- •2.5 Требования, предъявляемые к ксзи
- •2.5.1 Требования к организационной и технической составляющим ксзи
- •2.5.2 Требования по безопасности, предъявляемые к изделиям ит
- •2.5.2.1. Порядок задания требований
- •2.5.2.2. Разработка изделия ит
- •2.5.2.3. Обеспечение поддержки доверия к безопасности изделия ит при эксплуатации
- •2.5.2.4 Подтверждение соответствия изделий ит требованиям безопасности информации
- •2.5.2.5. Поставка и ввод в действие. Эксплуатация изделия
- •2.6 Этапы разработки ксзи
- •3. Факторы, влияющие на организацию ксзи
- •3.1 Влияние формы собственности на особенности защиты информации ограниченного доступа
- •3.2 Влияние организационно-правовой формы предприятия на особенности защиты информации ограниченного доступа
- •Юридические лица, являющиеся коммерческими организациями
- •3.3 Характер основной деятельности предприятия
- •3.4 Состав, объекты и степень конфиденциальности защищаемой информации
- •3.5 Структура и территориальное расположение предприятия
- •3.6 Режим функционирования предприятия
- •3.7 Конструктивные особенности предприятия
- •3.8 Количественные и качественные показатели ресурсообеспечения
- •3.9 Степень автоматизации основных процедур обработки защищаемой информации
- •4. Определение и нормативное закрепление состава защищаемой информации
- •4.1 Классификация информации по видам тайны и степеням конфиденциальности
- •4.2 Нормативно-правовые аспекты определения состава защищаемой информации
- •4.2.1. Решение Задачи 1
- •4.2.2 Решение задачи 2
- •4.2.3 Определение состава защищаемой информации, отнесенной к коммерческой тайне предприятия
- •4.3 Методика определения состава защищаемой информации
- •4.4 Порядок внедрения Перечня сведений, составляющих кт, внесение в него изменений и дополнений
- •5. Определение объектов защиты
- •5.1 Значение носителей защищаемой информации, как объектов защиты
- •5.2 Методика выявления состава носителей защищаемой информации
- •5.4 Особенности взаимоотношений с контрагентами, как объект защиты информации ограниченного доступа
- •5.5 Факторы, определяющие необходимость защиты периметра и здания предприятия
- •5.6 Особенности помещений для работы с защищаемой информацией, как объектов защиты
- •Основные принципы оборудования сигнализацией
- •5.7 Транспортные средства и особенности транспортировки
- •5.8 Состав средств обеспечения, подлежащих защите
- •6. Дестабилизирующие воздействия на информацию и их нейтрализация
- •6.1 Факторы и угрозы информационной безопасности. Последствия реализации угроз
- •6.2 Угрозы безопасности информации
- •6.3 Модели нарушителей безопасности ас
- •6.4 Подходы к оценке ущерба от нарушений иб
- •6.5 Обеспечение безопасности информации в непредвиденных ситуациях
- •6.6 Реагирование на инциденты иб
- •6.7 Резервирование информации и отказоустойчивость
5.6 Особенности помещений для работы с защищаемой информацией, как объектов защиты
Помещения (здания) для работы с защищаемой информацией являются одним из рубежей, препятствующих несанкционированному доступу к объектам защиты. Они должны удовлетворять следующим требованиям:
обеспечивать защиту от проникновения злоумышленника (физическую защиту) на время, необходимое для выявления и пресечения нарушения;
исключать просмотр и прослушивание;
обеспечивать сохранность носителей защищаемой информации от хищений с использованием квалифицированных методов взлома;
обеспечивать безопасность персонала объектов и посетителей от вооруженных нападений;
соответствовать строительным нормам и правилам, санитарно-гигиеническим нормам, требованиям противопожарной безопасности;
при проведении работ с информацией обеспечивать ее защиту от утечки по техническим каналам;
иметь условия для разграничения доступа к проводимым работам.
По категориям доступа помещения предприятия могут должны быть разделены на три зоны по доступности:
первая зона - помещения, доступ в которые для сотрудников и посетителей не ограничен (например, бюро пропусков, комнаты посетителей, информационно-справочный зал предприятия и т.п.);
вторая зона - помещения, доступ в которые разрешен ограниченному кругу сотрудников (например, рабочие кабинеты сотрудников, библиотеки технической документации, производственные и складские помещения);
третья зона - помещения, доступ в которые имеют лишь строго определенные должностные лица объекта (например, залы вычислительных центров, хранилища технической документации, помещения для хранения комплектующих и готовой продукции, содержащей защищаемую информацию, помещения подразделений охраны и безопасности и т.п.).
Конкретные требования к помещениям для работы с защищаемой информацией, составляющей государственную тайну, регламентированы соответствующими нормативно-правовыми актами, которые в настоящем учебнике не рассматриваются.
Требования помещениям, предназначенным для работы с информацией ограниченного доступа, не отнесенной к государственной тайне, устанавливаются ее собственником с учетом ценности, на основе следующих нормативных и методических документов:
ГОСТ Р 51242-98 «Конструкции защитные механические и электромеханические для дверных и оконных проемов. Технические требования и методы испытаний на устойчивость к разрушающим воздействиям».
ГОСТ Р 51136-98 «Стекла защитные многослойные. Общие технические условия».
РД 78.148 - 94/МВД России «Защитное остекление. Классификация. Методы испытаний. Применение».
ГОСТ Р 51072-97 «Двери защитные. Общие технические требования и методы испытаний на устойчивость к взлому и пулестойкость».
ГОСТ 26892-86 «Двери деревянные. Метод испытания на сопротивление ударной нагрузке, действующей в направлении открывания двери».
ГОСТ Р 5089-97 «Замки и защелки для дверей. Технические условия».
Перечисленными нормативными документами установлены требования, обеспечивающие стойкость к взлому стен, перекрытий, дверей, оконных проемов и т.п. Вместе с тем злоумышленник, обладая достаточным временем и соответствующими техническими средствами, имеет возможность преодолеть их защитные свойства. В связи с этим надежная охрана помещений (зданий), в которых осуществляется хранение носителей информации ограниченного доступа, является непременным условием обеспечения их сохранности. Надежность и эффективность охраны требует использования технических средств, применение которых, а также требования к ним регламентированы рядом нормативных документов, примером которых могут служить:
РД 78.147 - 93 / МВД России «Единые требования по укреплению и оборудованию сигнализации охраняемых объектов».
РД 78.143 - 92 / МВД России «Системы и комплексы охранной сигнализации. Нормы проектирования».
РД 78.145 - 93 / МВД России «Системы и комплексы охранной, пожарной и охранно-пожарной сигнализации. Правила производства и приемки работ».
ГОСТ Р 51241-98 «Средства и системы контроля и управления доступом. Классификация. Общие технические требования и методы испытаний».
Стандарт Европейского комитета по стандартизации в области электроники CENELEC 1996 г. EN 50133-1 «Устройства охранной сигнализации. Контрольно-пропускные устройства. Часть 1: требования к системе».
Широкое применение в настоящее время нашли интегрированные системы аппаратных и программных средств, предназначенных для управления и контроля доступа, объединенных с системами охранно-пожарной, тревожной сигнализации и инженерно-технических средств охраны. Такие системы обеспечивают разграничение доступа в помещения в зависимости от степени их режимности и установленного в них пропускного режима, регистрируют (в пределах заданного временного промежутка) санкционированные посещения помещений, регистрируют и извещают охрану и службу безопасности о попытках и фактах несанкционированного проникновения в помещения и режимные зоны, могут обеспечивать противодействие несанкционированным проникновениям. В такие системы включаются автоматические средства связи (оповещатели), в том числе обеспечивающие взаимодействие с правоохранительными органами.