприятий, включающих:

выполнение рекомендаций по инженерной и технической защите административных зданий и служебных помещений;

проверку поступающего оборудования, предназначенного для обработки информации ограниченного доступа, на наличие специально внедренных закладных устройств и побочные электромагнитные излучения и наводки;

введение дополнительных ограничений по доступу в служебные помещения, предназначенные для хранения и обработки информации ограниченного доступа;

оборудование систем и средств информатизации и связи МЧС России устройствами защиты от сбоев электропитания и помех в линиях связи.

7.1.4. Технические (аппаратные в программные) меры

Технические (аппаратно-программные) меры обеспечения безопасности информации основаны на использовании различных электронных устройств и специальных программ, входящих в состав информационных систем МЧС России и выполняющих (самостоятельно или в комплексе с другими средствами) функции защиты информации - идентификацию и аутентификацию пользователей, разграничение доступа к информационным ресурсам, регистрацию событий, криптографическую защиту и т.д.

С учетом всех требований и принципов обеспечения безопасности информации в информационных системах МЧС России по всем направлениям защиты в состав системы защиты должны быть включены следующие средства:

аутентификация пользователей и элементов АС МЧС России (терминалов, функциональных задач, баз данных и т.п.), соответствующие степени конфиденциальности информации;

аутентификация пользователей автономных АРМ;

разграничения доступа к информационным ресурсам;

криптографической защиты информации в линиях связи, каналах передачи и базах данных;

регистрации обращения и контроля за использованием защищаемой информации;

peai ирования на обнаружение НСД;

снижения уровня и информативности ПЭМИН, создаваемых различными элементами систем и средств информатизации и связи МЧС России;

снижения уровня акустических излучений, сопровождающих функционирование элементов систем и средств информатизации и связи МЧС России;

маскировки от оптических (визуальных) средств наблюдения;

электрической развязки, как элементов систем и средств информатизации и связи МЧС России, так и конструктивных элементов помещений, в которых они размещаются, включая водопроводную и канализационную систему;

активного зашумления в радио- и акустическом диапазонах.

40

На технические средства защиты от ИСД в соответствии с руководящими документами ФСТЭК России и ГОСТ возлагается решение следующих основных задач:

идентификация и аутентификации пользователей при помощи имен и/или специальных аппаратных средств (Touch Memory, Smart Card и т.п.);

регламентация доступа пользователей к физическим устройствам рабочей станции (дискам, портам ввода-вывода);

избирательное (дискреционное) управление доступом к логическим дискам, каталогам и файлам;

полномочное (мандатное) разграничение доступа к защищаемым ресурсам (данным) на рабочей станции и на файловом сервере;

создание замкнутой программной среды разрешенных для запуска npoipaMM, расположенных как на локальных, так и на сетевых дисках;

защита от проникновения компьютерных вирусов и разрушительного воздействия вредоносных программ;

контроль целостности модулей системы защиты, системных областей диска и произвольных списков файлов в автоматическом режиме и по командам администратора;

регистрация всех действий пользователя в защищенном журнале, наличие нескольких уровней регистрации;

централизованный сбор, хранение и обработка на файловом сервере журналов регистрации рабочих станций, входящих в АС;

защита данных системы защиты на файловом сервере от доступа всех пользователей, включая администратора сети;

централизованное управление настройками средств разфаничения доступа на рабочих станциях сети;

оповещение администратора безопасности обо всех событиях 11СД, происходящих на рабочих станциях;

оперативный контроль за работой пользователей АС, изменение режимов функционирования рабочих станций и возможность блокирования (при необходимости) любой станции сети.

Эффективность применения технических средств защиты обеспечивается выполнением следующих требований организационных f административных) и физических мер обеспечения безопасности информации:

осуществлением физической целостности всех компонентов информационных систем МЧС России;

присвоением каждому пользователю информационной системы уникального системного имени и определением минимально необходимых для выполнения функциональных обязанностей полномочий по доступу к информационным ресурсам;

ограничением и строгой регламентацией использования на рабочих станциях АС КМС России и автономных АРМ инструментальных и технологических программ (тестовые утилиты, отладчики и т.п.), позволяющих предпринять попытки взлома или обхода средств защиты информации;

осуществлением разработки и отладки программ за пределами защищенных информационных систем, отсутствием в данных операциях программирующих пользователей;

проведением изменений конфигурации технических и программных средств информационных систем строго в установленном порядке и только на основании распоряжений руководства;

41

расположением сетевого оборудования (концентраторы, коммутаторы, м;||иир)чти торы и г п.) и местах, недоступных для посторонних лиц (специальных помещениях, шкафах и т.н.);

осуществлением непрерывного управления и административной поддержки функционирования средств зашиты информации.

7.1.4.1. Средства идентификации (опознавания) и аутентификации (подтверждения подлинности) псин, шпателей автоматизированных систем МЧС России

В целях предотвращения допуска к информационным ресурсам МЧС России носюрокних лиц необходимо обеспечить возможность распознавания информационной системой каждого пользователя или ограниченных групп пользователей. Для этого в защищенном ресурсе информационной системы должен храниться ряд признаков каждого пользователя, но которым он может быть опознан. В процессе эксплуатации информационных ресурсов системы при входе в нее и при выполнении определенных действий (при необходимости) пользователи обязаны себя опознать (идентифицировать), т.е. указать присвоенный ему идентификатор. Для идентификации могут применяться различного рода устройства - магнитные карточки, ключевые вставки, дискеты и т.п.

Аутентификация (подтверждение подлинности) пользователей информационных систем должна осуществляться на основе использования паролей (секретных слов) или проверки уникальных характеристик (параметров) пользователей при помощи специальных биометрических средств.

7.1.4.2. Средства разграничения доступа зарегистрированных пользователей к ресурсам автоматизированных систем МЧС России

После распознавания пользователя информационная система должна осуществлять его авторизацию, то есть определять, какие права предоставлены пользователю: какие данные и как их он может использовать, какяе программы может выполнять, когда, как долго и с каких терминалов может работать, какие ресурсы системы может использовать я т.н. Авторизация пользователя должна осуществляется с использованием следующих механизмов реализации разграничения доступа:

избирательного управления доступом, основанных на использовании атрибутных схем, списков разрешений и т.п.;

полномочного управления доступом, основанных на использовании меток конфиденциальности ресурсов и уровней допуска пользователей;

обеспечения замкнутой среды доверенного программного обеспечения (индивидуальных для каждого пользователя списков разрешенных для запуска программ), поддерживаемых механизмами идентификации (опознавания) и аутентификации (подтверждения подлинности) пользователей при их входе в информационную систему.

Зоны ответственности и задачи конкретных технических средств защиты информации устанавливаются исходя из их возможностей и эксплуатационных характеристик, описанных в технической и эксплуатационной документации на данные средства.

Технические средства разграничения доступа должны быть составной частью единой системы контроля доступа:

на контролируемую (охраняемую) территорию; п выделенные (защищаемые) помещения;

к элементам ЛС МЧС России и элементам системы защиты информации (физический дос iyn);

к ресурсам Л С МЧС России (программно-математический доступ);

42

к защищаемым информационным хранилищам (носителям информации, томам, файлам, наборам данных, архивам, справкам, записям и г.д.);

к активным ресурсам (прикладным программам, функциональным задачам, формам запросов и т.п.);

к операционной системе, системным программам и программам защиты информации.

7.1.4.3. Средства обеспечения и контроля целостности программных и информационных ресурсов МЧС России

Контроль целостности программ, обрабатываемой информации и средств защиты, с целью обеспечения неизменности программной среды, определяемой предусмотренной технологией обработки, и защиты от несанкционированной корректировки информации должен обеспечиваться следующими средствами:

подсчета и проверки соответствия контрольных сумм;

электронной цифровой подписи;

сравнения критичных ресурсов с их эталонными копиями и восстановления в случае нарушения целостности;

разграничения доступа (запрет доступа с правами модификации или удаления).

В целях защиты информации и программ от несанкционированного уничтожения или искажения необходимо обеспечить:

дублирование системных таблиц и данных;

дуплексирование и зеркальное отображение данных на дисках;

отслеживание транзакций;

периодический контроль целостности операционной системы и пользовательских программ, а также файлов пользователей информационной системы;

антивирусный контроль;

резервное копирование данных по заранее установленной схеме;

хранение резервных копий вне помещения файл-сервера;

обеспечение непрерывности электропитания для файл-серверов и критичных рабочих станций и кондиционирование электропитания для остальных станций сети.

7.1.4.4. Средства оперативного контроля и регистрации событий безопасности

Средства оперативного контроля должны обеспечивать обнаружение и регистрацию всех событий (действий пользователей, попыток НСД и т.п.), которые могут повлечь за собой нарушение политики безопасности и привести к возникновению кризисных ситуаций. Средства оперативного контроля и регистрации должны предоставлять возможности:

ведения и анализа журналов регистрации событий безопасности (системных журналов), которые должны вестись для каждой сетевой рабочей станции;

оперативного ознакомления администратора безопасности с содержимым системного журнала любой рабочей станции и с журналом оперативных сообщений о фактах НСД;

получения твердой копии (печати) системного журнала;

упорядочения системных журналов по датам (дням, месяцам), а также установления ограничений на срок их храпения;

оперативного оповещения администратора безопасности о нарушениях.

При регистрации tiifif.imil безопасности п системном журнале должно фиксироваться следующая информация:

да г а и время события;

идентификатор субъекта (пользователя, программы), осуществляющею pci исфирусмое действие;

действие (если регистрируется запрос «и доступ, то отмечается объект и тип доступа).

Средства оперативного контроля должны обеспечивать обнаружение и регистрацию следующих событий:

вход пользователя п информационную систему:

вход пользователя в сеть;

неудачная попытка входа в информационную систему или сеть (неправильный ввод пароля);

подключение к файловому серверу;

чану к программы;

занершение программы;

остяплечте программы резидентно в памяти;

попытка открытия файла недоступного для чтения;

попытка осуществления записи файла недоступного для записи;

попытка удаления файла недоступного для модификации;

попытка изменения атрибутов файла недоступного для модификации;

попытка запуска программы, недоступной для запуска;

попытка получения доступа к недоступному каталогу;

попытка чтения/записи информации с диска, недоступного пользователю;

попытка запуска программы с диска, недоступного пользователю;

нарушение целостности программ и данных системы защиты.

Средствами оперативного контроля должны поддерживаться следующие основные способы реагирования на обнаруженные факты НСД (возможно с участием администратора безопасности):

извещение владельца информации о НСД к его данным;

снятие программы (задания) с дальнейшего выполнения;

извещение администратора баз данных и администратора безопасности;

отключение терминала (рабочей станция), с которого были осуществлены попытки 11СД к информации:

исключение нарушителя из списка зарегистрированных пользователей;

подача сигнала тревоги при осуществлении попытки НСД.

7.1.4.5. Криптографические средства защиты информации

Одним из важнейших элементов системы обеспечения безопасности информации ограниченной) доступа в МЧС России должно быть использование криптографических методов и средств защиты информации от несанкционированного доступа при ее передаче по каналам связи.

Средства криптографической защиты информации в МЧС России должны строиться на основе базисного криптографического ядра, прошедшего всесторонние исследования специализированными организациями ФСБ России. Все используемые средства криптографической зашиты информации ограниченного доступа должны быть

44

сертифицированы, а подсистемы безопасности информации, в которых они используются, должны быть аттестованы. Разработка и создание данных подсистем в МЧС России проводится с привлечением специализированных организаций, имеющих действующие лицензия ФСБ России на использование криптографических средств.

Ключевая система шифровальных средств, применяемых в АС МЧС России, должна обеспечивать криптографическую стойкость и многоуровневую защиту от компрометации ключевой информации, разделение пользователей по уровням обеспечения защиты информации и зонам их взаимодействия между собой и пользователями других уровней.

Конфиденциальность информации при ее передаче по каналам связи должна обеспечиваться за счет применения в информационной системе шифровальных средств абонентского и, на отдельных направлениях, канального шифрования. Сочетание абонентскою и канального шифрования информации должно обеспечивать ее сквозную защиту по всему тракту прохождения, защищать информацию в случае ошибочной переадресации за счет сбоев и неисправностей аппаратно-программных средств центров коммутации.

В АИУС РСЧС, являющейся системой с распределенными информационными ресурсами, также должны использоваться средства формирования и проверки электронной цифровой подписи, обеспечивающие целостность и юридически доказательное подтверждение подлинности сообщений, а также аутентификацию пользователей, абонентских пунктов и подтверждение времени отправления сообщений. При этом должны использоваться только стандартизованные алгоритмы ЭЦП, а соответствующие средства, реализующие эти алгоритмы, должны быть сертифицированы ФСБ России.

7.2. Защита информации от утечки по техническим каналам

Основными мерами защиты информации ограниченного доступа, циркулирующей в системах и средствах информатизации и связи МЧС России, являются:

Использование сертифицированных серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации, а также образцов технических средств, прошедших специальные исследования, в соответствии с требованиями предписаний на эксплуатацию;

использование сертифицированных средств защиты информации;

размещение объекта защиты относительно границы контролируемой зоны с учетом радиуса зоны возможного перехвата информации, полученного для данного объекта но результатам специальных исследований;

маскирующее зашумление побочных электромагнитных излучений и наводок информативных сигналов;

конструктивные доработки технических средств и помещений, где они расположены, в целях локализации возможных каналов утечки информации;

размещение понижающих трансформаторных подстанций электропитания и контуров заземления объектов защиты в пределах контролируемой зоны;

развязка цепей электропитания объектов защиты с помощью защитных фильтров, блокирующих (подавляющих) информативный сигнал;

периодическая проверка технических средств на отсутствие паразитной генерации их элементов;

создание выделенных сегментов в существующих сетях передачи данных с учетом максимального затруднения доступа к ним посторонних лиц;

45

рачнязка нимий сипи и других пеней между выходящими ча пределы кон филируемой кип,! и находящимися пнутри нее;

использование чащищенннх каналом связи;

специальная проверка импортных технических средств перед введением в ■жеилуатацию на отсутствие в их составе вочможно внедренных электр»1тмх устройств порехпат» иI|формации.

7.2.1. Техническая политика в области использования импортных технических средстп информатизации

Одним ш методов технической разведки является внедрение в конструкцию технических средств информатизации специальных электронных (закладных) устройств для съема, перехвата, ретрансляции информации или вывода технических средстп из строя.

Использование технических средств иностранного производства для обработки, и хранения информации ограниченного доступа, или устанавливаемых в выделенных (защищаемых) помещениях возможно при выполнении следующих условий:

проведены специальные исследования (сертификационные испытания) технических средств и выполнен полный комплекс работ по их специальной защите;

проведена специальная проверка технических средств на отсутствие в их составе возможно внедренных электронных устройств перехвата информации в соответствии с требованиями и по методикам ФСБ России

Обеспечение защиты информации ограниченного доступа от утечки по техническим каналам при ее обработке (обсуждении), хранении и передаче по каналам спячи предусматривает:

предотвращение утечки обрабатываемой техническими средствами информации за счет побочных электромагнитных излучений и наводок, а также электроакустических преобразований, создаваемых функционирующими техническими средствами;

выявление возможно внедренных в импортные технические средства специальных электронных устройств съема (ретрансляции) или разрушения информации (закладных устройств);

предотвращение утечки информации в линиях связи;

исключение перехвата техническими средствами речевой информации при ведении закрытых переговоров с использованием сведений ограниченного доступа.

Предотвращение утечки обрабатываемой информации за счет побочных электромагнитных излучений и наводок, а также за счет электроакустических преобразований реализуется путем применения защищенных технических средств, сертифицированных по требованиям безопасности информации, внедрением объектовых мер защиты, в том числе установлением контролируемой зоны вокруг объектов информатизации МЧС России, и средств активного противодействия (при необходимости). Конкретные требования к мерам объектовой защиты определяются по результатам специальных исследований технических средств с учетом установленной категории защищаемого объекта в зависимости от обрабатываемой информации и условий ее размещения.

Исключение перехвата техническими средствами речевой информации достигается проектными рещгниями, обеспечивающими необходимую звукоизоляцию выделенных (защищаемых) помещений, применением технических средств и организационных мер защиты оборудования, расположенного в помещениях.

46

7.2.2. Основные направления снижения уровня и информнтипности побочных электромагнитных излучений и наводок

1. Разработка и выбор оптимальных схем и элементов, основанных на применении устройств с низким уровнем излучения типа:

жидкокристаллических и газоразрядных экранов отображения; оптико-электронных и волоконно-оптических линий передачи данных; запоминающих устройств на магнитных доменах, голографических запоминающих устройств и т.п.

2. Экранирование (развязка) отдельных элементов и устройств ЛС, реаличуемое путем:

локального экранирования излучающих элементов СВТ и средств связи; экранирование кабелей и устройств заземления; применение развязывающих фильтров в цепях питания и т.н.

3. Использование специальных программ и кодов, базирующихся:

иа применении мультипрограммных режимов обработки данных, обеспечивающих минимальные интервалы обращения х защищаемой информации;

на применении параллельных многоразрядных кодов, параллельных кодов с малой избыточностью, а также симметричных кодов;

на ограничении регулярности вывода и времени отображения информации иа устройствах отображения.

4. Применение активных мешающих воздействий, основанных на использовании встроенных синхронизированных генераторов (генераторов шума).

7.3. Защита речевой информации при проведении переговоров н обсуждении информации ограниченного доступа

Исходя из возможности перехвата речевой информации при проведении закрытых переговоров с использованием сведений ограниченного доступа с помощью внедрения специальных электронных (закладных) устройств, транслирующих эту информацию, акустических, виброакустических и лазерных технических средств разведки, информации, наведенной на различные электрические и иные цепи, выходящие за пределы контролируемой зоны, противодействие этим угрозам безопасности информационных ресурсов должно осуществляться всеми доступными средствами и методами.

Помещения, в которых предусматривается ведение закрытых переговоров с использованием сведений ограниченного доступа, должны быть проверены на предмет отсутствия в них (в стеновых панелях, фальшполах и фальшпотолках, мебели, технических средствах, размещенных в этих помещениях) закладных устройств, технические средства передачи информации (телефоны, телефаксы, модемы), а также различные электрические и прочие цепи, трубопроводы, системы вентиляции и кондиционирования я т.д. должны быть защищены таким образом, чтобы акустические сигналы не могли быть перехвачены за пределами контролируемой зоны, а в необходимых случаях и за пределами данного выделенного (защищаемого) помещения. В этих целях используются проектные решения, обеспечивающие звукоизоляцию помещений, специальные средства обнаружения закладных устройств, устанавливаются временные или постоянные посты радиоконтроля, на технические средства передачи информации устанавливаются устройства, предотвращающие перехват акустических сигналов с линий связи, на электрические цепи, выходящие за пределы контролируемой зоны, ставятся фильтры, а на трубопроводы - диэлектрические вставки, используются системы активной защиты в акустическом и других диапазонах.

47

Иыделснныс помещения, предусмотренные для обработки (обсуждения) информации, содержащей спедения, составляющие государственную тайну, должны быть аттестованы на соотпегсшие требованиям но безопасности информации. Решение о проведении специальных проверок, специальных исследований и аттестационных испытаний других критических объектов и защищаемых помещений принимается руководителями органов государственной власти и организаций, обрабатывающих информацию ограниченного доступа.

7.4. Управление комплексной системой обеспечения безопасности информации в МЧС Россия

Управление комплексной системой обеспечения безопасности информации в МЧС России представляет собой целенаправленное воздействие на компоненты информационной системы обеспечения безопасности (организационные, технические, программные и криптографические) с целью достижения требуемых показателей и норм защищенности циркулирующей информации в условиях реализации основных угроз безопасности.

Главной целью организации управления комплексной системой обеспечения безопасности информации в МЧС Россия является повышение надежности защиты информации в процессе ее обработки, хранения и передачи. Целью управления является обязательное и неукоснительное выполнение предусмотренных правил и процедур, направленных на обеспечение безопасности информации ограниченного доступа, всеми задействованными в системе участниками, эффективное пресечение посягательств на информационные ресурсы, технические средства и информационные технологии, своевременное выявление негативных тенденций и совершенствование управления в области защиты информации.

Управление комплексной системой реализуется специализированной подсистемой, представляющей собой совокупность органов управления, технических, программных и криптографических средств и организационных мероприятий и взаимодействующих друг с другом пунктов управления различных уровней.

Функциями подсистемы управления являются: информационная, управляющая и вспомогательная.

Информационная функция заключается в непрерывном контроле состояния системы защиты, проверке соответствия показателей защищенности допустимым значениям и немедленном информировании администраторов безопасности о возникающих ситуациях, способных привести к нарушению безопасности информация. К контролю состояния системы защиты предъявляются два требования - полнота и достоверность. Полнота характеризует степень охвата всех средств защиты и параметров их функционирования. Достоверность контроля характеризует степень адекватности значений контролируемых параметров их истинному значению. В результате обработки данных контроля формируется информация о состояния системы защиты, которая обобщается (агрегируется) и передается на вышестоящие пункты управления.

Управляющая функция заключается в формировании планов реализации технологических операций с учетом требований безопасности информации в условиях, сложившихся для данного момента времени, а также в определении места возникновения ситуации уязвимости информации и предотвращении ее утечки за счет оперативного блокирования участков информационных систем, на которых возникают угрозы безопасности информации. К управляющим функциям специализированной подсистемы относятся учет, хранение, и выдача документов и информационных носителей, паролей и ключей. При этом генерация паролей, ключей, сопровождение средств разграничения доступа, приемка включаемых в программную среду ЛС МЧС России новмх программных средств, контроль соответствия программной среды эталону, а также

48

контроль за ходом технологическ' го процесса обработки информации ограниченного доступа возлагается на администратора автоматизированной системы (базы данных) и администратора безопасное™.

К вспомогательным функциям подсистемы управления относятся учет всех операций, выполняемых с защищаемой информацией, формирование отчетных документов и сбор статистических данных с целью анализа и выявления потенциальных каналов утечки информации.

Основу специализированной подсистемы, обеспечивающей управление комплексной системой обеспечения безопасности информации в МЧС России, составляют подразделения по защите (обеспечению безопасности) информации.

7.S. Планирование мероприяi ни по обеспечению безопасности информации

В целях реализации установленного порядка функционирования комплексной системы обеспечения безопасности информации в МЧС России ежегодно планируются мероприятий по обеспечению безопасности информации ограниченного доступа. Запланированные мероприятия включаются в установленном порядке в планы основных мероприятий и планы по обеспечению режима секретности структурных подразделений и организаций МЧС России по согласованию с подразделениями по защите (обеспечению безопасности) информации. Финансово - экономическое обоснование и комплексный план основных мероприятий по защите информации в МЧС России разрабатываются и утверждаются руководством ежегодно.

Результаты выполнения мероприятий, определенных указанными выше планами, представляются в установленном порядке по форме и в сроки, предусмотренным табелем срочных донесений 1/РС.

7.6. Контроль эффективности гомплексной системы обеспечения безопасности информации в МЧС России

Контроль эффективности комплексной системы обеспечения безопасности информация в МЧС России осуществляется с целью своевременного выявления и предотвращения утечки информации ограниченного доступа по техническим каналам и за счет несанкционированного доступа к ней, а также предупреждения возможных специальных воздействий, направленных на уничтожение информации, разрушение средств информатизации.

Контроль проводит' •, как сотрудниками подразделений по защите (обеспечению безопасности) информацш МЧС России (ответственными по ОБИ), осуществляющими контроль в процессе информационного взаимодействия в информационных системах, так и привлекаемыми для этой ели компетентными организациями, имеющими действующие лицензии на данный вид деятельности, а также контролирующими органами ФСТЭК России или ФСБ России.

Оценка эффективности принимаемых мер защиты информации проводится с использованием технических и программных средств контроля на предмет соответствия установленным требованиям.

Контроль эффективности в системах информатизации и связи МЧС России осуществляете! администраторами безопасности с помощью сертифицированных штатных средств защиты информации от НСД и (или) с помощью специальных программных средств контр" ия.

■1^l>

7.7. Финансирование мероприятий по обеспечении) йстппясиости информации

Финансирование мероприятий в области обеспечения безопасности информации осуществляется в МЧС России за счет средств федерального бюджета в пределах годовых лимитов бюджетных обязательств, выделенных на обеспечение услуг связи.

Ответственность за своевременное планирование финансовых средств и их целевое иснольчование возлагается на руководителей подразделений по защите (обеспечению безопасности) информации и руководителей организаций МЧС России.

7.8. Функционирование подсистем администрирования автоматизированных

систем МЧС России

Функционирование подсистем администрирования АС МЧС России обеспечивается выполнением следующих основных работ:

определение пользователей баз данных, назначение и управление их привилегиями и полномочиями на выполнение конкретных операций с конкретными объектами силами администратора безопасности;

обеспечение правомерности доступа пользователя, реализуемое средствами аутентификации информационной системы, простейшим из которых является использование пароля, подтверждающего подлинность пользователя. Для выполнения любых операций с базой данных пользователь должен, прежде всего, ввести имя и подтвердить свою подлинность паролем;

осуществление доступа к базам данных посредством разграничения полномочий к таблицам, полям и по видам доступа.

Для реализации политики безопасности на основе привилегий и ролей вводится механизм «граничений. Ограничения позволяют поддерживать роли, для которых политика безопасности не допускает одновременное их отображение на конкретного пользователя, так называемые взаимно исключающие роли. Привилегии могут быть предоставлены пользователям и ролям.

Уровни информационной безопасности для подсистемы администрирования: идентификация и аутентификация пользователей;

контроль действий в информационной системе, определяющих доступность объектов баз данных;

контроль доступа к объектам информационной системы;

контроль операций, производимых над объектами информационной системы.

7.9. Организация обеспечения безопасности информационных ресурсов в еяучяе возникновения чрезвычайных ситуаций

В соответствии с положениями Доктрины информационной безопасности Российской Федерации, утвержденной Президентом Российской Федерации 9 сентября 2000 г. № Пр-1895, наиболее уязвимыми объектами обеспечения информационной безопасности в условиях чрезвычайных ситуаций являются система принятия решений по оперативным действиям (реакциям), связанным с развитием таких ситуаций и ходом ликвидации их последствий, и система сбора и обработки информации о возможном возникновении чрезвычайных ситуаций.

Особое значение для нормального функционирования указанных объектов имеет обеспечение безопасности информационной инфраструктуры при авариях, катастрофах и стихийных бедствиях. Сокрытие, задержка поступления, искажение и разрушение оперативной информации, несанкционированный доступ к ней отдельных лиц или групп лиц могут принести как к человеческим жертвам, так и к возникновению разного рода

50

сложностей при ликвидации последствий чрезвычайной ситуации, с няниных с особенностями информационного воздействия в экстремальных условиях: к приведению R движение больших масс людей, испытывающих психический оТреМ, к быстрому возникновению н распространению среди них паники и беспорядков -на пашне слухов. ложной или недостоверной информации.

К специфическим для данных условий направлением «беспечен™ информационной безопасности относятся:

разработка эффективной системы мониторинга объектов повышенной опасности, нарушение функционирования которых может привести к возникновению чрезвычайных ситуаций, я прогнозировалия чрезвычайных ситулцин:

совершенствование системы информирования населения об угрозах возникновения чрезвычайных ситуаций, об условиях нх возникновения и paiвитий;

повышение надежности систем обработки и передачи информации, обеспечивающих деятельность МЧС России;

прогнозирование поведения населения пол воздействием ножной или недостоверной информации о возможных чрезвычайных ситуациях и выработка мер по оказаний) помощи большим массам людей в условиях этих ситуаций;

разработка специальных мер по защите информационных систем, обеспечивающих управление экологически опасными я экономически важными производствами.

С пелью исключения нарушений функционирования информационных систем МЧС России И обеспечения безопасности информационных ресурсов я случае рознНквовения чрезвычайных ситуаций разрабатываете я рал нормативных документов на объектах МЧС России:

Положение (инструкция) о пропускном и внутри объектовом режиме;

Инструкция о мерах пожарной беюпасности;

Инструкция по электробеэопаеностя,

а также включаются разделы в соответствуюшне инструкции (по техническому обеспечению АС, защите информации и т.д.) по действиям должностн'лс _пя||> Использующих средства автоматизации твиыполняюшпх функции администраторов,