Организационное обеспечение безопасности информации в особых условиях.

Организационная защита информации в процессе проведения совещаний и переговоров по конфиденциальным вопросам.

Сравнительно большое количество участников, присутствие посторонних лиц, необходимость предания огласке секретной или конфиденциальной информации, сложность контроля за поведением участников и т.п., создают условия повышенной уязвимости информации. Следовательно, ставятся задачи по след. направлениям: отбор и группировка информации, подлежащей оглашению; разработка и реализация правил проведения совещаний и переговоров, приема посетителей; организация работы с персоналом, т.е. лицами, которым поручена организация и проведение совещаний и переговоров, ответственными за прием посетителей; проведение мероприятий по обеспечению требований, предъявляемых к помещениям, где проводятся совещания и переговоры; их охрана. Совещания проводятся с разрешения руководителя предприятия или заместителей. Он назначает ответственного, который составляет список участников с указанием ФИО, должности и предприятия. Отв. лицо вместе с СБ и техническими сотрудниками осуществляет организационные и технические мероприятия. Если это текущие вопросы без представителей сторонних организаций – с согласия руководителя, без согласования со СБ. На совещание допускаются лица, которые имеют непосредственное отношение к обсуждаемым вопросам и участие которых вызвано служебной необходимостью. Для обсуждения секретных вопросов участники совещания должны иметь допуск по форме, соответствующей степени секретности вопросов, подлежащих обсуждению. Сотрудники других учреждений представляют справки о допуске в СБ до проведения совещания. Отв. лицо должно своевременно предоставить в СБ проект программы совещания и список участников. Список лиц согласовывается с начальником СБ и утверждается руководителем предприятия. Все документы, составляемые в процессе подготовки совещания, должны иметь гриф, изготавливаться и составляться в соответствии с требованиями инструкций по обработке и хранению секр. и конф. документов. На совещание участники пропускаются по спискам при предъявлении документов, удостоверяющих личность. Совещания проводятся в специальных помещениях. Такие помещения до проведения совещания должны быть обследованы соответствующими специалистами с целью обеспечения защиты от утечки информации по техническим каналам, и при необходимости, обеспечены охраной. В помещении для проведения совещания не должны находиться приборы, оборудование и технические средства, которые непосредственно не используются для обеспечения хода совещания. При необходимости они размещаются в соседней изолированной комнате. По окончании совещания сотрудник службы безопасности осматривает помещение, запирает, опечатывает и сдает под охрану. Ход совещания документируется одним из готовивших его сотрудников или секретарем. На закрытых совещаниях с повышенным уровнем конфиденциальности эту работу выполняет непосредственно ответственный организатор совещания Составляемый протокол (стенограмма) должен иметь гриф конфиденциальности соответствующего уровня и оформляться в стенографической тетради, зарегистрированной в СБ. Ответственное лицо обязано перед началом совещания проинформировать присутствующих о степени секретности обсуждаемых вопросов и предупредить, что секретные записи они могут делать только в учтенных рабочих тетрадях, выданных СБ перед началом совещания.

 

Билет 22

1. Способы оценки угроз безопасности информации и расходов на техническую защиту.

Одним из сложных и трудоемких процессов разработки концепции системы информационной безопасности (СИБ) является исследование возможных угроз и выделение потенциально опасных. Данный процесс порождает необходимость решения комплекса вопросов, на которые нужно ответить проектировщикам СИБ. В их числе следует выделить основные: 1)какие цели преследует нарушитель(и) безопасности? 2)какие условия и факторы способствуют возможности реализации угроз? 3)как данные факторы оценить? 4)какова потенциальная опасность отдельных угроз и многие другие.

Рассматривая цели, преследуемые нарушителем безопасности, следует акцентировать внимание на следующих: нарушение конфиденциальности, целостности и доступности защищаемой информации. На разработку и реализацию угроз оказывает влияние огромное количество факторов (экономических, технических, технологических и т.д.), следует выделить следующие: 1)ожидаемый нарушителем “эффект” от реализации угроз; 2)сложность разработки и реализации; 3)необходимые затраты; 4)возможное наказание в случае идентификации угрозы, нарушителя и др.

Основываясь на анализе угроз безопасности, рассмотрим основы методики оценки данных угроз.

Под внутренним источником понимается воздействие внутренних факторов, таких, как персонал, сбои и т.п. К внешним относят такие факторы, как стихийные бедствия, техногенные факторы (например, отключение электроэнергии), преднамеренные воздействия отдельных нарушителей или групп на безопасность.

Комплексная оценка угрозы может быть рассчитана следующим образом:

, где - оценка i-й угрозы по j-му параметру; m - количество параметров оценки;

- максимальная оценка по j-му параметру;

все угрозы безопасности целесообразно разделить на три основные группы: 1) неопасные угрозы, которые легко предотвращаются или обнаруживаются, нейтрализуются и устраняются; 2) опасные, для которых процессы предотвращения, обнаружения и нейтрализации, с точки зрения технологии, не отработаны; 3) очень опасные, которые обладают максимальными оценками по всем параметрам и реализация процессов противостояния сопряжены с огромными затратами. Данное выделение является нестрогим и может варьироваться и изменяться при изменении метода расчетов комплексной оценки. В то же время данный подход будет полезным при оценке риска.

2. Кадровое обеспечение комплексных систем защиты информации

Понимая ведущую роль кадров в сохранении секретов, руководителям предприятия важно помнить, какие личные качества человека не способствуют сохранению доверен­ной ему тайны. То есть причины нарушения безопасности информации связаны с психологическими особенностями человека, его личными качествами, следовательно, и спо­собы предотвращения перечисленных нарушений вытека­ют из анализа побудительных мотивов: тщательный подбор персонала, подготовка персонала, поддержание здорового рабочего климата, мотивация и стимулирование деятель­ности сотрудников. В любой профессиональной деятельности есть стабильные составляющие и переменные, связанные с конк­ретными условиями, в которых эта деятельность осуществляется. При подборе кадров важно принимать во внимание обе составляющие, т. е. дается описание психологических характеристик, соблюдение которых необходимо для вы­полнения определенных профессиональных обязанностей. В психограмму включаются требования, предъявляемые профессиональной деятельности: 1)к психологическим про­цессам (памяти, воображению, восприятию), психическим состояниям (усталости, апатии, стрессу), 2)вниманию как со­стоянию сознания, 3)эмоциональным характеристикам(сдержанность, индиф­ферентность) 4)волевым характеристикам (настойчивость, импульсивность)

Некоторые из этих психологических требований являются основными, главными, без них вообще невозможна качественная деятельность. Психологическое несоответствие требованиям профес­сии особенно сильно проявляется в сложных ситуациях, когда требуется мобилизация всех личностных ресурсов для решения сложных задач. Поэтому это особенно важно в рамках комплексной системы защиты информации. Проведение постоянной работы по изучению психологических особенностей персонала важно для любой организации. Адекватная оценка своих сотрудников и их вклада в общее дело, построение рациональных и эффективных деловых и социо-эмоциональных отношений, а также постоянное мотивирование их деятельности избавит от головной боли как СБ, так и другие отделы организации.

При подборе кадров необходимо ориентироваться не только на отдельные характеристики психики, а на черты личности как ее системные свойства. Выделим наиболее результативные методы изучения личности: 1)изучение жизненного пути личности; 2)изучение мнения коллектива, в котором работала личность; 3)изучение ближайшего окружения личности; 4)создание ситуации, наиболее подходящей для проявления профессионально важных качеств и свойств; 5)изучение высказывания личности о собственной роли в делах коллектива.

К качествам, соответствующим работе в таких условиях, относятся: 1)честность, 2)добросовестность, 3)принципиальность (строгое следование основным правилам), 4)исполнительность, 5)пунктуальность, 6)дисциплинированность 7)эмоциональная устойчивость (самообладание), 8)стремление к успеху и порядку в работе, 9)самоконтроль в поступках и действиях, 10)правильная самооценка собственных способностей и возможностей, осторожность, 11)умение хранить секреты, 12)тренированное внимание и хорошая память.

Качества, не способствующие сохранению доверенной тайны: 1)эмоциональное расстройство, 2)неуравновешенности поведения, 3)разочарование в себе, 4)отчужденность от коллег по работе, 5)недовольство своим служебным положением, 6)ущемленное самолюбие, эгоистичные интересы, 7)нечестность, 8)употребление наркотиков и алкоголя, постепенно разрушающих личность.

3. Правовое регулирование отношений в области формирования обязательного экземпляра документа.

ФЗ «Об обязательном экземпляре документов» определяет политику государства в области формирования обязательного экземпляра документов как ресурсной базы комплектования полного национального библио-течно-информационного фонда РФ и развития системы государственной библиографии, предусматривает обеспечение сохранности обязательного экземпляра документов, его общественное использование. Главным назначением Закона является правовое регулирование отношений при формировании и использования национального библиотечно-информационного фонда РФ в виде собрания всех видов обязательного экземпляра, комплектуемого на основе обязательного бесплатного экземпляра, распределяемого между книжными палатами, библиотеками, органами научно-технической информации, предназначенного для постоянного хранения и общественного использования.

Под обязательными экземплярами документов понимаются экземпляры различных видов тиражированных документов, подлежащие передаче производителями в соответствующие учреждения и организации. Система обязательного экземпляра – совокупности видов обязательных экземпляров, а также установленный порядок их собирания, распределения и использования.

В состав обязательного экземпляра входят следующие виды документов: • издания (текстовые, нотные, картографические, изоиздания) – издательская продукция, прошедшая редакционно-издательскую обработку, полиграфически самостоятельно оформленная, имеющая выходные сведения; • издания для слепых – издания, изготовляемые рельефно-точечным шрифтом по системе Брайля, и «говорящие книги»; • официальные документы – произведения печати, публикуемые от имени органов законодательной, исполнительной и судебной власти, носящие законодательный, нормативный, директивный или информационный характер; • аудиовизуальная продукция – кино-, видео-, фото-, фонодокументы; • электронные издания, включающие программы для электронных вычислительных машин (далее – ЭВМ) и базы данных или представляющие собой программы для ЭВМ и базы данных; • неопубликованные документы – результаты научно-исследовательской и опытно-конструкторской деятельности (диссертации, отчеты о научно-исследовательских и опытно-конструкторских работах, депонированные научные работы, алгоритмы и программы). Не подлежат рассылке в качестве обязательного бесплатного федерального экземпляра документы строгой отчетности и приравненные к ним документы, техническая документация на военную продукцию (формуляры, инструкции по эксплуатации), бланочная продукция, указания по заполнению бланков отчетности, альбомы форм учетной и отчетной документации. Поставляет обязательный экземпляр производитель документов – юридическое лицо независимо от его организационно-правовой формы и формы собственности, производящее, публикующее и распространяющее различные виды обязательных экземпляров. Существуют следующие категории производителей документов: издательства; полиграфические предприятия, другие издающие учреждения и организации: редакции средств массовой информации; музыкальные фирмы и фирмы грамзаписи; теле– и радиокомпании; киностудии; видеопредприятия и кинематографические предприятия; научно-исследовательские учреждения; высшие учебные заведения, проектные и конструкторские учреждения, другие организации, изготовляющие различные виды документов. Производители документов обязаны доставлять обязательный бесплатный экземпляр получателям документов бесплатно.

 

 

Билет 23

1. Модель нарушителя организациии(предприятия).

Нарушитель – это лицо, предпринявшее попытку выполнения запрещенных операций (действий) по ошибке, незнанию или осознанно со злым умыслом (из корыстных интересов) или без такового (ради игры или удовольствия, с целью самоутверждения и т.п.) и использующее для этого различные возможности, методы и средства. По отношению к информационным ресурсам нарушители могут быть внутренними (из числа персонала) или внешними (посторонними лицами). Внутренним нарушителем может быть лицо из следующих категорий персонала: 1)пользователи (операторы) информационной системы; 2)персонал, обслуживающий технические средства (инженеры, техники); 3)сотрудники отделов разработки и сопровождения программного обеспечения (прикладные и системные программисты); 4)технический персонал, обслуживающий здания (уборщики, электрики, сантехники и другие сотрудники, имеющие доступ в здания и помещения, где расположены компоненты информационной системы); 5)сотрудники службы безопасности; 6)руководители различных уровней должностной иерархии. Посторонние лица, которые могут быть нарушителями: 1)клиенты (представители организаций, граждане); 2)посетители (приглашенные по какому-либо поводу); 3)представители организаций, взаимодействующих по вопросам обеспечения жизнедеятельности организации (энерго-, водо-, теплоснабжения и т.п.); 4)представители конкурирующих организаций (иностранных спецслужб) или лица, действующие по их заданию; 5)лица, случайно или умышленно нарушившие пропускной режим (без цели нарушить безопасность); 6)любые лица за пределами контролируемой территории.

Можно выделить три основных мотива нарушений: безответственность, самоутверждение и корыстный интерес. При нарушениях, вызванных безответственностью, пользователь целенаправленно или случайно производит какие-либо разрушающие действия, не связанные тем не менее со злым умыслом. В большинстве случаев это следствие некомпетентности или небрежности. Некоторые пользователи считают получение доступа к системным данных крупным успехом, затевая своего рода игру «пользователь – против системы» ради самоутверждения либо в собственных глазах, либо в глазах коллег. Нарушение безопасности информационной системы может быть вызвано и корыстным интересом пользователя системы. В этом случае он будет целенаправленно пытаться преодолеть систему защиты для доступа к хранимой, передаваемой и обрабатываемой в системе информации

Всех нарушителей можно классифицировать следующим образом. По уровню знаний об информационной системе: • знает функциональные особенности системы, основные закономерности формирования в ней массивов данных и потоков запросов к ним, умеет пользоваться штатными средствами; • обладает высоким уровнем знаний и опытом работы с техническими средствами системы и их обслуживания; • обладает высоким уровнем знаний в области программирования и вычислительной техники, проектирования и эксплуатации автоматизированных информационных систем; • знает структуру, функции и механизм действия средств защиты, их сильные и слабые стороны. По уровню возможностей (используемым методам и средствам): • применяющий чисто агентурные методы получения сведений; • применяющий пассивные средства (технические средства перехвата без модификации компонентов системы); • использующий только штатные средства и недостатки систем защиты для ее преодоления (несанкционированные действия с использованием разрешенных средств), а также компактные магнитные носители информации, которые могут быть скрытно пронесены через посты охраны; • применяющий методы и средства активного воздействия (модификация и подключение дополнительных технических средств, подключение к каналам передачи данных, внедрение программных закладок и использование специальных инструментальных и технологических программ). По времени действия: • в процессе функционирования информационной системы (во время работы компонентов системы); • в период неактивности компонентов системы (в нерабочее время, во время плановых перерывов в ее работе, перерывов для обслуживания и ремонта и т.п.); • как в процессе функционирования системы, так и в период неактивности компонентов системы.

По месту действия: • без доступа на контролируемую территорию организации; • с контролируемой территории без доступа в здания и сооружения; • внутри помещений, но без доступа к техническим средствам системы; • с рабочих мест конечных пользователей (операторов); • с доступом в зону данных (баз данных, архивов и т.п.); • с доступом в зону управления средствами обеспечения безопасности.

2. Правовое регулирование отношений в области связи.

Федеральный закон Российской Федерации от 7 июля 2003 г. N 126-ФЗ "О связи" регулирует отношения, связанные с созданием и эксплуатацией всех сетей связи и сооружений связи, использованием радиочастотного спектра, оказанием услуг электросвязи и почтовой связи на территории Российской Федерации и на находящихся под юрисдикцией Российской Федерации территориях. В отношении операторов связи, осуществляющих свою деятельность за пределами Российской Федерации в соответствии с правом иностранных государств, настоящий Федеральный закон применяется только в части регулирования порядка выполнения работ и оказания ими услуг связи на находящихся под юрисдикцией Российской Федерации территориях. Отношения в области связи, не урегулированные настоящим Федеральным законом, регулируются другими федеральными законами и иными нормативными правовыми актами Российской Федерации в области связи. Статья 4. Законодательство Российской Федерации в области связи 1.Законодательство Российской Федерации в области связи основывается на Конституции Российской Федерации и состоит из настоящего Федерального закона и иных федеральных законов. 2. Отношения, связанные с деятельностью в области связи, регулируются также нормативными правовыми актами Президента Российской Федерации, нормативными правовыми актами Правительства Российской Федерации и издаваемыми в соответствии с ними нормативными правовыми актами федеральных органов исполнительной власти. 3. Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора.

3. Особенности подбора персонала на должности, связанные с работой с конфиденциальной информацией.

Подбор персонала может осуществляться из внутренних и внешних источников. Для некоторых категорий персонала, связанных с допуском к наиболее важной секретной или конфиденциальной информации, наиболее предпочтительным, а в ряде случаев и единственно возможным, является подбор из внутренних источников, т.е. путем ротации сотрудников, перевода их на другие, в том числе и более высокие должности.

Подбор персонала на должности, связанные с работой с защищаемой информацией, осуществляется в соответствии с определенными критериями. В качестве критериев подбора рассматриваются требования к профессиональным (образование, опыт и стаж работы и др.) и личным качествам (возраст, пол, психологические особенности личности, социальный статус и др.) потенциальных претендентов, на каждую конкретную должность. Совокупность критериев подбора представляет собой своеобразную модель должности или рабочего места. Сущность подбора, в связи с этим, представляет собой определение соответствия качеств конкретного претендента разработанной модели. При этом наиболее сложной задачей является определение личностных характеристик претендента, которым в деле защите информации уделяется наибольшее внимание. Состав процедур подбора может быть различным; их выбор определяется статусом в организации, степенью допуска к защищаемой информации, характером работы, отношением к организационным коммуникациям и т.д. В зарубежной практике управления персоналом и защитой информации используются достаточно сложные многостадийные процедуры подбора, что свидетельствует о большом значении, придающемся этому этапу работы. Обобщенно стадии могут выглядеть следующим образом. 1. Предварительная беседа по отбору: знакомство с претендентом; сбор личным документов, представляемых претендентом; оценка внешнего вида, манеры поведения, умения общаться и т.д. 2. Изучение, анализ и оценка информации, содержащейся в личных документах претендента, и полученной в ходе первого этапа. Предварительный отбор, значительно сужающий круг претендентов. 3. Собеседования и тесты по найму, проверки рекомендаций и обязательств перед другими фирмами. В ряде случаев - проверки претендентов с использованием достаточно широкого круга методов (проверки на добропорядочность, проверки прошлого поведения человека, метод “позитивного вето”, проверки на полиграфе, тестирование, опросы коллег, соседей, членов семьи, знакомых, анализ напряженности голоса, мимики, жестов и т.д., контент-анализ и др.). Достаточно широко используется практика привлечения к сбору информации о претенденте специальных агентств. 4. Медицинский осмотр. 5. Анализ полученной информации и принятие решения о найме; сообщение о нем претенденту с объяснением причин и оснований для отказа в приеме, а также названия агентства, собиравшего информацию. В случае положительного решения о найме производится прием на работу, сопровождающийся соответствующими процедурами документирования трудовых отношений (написание кандидатом заявления о приеме на работу, или подписание контракта, издание приказа о зачислении). Как правило, в это же время принятый сотрудник подписывает обязательство о неразглашении тайны. Подписание обязательств связано по времени с оформлением допуска к секретной или конфиденциальной информации.

 

Билет 24

1. Способы и принципы работы средств защиты информации от наблюдения, подслушивания и перехвата.

Средства защиты информации от наблюдения должны обеспечивать: 1)маскировку объектов наблюдения в видимом, инфракрасном и радиодиапазонах электромагнитных волн, а так же объектов гидроакустического наблюдения; 2) формирование и «внедрение» ложной информации об объектах наблюдения; 3)уменьшение в случае необходимости прозрачности воздушной и водной среды; 4)ослепление и засветку средств наблюдения в оптическом диапазоне длин волн; 5)создание помех средствами гидроакустического и радиолокационного наблюдения. Средства маскировки должны изменять видовые демаскирующие признаки поверхности защищаемого объекта под признаки других объектов фона или признаков фона под признаки защищаемого объекта. Так как характеристики объектов наблюдения существенно различаются в акустическом, оптическом и радиодиапазонах, то средства маскировки в этих диапазонах так же различаются. Изменить структуру изображения объекта или фона можно и активными средствами – генераторами помех. Активные средства создают помеху, которая в зависимости от расположения генератора помех может создавать ложную точку или их совокупность на изображении объекта или фона. Путем размещения источников помех на поверхности объекта защиты или между простыми объектами сложного объекта изменяется его структура. С помощью средств, изменяющих статистические и динамические признаки объекта под признаки ложного объекта (объекта прикрытия), обеспечивается дезинформирование органов разведки.

Средства ЗИ от прослушивания включает средства, предотвращающие утечку акустической информации в простом акустическом канале утечки информации. Так как структурное скрытие речевой информации возможно в исключительных случаях (кодирование речевых сигналов), то основу средств защиты от прослушивания составляют средства энергетического скрытия. Они должны обеспечить: 1)звукоизоляцию и звукопоглощение речевой информации в помещениях; 2) звукоизоляцию акустических сигналов работающих механизмов, по признакам которых можно выявить сведения, содержащие гос. или коммерческую тайну; 3)акустическое зашумление помещения, в котором ведутся разговоры по закрытой тематике. Учитывая, что основу защиты информации от прослушивания составляет энергетические методы скрытия, то средства защиты от прослушивания должны, прежде всего, обеспечить звукоизоляцию защищаемых акустических сигналов в контролируемой зоне. Звукоизоляция достигается созданием вокруг источника акустических сигналов ограждений и экранов, отражающих и поглощающих эти сигналы.

Средства ЗИ от перехвата должны предотвращать перехват информации, содержащейся в радио- и электрических функциональных сигналах. С этой целью средства должны обеспечивать: 1)структурное скрытие сигналов и содержащейся в них информации; 2) подавление до допустимого значения уровней опасных сигналов, распространяющихся по направляющим линиям связи (кабелям, волноводам); 3)экранирование электрических, магнитных и электромагнитных полей с защищаемой информацией; 4)линейное и пространственное защумление опасных радио- и электрических сигналов.

2. Материально-техническое обеспечение функционирования комплексных систем защиты информации.

Материально-техническое обеспечение КСЗИ охватывает дея­тельность службы защиты информации по использованию мате­риально-технической базы, материальных и денежных средств в ходе выполнения задач защиты информации. Материально-техническая база КСЗИ включает объекты хозяй­ственного и технического назначения. К объектам хозяйственного назначения относятся здания и помещения, в которых хранятся носители информации, размещаются подразделения и объекты тех­нического назначения службы. К объектам технического назначе­ния относятся различные технические средства, используемые служ­бой ЗИ, но не предназначенные непосредственно для ЗИ (системы заземления, электронные системы регулирования доступа в поме­щения, средства охраны, сигнализации, видеонаблюдения и опо­вещения, средства механизации — бумагоуничтожающие машины, электронные и электрические замки, электрические звонки и т.п.). К материальным средствам службы ЗИ относятся все виды средств защиты информации, а также носители информации. Материально-техническое обеспечение КСЗИ включает: 1)планирование и осуществление работы объектов материаль­но-технической базы службы ЗИ; 2)своевременное определение потребности, приобретение, учет и хранение всех видов материальных средств, их распределение, выдачу (отправку, передачу) по назначению, обеспечение правильного и экономного расходования и ведение отчетности; 3)накопление и содержание установленных запасов материаль­ных средств, обеспечение их сохранности; 4)правильную эксплуатацию, сбережение, своевременное техническое обслуживание и ремонт; 5)создание условий для организации и проведения мероприятий ЗИ; 6)строительство, ремонт и правильную эксплуатацию зданий и помещений; 7)изучение положения дел, выявление внутренних и внешних факторов, оказывающих влияние на МТО КСЗИ; 8)выявление нарушений, ошибок в МТО, оперативное принятие мер по их устранению.

Основными направлениями развития и совершенствования МТО ЗИ являются: 1)повышение технической оснащенности объектов ЗИ материально-техническими средствами; 2)улучшение планирования МТО ЗИ; 3)строительство и эксплуатация объектов ЗИ в строгом соот­ветствии с требованиями безопасности информации; 4)оснащение объектов ЗИ новыми СЗИ; 5)обучение пользователей правилам работы с СЗИ; 6)внедрение в практику методов наиболее экономного и эф­фективного использования материально-технической базы; 7)обеспечение сохранности материальных и денежных средств и предотвращение их утрат. Должностные лица, ответственные за МТО КСЗИ, обязаны: 1)знать и доводить до подчиненных требования нормативных актов предприятия по вопросам МТО КСЗИ; 2)определять потребность и знать обеспеченность СЗИ матери­альными и денежными средствами для обеспечения ЗИ; 3)знать наличие, состояние, порядок эксплуатации (хранения) материальных средств ЗИ, в том числе в их подразделениях, пра­вильно определять потребность в них; 4)своевременно истребовать и получать положенные матери­альные средства ЗИ; 5)организовывать ведение учета, правильное хранение, сбере­жение запасов материальных средств КСЗИ, а также их эксплуа­тацию, ремонт и техническое обслуживание; 6)участвовать в организации проектирования, строительства и реконструкции объектов ЗИ; 7)осуществлять планирование МТО КСЗИ; 8)организовывать работу по экономному, рациональному рас­ходованию материальных средств; 9)осуществлять контроль за использованием материальных средств КСЗИ.

3. Общие положения концепции защиты систем вычислительной техники и автоматизированных систем от несанкционированного доступа.

(РД Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа Утверждена решением Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г)

1.1. Настоящий документ излагает систему взглядов, основных принципов, которые закладываются в основу проблемы защиты информации от несанкционированного доступа (НСД), являющейся частью общей проблемы безопасности информации. 1.2. Концепция предназначена для заказчиков, разработчиков и пользователей СВТ и АС, которые используются для обработки, хранения и передачи требующей защиты информации. 1.3. Концепция является методологической базой нормативно-технических и методических документов, направленных на решение следующих задач: 1)выработка требований по защите СВТ и АС от НСД к информации; 2)создание защищенных от НСД к информации СВТ и АС; 3) сертификация защищенных СВТ и АС.

1.4. Концепция предусматривает существование двух относительно самостоятельных и, следовательно, имеющих отличие направлений в проблеме защиты информации от НСД: направление, связанное с СВТ, и направление, связанное с АС.

Отличие двух направлений порождено тем, что СВТ разрабатываются и поставляются на рынок лишь как элементы, из которых в дальнейшем строятся функционально ориентированные АС, и поэтому, не решая прикладных задач, СВТ не содержат пользовательской информации. Помимо пользовательской информации при создании АС появляются такие отсутствующие при разработке СВТ характеристики АС, как полномочия пользователей, модель нарушителя, технология обработки информации. В связи с этим, если понятия защищенность (защита) информации от НСД в АС и защищенность (защита) АС от НСД к информации эквивалентны, то в случае СВТ можно говорить лишь о защищенности (защите) СВТ от НСД к информации, для обработки, хранения и передачи которой оно предназначено. При этом защищенность СВТ есть потенциальная защищенность, т.е. свойство предотвращать или существенно затруднять НСД к информации в \ дальнейшем при использовании СВТ в АС.

 

Билет 25

1. Показатели защищенности систем вычислительной техники от несанкционированного доступа к информации.

Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. Утверждено решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г

Данные показатели содержат требования защищенности СВТ от НСД к информации.

1.2. Показатели защищенности СВТ применяются к общесистемным программным средствам и операционным системам (с учетом архитектуры ЭВМ). Конкретные перечни показателей определяют классы защищенности СВТ.

Уменьшение или изменение перечня показателей, соответствующего конкретному классу защищенности СВТ, не допускается. Каждый показатель описывается совокупностью требований. Дополнительные требования к показателю защищенности СВТ и соответствие этим дополнительным требованиям оговаривается особо.

1.3. Требования к показателям реализуются с помощью программно-технических средств. Совокупность всех средств защиты составляет комплекс средств защиты. Документация КСЗ должна быть неотъемлемой частью конструкторской документации на СВТ.

1.4. Устанавливается семь классов защищенности СВТ от НСД к информации. Самый низкий класс – седьмой, самый высокий – первый. Классы подразделяются на четыре группы, отличающиеся качественным уровнем защиты:1)первая группа содержит только один седьмой класс; 2)вторая группа характеризуется дискреционной защитой и содержит шестой и пятый классы; 3)третья группа характеризуется мандатной защитой и содержит четвертый, третий и второй классы; 4)четвертая группа характеризуется верифицированной защитой и содержит только первый класс.

1.5. Выбор класса защищенности СВТ для автоматизированных систем, создаваемых на базе защищенных СВТ, зависит от грифа секретности обрабатываемой в АС информации, условий эксплуатации и расположения объектов системы.

1.6. Применение в комплекте СВТ средств криптографической защиты информации по ГОСТ 28147-89 может быть использовано для повышения гарантий качества защиты.

2. Правовая защита государственной тайны в организации (предприятии).

Законодательство Российской Федерации о государственной тайне основывается на Конституции Российской Федерации, Законе РФ от 28.12.10 №390 "О безопасности" и включает Закон от 21 июля 1993г №5485-1 «О государственной тайне», а также положения других актов законодательства, регулирующих отношения, связанные с защитой государственной тайны

государственная тайна - защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации; К органам защиты государственной тайны относятся: межведомственная комиссия по защите государственной тайны; федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, федеральный орган исполнительной власти, уполномоченный в области обороны, федеральный орган исполнительной власти, уполномоченный в области внешней разведки, федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, и их территориальные органы; органы государственной власти, предприятия, учреждения и организации и их структурные подразделения по защите государственной тайны.

Межведомственная комиссия по защите государственной тайны является коллегиальным органом, координирующим деятельность органов государственной власти по защите государственной тайны в интересах разработки и выполнения государственных программ, нормативных и методических документов, обеспечивающих реализацию законодательства Российской Федерации о государственной тайне. Функции межведомственной комиссии по защите государственной тайны и ее надведомственные полномочия реализуются в соответствии с Положением о межведомственной комиссии по защите государственной тайны, утверждаемым Президентом Российской Федерации. Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, федеральный орган исполнительной власти, уполномоченный в области обороны, федеральный орган исполнительной власти, уполномоченный в области внешней разведки, федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, и их территориальные органы организуют и обеспечивают защиту государственной тайны в соответствии с функциями, возложенными на них законодательством Российской Федерации. Органы государственной власти, предприятия, учреждения и организации обеспечивают защиту сведений, составляющих государственную тайну, в соответствии с возложенными на них задачами и в пределах своей компетенции. Ответственность за организацию защиты сведений, составляющих государственную тайну, в органах государственной власти, на предприятиях, в учреждениях и организациях возлагается на их руководителей. В зависимости от объема работ с использованием сведений, составляющих государственную тайну, руководителями органов государственной власти, предприятий, учреждений и организаций создаются структурные подразделения по защите государственной тайны, функции которых определяются указанными руководителями в соответствии с нормативными документами, утверждаемыми Правительством Российской Федерации, и с учетом специфики проводимых ими работ. Защита государственной тайны является видом основной деятельности органа государственной власти, предприятия, учреждения или организации.

3. Организация служебного расследования по фактам разглашения персоналом конфиденциальной информации

Служебное расследование организуется по фактам разглашения или утечки информации, утраты документов и изделий, другим грубым нарушениям правил защиты информации. Расследование проводится специальной комиссией, формируемой приказом первого руководителя фирмы. Расследование предназначено для выяснения причин, всех обстоятельств и их последствий, связанных с конкретным фактом установления круга виновных лиц, размера причиненного фирме ущерба. Все мероприятия обязательно документируются. План проведения служебного расследования: 1)определение возможных версий случившегося (утрата, хищение, уничтожение по неосторожности, умышленная передача сведений, неосторожное разглашение и т.д.); 2) определение (планирование) конкретных мероприятий по проверке версий (осмотр помещений, полистная проверка документации, опрос сотрудников, взятие, письменного объяснения у подозреваемого лица и т.д.); 3)назначение ответственных лиц за проведение каждого мероприятия; 4)указание сроков проведения каждого мероприятия; 5)определение порядка документирования; 6)обобщение и анализ выполненных действий по всем мероприятиям; 7)установление причин утраты информации, виновных лиц, объема ущерба для фирмы; 8)передача материалов служебного расследования с заключительными выводами первому руководителю фирмы для принятия решения. Служебное расследование проводится в кратчайшие сроки в ходе служебного расследования обычно анализируются следующие виды документов: 1)письменные объяснения опрашиваемых лиц, составляемые в произвольной форме; 2)акты проверки документации и помещений, где указываются фамилии лиц, проводивших проверку, их должности, объем и виды проведенного осмотра, результаты, указываются подписи этих лиц и дата; 3)другие документы, относящиеся к расследованию (справки, заявления, планы, анонимные письма и т.д.).

По результатам анализа составляется заключение о результатах проведенного служебного расследования, в котором подробно описывается проведенная работа, указываются причины и условия случившегося, определяются виновные лица, даются рекомендации по предотвращению в будущем подобных фактов. Вопрос о наказании виновных лиц ставится только после завершения служебного расследования, мера наказания определяется лично первым руководителем фирмы. При подтверждении факта передачи сотрудником информации постороннему лицу фирма должна обратиться в суд для вынесения решения о возмещении материального ущерба от кражи информации.

 

Билет 26