- •Этапы построения ксзи
- •Субъекты и объекты ксзи
- •Порядок проведения аттестации и контроля объектов информатизации
- •Организационная структура системы аттестации объектов информатизации по требованиям безопасности информации
- •Назначение аттестации объектов информатизации
- •6. Основные руководящие документы фстэк России по аттестации объектов информатизации
- •Основные руководящие документы фстэк России по аттестации объектов информатизации
- •Права, ответственность и обязанности органа по аттестации
- •Исходные данные по аттестуемому объекту информатизации
- •Оформление, регистрация и выдача аттестатов соответствия
- •Действия в случае изменения условий и технологии обработки защищаемой информации
- •Требования к нормативным и методическим документам по аттестации объектов информатизации
- •12. Каналы утечки информации, обрабатываемой в овт
- •Каналы утечки информации, обрабатываемой в овт
- •Разрешительные документы, необходимые для проведения работ по аттестации ои
- •14. Методы и средства защиты информации в овт от утечки по техническим каналам
- •Методы и средства защиты информации в овт от утечки по техническим каналам
- •Мероприятия по защите информации на ои
- •16. Требования к средствам защиты информации на ои
- •Требования к средствам защиты информации на ои
- •Каналы утечки речевой информации в вп
- •18. Методы и средства защиты информации в вп от утечки по техническим каналам
- •Методы и средства защиты информации в вп от утечки по техническим каналам
- •Структура программы проведения аттестационных испытаний ои
- •20. Классификация автоматизированных систем в составе объектов вычислительной техники
- •Классификация автоматизированных систем в составе объектов вычислительной техники
- •Категорирование объектов информатизации
- •Подбор средств защиты информации от несанкционированного доступа
- •Организация защиты пэвм от несанкционированного доступа
- •24. Методы и средства защиты от несанкционированного доступа
- •Методы и средства защиты от несанкционированного доступа
- •Методы защиты программно-аппаратными средствами ас
- •Требования и рекомендации по защите информации от несанкционированного доступа
Этапы построения ксзи
В построении КСЗИ можно выделить следующие этапы:
1. Подготовка организационно-распорядительной документации.
2. Обследование информационной инфраструктуры Заказчика.
3. Разработка «Плана защиты информации»
4. Разработка «Технического задания на создание КСЗИ»
5. Разработка «Технического проекта на создание КСЗИ»
6. Приведение информационной инфраструктуры Заказчика в соответствие с п. 5
7. Разработка «Эксплуатационной документации на КСЗИ»
8. Внедрение КСЗИ
9. Испытание КСЗИ
10. Проведение экспертизы КСЗИ и получение «Аттестата соответствия»
11. Поддержка и обслуживание КСЗИ
В этапах № 1-11 принимают участие Исполнитель и Заказчик. На этапе № 10 к работе подключается Организатор экспертизы. На этапах № 4 и 10 участвует Контролирующий орган. Для выполнения этапа № 6 и 8 могут привлекаться Подрядчики.
После принятия Заказчиком решения о создании КСЗИ между Заказчиком и Исполнителем подписывается договор о создании КСЗИ, в котором должны быть описаны порядок и сроки выполнения, а также стоимость работ.
Комплексные системы защиты информации (КСЗИ) представляют собой совокупность: организационных мероприятий и инженерно-технических мероприятий направленных на обеспечение защиты информации от разглашения, утечки и несанкционированного доступа.
Организационные мероприятия включают в себя создание концепции информационной безопасности, а также:
составление должностных инструкций для пользователей и обслуживающего персонала;
создание правил администрирования компонент информационной системы, учета, хранения, размножения, уничтожения носителей информации, идентификации пользователей;
разработку планов действий в случае выявления попыток несанкционированного доступа к информационным ресурсам системы, выхода из строя средств защиты, возникновения чрезвычайной ситуации;
обучение правилам информационной безопасности пользователей.
В случае необходимости, в рамках проведения организационных мероприятий может быть создана служба информационной безопасности, режимно-пропускной отдел, проведена реорганизация системы делопроизводства и хранения документов.
Выбор инженерно-технических мероприятий зависит от уровня защищенности информации, который необходимо обеспечить.
Инженерно-технические мероприятия, проводимые для защиты информационной инфраструктуры организации, могут включать использование защищенных подключений, межсетевых экранов, разграничение потоков информации между сегментами сети, использование средств шифрования и защиты от несанкционированного доступа.
В случае необходимости, в рамках проведения инженерно-технических мероприятий, может осуществляться установка в помещениях систем охранно-пожарной сигнализации, систем контроля и управления доступом.
Отдельные помещения могут быть оборудованы средствами защиты от утечки акустической (речевой) информации.
Субъекты и объекты ксзи
Субъекты КСЗИ
В процесс создания КСЗИ вовлекаются следующие стороны:
организация, для которой осуществляется построение КСЗИ (Заказчик);
организация, осуществляющая мероприятия по построению КСЗИ (Исполнитель);
ФСТЭК России (Контролирующий орган);
организация, осуществляющая государственную экспертизу КСЗИ (Организатор экспертизы);
организация, в случае необходимости привлекаемая Заказчиком или Исполнителем для выполнения некоторых работ по созданию КСЗИ (Подрядчик).
Объекты КСЗИ
Объектами защиты КСЗИ является информация, в любом ее виде и форме представления.
Материальными носителями информации являются сигналы. По своей физической природе информационные сигналы можно разделить на следующие виды: электрические, электромагнитные, акустические, а также их комбинации.
Сигналы могут быть представлены в форме электромагнитных, механических и других видах колебаний, причем информация, которая подлежит защите, содержится в их изменяющихся параметрах.
В зависимости от природы, информационные сигналы распространяются в определенных физических средах. Среды могут быть газовыми, жидкостными и твердыми. Например, воздушное пространство, конструкции зданий, соединительные линии и токопроводящие элементы, грунт и другие.
В зависимости от вида и формы представления информационных сигналов, которые циркулируют в информационно-телекоммуникационной системе (ИТС), в том числе и в автоматизированных системах (АС), при построении КСЗИ могут использоваться различные средства защиты.