Главная Обратная связь

Дисциплины:

Архитектура (936)
Биология (6393)
География (744)
История (25)
Компьютеры (1497)
Кулинария (2184)
Культура (3938)
Литература (5778)
Математика (5918)
Медицина (9278)
Механика (2776)
Образование (13883)
Политика (26404)
Правоведение (321)
Психология (56518)
Религия (1833)
Социология (23400)
Спорт (2350)
Строительство (17942)
Технология (5741)
Транспорт (14634)
Физика (1043)
Философия (440)
Финансы (17336)
Химия (4931)
Экология (6055)
Экономика (9200)
Электроника (7621)






Общие требования и рекомендации



5.1.1. Система (подсистема) защиты информации, обрабатываемой в автоматизированных системах раз­личного уровня и назначения, должна предусматривать комплекс организационных, программных, техни­ческих и, при необходимости, криптографических средств и мер по защите информации при ее автомати­зированной обработке и хранении, при ее передаче по каналам связи.

5.1.2. Основными направлениями защиты информации являются:

· обеспечение защиты информации от хищения, утраты, утечки, уничтожения, искажения и подделки за счет НСД и специальных воздействий;

· обеспечение защиты информации от утечки по техническим каналам при ее обработке, хранении и пере­даче по каналам связи.

5.1.3. В качестве основных мер защиты информации рекомендуются:

· документальное оформление перечня сведений конфиденциального характера с учетом ведомствен­ной и отраслевой специфики этих сведений;

· реализация разрешительной системы допуска исполнителей (пользователей, обслуживающего персо­нала) к информации и связанным с ее использованием работам, документам;

· ограничение доступа персонала и посторонних лиц в защищаемые помещения и помещения, где разме­щены средства информатизации и коммуникации, а также хранятся носители информации;

· разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, про­граммным средствам обработки (передачи) и защиты информации;

· регистрация действий пользователей АС и обслуживающего персонала, контроль за несанкционирован­ным доступом и действиями пользователей, обслуживающего персонала и посто­ронних лиц;

· учет и надежное хранение бумажных и машинных носителей информации, ключей (ключевой докумен­тации) и их обращение, исключающее их хищение, подмену и уничтожение;

· использование СЗЗ, создаваемых на основе физико-химических технологий для контроля доступа к объ­ектам защиты и для защиты документов от подделки;

· необходимое резервирование технических средств и дублирование массивов и носителей информа­ции;

· использование сертифицированных серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации;

· использование технических средств, удовлетворяющих требованиям стандартов по электромагнитной совместимости;

· использование сертифицированных средств защиты информации;

· размещение объектов защиты на максимально возможном расстоянии относительно границы КЗ;



· размещение понижающих трансформаторных подстанций электропитания и контуров заземления объек­тов защиты в пределах КЗ;

· развязка цепей электропитания объектов защиты с помощью защитных фильтров, блокирующих (подав­ляющих) информативный сигнал;

· электромагнитная развязка между линиями связи и другими цепями ВТСС, выходящими за пределы КЗ, и информационными цепями, по которым циркулирует защищаемая информация;

· использование защищенных каналов связи (защищенных ВОЛС и криптографических средств ЗИ;

· размещение дисплеев и других средств отображения информации, исключающее несанкционирован­ный просмотр информации;

· организация физической защиты помещений и собственно технических средств с помощью сил ох­раны и технических средств, предотвращающих или существенно затрудняющих проникновение в здания, помещения посторонних лиц, хищение документов и информационных носителей, самих средств информатизации, исключающих нахождение внутри контролируемой зоны технических средств разведки или промышленного шпионажа;

· криптографическое преобразование информации, обрабатываемой и передаваемой средствами вычисли­тельной техники и связи (при необходимости, определяемой особенностями функционирова­ния конкретных АС и систем связи);

· предотвращение внедрения в автоматизированные системы программ-вирусов, программных закла­док.

Обязательность тех или иных мер для защиты различных видов конфиденциальной информации конкрети­зирована в последующих подразделах документа.

5.1.4. В целях дифференцированного подхода к защите информации, обрабатываемой в АС различного уровня и назначения, осуществляемого в целях разработки и применения необходимых и достаточных мер и средств защиты информации, проводится классификация автоматизированных систем (форма акта клас­сификации АС приведена в приложении № 1).



5.1.5. Классифицируются АС любого уровня и назначения. Классификация АС осуществляется на основа­нии требований РД Гостехкомиссии России "Автоматизированные системы. Защита от несанкционирован­ного доступа к информации. Классификация автоматизированных систем и требования по защите инфор­мации" и настоящего раздела документа.

5.1.6. Классификации подлежат все действующие, но ранее не классифицированные, и разрабатываемые АС, предназначенные для обработки конфиденциальной информации.

5.1.7. Если АС, классифицированная ранее, включается в состав вычислительной сети или системы и со­единяется с другими техническими средствами линиями связи различной физической природы, образуемая при этом АС более высокого уровня классифицируется в целом, а в отношении АС нижнего уровня клас­сификация не производится.

Если объединяются АС различных классов защищенности, то интегрированная АС должна классифициро­ваться по высшему классу защищенности входящих в нее АС, за исключением случаев их объединения по­средством межсетевого экрана, когда каждая из объединяющихся АС может сохранять свой класс защи­щенности. Требования к используемым при этом межсетевым экранам изложены в подразделе 5.9.

5.1.8. При рассмотрении и определении режима обработки данных в АС учитывается, что индивидуальным (монопольным) режимом обработки считается режим, при котором ко всей обрабатываемой информации, к программным средствам и носителям информации этой системы допущен только один пользователь.

Режим, при котором различные пользователи, в т.ч. обслуживающий персонал и программисты, работают в одной АС, рассматривается как коллективный. Коллективным режимом работы считается также и последо­вательный во времени режим работы различных пользователей и обслуживающего персонала.

5.1.9. В случае, когда признаки классифицируемой АС (п. 1.7. РД Гостехкомиссии России "Автоматизиро­ванные системы. Защита от несанкционированного доступа к информации. Классификация автоматизиро­ванных систем и требования по защите информации") не совпадают с предложенными в РД (п. 1.9) груп­пами по особенностям обработки информации в АС, то при классификации выбирается наиболее близкая группа защищенности с предъявлением к АС соответствующих дополнительных требований по защите ин­формации. (Например, однопользовательская АС с информацией различного уровня конфиденциальности по формальным признакам не может быть отнесена к 3 группе защищенности. Однако, если дополнительно реализовать в такой системе управление потоками информации, то необходимый уровень защиты будет обеспечен).

5.1.10. Конкретные требования по защите информации и мероприятия по их выполнению определяются в зависимости от установленного для АС класса защищенности. Рекомендуемые классы защищенности АС, СЗЗ, средств защиты информации по уровню контроля отсутствия недекларированных возможностей, а также показатели по классам защищенности СВТ и МЭ от несанкционированного доступа к информации приведены в приложении № 7.

5.1.11. Лица, допущенные к автоматизированной обработке конфиденциальной информации, несут ответ­ственность за соблюдение ими установленного в учреждении (на предприятии) порядка обеспечения за­щиты этой информации.

Для получения доступа к конфиденциальной информации они должны изучить требования настоящего до­кумента, других нормативных документов по защите информации, действующих в учреждении (на пред­приятии) в части их касающейся.


Эта страница нарушает авторские права

allrefrs.ru - 2019 год. Все права принадлежат их авторам!