ТРЕБОВАНИЯ К СОВРЕМЕННЫМ СИСТЕМАМ ЗАЩИТЫ ИНФОРМАЦИИ

Требования к современным системам защиты информации основаны на материалах отечественных стандартов по информационной безопасности и руководящих документов (РД) по технической защите информации Государственной технической комиссии (ГТК) России.

Общие требования и рекомендации

Система (подсистема) защиты информации, обрабатываемой в автоматизированных системах различного уровня и назначения, должна предусматривать комплекс организационных, программных, технических и, при необходимости, криптографических средств и мер по защите информации при ее автоматизированной обработке, хранении и передаче по каналам связи.

Основными направлениями защиты информации являются:

  • • обеспечение защиты информации от хищения, утраты, утечки, уничтожения, искажения и подделки в результате несанкционированного доступа (НСД) и специальных воздействий;
  • • обеспечение защиты информации от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи.

В качестве основных мер защиты информации рекомендуются:

  • • документальное оформление перечня сведений конфиденциального характера с учетом ведомственной и отраслевой специфики этих сведений;
  • • реализация разрешительной системы допуска исполнителей (пользователей, обслуживающего персонала) к информации и связанным с ее использованием работам и документам;
  • • ограничение доступа персонала и посторонних лиц в защищаемые помещения и помещения, где размещены средства информатизации и коммуникации и хранятся носители информации;
  • • разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;
  • • регистрация действий пользователей автоматизированной системы (АС) и обслуживающего персонала, контроль за НСД и действиями пользователей, обслуживающего персонала и посторонних лиц;
  • • учет и надежное хранение бумажных и машинных носителей информации, ключей (ключевой документации) и их обращение, исключающее их хищение, подмену и уничтожение;
  • • использование специальных защитных знаков (СЗЗ), создаваемых на основе физико-химических технологий для контроля доступа к объектам защиты и для защиты документов от подделки;
  • • необходимое резервирование технических средств и дублирование массивов и носителей информации;
  • • использование сертифицированных серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации;
  • • использование технических средств, удовлетворяющих требованиям стандартов по электромагнитной совместимости;
  • • использование сертифицированных средств защиты информации;
  • • размещение объектов защиты на максимально возможном расстоянии относительно границы контролируемой зоны (КЗ);
  • • размещение понижающих трансформаторных подстанций электропитания и контуров заземления объектов защиты в пределах КЗ;
  • • развязка цепей электропитания объектов защиты с помощью защитных фильтров, блокирующих (подавляющих) информативный сигнал;

Приложение. Требования к современным системам защиты 399

  • • электромагнитная развязка между линиями связи и другими цепями вспомогательных технических средств и систем (ВТСС), выходящими за пределы КЗ, и информационными цепями, по которым циркулирует защищаемая информация;
  • • использование защищенных каналов связи и криптографических средств защиты информации (СЗИ);
  • • размещение дисплеев и других средств отображения информации, исключающее несанкционированный просмотр информации;
  • • организация физической защиты помещений и собственно технических средств с помощью сил охраны и технических средств, предотвращающих или существенно затрудняющих проникновение в помещения посторонних лиц, хищение документов и информационных носителей, самих средств информатизации, исключающих нахождение внутри контролируемой зоны технических средств разведки или промышленного шпионажа;
  • • криптографическое преобразование информации, обрабатываемой и передаваемой средствами вычислительной техники и связи;
  • • предотвращение внедрения в АС программ-вирусов и программных закладок.

В целях дифференцированного подхода к защите информации, обрабатываемой в АС различного уровня и назначения, проводится классификация АС. Классификация АС осуществляется на основании требований РД ГТК России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» [21].

Конкретные требования по защите информации и мероприятия по их выполнению определяются в зависимости от установленного для АС класса защищенности. Рекомендуемые классы защищенности АС, СЗЗ, средств защиты информации по уровню контроля отсутствия недекларированных возможностей, а также показатели по классам защищенности СВТ и МЭ от НСД к информации приведены в таблице [21].

Лица, допущенные к автоматизированной обработке конфиденциальной информации, несут ответственность за соблюдение установленного в учреждении (на предприятии) порядка обеспечения защиты этой информации.

Классы защищенности от НСД к информации

Руководящий

документ

Классы защищенности

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

1

Автоматизированные

системы

1 Б

113

ЗА

ЗБ

1-я группа

2-я

группа

3-я

группа

1 *

*

*

1 *

2

Средства

вычислительной

техники

4-я

гр.

3-я группа

2-я

группа

1-я

гр.

*

3

Межсетевые экраны

*

4

Специальные

защитные знаки

*

5

Неде клари рованные возможности

*

* рекомендуемые классы защищенности от НСД к конфиденциальной информации.

Конкретные требования к современным системам защиты информации приведены в следующих руководящих документах Гостехкомиссии России и государственных стандартах РФ:

  • 1. Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации. РД ГТК России. М., 1992.
  • 2. Средства вычислительной техники. Защита от НСД к информации. Показатели защищенности от НСД к информации. РД ГТК России. М., 1992.
  • 3. Средства вычислительной техники. МЭ. Защита от НСД к информации. Показатели защищенности от НСД к информации. РД ГТК России. М., 1997.
  • 4. Защита информации. Специальные защитные знаки. Классификация и общие требования. РД ГТК России. М., 1992.
  • 5. Защита от НСД к информации. Часть 1. ПО средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей. РД ГТК России. М., 1999.
  • 6. Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К). РД ГТК России. М., 2001.
  • 7. ГОСТ Р 50739—95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования.
  • 8. ГОСТ Р 51583—2000. Защита информации. Порядок создания систем в защищенном исполнении.
 
< Пред   СОДЕРЖАНИЕ     След >