Основные меры по защите конфиденциальной информации




Защита информации АИС и самих систем различного уровня и назначения является неотъемлемой составной частью научной, производственной и управленческой деятельности организации - заказчика создания (эксплуатации) автоматизированной системы и осуществляется во взаимосвязи с другими мерами обеспечения зашиты информации.

Обеспечение защиты, соответствующей уровню информационной безопасности объекта защиты, содержащего конфиденциальную информацию, должно предусматривать комплекс организационных, программных, технических средств и мер по защите информации ограниченного доступа и распространения.

К основным мерам защиты информации с ограниченным доступом относятся:

· выделение конфиденциальной информации, средств и систем защиты информации или их компонентов, подлежащих защите на основе ограничительных перечней конфиденциальной документированной информации разрабатываемых в организации и в ее структурных подразделениях с учетом особенностей автоматизированной обработки информации, а также определение порядка отнесения информации к категории конфиденциальной;

· реализация разрешительной системы допуска исполнителей (пользователей, обслуживающего персонала, персонала других организаций) к работам, документам и информации с ограниченным доступом

· ограничение доступа персонала и посторонних лиц в помещения. где размещены средства информатизации и коммуникации, на которых обрабатывается (хранится, передается) конфиденциальная информация, непосредственно к самим средствам информатизации и коммуникациям;

· разграничение доступа пользователей и обслуживающего персонала к информации, программным средствам обработки (передачи) и защиты информации;

· учет документов, информационных массивов, регистрация действий пользователей АИС и обслуживающего персонала, контроль за санкционированным и несанкционированным доступом и действиями пользователей, обслуживающего персонала и посторонних лиц;

· надежное хранение традиционных и машинных носителей информации ключей (ключевой документации) и их обращение, исключающее их хищение, подмену, изменение (модификацию) и уничтожение;

· необходимое резервирование технических средств и дублирование массивов и носителей информации;

· использование сертифицированных средств защиты информации при обработке конфиденциальной информации ограниченного доступа;

· использование технических средств, удовлетворяющих требованиям стандартов по совместимости;

· проверка эффективности защиты технических средств и систем в реальных условиях их размещения и эксплуатации в целях определения достаточности мер защиты с учетом установленной категории;

· физическая защита помещений и собственно технических средств АИС с помощью сил охраны и технических средств, предотвращающих или существенно затрудняющих проникновение в здания, помещения посторонних лиц, хищение документов и информационных носителей;

· криптографическое преобразование информации, обрабатываемой и передаваемой средствами вычислительной техники и связи (при необходимости), определяемой особенностями функционирования конкретных автоматизированных систем:

· исключение возможности визуального (в том числе с использованием оптических средств наблюдения) несанкционированного просмотра обрабатываемой информации;

· предотвращение внедрения в автоматизированные системы программ-вирусов, программных закладок;

· использование волоконно-оптических линий связи для передачи конфиденциальной информации;

· использование защищенных каналов связи.

В целях дифференцированного подхода к защите информации, осуществляемого для разработки и применения необходимых и достаточных средств защиты информации, а также обоснованных мер по достижению требуемого уровня информационной безопасности, проводится классификация автоматизированных систем, обрабатывающих конфиденциальную информацию, либо разрабатываются профили защиты в соответствии с ГОСТ Р ИСО/МЭК 15408-1-2002 [152; 185]. Профиль защиты - это не зависящая от реализации совокупность требований безопасности для некоторой категории объекта оценки, отвечающая специфическим запросам потребителя.

Классификации подлежат все действующие, но ранее не классифицированные, а также разрабатываемые АИС, предназначенные для обработки информации с ограниченным доступом. Если система, классифицированная ранее, включается в состав вычислительной сети или системы и соединяется с другими техническими средствами линиями связи различной физической природы, то образующаяся при этом АИС более высокого уровня классифицируется в целом, а в отношении системы нижнего уровня классификация не производится.

Если объединяются автоматизированные системы различных классов защищенности, то интегрированная АИС должна классифицироваться по высшему классу защищенности входящих в нее систем, за исключением случаев их объединения посредством межсетевого экрана, когда каждая из объединяющихся автоматизированных систем может сохранять свой класс защищенности. Межсетевой экран представляет собой локальное (однокомпонентное) или функционально-распределительное средство (комплекс), реализующее контроль за информацией, поступающей в АИС и (или) выходящей из системы, и обеспечивающее ее защиту посредством фильтрации информации, т.с. ее анализа по совокупности критериев и принятия решения о ее распространении в (из) системы [198].

В соответствии с требованиями руководящих документов ФСТЭК России, конфиденциальная информация автоматизированной системы является объектом защиты. Определение объектов защиты проводится на на этапах проектирования и приемо-сдаточных испытаний системы, а также в ходе инвентаризации и доработок, аттестационных испытаний и других контрольных мероприятий, проводимых в процессе эксплуатации АИС.

Категории конфиденциальной информации как объекта защиты устанавливаются до начала ее автоматизированной обработки, с использованием документально оформленного Перечня конфиденциальной документированной информации (КДИ) организации (см. разд. 2.3). за исключением государственной тайны, подлежащей защите в соответствии с законодательством Российской Федерации. Этот Перечень может носить обобщающий характер в области деятельности организации или иметь отношение к какому-либо отдельному направлению работ, связанному с созданием АИС. Все исполнители и, при необходимости, представители сторонних организаций, привлекаемых к проведению работ с использованием сведений конфиденциального характера, должны быть ознакомлены с этим Перечнем. При отсутствии в организации Перечня КДИ допускается разработка специализированного перечня для конкретной АИС организации или системы структурного подразделения.

Для идентификации и кодирования конфиденциальной информации при ее структурировании, автоматизированной обработке, в том числе в системах управления базами данных (СУБД), предусмотрен Классификатор конфиденциальной информации организации.

Каждый реквизит таблицы базы данных, предназначенной для хранения конфиденциальной информации, должен иметь уникальный идентификатор.

В процессе автоматизированной обработки по завершении очередного установленного календарного периода (не менее года) эксплуатации организация (заказчик) организует определение текущего уровня защиты в целях контроля его соответствия требуемому уровню.

В организации разрабатываются документы (трудовые договоры. контракты, соглашения), регулирующие отношения между организацией работодателем и се работниками, организацией со сторонними организациями но порядку обращения с конфиденциальной информацией и ее обмена (приема-передачи) (см. гл. 4). Должностным лицам и работникам организации, использующим сведения конфиденциального характера, в организации обеспечиваются необходимые условия для соблюдения установленного порядка обращения с такой информацией при ее автоматизированной обработке.

Организация эксплуатации АИС и системы защиты информации в ее составе осуществляется в соответствии с установленным в организации порядком, в том числе в соответствии с инструкциями по эксплуатации системы защиты информации для пользователя, оператора, администратора системы, администратора безопасности.

Порядок обеспечения защиты информации в процессе эксплуатации, учитывающий особенности реализации АИС, технологии обработки информации и доступа исполнителей к ее техническим средствам, накопителям и носителям информации, определяется Инструкцией по защите информации организации, составленной на основании действующих документов ФСТЭК России, других стандартов и нормативных документов.

Ответственность за обеспечение защиты информации в процессе эксплуатации АИС возлагается на руководство эксплуатирующей организации и Службу безопасности или информационной безопасности. Подразделение информационной безопасности также может входить, как уже говорилось, в состав подразделения по информационным технологиям организации. Ответственность за соблюдение установленных требований по защите информации при разработке АИС возлагается на непосредственных исполнителей.

 



Поделиться:




Поиск по сайту

©2015-2024 poisk-ru.ru
Все права принадлежать их авторам. Данный сайт не претендует на авторства, а предоставляет бесплатное использование.
Дата создания страницы: 2020-05-09 Нарушение авторских прав и Нарушение персональных данных


Поиск по сайту: