Файл: 1 Политика информационной безопасности ооо смк ресомед г. Москва, 2014 2 Содержание 1.pdf
Добавлен: 29.11.2023
Просмотров: 103
Скачиваний: 3
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
39 симального разделения компонентов АС, в которых обрабатывается информация различ- ных категорий конфиденциальности);
• разработать конкретные требования к СЗИ АС и мероприятия по их реализации;
• определить возможность использования в АС имеющихся на рынке сертифицированных средств защиты информации;
• произвести закупку сертифицированных образцов и серийно выпускаемых технических и программных средств защиты информации и их внедрение на рабочих станциях и файло- вых серверах сети с целью контроля изменения конфигурации аппаратных и программных средств и действиями пользователей;
• произвести разработку программных средств защиты информации в случае, если на рынке отсутствуют требуемые программные средства;
• для обеспечения режима удаленного доступа пользователей по сети Общества к информа- ции конфиденциальных баз данных рассмотреть возможность разработки специальных криптографических средств. На уровне прикладных программ необходимо разработать средства, обеспечивающие возможность доступа к конфиденциальным данным только с защищенных терминалов;
• определить степень участия персонала в обработке (передаче, хранении, обсуждении) ин- формации, характер его взаимодействия между собой;
• произвести разработку организационно-распорядительной и рабочей документации по эксплуатации, а также средств и мер защиты информации в АС (План защиты, Инструк- ции, обязанности и т.п.), регламентирующих процессы допуска пользователей к работе с
АС, разработки и использования программного обеспечения на рабочих станциях и серве- рах, порядок внесения изменений в конфигурацию аппаратных и программных средств при ремонте, развитии и обслуживании СВТ, порядок применения и администрирования средств защиты информации и т.п.;
• для снижения риска перехвата в сети с других рабочих станций имен и паролей привиле- гированных пользователей (в особенности администраторов средств защиты и баз дан- ных) организовать их работу в отдельных сегментах сети, шире применять сетевые устройства типа switch (коммутатор), не использовать удаленных режимов конфигуриро- вания сетевых устройств;
• исключить доступ программистов-разработчиков в эксплуатируемые подсистемы АС (к реальной информации и базам данных), организовать опытный участок АС для разработ- ки и отладки программ. Передачу разработанных программ в эксплуатацию производить через библиотеку эталонного программного обеспечения ИТ-подразделения;
• для защиты компонентов ЛВС органов Общества от неправомерных воздействий из дру- гих ЛВС Общества и внешних сетей по IP-протоколу целесообразно использовать на уз- лах корпоративной сети Общества межсетевые экраны;
• произвести опытную эксплуатацию средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в со- ставе объектов информатизации и отработки технологических процессов обработки (пе- редачи) информации;
• произвести специальную проверку выделенных помещений на предмет обнаружения, возможно, внедренных в эти помещения или предметы интерьера электронных устройств перехвата информации;
• произвести конструктивные доработки технических средств и помещений, где они распо- ложены, в целях локализации возможных технических каналов утечки информации (в случае необходимости);
• произвести развязку линий связи и других цепей между выходящими за пределы контро- лируемой зоны и находящимися внутри нее;
40
• произвести классификацию защищенности АС от НСД к информации, предназначенных для обработки конфиденциальной информации;
• организовать физическую защиту объекта информатизации и отдельных технических средств, исключающих НСД к техническим средствам, их хищение и нарушение работо- способности;
• организовать контроль состояния и эффективности защиты информации с оценкой вы- полнения требований нормативных документов организационно-технического характера, обоснованности принятых мер, проверки соблюдения норм защиты информации по дей- ствующим методикам с применением поверенной контрольно-измерительной аппаратуры и сертифицированных программных средств контроля.
• для контроля за состоянием защиты, выявлением уязвимостей в системе защиты серверов и рабочих станций и принятия своевременных мер по их устранению (исключению воз- можности их использования злоумышленниками) необходимо использовать специальные программы оценки защищенности (сканеры).
41
Приложение 1
Список используемых сокращений
АРМ
Автоматизированное рабочее место
АС
Автоматизированная система обработки информации
ВП
Выделенное помещение
ВТСС
Вспомогательные технические средства и системы
ГОСТ
Государственный стандарт
ЕСКД
Единая система конструкторской документации
ЕСПД
Единая система программной документации
ЗИ
Защита информации
ЛВС
Локальная вычислительная сеть
НГМД
Накопитель на гибком магнитном диске
НД
Нормативный документ
НЖМД
Накопитель на жестком магнитном диске
НСД
Несанкционированный доступ
ИБ
Информационная безопасность
ОС
Операционная система
ОТСС
Основные технические средства и системы
ПО
Программное обеспечение
ПС
Программные средства
ПЭВМ
Персональная ЭВМ
ПЭМИН
Побочные электромагнитные излучения и наводки
РД
Руководящий документ
РС
Рабочая станция
СВТ
Средства вычислительной техники
СЗИ НСД
Система защиты от НСД к информации
СЗСИ
Система защиты секретной информации
СКЗИ
Средство криптографической защиты информации
СПД
Сеть (система) передачи данных
СУБД
Система управления базами данных
ТЗ
Техническое задание
ТРП
Технорабочий проект
ТС
Технические средства
БЭПО
Библиотека эталонного программного обеспечения
ЭВМ
Электронно-вычислительная машина
ЭМС
Электромагнитная совместимость
42
Приложение 2
Термины и определения
Автоматизированная система обработки информации (АС) – организационно- техническая система, представляющая собой совокупность следующих взаимосвязанных компонентов: технических средств обработки и передачи данных (средств вычислительной техники и связи), методов и алгоритмов обработки в виде соответствующего программного обеспечения, массивов (наборов, баз) данных на различных носителях, персонала и пользо- вателей, объединенных по организационно-структурному, тематическому, технологическому или другим признакам для выполнения автоматизированной обработки данных с целью удо- влетворения информационных потребностей государственных органов, общественных или коммерческих организаций (юридических лиц), отдельных граждан (физических лиц) и иных потребителей информации.
Авторизованный субъект доступа – субъект, которому предоставлены соответству- ющие права доступа к объектам системы (полномочия).
Администратор безопасности – лицо или группа лиц, ответственных за обеспечение
безопасности системы, за реализацию и непрерывность соблюдения установленных админи- стративных мер защиты и осуществляющих постоянную организационную поддержку функ- ционирования применяемых физических и технических средств защиты.
Атака на автоматизированную систему – любое действие, выполняемое нарушите-
лем, которое приводит к реализации угрозы, путем использования уязвимостей АС.
Безопасность – состояние защищенности жизненно важных интересов личности, предприятия, общества и государства от внутренних и внешних угроз. Безопасность достига- ется проведением единой политики в области охраны и защиты важных ресурсов, системой мер экономического, политического, организационного и иного характера, адекватных угро- зам жизненно важным интересам личности, общества и государства.
Информационная безопасность – защищенность информации от нежелательного (для соответствующих субъектов информационных отношений) ее разглашения (нарушения кон- фиденциальности), искажения (нарушения целостности), утраты или снижения степени до- ступности информации, а также незаконного ее тиражирования.
Безопасность компьютерной информации – достижение требуемого уровня защиты
(класса и категории защищенности) объекта информатизации при обработке информации и её передаче через сети передачи данных (СПД), обеспечивающего сохранение таких ее каче- ственных характеристик (свойств), как: секретность (конфиденциальность), целостность и доступность.
Безопасность информационной технологии– защищенность технологического про- цесса переработки информации.
Безопасность субъектов информационных отношений
1 2 3 4 5 6 7 8 9
– защищенность субъектов информационных отношений от нанесения им материального, морального или иного ущерба путем воздействия на информацию и/или средства ее обработки и передачи.
Безопасность АС (компьютерной системы) – защищенность АС от несанкциониро- ванного вмешательства в нормальный процесс ее функционирования, а также от попыток хищения, незаконной модификации или разрушения ее компонентов.
Безопасность информационного ресурса (в частности АС) – складывается из обес- печения трех его характеристик: конфиденциальности, целостности и доступности.
Конфиденциальность заключается в том, что ресурс доступен только тем субъектам до- ступа (пользователям, программам, процессам), которым предоставлены на то соответству- ющие полномочия.
43
Целостность, что ресурс может быть модифицирован только субъектом, имеющим для этого соответствующие права. Целостность является гарантией корректности (неизменности, работоспособности) ресурса в любой момент времени.
Доступность информационного ресурса означает, что имеющий соответствующие пол- номочия субъект может в любое время без особых проблем получить доступ к нему.
Внешний воздействующий фактор – воздействующий фактор, внешний по отноше- нию к объекту информатизации.
Внутренний воздействующий фактор – воздействующий фактор, внутренний по от- ношению к объекту информатизации.
Вредоносные программы – программы или измененные программы объекта информа- тизации (ОИ), приводящие к несанкционированному уничтожению, блокированию, модифи- кации либо копированию информации, нарушению работы ОИ.
Вспомогательные технические средства и системы (ВТСС) защищаемого объекта информатизации – технические средства и системы, не предназначенные для передачи, обра- ботки и хранения секретной информации, устанавливаемые совместно с ОТСС или в выде- ленных помещениях.
К ним относятся:
• различного рода телефонные аппараты и системы;
• средства вычислительной техники;
• системы передачи данных в системе радиосвязи;
• системы охранной и пожарной сигнализации;
• системы оповещения и сигнализации;
• контрольно-измерительная аппаратура;
• системы кондиционирования;
• системы проводной радиотрансляционной сети и приема программ радиовещания и теле- видения (абонентские громкоговорители, системы радиовещания; телевизоры и радиопри- емники и т.д.);
• оргтехника;
• средства и системы электрочасофикации.
Выделенное помещение (ВП) – помещение для размещения технических средств за- щищенного объекта информатизации, а также помещение, предназначенное для проведения семинаров, совещаний, бесед и других мероприятий, в котором циркулирует конфиденци- альная речевая информация.
Документированная информация (документ) – зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать, при этом, доку- ментирование информации является обязательным условием включения информации в ин- формационные ресурсы.
Доступ к информации – ознакомление с информацией (копирование, тиражирование) или получение возможности ее обработки, её модификация (корректировка) или уничтоже- ние (удаление). Доступ к информации регламентируется ее правовым режимом и должен со- провождаться строгим соблюдением его требований. Доступ к информации, осуществлен- ный с нарушениями требований ее правового режима, рассматривается как несанкциониро- ванный доступ.
Доступность информации – свойство системы, в которой циркулирует информация
(средств и технологии её обработки), характеризующееся способностью обеспечивать свое- временный беспрепятственный доступ к информации субъектов, имеющих на это надлежа-
44 щие полномочия.
Доступ к ресурсу – получение субъектом доступа возможности манипулировать (ис- пользовать, управлять, изменять характеристики и т.п.) данным ресурсом.
Жизненно важные интересы – совокупность потребностей, удовлетворение которых необходимо для надежного обеспечения существования и возможности прогрессивного раз- вития субъекта (личности, организации, общества или государства).
Замысел защиты – основная идея, раскрывающая состав, содержание, взаимосвязь и последовательность мероприятий, необходимых для достижения цели защиты информации и объекта.
Защита информации (ЗИ) – деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на информацию
(ГОСТ Р 50922).
Защита информации от несанкционированного доступа (НСД) – деятельность по предотвращению получения защищаемой информации заинтересованным субъектом с нару- шением установленных правовыми документами или собственником, владельцем информа- ции прав или правил доступа к защищаемой информации (ГОСТ Р 50922).
Защищаемые объекты информатизации:
• средства и системы информатизации (средства вычислительной техники, автоматизиро- ванные системы различного уровня и назначения на базе средств вычислительной техни- ки, в том числе информационно-вычислительные комплексы, сети и системы связи и пе- редачи данных), технические средства приема, передачи и обработки информации (теле- фонии, звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизион- ные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео-, смысловой и буквенно-цифровой ин- формации), программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), используемые для обработки секретной информации;
• технические средства и системы, не обрабатывающие непосредственно секретную инфор- мацию, но размещенные в помещениях, где обрабатывается (циркулирует) секретная ин- формация;
• выделенные помещения, предназначенные для ведения секретных переговоров или в кото- рых размещены средства закрытой телефонной связи.
Злоумышленник – нарушитель, действующий умышленно из корыстных побуждений.
Информация – сведения о лицах, предметах, фактах, событиях, процессах и явлениях независимо от формы их представления.
Информация в АС – сведения о лицах, фактах, событиях, процессах и явлениях в неко- торой предметной области, включенные в систему обработки информации, или являющиеся ее результатом в различных формах представления на различных носителях и используемые
(необходимые) для оптимизации принимаемых решений в процессе управления объектами данной предметной области.
Информативный сигнал – электрические сигналы, акустические, электромагнитные и другие физические поля, по параметрам которых может быть раскрыта секретная информа-
ция, передаваемая, хранимая или обрабатываемая в ОТСС и обсуждаемая в ВП.
Компьютерная информация – информация в виде:
• записей в памяти ЭВМ, электронных устройствах, на машинных носителях (элементы, файлы, блоки, базы данных, микропрограммы, прикладные и системные программы, па- кеты и библиотеки программ, микросхемы, программно-информационные комплексы и др.), обеспечивающих функционирование объекта информатизации (сети);