Сделать домашней|Добавить в избранное
 

Сто процентов правильный ответ на ваш вопрос
у нас вы всегда смотеже найти ответы на вопросы
экзамена и зачета.

 
» » Организация работ по инженерно-технической защите на предприятиях и учреждениях государственных и коммерческих структур.
на правах рекламы

Ответ на вопрос "Организация работ по инженерно-технической защите на предприятиях и учреждениях государственных и коммерческих структур."

Автор: admin от 3-01-2013, 20:50

Предприятия (фирмы, организации, учреждения) — наиболее многочисленные структуры, в которых создается наибольший объем (количество) информации, содержащей государственную и конфиденциальную тайну. В них проводится конкретная и разнообразная работа по защите информации.

Мероприятия по защите конфиденциальной информации от утечки по техническим каналам (далее - технической защите информации) являются составной частью деятельности предприятий и осуществляются во взаимосвязи с другими мерами по обеспечению их информационной безопасности.

Защита конфиденциальной информации от утечки по техническим каналам должна осуществляться посредством выполнения комплекса организационных и технических мероприятий, составляющих систему технической защиты информации на защищаемом объекте (СТЗИ), и должна быть дифференцированной в зависимости от установленной категории объекта информатизации или выделенного (защищаемого) помещения (далее – объекта защиты).

Меры по защите информации целесообразно разделить на две группы: организационные и технические.

Регламентация — это установление временных, территори­альных и режимных ограничений в деятельности сотрудников ор­ганизации и работе технических средств, направленных на обеспе­чение безопасности информации.

Регламентация предусматривает:

•установление границ контролируемых и охраняемых зон;

•определение уровней защиты информации в зонах;

•регламентация деятельности сотрудников и посетителей (раз­работка распорядка дня, правил поведения сотрудников в орга­низации и вне ее и т. д.);

•определение режимов работы технических средств, в том чис­ле сбора, обработки и хранения защищаемой информации на ПЭВМ, передачи документов, порядка складирования продук­ции и т. д.

Пример — установление времени рабо­ты с секретными документами в электронном виде, в течение которого для исключения утечки информации через ПЭМИН включаются генераторы радиопомех.

Управление доступом к информации включает мероприятия, обеспечивающие санкционированный доступ к ней людей, средств и сигналов. Оно предусматривает:

•идентификацию лиц и обращений;

•проверку полномочий лиц и обращений;

•регистрацию обращений к защищаемой информации;

•реагирование на обращения к информации (примеры: вопит сигнализация или у админа сообщение вылазит).

Технические мероприятия по защите информации от утечки по техническим каналам основываются на применении технических средств защиты иреализации специальных проектных и конструкторских решений.

Техническая защита информации осуществляется подразделениями по защите информации (службами безопасности) или отдельными специалистами, назначаемыми руководителями организаций для проведения таких работ. Для разработки мер по защите информации могут привлекаться сторонние организации, имеющие лицензии ФСТЭК или ФСБ России на право проведения соответствующих работ.

Перечень необходимых мер защиты информации определяется по результатам специального обследования объекта защиты, сертификационных испытаний и специальных исследований технических средств, предназначенных для обработки конфиденциальной информации.

При организации работ по защите утечки по техническим каналам информации на защищаемом объекте можно выделить три этапа:

¾ первый этап (подготовительный, предпроектный);

¾ второй этап (проектирование СТЗИ);

¾ третий этап (этап ввода в эксплуатацию защищаемого объекта и системы технической защиты информации).

Подготовительный этап создания системы технической защиты информации

На первом этапе осуществляется подготовка к созданию системы технической защиты информации на защищаемых объектах, в процессе которой проводится специальное обследование защищаемых объектов, разрабатывается аналитическое обоснование необходимости создания СТЗИ и техническое (частное техническое) задание на ее создание.

При проведении специального обследования защищаемых объектов с привлечением соответствующих специалистов проводится оценка потенциальных технических каналов утечки информации.

Для анализа возможных технических каналов утечки на объекте изучаются различные планы и схемы объекта (план прилегающей местности, поэтажный план здания, план-схема коммуникаций, заземления и др.)

Устанавливается: когда был построен объект (здание), какие организации привлекались для строительства, какие организации в нем ранее располагались.

При анализе условий расположения объекта определяются граница контролируемой зоны, места стоянки автомашин, а также здания, находящиеся в прямой видимости из окон защищаемых помещений за пределами контролируемой зоны. Определяются (по возможности) принадлежность этих зданий и режим доступа в них.

Путем визуального наблюдения или фотографирования из окон защищаемых помещений устанавливаются окна близлежащих зданий, а также места стоянки автомашин, находящиеся в прямой видимости. Проводится оценка возможности ведения из них разведки с использованием направленных микрофонов и лазерных акустических систем разведки, а также средств визуального наблюдения и съемки.

Устанавливается месторасположение трансформаторной подстанции, электрощитовой, распределительных щитов. Определяются здания и помещения, находящиеся за пределами контролируемой зоны, которые запитываются от той же низковольтной шины трансформаторной подстанции, что и защищаемые объекты.

После проведения предпроектного специального обследования защищаемого объекта группой (комиссией), назначенной руководителем предприятия (организации, фирмы), проводится аналитическое обоснование необходимости создания СТЗИ, в процессе которого:

¾ определяется перечень сведений, подлежащих защите (перечень сведений конфиденциального характера утверждается руководителем организации);

¾ проводится категорирование сведений конфиденциального характера, подлежащих защите;

¾ определяется перечень лиц, допущенных до сведений конфиденциального характера, подлежащих защите;

¾ определяется степень участия персонала в обработке (обсуждении, передаче, хранении и т.п.) информации, характер их взаимодействия между собой и со службой безопасности;

¾ разрабатывается матрица допуска персонала к сведениям конфиденциального характера, подлежащих защите;

¾ определяется (уточняется) модель вероятного противника (злоумышленника, нарушителя);

¾ проводятся классификация и категорирование объектов информатизации и выделенных помещений;

¾ проводится обоснование необходимости привлечения специализированных организаций, имеющих необходимые лицензии на право проведения работ по защите информации, для проектирования и внедрения СТЗИ;

¾ проводится оценка материальных, трудовых и финансовых затрат на разработку и внедрение СТЗИ;

¾ определяются ориентировочные сроки разработки и внедрения СТЗИ.

На основе аналитического обоснования и действующих нормативно-методических документов по защите информации от утечки по техническим каналам, с учетом установленного класса и категории защищаемого объекта задаются конкретные требования по защите информации, включаемые в техническое (частное техническое) задание на разработку СТЗИ.

Техническое задание на проектирование СТЗИ защищаемого объекта оформляется отдельным документом, согласовывается с проектной организацией, службой (специалистом) безопасности организации-заказчика в части достаточности мер по технической защите информации и утверждается заказчиком.

Стадия проектирования системы технической защиты информации

Для разработки технического проекта на создание системы технической защиты нформации должны привлекаться организации, имеющие лицензию ФСТЭК РФ.

Технический проект согласовывается со службой (специалистом) безопасности заказчика, органа по защите информации проектной организации, представителями подрядных организаций - исполнителей видов работ и утверждается руководителем проектной организации

Ввод в эксплуатацию системы технической защиты информации

На третьем этапе силами монтажных и строительных организаций осуществляется выполнение мероприятий по защите информации, предусмотренных техническим проектом. К работам по монтажу технических средств обработки информации, вспомогательных технических средств, а также проведения технических мероприятий по защите информации должны привлекаться организации, имеющие лицензию ФСТЭК РФ.

Монтажной организацией или заказчиком проводятся закупка сертифицированных ТСОИ и специальная проверка несертифицированных ТСОИ на предмет обнаружения возможно внедренных в них электронных устройств перехвата информации ("закладок”) и их специальные исследования.

Проводятся закупка сертифицированных технических, программных и программно-технических средств защиты информации и их установка в соответствии с техническим проектом.

Службой (специалистом) безопасности организуется контроль проведения всех мероприятий по защите информации, предусмотренных техническим проектом.

После установки и монтажа технических средств защиты информации проводится их опытная эксплуатация в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объекта информатизации и отработки технологического процесса обработки (передачи) информации.

По результатам опытной эксплуатации проводятся приемо-сдаточные испытания средств защиты информации с оформлением соответствующего акта.

По завершении ввода в эксплуатацию СТЗИ проводится аттестация объектов информатизации и выделенных помещений по требованиям безопасности. Она является процедурой официального подтверждения эффективности комплекса реализованных на объекте мер и средств защиты информации.

Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

Комментарии:

Оставить комментарий
 

Цените свое время, получайте
достоверные ответы на вопросы