Тема: Комплексная защита объектов информатизации

1. Перечислите виды объектов информатизации. Дайте краткую характеристику каждому виду.

Различают следующие виды объектов информатизации (ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Общие положения»):

· выделенные (защищаемые) помещения;

· средства изготовления и размножения документов (средства без ПЭВМ);

· средства обработки речевой и видеоинформации (средства без ПЭВМ);

· автоматизированные (информационные системы) (АРМ, ЛВС, распределенные системы имеющие подключение к сетям общего пользования и без подключения).

Обработка информации – совокупность операций сбора, накопления, ввода, вывода, приема, передачи, записи, хранения, регистрации, уничтожения, преобразования, отображения, осуществляемых над информацией.

Объект информатизации - совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, ТС), в которых они установлены, или помещения и объекты, предназначенные для ведения секретных и конфиденциальных переговоров.

(ГОСТ Р 51275-2006 «Защита информации. Объект информатизации. Факторы воздействующие на информацию»)

выделенное помещение - помещения (служебные кабинеты, актовые, конференц-залы и т.д.) специально предназначенные для проведения закрытых мероприятий (совещаний, обсуждений, конференций, переговоров и т.п.) по секретным вопросам, а также помещения, оборудованные средствами правительственной и иных видов специальной связи;

защищаемое помещение – помещения (служебные кабинеты, актовые, конференц-залы и т.д.) специально предназначенные для проведения конфиденциальных мероприятий (совещаний, обсуждений, конференций, переговоров и т.п.); (Р 50.1.056-2005 «Рекомендации по стандартизации. Техническая защита информации. Основные термины и определения»).

средства обработки речевой и видеоинформации - технические средства приема, передачи и обработки информации (телефонии, звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации.

информационная система – совокупность содержащихся в базах данных информации и обеспечивающих ее обработку информационных технологий и ТС.

автоматизированная система - система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций (по ГОСТ 34.003).

2. Что такое аттестация объектов информатизации по требованиям безопасности информации. Какой характер может носить аттестация. Максимальный срок действия аттестата соответствия.

Аттестация объектов информатизации – комплекс организационных и технических мероприятий, в результате которых подтверждается соответствие системы ЗИ объекта информатизации требованиям безопасности информации.

Характер аттестации: аттестация может быть обязательной и добровольной.

Обязательная аттестация проводится в принятых законодательством случаях для определения соответствия системы ЗИ объекта исключительно требованиям, установленным федеральными нормативными правовыми актами.

Добровольная аттестация проводится по инициативе
заявителя для определения соответствия системы ЗИ объекта требованиям, установленным национальными стандартами, владельцем информации или владельцем объекта.

Объекты информатизации обязательной аттестации:

1. Объекты информатизации, обрабатывающие информацию, составляющую государственную тайну. Пример: выделенные помещения, АС, СИРД, система обработки речевой и видео информации не подразумавающей использование ЭВМ

(Инструкция по обеспечению режима секретности в РФ, утвержденная постановлением Правительства РФ от 5 января 2004 г. № 3-, гласит: п.59. Совещания по секретным вопросам проводятся в помещениях, аттестованных в соответствии с требованиями по ЗИ; п.198. Обработка секретной информации с использованием средств вычислительной техники осуществляется после проведения их аттестации на соответствие обязательным требованиям.)

2. Государственные информационные системы, обрабатывающие информацию ограниченного доступа, не содержащей сведения, составляющие государственную тайну, в том числе персональные данные. (п.13 Требований о ЗИ, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденных приказом ФСТЭК России от 11 февраля 2013г. № 17)

Объекты информатизации добровольной аттестации: все иные объекты информатизации.

Максимальный срок действия аттестата соответствия – 3 года.

Согласно СТР-К объекты информатизации должны быть аттестованы на
соответствие требованиям по ЗИ.

Аттестация – комплекс организационно-технических мероприятий, в результате которых посредством специального документа – " Аттестата соответствия " подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных ФСТЭК России.

Порядок проведения аттестации объектов информатизации по требованиям безопасности информации определяется следующими документами:

- (ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Общие положения»);- ГОСТ РО 0043-004-2013 «Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний»;– «Специальные требования и рекомендации по ЗИ,составляющей государственную тайну, от утечки по техническим каналам»,Утверждены приказом Гостехкомиссии России от 30.08.2002 г. № 282 (СТР-К);- Для ГИС – 17 Приказ (см. выше).

Для ИСПДн: п.6 Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанная оценка проводится не реже одного раза в 3 года.

«Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в ИСперсональных данных». Приказ ФСТЭК РФ от 18.03.2013 №21.

3. Порядок продления по упрощенной схеме срока действия сертификата соответствия ФСТЭК России на средство ЗИ организацией, эксплуатирующей данное средство.

Организация, эксплуатирующая средство ЗИ заблаговременно не позднее, чем за три месяца до окончания срока действия на него сертификата соответствия, уточняет у первичного заявителя (производителя средства защиты) информацию о проводимых работах по продлению срока действия сертификата соответствия и о порядке доведения до эксплуатантов копии продленного сертификата. При получении информации об отсутствии намерений первичного заявителя продлевать сроки действия сертификата соответствия эксплуатирующая организация самостоятельно заблаговременно, но не позднее, чем за один день до окончания срока действия сертификата, направляет соответствующую заявку установленного образца в ФСТЭК России. К заявке прикладывается протокол оценки эффективности средства ЗИ (для средств ЗИ от утечки по техническим каналам) или протокол оценки защищенности информации от несанкционированного доступа (для средств ЗИ от несанкционированного доступа), оформленные не ранее, чем за двенадцать месяцев до дня отправки заявки на продление срока действия сертификата соответствия.

Информационное сообщение ФСТЭК России от 23 января 2015 г. №240/24/223:

Указанные протоколы оформляются при проведении аттестационных испытаний или ежегодного контроля соответствия системы ЗИ объекта информатизации требованиям безопасности информации.

Для средств защиты секретной информации протоколы оформляются организацией, имеющей лицензию ФСТЭК России на осуществление мероприятий по ТЗИ, составляющей государственную тайну. Для средств защиты конфиденциальной информации - организацией, имеющей лицензию ФСТЭК России на осуществление мероприятий по технической защите конфиденциальной информации или организацией, эксплуатирующей данное средство.

В протоколах указывается идентификационная информация о средстве ЗИ, в том числе его заводской (серийный) номер, номер специального защитного знака, которым маркировано указанное средство ЗИ, номер и срок действия сертификата соответствия.

Протокол отправляется на имя начальника 2 Управления ФСТЭК России.

Условия продления:

· средство ЗИ функционирует с требуемой эффективностью;

· в организации имеется в наличии эксплуатационная документация на средство ЗИ;

· на средстве ЗИ или в эксплуатационной документации средства имеется в наличии знак соответствия ФСТЭК России для маркирования сертифицированной продукции;

· своевременно проведен ежегодный контроль соответствия требованиям безопасности информации системы ЗИ объекта информатизации, в состав которой входит средство ЗИ.

В случае принятия положительного решения по экспертизе представленных материалов сертификат соответствия выдается сроком на три года.

Определение:

средство (продукция) ЗИ – технические, криптографические, программные и другие средства, предназначенные для ЗИ, средства, в которых они реализованы, а также средства контроля эффективности ЗИ;

сертификат соответствия – документ, подтверждающий, что продукция соответствует нормативным требованиям. Сертификат удостоверяет, что конкретный образец (экземпляр) средства ЗИ подвергался оценке соответствия установленным требованиям в форме обязательной сертификации. Подтверждением сертификации используемого экземпляра средства защиты является наличие соответствующих документов (паспорт, инструкция по эксплуатации, заверенная производителем копия сертификата), а также голографическая номерная марка государственного учета.

4. Назовите основные этапы (стадии) создания на объекте информатизации системы ЗИ в соответствии со Специальными требованиями и рекомендации по технической защите конфиденциальной информации (СТР-К).

Формирование требований к системе ЗИ (предпроектная стадия)

Разработка системы ЗИ (стадия проектирования)

Внедрение системы ЗИ (создание, испытания, опытная эксплуатация)

Подтверждение соответствия системы ЗИ (оценка соответсвия)

Разработка системы защиты информации информационной системы включает в себя:

• проектирование системы защиты информации информационной системы;

• разработку эксплуатационной документации на систему защиты информации информационной системы;

• макетирование и тестирование системы защиты информации информационной системы (при необходимости).

Системы защиты информации информационной системы не должна препятствовать достижению целей создания информационной системы и ее функционированию.

Внедрение системы защиты

Внедрение системы защиты информации информационной системы осуществляется в соответствии с проектной и эксплуатационной документацией на систему защиты информации информационной системы и в том числе включает:

• установку и настройку средств защиты информации в информационной системе;

• разработку документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в информационной системе в ходе эксплуатации (далее организационно – распорядительные документы по защите информации);

• внедрение организационных мер защиты информации;

• предварительные испытания системы защиты информации информационной системы;

• опытную эксплуатацию системы защиты информации информационной системы;

• анализ уязвимостей информационной системы и принятие мер защиты по их устранению;

• приемочные испытания системы защиты информации информационной системы.

Эксплуатация ГИС