Файловый архив студентов. Файловый архив студентов.
1259 вузов, 4592 предметов.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Брянский государственный технический университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
лаба4.doc
Скачиваний:
8
Добавлен:
23.08.2019
Размер:
149.5 Кб
Скачать
►Содержание►

15

Лабораторная работа №4

Система защиты информации при обработке информации средствами вычислительной техники

Защита информации должна осуществляться комплексно и непрерывно. Комплексность заключается в сочетании организационных мероприятий и технических мер по защите информации.

Организационные мероприятия по созданию системы защиты информации должны опережать технические и технологические решения по разработке автоматизированных систем, подсистем, задач. Общее программное обеспечение автоматизированных информационных систем должно предусматривать возможность применения программных средств защиты информации.

Работники, эксплуатирующие средства вычислительной техники, обязаны:

• обеспечивать надежное хранение и правильное ис-пользование полученных для работы конфиденциальных машин-ных носителей и машинных документов, соблюдать установлен-ный режим разграничения доступа;

• обо всех фактах и попытках НСД к конфиденциальной информации при утечке и разрушении обрабатываемой на средствах вычислительной техники (СВТ) информации незамедли-тельно докладывать своему непосредственному руководителю и в подразделение режима;

• устанавливать гриф или пометку конфиденциальности входных (до обработки на СВТ) и выходных (после обработки на СВТ) машинных документов и срок (время) их хранения;

• соблюдать установленные требования по учёту, хране-нию и пересылке предназначенной для обработки, а также полу-чаемой после обработки на СВТ конфиденциальной информа-ции;

Организационно-распорядительная документация: Непрерывность защиты информации заключается в постоянном проведении мероприятий по защите информации на объекте информатизации. Таких документов достаточно много, основные из них: Положение по обеспечению безопасности; Список лиц, допущенных к обработке КД, Частная модель угроз; Требования по обеспечению безопасности КД при их обработке в ИС, Рекомендации (инструкции) по использованию программных и аппаратных средств защиты информации.

Организация и проведение работ по технической защите конфиденциальной информации при ее обработке техническими средствами определяются документом «Специальные требования и рекомендации по технической защите кон-фиденциальной информации» (СТР-К), действующими государственными стандартами и другими нормативными и методическими документами Гостехкомиссии России.

ФСТЭК России, пункт 3.14: В соответствии с положениями Федерального закона №128 "О лицензировании отдельных видов деятельности" и требованиями постановления Правительства №504 "О лицензировании деятельности по технической защите конфиденциальной информации" операторы информационных систем при проведении мероприятий по обеспечению безопасности конфиденциальной информации при их обработке в информационных систем должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации в установленном порядке.

В соответствии с документами ФСТЭК лицензия необходима если самостоятельно проводятся такие мероприятия по информационным системам 1, 2 класса и территориально распределенным системам 3 класса, как правило, это большие государственные информационные системы. При этом для многих организаций имеющих ИС 3 и 4 классов, получение таких лицензий не требуется, если оператор ИС заключает договор на проведение соответствующих мероприятий в части защиты информации с уполномоченным лицом - лицензиатом ФСТЭК России, иметь лицензию ему не обязательно.

Итак, для небольших организаций более экономически-выгодным вместо получения лицензии ФСТЭК по Технической защите для проведения мероприятий по обеспечению безопасности конфиденциальных данных (создание системы защиты ИС, аттестация) будет привлечение лицензиата ФСТЭК, который проведет все необходимые работы. Для крупных организаций (таких как операторы связи, крупные банки и т.п.) - выгоднее самим получить лицензию и выполнить все необходимые работы. Порядок предоставления лицензии на осуществление деятельности по технической защите конфиденциальной информации определен "Положением о лицензировании деятельности по технической защите конфиденциальной информации" (утверждено постановлением Правительства РФ от 15 августа 2006г. №504).

Требования для получения лицензии:

  а) наличие в штате соискателя лицензии (лицензиата) специалистов, имеющих высшее профессиональное образование в области технической защиты информации либо высшее или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам технической защиты информации;

  б) наличие у соискателя лицензии (лицензиата) помещений для осуществления лицензируемой деятельности, соответствующих техническим нормам и требованиям по технической защите информации, установленным нормативными правовыми актами Российской Федерации, и принадлежащих ему на праве собственности или на ином законном основании;

  в) наличие на любом законном основании производственного, испытательного и контрольно-измерительного оборудования, прошедшего в соответствии с законодательством Российской Федерации метрологическую поверку (калибровку), маркирование и сертификацию;   г) использование автоматизированных систем, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации, прошедших процедуру оценки соответствия (аттестованных и(или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством Российской Федерации;

  д) использование предназначенных для осуществления лицензируемой деятельности программ для электронно-вычислительных машин и баз данных на основании договора с их правообладателем;

  е) наличие нормативных правовых актов, нормативно-методических и методических документов по вопросам технической защиты информации в соответствии с перечнем, установленным Федеральной службой по техническому и экспортному контролю.

Этапы создания системы защиты информации с применением ИС

1. Предпроектная стадия

1.1. обследование объекта информатизации:

- установление необходимости обработки конфиденциальной информации на данном объекте информатизации;

- определение перечня сведений, подлежащих защите;

- определение условий расположения объектов информатизации относительно границ контролируемой зоны (КЗ);

- определение конфигурации и топологии автоматизированных систем (АС), информационных систем данных и систем связи в целом и их отдельных компонент;

- определение технических средств и систем, используемых в защищаемой АС и системах связи, условий их расположения;

- определение общесистемных, специальных и прикладных программных средств, используемых в защищаемой АС;

- определение режима обработки информации в АС в целом и в отдельных компонентах;

- проведение классификации АС;

- определение степени участия персонала в обработке (обсуждении, передаче, хранении) информации, характер их взаимодействия между собой;

- определение и составление перечня уязвимостей и угроз безопасности информации, оценка актуальности угроз безопасности информации;

- разработка модели угроз безопасности информации.

1.2. разработка технического задания на создание СЗИ :

- разработка аналитического обоснования необходимости создания СЗИ;

- разработка требований по защите информации на основе действующих нормативных - методических документов по защите информации с учетом установленного класса защищенности АС;

- разработка технического (частного технического) задания на разработку СЗИ

2. Стадия проектирования и реализации СЗИ, включающая разработку СЗИ

2.1. разработка проекта на создание СЗИ;

2.2. разработка организационно-технических мероприятий по защите информации в соответствии с предъявляемыми требованиями;

2.3. закупка сертифицированных средств защиты информации ;

2.4. разработка и реализация разрешительной системы доступа пользователей и персонала к защищаемой информации на объекте информатизации;

2.5. установка и настройка средств защиты информации (СрЗИ);

2.6. определение заказчиком подразделений и лиц, ответственных за эксплуатацию средств и мер защиты информации, обучение назначенных лиц специфике работ по защите информации на стадии эксплуатации объекта информатизации;

2.7. разработка эксплуатационной документации на объект информатизации и средства защиты информации, а также организационно-распорядительной документации по защите информации (положений, технических паспортов, приказов, инструкций и других документов);

2.8. выполнение других мероприятий, направленных на защиту информации.

3. Стадия ввода в действие СЗИ

3.1. опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объекта информатизации и отработки технологического процесса обработки (передачи) информации;

3.2. приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатации с оформлением приемо-сдаточного акта, подписываемого разработчиком (поставщиком) и заказчиком;

3.3. оценка соответствия СЗИ требованиям безопасности информации - аттестация объекта информатизации по требованиям безопасности информации.

4 Техническое обслуживание и сопровождения системы защиты информации.

Часто возникает заблуждение, что все используемое программное обеспечение (ПО), должно быть сертифицировано, а сертификация стоит дорого и занимает много времени. Однако ни в одном из документов по регулированию вопросов защиты КД не сказано, что должно быть сертифицировано все ПО. Сертифицированы по требованиям ФСТЭК России должны быть средства защиты информации, но никак не системное, прикладное или специальное ПО, не участвующее в защите ИС. Сертификация по контролю отсутствия НДВ касается функционала безопасности, именно средств защиты, а не всего программного обеспечения, которое используется в информационной системе.

Сегодня документы ФСТЭК, которые можно посмотреть на сайте Федеральной службы по техническому и экспортному контролю, говорят нам по этому поводу следующее: В ИС должны использоваться только сертифицированные по требованиям безопасности информации технические средства и системы защиты. В ИС должен проводиться контроль на наличие недекларированных возможностей в программном и программно-аппаратном обеспечении и анализ защищенности системного и прикладного программного обеспечения. Для программного обеспечения, используемого при защите информации в ИС (средств защиты информации, в том числе и встроенных в общесистемное и прикладное программное обеспечение), должен быть обеспечен соответствующий уровень контроля отсутствия средств НСД. Таким образом, сертифицировать системное и прикладное ПО, если оно не участвует в процессе защиты информации, не нужно - это можно делать по желанию. Практика создания систем защиты показывает, что необходимо использовать лицензионное программное обеспечение (системное, прикладное и специальное ПО) и сертифицированные средства защиты информации и антивирусной защиты (это могут быть СрЗИ от НСД, антивирусные продукты, межсетевые экраны, средства обнаружения вторжений, средства анализа защищенности, соответствующие определенному классу). Если в ИС устанавливаются криптографические средства защиты информации (СКЗИ), то они также должны быть сертифицированы по требованиям ФСБ России. Следует отметить, что устанавливать сертифицированные СрЗИ имеет право только лицензиат ФСТЭК, а СКЗИ - лицензиат ФСБ.

Аттестация Финальным этапом создания системы защиты ИС должна стать аттестация (декларирование соответствия) - комплекс организационно-технических мероприятий, в результате которых посредством специального документа - Аттестата соответствия (Заключения) подтверждается, что ИС соответствует требованиям стандартов или иных нормативно-методических документов по безопасности информации. Наличие действующего Аттестата соответствия дает право обработки информации с соответствующим уровнем конфиденциальности на период времени, установленный в Аттестате соответствия. Аттестацию ИС на соответствие требованиям по безопасности информации имеют право проводить лицензиаты ФСТЭК, которые имеют лицензию на деятельность по технической защите конфиденциальной информации

Аттестация предусматривает комплексную проверку (аттестационные испытания) ИС в реальных условиях эксплуатации с целью оценки соответствия принятого комплекса мер защиты требуемому уровню безопасности КД.

В общем виде аттестация ИС по требованиям безопасности информации включает в себя следующие этапы:

  - анализ исходных данных по аттестуемой ИС;

  - проведение экспертного обследования ИС и анализ разработанной документации по обеспечению безопасности КД на соответствие требованиям нормативных и методических документов;

  - проведение комплексных аттестационных испытаний ИС в реальных условиях эксплуатации с использованием специальной аппаратуры контроля и программных средств контроля защищенности от несанкционированного доступа;

  - анализ результатов комплексных аттестационных испытаний, оформление и утверждение Заключения и Аттестата соответствия по результатам аттестации.

Важным моментом является то, что в случае изменения условий и технологии обработки КД обязательно известить об этом организацию-лицензиата, проводившую аттестацию ИС. После чего организация-лицензиат принимает решение о необходимости проведения дополнительной проверки эффективности системы защиты ИС.

Порядок выполнения работы.

  1. Познакомиться с основными положениями

  2. Разработать алгоритм-последовательность разработки СЗИ с использованием ИС

  3. Разработать и оформить любой документ организационно-распорядительной документации для СЗИ.

  4. Оформить все документы необходимые для аттестации СЗИ (см. приложения). Автоматизированную систему, помещение и другие данные принять самостоятельно

  5. Сделать выводы и оформить отчет

Приложение № 1

Утверждаю Руководитель предприятия   "____"__________"____"г.

 

 

А К Т

Классификации автоматизированной системы обработки информации

наименование автоматизированной системы

Комиссия в составе:

председатель:

члены комиссии:

рассмотрев исходные данные на автоматизированную систему обработки информации (АС) наименование автоматизированной системыусловия ее эксплуатации (многопользовательский, однопользовательский; с равными или разными правами доступа к информации), с учетом характера обрабатываемой информации (служебная тайна, коммерческая тайна, персональные данные и т.д.) и в соответствии с руководящими документами Гостехкомиссии России "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации" и "Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)",

 

РЕШИЛА:

Установить АС наименование автоматизированной системы

класс защищенности _______.

Председатель

Члены комиссии

 

Приложение № 2

 

 

Аттестат соответствия

№ ____

указывается полное наименование автоматизированной системы

Требованиям по безопасности информации

 

 

Выдан "____"________"_____г.

 

 

 

  1. Настоящим АТТЕСТАТОМ удостоверяется, что:

приводится полное наименование автоматизированной системы

класса защищенности ____________ соответствует требованиям нормативной документации по безопасности информации.

Состав комплекса технических средств автоматизированной системы (АС), с указанием заводских номеров, модели, изготовителя, номеров сертификатов соответствия, схема размещения в помещениях и относительно границ контролируемой зоны, перечень используемых программных средств, а также средств защиты (с указанием изготовителя и номеров сертификатов соответствия) указаны в техническом паспорте на АС.

  1. Организационная структура, уровень подготовки специалистов, нормативно-методическое обеспечение обеспечивают поддержание уровня защищенности АС в процессе эксплуатации в соответствии с установленными требованиями.

  2. Аттестация АС выполнена в соответствии с программой и методиками аттестационных испытаний, утвержденными руководителем предприятия (указываются номера документов).

  3. С учетом результатов аттестационных испытаний в АС разрешается обработка конфиденциальной информации.

  4. При эксплуатации АС запрещается:

    • вносить изменения в комплектность АС, которые могут снизить уровень защищенности информации;

    • проводить обработку защищаемой информации без выполнения всех мероприятий по защите информации;

    • подключать к основным техническим средствам нештатные блоки и устройства;

    • вносить изменения в состав, конструкцию, конфигурацию, размещение средств вычислительной техники;

    • при обработке на ПЭВМ защищаемой информации подключать измерительную аппаратуру;

    • допускать к обработке защищаемой информации лиц, не оформленных в установленном порядке;

    • производить копирование защищаемой информации на неучтенные магнитные носители информации, в том числе для временного хранения информации;

    • работать при отключенном заземлении;

    • обрабатывать на ПЭВМ защищаемую информацию при обнаружении каких либо неисправностей.

  5. Контроль за эффективностью реализованных мер и средств защиты возлагается на (наименование специалиста, подразделения по защите информации )

  6. Подробные результаты аттестационных испытаний приведены в заключении аттестационной комиссии (№ ___ от ____) и протоколах испытаний.

  7. "Аттестат соответствия" выдан на ___ года (лет), в течение которых должна быть обеспечена неизменность условий функционирования АС и технологии обработки защищаемой информации, могущих повлиять на характеристики защищенности АС.

Руководитель аттестационной комиссии

_______________ должность с указанием наименования предприятия, Ф.И.0.

"____"________"____ г.

Отметки органа надзора:

 

Приложение № 3

 

 

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности