Требования и рекомендации по защите информации by Krohka Bopip https://padlet.com/krohkabopip/tca5t8rf41qv Группа: СИБ-16 (1/2) Pushkarev Maksim en-us 2018-02-14 03:31:27 UTC 2018-02-14 03:41:46 UTC hello@padlet.com Требования и рекомендации по защите информации, обрабатываемой средствами вычислительной техники krohkabopip https://padlet.com/krohkabopip/tca5t8rf41qv/wish/231362107 Рассмотрим основные аспекты документа "Специальные требования и рекомендации по технической защите конфиденциальной информации" (далее СТР-К).
Документ определяет следующие основные вопросы защиты информации:

  • организацию работ по защите информации, в том числе при разработке и модернизации объектов информатизации и их систем защиты информации;
  • состав и основное содержание организационно-распорядительной, проектной, эксплуатационной и иной документации по защите информации;
  • требования и рекомендации по защите речевой информации при осуществлении переговоров, в том числе с использованием технических средств;
  • требования и рекомендации по защите информации при ее автоматизированной обработке и передаче с использованием технических средств;
  • порядок обеспечения защиты информации при эксплуатации объектов информатизации;
  • особенности защиты информации при разработке и эксплуатации автоматизированных систем, использующих различные типы средств вычислительной техники и информационные технологии;
  • порядок обеспечения защиты информации при взаимодействии абонентов с информационными сетями общего пользования.

Система или подсистема защиты информации, обрабатываемой в АС различного уровня и назначения, должна предусматривать комплекс организационных, программных, технических и, при необходимости, криптографических средств и мер по защите информации при ее автоматизированной обработке и хранении, при ее передаче по каналам связи.
Как уже отмечалось выше, основными направлениями защиты информации в АС является обеспечение безопасности от НСД и от утечки по техническим каналам утечки.
В качестве основных мер защиты информации рекомендуются (но не требуется!):

  • документальное оформление перечня сведений конфиденциального характера с учетом ведомственной и отраслевой специфики этих сведений;
  • реализация разрешительной системы допуска исполнителей (пользователей, обслуживающего персонала) к информации и связанным с ее использованием работам, документам;
  • ограничение доступа персонала и посторонних лиц в защищаемые помещения и помещения, где размещены средства информатизации и коммуникации, а также хранятся носители информации;
  • разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;

]]> 2018-02-14 03:38:31 UTC https://padlet.com/krohkabopip/tca5t8rf41qv/wish/231362107 Порядок обеспечения защиты информации в АС krohkabopip https://padlet.com/krohkabopip/tca5t8rf41qv/wish/231362487 Устанавливаются следующие стадии создания СЗИ в АС:

  • предпроектная стадия, включающая предпроектное обследование объекта информатизации, разработку аналитического обоснования необходимости создания СЗИ и технического (частного технического) задания на ее создание;
  • стадия проектирования (разработки проектов) и реализации объекта информатизации, включающая разработку СЗИ в составе объекта информатизации;
  • стадия ввода в действие СЗИ, включающая опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также аттестацию объекта информатизации на соответствие требованиям безопасности информации.

На предпроектной стадии по обследованию объекта информатизации:

  • устанавливается необходимость обработки (обсуждения) конфиденциальной информации на данном объекте информатизации;
  • определяется перечень сведений конфиденциального характера, подлежащих защите от утечки по техническим каналам;
  • определяются (уточняются) угрозы безопасности информации и модель вероятного нарушителя применительно к конкретным условиям функционирования;
  • определяются условия расположения объектов информатизации относительно границ КЗ;
  • определяются конфигурация и топология автоматизированных систем и систем связи в целом и их отдельных компонент, физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назначения;
  • определяются технические средства и системы, предполагаемые к использованию в разрабатываемой АС и системах связи, условия их расположения, общесистемные и прикладные программные средства, имеющиеся на рынке и предлагаемые к разработке;
  • определяются режимы обработки информации в АС в целом и в отдельных компонентах;
  • определяется класс защищенности АС;
  • определяется степень участия персонала в обработке (обсуждении, передаче, хранении) информации, характер их взаимодействия между собой и со службой безопасности;
  • определяются мероприятия по обеспечению конфиденциальности информации в процессе проектирования объекта информатизации.

]]> 2018-02-14 03:41:32 UTC https://padlet.com/krohkabopip/tca5t8rf41qv/wish/231362487