И методология защиты информации
Классификация организационно-технологических
Download 0.98 Mb. Pdf ko'rish
|
6 Астахова Л В Теория информационной безопасности Учебное пособие
|
14.2. Классификация организационно-технологических
мероприятий по защите информации К мероприятиям по защите информации относятся: 1. Лицензирование деятельности предприятий в области защиты ин- формации. 2. Аттестация объектов информатизации по выполнению требований обеспечения защиты информации при проведении работ со сведениями соответствующей степени секретности. 3. Сертификация средств защиты информации и контроля за ее эффек- тивностью, систем и средств информатизации и связи в части защищенно- сти информации от утечки по техническим каналам. 4. Категорирование вооружения и военной техники, предприятий (объ- ектов) по степени важности защиты информации в оборонной, экономиче- ской, политической, научно-технической и других сферах деятельности. 5. Обеспечение условий защиты информации при подготовке и реали- зации международных договоров и соглашений. 6. Оповещение о пролетах космических и воздушных летательных ап- паратов, кораблях и судах, ведущих разведку объектов (перехват инфор- мации, подлежащей защите), расположенных на территории России. 7. Введение территориальных, частотных, энергетических, пространст- венных и временных ограничений в режимах использования технических средств, подлежащих защите. 106 8. Создание и применение информационных и автоматизированных систем управления в защищенном исполнении. 9. Разработка и внедрение технических решений и элементов защиты информации при создании и эксплуатации вооружения и военной техники, при проектировании, строительстве (реконструкции) и эксплуатации объ- ектов, систем и средств информатизации и связи. 10. Разработка средств защиты информации и контроля за ее эффективно- стью (специального и общего применения) и их использование. 11. Применение специальных методов, технических мер и средств за- щиты, исключающих перехват информации, передаваемой по каналам электросвязи. 12. Аудит (контроль) состояния защиты информации – это специальная проверка организации и эффективности защиты информации установлен- ным требованиям и/или нормам. К контрольным мероприятиям относятся: 1. Аттестация объектов информатизации по требованиям безопасности информации: аттестация автоматизированных систем, средств связи, обработки и передачи информации; аттестация помещений, предназначенных для ведения секретных и конфиденциальных переговоров; аттестация технических средств, установленных в выделенных по- мещениях. Сертификат соответствия (далее – сертификат) – документ, выданный по правилам системы сертификации для подтверждения соответствия сер- тифицированной продукции установленным требованиям; Сертификация продукции (далее – сертификация) – это деятельность по подтверждению соответствия продукции установленным требованиям. Под аттестацией объектов информатизации понимается комплекс орга- низационно-технических мероприятий, результате которых посредством специального документа – «Аттестата соответствия» подтверждается, что объект соответствует тpебованиям стандартов или иных нормативно- технических документов по безопасности информации, утвержденных Гостехкомиссией России. Наличие на объекте информатизации действую- щего «Аттестата соответствия» дает право обработки информации с уров- нем секретности (конфиденциальности) на период времени, установлен- ными в «Аттестате соответствия». Обязательной аттестации подлежат объекты информатизации, предна- значенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров. В остальных случаях аттестация носит добровольный харак- тер (добровольная аттестация) и может осуществляться по инициативе за- казчика или владельца объекта информатизации. 107 Аттестация по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и вызвана необходи- мостью официального подтверждения эффективности комплекса исполь- зуемых на конкретном объекте информатизации мер и средств защиты ин- формации. При аттестации объекта информатизации подтверждается его соответ- ствие требованиям по защите информации: от несанкционированного доступа, в том числе от компьютерных ви- русов; от утечки за счет побочных электромагнитных излучений и наводок при специальных воздействиях на объект (высокочастотное навязывание и облучение, электромагнитное и радиационное воздействие); от утечки или воздействия на нее за счет специальных устройств, встроенных в объекты информатизации. Аттестация предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта информатизации в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса меp и средств защиты требуемому уровню безопасности информации. 2. Контроль защищенности информации ограниченного доступа: выявление технических каналов утечки информации и способов не- санкционированного доступа к ней; контроль эффективности применяемых средств защиты информации. 3. Специальные исследования технических средств на наличие побоч- ных электромагнитных излучений и наводок (ПЭМИН): персональные ЭВМ, средства связи и обработки информации; локальные вычислительные системы; оформление результатов исследований в соответствии с требования- ми ФСТЭК РФ. 4. Проектирование объектов в защищенном исполнении: разработка концепции информационной безопасности; проектирование автоматизированных систем, средств связи, обра- ботки и передачи информации в защищенном исполнении; проектирование помещений, предназначенных для ведения секрет- ных и конфиденциальных переговоров. Download 0.98 Mb. Do'stlaringiz bilan baham: 
|