- •Этапы построения ксзи
- •Субъекты и объекты ксзи
- •Порядок проведения аттестации и контроля объектов информатизации
- •Организационная структура системы аттестации объектов информатизации по требованиям безопасности информации
- •Назначение аттестации объектов информатизации
- •6. Основные руководящие документы фстэк России по аттестации объектов информатизации
- •Основные руководящие документы фстэк России по аттестации объектов информатизации
- •Права, ответственность и обязанности органа по аттестации
- •Исходные данные по аттестуемому объекту информатизации
- •Оформление, регистрация и выдача аттестатов соответствия
- •Действия в случае изменения условий и технологии обработки защищаемой информации
- •Требования к нормативным и методическим документам по аттестации объектов информатизации
- •12. Каналы утечки информации, обрабатываемой в овт
- •Каналы утечки информации, обрабатываемой в овт
- •Разрешительные документы, необходимые для проведения работ по аттестации ои
- •14. Методы и средства защиты информации в овт от утечки по техническим каналам
- •Методы и средства защиты информации в овт от утечки по техническим каналам
- •Мероприятия по защите информации на ои
- •16. Требования к средствам защиты информации на ои
- •Требования к средствам защиты информации на ои
- •Каналы утечки речевой информации в вп
- •18. Методы и средства защиты информации в вп от утечки по техническим каналам
- •Методы и средства защиты информации в вп от утечки по техническим каналам
- •Структура программы проведения аттестационных испытаний ои
- •20. Классификация автоматизированных систем в составе объектов вычислительной техники
- •Классификация автоматизированных систем в составе объектов вычислительной техники
- •Категорирование объектов информатизации
- •Подбор средств защиты информации от несанкционированного доступа
- •Организация защиты пэвм от несанкционированного доступа
- •24. Методы и средства защиты от несанкционированного доступа
- •Методы и средства защиты от несанкционированного доступа
- •Методы защиты программно-аппаратными средствами ас
- •Требования и рекомендации по защите информации от несанкционированного доступа
Организация защиты пэвм от несанкционированного доступа
24. Методы и средства защиты от несанкционированного доступа
В настоящее время в связи с бурным развитием средств вычислительной техники и появлением новых информационных технологий появилось новое направление добывания категорированной информации, тесно связанное с компьютерной преступностью и несанкционированным доступом (НСД) к информации ограниченного пользования. Развитие локальных и глобальных компьютерных сетей привело к необходимости закрытия несанкционированного доступа к информации, хранящейся в автоматизированных системах.
Целями защиты информации являются: предотвращение ущерба, возникновение которого возможно в результате утери (хищения, утраты, искажения, подделки) информации в любом ее проявлении.
Любое современное предприятие не может сегодня успешно функционировать без создания надежной системы защиты своей информации, включающей не только организационно-нормативные меры, но и технические программно-аппаратные средства, организации контроля безопасности информации при ее обработке, хранении и передаче в автоматизированных системах (АС).
Практика организации защиты информации от несанкционированного доступа при ее обработке и хранении в автоматизированных системах должна учитывать следующие принципы и правила обеспечения безопасности информации:
1. Соответствие уровня безопасности информации законодательным положениям и нормативным требованиям по охране сведений, подлежащих защите по действующему законодательству, в т.ч. выбор класса защищенности АС в соответствии с особенностями обработки информации (технология обработки, конкретные условия эксплуатации АС) и уровнем ее конфиденциальности.
2. Выявление конфиденциальной (защищаемой) информации и ее документальное оформление в виде перечня сведений, подлежащих защите, его своевременная корректировка.
3. Наиболее важные решения по защите информации должны приниматься руководством предприятия или владельцем АС.
4. Определение порядка установления уровня полномочий пользователей, а также круга лиц, которым это право предоставлено (администраторы информационной безопасности).
5. Установление и оформление правил разграничения доступа (ПРД), т.е. совокупности правил, регламентирующих права доступа субъектов доступа к объектам доступа.
6. Установление личной ответственности пользователей за поддержание уровня защищенности АС при обработке сведений, подлежащих защите.
7. Обеспечение физической охраны объекта, на котором расположена защищаемая АС (территория, здания, помещения, хранилища информационных носителей), путем установления соответствующих постов, технических средств охраны или любыми другими способами, предотвращающими или существенно затрудняющими хищение средств вычислительной техники (СВТ), информационных носителей, а также НСД к СВТ и линиям связи.
8. Организация службы безопасности информации (ответственные лица, администратор ИБ), осуществляющей учет, хранение и выдачу информационных носителей, паролей, ключей, ведение служебной информации СЗИ НСД (генерацию паролей, ключей, сопровождение правил разграничения доступа), приемку включаемых в АС новых программных средств, а также контроль за ходом технологического процесса обработки конфиденциальной информации и т.д.
9. Планомерный и оперативный контроль уровня безопасности защищаемой информации согласно применяемых руководящих документов по безопасности информации, в т.ч. проверка защитных функций средств защиты информации.
Средства защиты информации должны иметь сертификат, удостоверяющий их соответствие требованиям по безопасности информации.
Анализ опыта работ, связанных с обработкой и хранением информации с использованием средств вычислительной техники, позволил сделать выводы и обобщить перечень возможных угроз информации. Условно их можно разделить на три вида:
-нарушение конфиденциальности информации;
-нарушение целостности информации;
-нарушение доступности информации.
Исходя из этого и строится система защиты автоматизированных систем и ПЭВМ от несанкционированного доступа.