2018-01-21
1513
Данный раздел Концепции самый большой. Его содержание следующее:
• меры обеспечения безопасности:
• законодательные (правовые) меры защиты;
• морально-этические меры защиты;
• организационные (административные) меры зашиты;
• физические средства зашиты;
• разграничение доступа на территорию и в помещения;
• технические (программно-аппаратные) средства защиты;
• средства идентификации (опознавания) и аутентификации (подтверждения подлинности) пользователей;
• средства разграничения доступа зарегистрированных пользователей системы к ресурсам АС;
• средства обеспечения и контроля целостности программных и информационных ресурсов;
• средства оперативного контроля и регистрации событий без* опасности;
• криптографические средства защиты информации;
• защита информации от утечки по техническим каналам;
• зашита речевой информации при проведении закрытых перед говоров;
• управление системой обеспечения безопасности информации;
• контроль эффективности системы защиты.
|
|
|
Как указано в Концепции, все меры обеспечения безопасности компьютерных систем подразделяются на: правовые (законодательные); морально-этические; организационные (административные); физические; технические (аппаратурные и программные).
К организационным мерам защиты относятся следующие меры организационного характера, регламентирующие процессы функционирования системы обработки данных, использование ее ресурсов, деятельность обслуживающего персонала, а также порядок взаимодействия пользователей с системой:
• формирование политики безопасности;
• регламентация доступа в помещения АС организации;
• регламентация допуска сотрудников к использованию ресурсов АС организации;
• регламентация процессов ведения баз данных и осуществления модификации информационных ресурсов;
• регламентация процессов обслуживания и осуществления модификации аппаратных и программных ресурсов АС организации;
• обеспечение и контроль физической целостности (неизменности конфигурации) аппаратных ресурсов АС организации;
• кадровая работа (подбор и подготовка персонала, обучение пользователей);
• подразделения технической защиты информации;
• ответственность за нарушения установленного порядка использования АС организации; расследование нарушений.
Физические меры защиты основаны на применении разного рода механических, электро- или электронно-механических устройств и сооружений, специально предназначенных для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам системы и защищаемой информации, а также технических средств визуального наблюдения, связи и охранной сигнализации.
|
|
|
Технические (аппаратно-программные) меры зашиты основаны на использовании различных электронных устройств и специальных программ, входящих в состав АС организации и выполняющих (самостоятельно или в комплексе с другими средствами) функции защиты (идентификацию и аутентификацию пользователей, разграничение доступа к ресурсам, регистрацию событий, криптографическое закрытие информации и т.д.).
В Концепции отмечается [5 01, что в состав системы защиты должны быть включены средства:
• аутентификации пользователей и элементов АС организации, соответствующих степени конфиденциальности информации и обрабатываемых данных;
«разграничения доступа к данным;
• криптографического закрытия информации в линиях передачи данных и в базах данных;
• регистрации обращения и контроля за использованием защищаемой информации;
• реагирования на обнаруженный НСД;
• снижения уровня и информативности ПЭМИН, создаваемых различными элементами АС;
• снижения уровня акустических излучений, сопровождающих функционирование элементов АС;
• маскировки от оптических средств наблюдения;
» электрической развязки как элементов АС, так и конструктивных элементов помещений, в которых размешается АС (включая водопроводную и канализационную систему);
• активного зашумления в радио- и акустическом диапазонах.
Далее приведены выдержки из рассматриваемой Концепции |50].
В целях предотвращения работы с АС организации посторонних лиц необходимо обеспечить возможность распознавания системой каждого законного пользователя (или ограниченных групп пользователей). Для этого в системе (в защищенном месте) должен храниться ряд признаков каждого пользователя, по которым этого пользователя можно опознать. В дальнейшем при входе в систему, а при необходимости — и при выполнении определенных действий в системе, пользователь обязан себя идентифицировать, т.е. указать идентификатор, присвоенный ему в системе; Кроме того, для идентификации могут применяться различного рода устройства: магнитные карточки, ключевые вставки, дискет ты и т. п.
Аутентификация (подтверждение подлинности) пользователей должна осуществляться на основе использования паролей (секретных слов) или проверки уникальных характеристик (параметр ров) пользователей с помощью специальных биометрических средств.
После распознавания пользователя система должна провести, авторизацию пользователя, т.е. определить, какие права предоставлены пользователю: какие данные и как он может использовать, какие программы может выполнять, когда, как долго с каких терминалов может работать, какие ресурсы системы может использовать и т. п. Авторизация пользователя должна осуществляться с использованием следующих механизмов реализации разграничения доступа:
• механизмов избирательного управления доступом, основанных на использовании атрибутных схем, списков разрешений "и т.п.;
• механизмов полномочного управления доступом, основанных на использовании меток конфиденциальности ресурсов и уровней допуска пользователей:
• механизмов обеспечения замкнутой среды доверенного программного обеспечения (индивидуальных для каждого пользователя списков разрешенных для запуска программ);
• поддерживаемых механизмами идентификации (распознавания) и аутентификации (подтверждения подлинности) пользователей при их входе в систему.
Зоны ответственности и задачи конкретных технических средств зашиты устанавливаются исходя из их возможностей и эксплуатационных характеристик, описанных в документации на данные средства.
|
|
|
Технические средства разграничения доступа должны быть составной частью единой системы контроля доступа:
на контролируемую территорию;
• в отдельные помещения;
• к элементам АС и элементам системы зашиты информации (физический доступ);
• к ресурсам АС (программно-математический доступ);
• к информационным хранилищам (носителям информации, томам, файлам, наборам данных, архивам, справкам, записям и т.д.);
• к активным ресурсам (прикладным программам, задачам, формам запросов и т.п.);
• к операционной системе, системным программам и программам зашиты я т. п.
Контроль целостности программ, обрабатываемой, информации и, средств зашиты в целях обеспечения неизменности программной среды, определяемой предусмотренной технологией обработки, и защиты от несанкционированной корректировки информации, должен обеспечиваться средствами:
• подсчета контрольных сумм;
• электронной цифровой подписи;
• сравнения критичных ресурсов с их эталонными копиями (и восстановления в случае нарушения целостности);
• разграничения доступа (запрет доступа с правами модификации или удаления).
В целях защиты информации и программ от несанкционированного уничтожения или искажения необходимо обеспечить:
• дублирование системных таблиц и данных;
• дуплексирование и зеркальное отображение данных на дисках;
• отслеживание транзакций;
• периодический контроль целостности операционной системы и пользовательских программ, а также файлов пользователей;
«антивирусный контроль;
«резервное копирование данных по заранее установленной схеме;
• хранение резервных копий вне помещения файл-сервера;
• обеспечение непрерывности электропитания для файл-серверов и критичных рабочих станций и кондиционирование электропитания для остальных станций сети.
Средства объективного контроля должны обеспечивать обнаружение и регистрацию всех событий (действий пользователей, попыток НСД и т. п.), которые могут повлечь за собой нарушение политики безопасности и привести к возникновению кризисных ситуаций. Средства контроля и регистрации должны предоставлять возможности:
|
|
|
• ведения и анализа журналов регистрации событий безопасности (системных журналов); журналы регистрации следует вести для каждой рабочей станции сети;
• оперативного ознакомления администратора безопасности с содержимым системного журнала любой станции и с журналом оперативных сообщений об НСД;
• получения твердой копии (печати) системного журнала;
• упорядочения системных журналов по дням и месяцам, а также установления ограничений на срок их хранения;
• оперативного оповещения администратора безопасности о нарушениях.
При регистрации событий безопасности в системном журнале должна фиксироваться следующая информация:
• дата и время события;
• идентификатор субъекта (пользователя, программы), осуществляющего регистрируемое действие;
• действие (если регистрируется запрос на доступ, то отмечается объект и тип доступа).
Средства контроля должны обеспечивать обнаружение и регистрацию следующих событий:
• вход пользователя в систему;
• вход пользователя в сеть;
• неудачную попытку входа в систему или сеть (неправильный ввод пароля);
• подключение к файловому серверу;
• запуск программы;
• завершение программы;
• оставление программы резидентно в памяти;
• попытку открытия файла, недоступного для чтения;
• попытку открытия на запись файла, недоступного для записи;
• попытку удаления файла, недоступного для модификации;
• попытку изменения атрибутов файла, недоступного для модификации;
• попытку запуска программы, недоступной для запуска;
• попытку получения доступа к недоступному каталогу;
• попытку чтения/записи информации с диска, недоступного! пользователю;
• попытку запуска программы с диска, недоступного пользователю;
• нарушение целостности программ и данных системы защиты
• и др.
Должны поддерживаться следующие основные способы реагирования на обнаруженные факты НСД (возможно с участием администратора безопасности):
• извещение владельца информации о НСД к его данным;
• снятие программы (задания) с дальнейшего выполнения;
• извещение администратора баз данных и администратора безопасности;
• отключение терминала (рабочей станции), с которого были осуществлены попытки НСД к информации;
• исключение нарушителя из списка зарегистрированных пользователей;
• подача сигнала тревоги и др. Одним из важнейших элементов системы обеспечения безопасности информации АС организации должно быть использование криптографических методов и средств защиты информации от несанкционированного доступа при ее передаче по каналам связи.
Все средства криптографической защиты информации в АС организации должны строиться на основе базисного криптографического ядра, прошедшего всесторонние исследования специализированными организациями ФСБ. Используемые средства криптографической зашиты секретной информации должны быть сертифицированы, а вся подсистема, в которой они используются, должна быть аттестована ФСБ. На использование криптографических средств органы организации должны иметь лицензию ФСБ.
Ключевая система применяемых в АС организации шифровальных средств должна обеспечивать криптографическую живучесть и многоуровневую защиту от компрометации ключевой информации, разделение пользователей по уровням обеспечения защиты и зонам их взаимодействия между собой и пользователями других уровней.
Конфиденциальность и имитозащита информации при ее передаче по каналам связи должны обеспечиваться за счет применения в системе шифросредств абонентского и на отдельных направлениях канального шифрования. Сочетание абонентского и канального шифрования информации должно обеспечивать ее сквозную защиту по всему тракту прохождения, защищать информацию в случае ее ошибочной переадресации за счет сбоев и неисправностей аппаратно-программных средств центров коммутации.
В АС организации, являющейся системой с распределенными информационными ресурсами, также должны использоваться средства формирования и проверки электронной цифровой подписи, обеспечивающие целостность и юридически доказательное подтверждение подлинности сообщений, а также аутентификацию пользователей, абонентских пунктов и подтверждение времени отправления сообщений. При этом используются только стандартизованные алгоритмы цифровой подписи, а соответствующие средства, реализующие эти алгоритмы, должны быть сертифицированы ФСБ.
Защита информации от утечки по техническим каналам. В качестве основных мер защиты информации, циркулирующей в АС организации, рекомендуется следующее:
«использование сертифицированных серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации, а также образцов технических средств, прошедших специальные исследования, в соответствии с требованиями предписания на эксплуатацию;
• использование сертифицированных средств защиты информации;
• размещение объекта защиты относительно границы контролируемой зоны с учетом радиуса зоны возможного перехвата информации, полученного для данного объекта по результатам специальных исследований;
• маскирующее зашумление побочных электромагнитных лучений и наводок информативных сигналов;
• конструктивные доработки технических средств и помещений, где они расположены, в целях локализации возможных каналов утечки информации;
• размещение понижающих трансформаторных подстанций электропитания и контуров заземления объектов зашиты в пределах контролируемой зоны;
• развязка цепей электропитания объектов защиты с помощью защитных фильтров, блокирующих (подавляющих) информативный сигнал;
• периодическая проверка технических средств на отсутствие паразитной генерации их элементов;
• создание выделенных сетей связи и передачи данных с учетом максимального затруднения доступа к ним посторонних, лиц;
• развязка линий связи и других цепей между выходящим за пределы контролируемой зоны и находящимися внутри нее;
• использование защищенных каналов связи;
• проверка импортных технических средств перед введением эксплуатацию на отсутствие в них электронных устройств перехвата информации.
Одним из методов технической разведки, промышленного, шпионажа является внедрение в конструкцию технических средств информатизации специальных электронных (закладных) устройств' для съема, перехвата, ретрансляции информации или вывода технических средств из строя.
В целях противодействия такому методу воздействия для технических средств информатизации, предназначенных для обработки информации, составляющей государственную тайну, слёт дует соблюдать специальный порядок, приобретения импортных технических средств, проведение специальных проверок этих средств, проводимых специализированными организациями в соответствии с требованиями и по методикам ФСБ, осуществление радионаблюдения на объектах организации.
Использование технических средств иностранного производства для обработки и хранения конфиденциальной информации или устанавливаемых в выделенных помещениях возможно при,, выполнении следующих условий:
• если проведены специальные исследования (сертификационные испытания) технических средств и выполнен полный комплекте работ по их специальной защите;
• если проведена специальная проверка технических средств на отсутствие в их составе возможно внедренных электронных устройств перехвата информации.
Специальная проверка технических средств иностранного производства может не проводиться при условии:
• если суммарное затухание сигналов при их распространении от места установки технического средства до границ контролируемой зоны объекта составляет не менее 60 дБ в диапазоне частот от 10 МГц до 10 ГГц;
• в случаях массовых поставок технических средств (к массовым относятся поставки, объем которых превышает 50 шт.), используемых в городах, не имеющих постоянных представительств иностранных государств, обладающих правом экстерриториальности.
Обеспечение защиты информации от утечки по техническим каналам при ее обработке (обсуждении), хранении и передаче по каналам связи предусматривает:
• предотвращение утечки обрабатываемой техническими средствами информации за счет побочных электромагнитных излучений и наводок, а также электроакустических преобразований, создаваемых функционирующими техническими средствами;
• выявление возможно внедренных в импортные технические средства специальных электронных устройств съема (ретрансляции) или разрушения информации (закладных устройств);
• предотвращение утечки информации в линиях связи;
• исключение перехвата техническими средствами речевой информации при ведении конфиденциальных переговоров.
Предотвращение утечки обрабатываемой информации за счет побочных электромагнитных излучений и наводок, а также за счет электроакустических преобразований реализуется путем применения защищенных технических средств, сертифицированных по требованиям безопасности информации, а также путем внедрения объектовых мер защиты, в том числе установления контролируемой зоны вокруг объектов АС организации, средств активного противодействия (при необходимости) и др. Конкретные требования к мерам объектовой защиты определяются по результатам специальных исследований технических средств с учетом установленной категории защищаемого объекта в зависимости от степени конфиденциальности обрабатываемой информации и условий ее размещения.
Исключение перехвата техническими средствами речевой информации достигается проектными решениями, обеспечивающими необходимую звукоизоляцию помещений, применением технических средств и организационных мер защиты оборудования, расположенного в помещениях.
Основными направлениями снижения уровня и информативности ПЭМИН являются:
1) разработка и выбор оптимальных схем и элементов, основанных на применении устройств с низким уровнем излучения:
— жидкокристаллических и газоразрядных экранов отображения;
— оптико-электронных и волоконно-оптических линий пере--дачи данных;
— запоминающих устройств на магнитных доменах, голографических запоминающих устройств и т.п.;
2) экранирование (развязка) отдельных элементов и устройств АС, реализуемое путем:
• локального экранирования излучающих элементов СВТ и средств связи;
• экранирования кабелей и устройств заземления;
• применения развязывающих фильтров в цепях питания и т. п.;
3) использование специальных программ и кодов, базирующихся:
• на применении мультипрограммных режимов обработки данных, обеспечивающих минимальные интервалы обращения к защищаемой информации;
• применении параллельных многоразрядных кодов, параллельных кодов с малой избыточностью, а также симметричных кодов;
• на ограничении регулярности вывода и времени отображения информации на устройствах отображения;
4) применение активных мешающих воздействий, основанных на использовании встроенных синхронизированных генераторов:
• генераторов импульсных помех;
• специальных (инверсных) схем заполнения интервалов;
5) использование специальных схем нарушения регулярности вывода информации на устройства отображения.
Зашита речевой информации при проведении закрытых переговоров. Исходя из возможности перехвата речевой информации при проведении разговоров конфиденциального характера с пот мощью внедрения специальных электронных (закладных) устройств, транслирующих эту информацию, акустических, виброакустических и лазерных технических средств разведки, информации, наведенной на различные электрические и прочие цепи, выходящие за пределы контролируемой зоны, противодействие этим угрозам безопасности информационных ресурсов должно осуществляться всеми доступными средствами и методами.
Помещения, в которых предусматривается ведение конфиденциальных переговоров, должны быть проверены на предмет отсутствия в них (в стеновых панелях, фальшполах и фальшпотолках, мебели, технических средствах, размешенных в этих помещениях) закладных устройств. Технические средства передачи информации (телефоны, телефаксы, модемы), а также различные электрические и прочие цепи, трубопроводы, системы вентиляции и кондиционирования должны быть защищены таким образом, чтобы акустические сигналы не могли быть перехвачены за пределами контролируемой зоны, а в необходимых случаях и за пределами данного выделенного помещения.
В этих целях используются проектные решения, обеспечивающие звукоизоляцию помещений, специальные средства обнаружения закладных устройств, устанавливаются временные или постоянные посты радиоконтроля, на технические средства передачи информации устанавливаются устройства, предотвращающие перехват акустических сигналов с линий связи, на электрические цепи, выходящие за пределы контролируемой зоны, ставятся фильтры, а на трубопроводы — диэлектрические вставки, используются системы активной защиты в акустическом и других диапазонах.
Управление системой обеспечения безопасности информации в АС. Управление представляет собой целенаправленное воздействие на компоненты системы обеспечения безопасности (организационные, технические, программные и криптографические) с целью достижения требуемых показателей и норм защищенности циркулирующей в АС организации информации в условиях, реализации основных угроз безопасности.
Главная цель организации управления системой обеспечения безопасности информации — повышение надежности зашиты информации в процессе ее обработки, хранения и передачи.
Целями управления системой обеспечения безопасности информации являются:
• на этапе создания и ввода в действие АС организации — разработка и реализация научно-технических программ и координационных планов создания нормативно-правовых основ и технической базы, обеспечивающей использование передовых зарубежных средств и информационных технологий и производство отечественных технических и программных средств обработки и передачи информации в защищенном исполнении в интересах обеспечения безопасности информации АС; организация и координация взаимодействия в этой области разработчиков АС, концентрация кадровых, финансовых и иных ресурсов заинтересованных сторон при разработке и поэтапном вводе в действие системы; создание действенной организационной структуры, обеспечивающей комплексное решение задач безопасности информации при функционировании АС, в том числе службы безопасности АС, оснащенной необходимыми программно-аппаратными средствами управления и контроля;
• на этапе эксплуатации АС — обязательное и неукоснительное выполнение предусмотренных на этапе создания АС правил и процедур, направленных на обеспечение безопасности информации, всеми задействованными в системе участниками; эффективное пресечение посягательств на информационные ресурсы, технические средства и информационные технологии; своевременное выявление негативных тенденций и совершенствование управления в области зашиты информации.
Управление системой обеспечения безопасности информации реализуется специализированной подсистемой, представляющей собой совокупность органов управления, технических, программных и криптографических средств, а также организационных мероприятии и взаимодействующих друг с другом пунктов управления различных уровней.
Органами управления являются подразделения безопасности информации, а пунктами управления — центр управления безопасностью (ЦУБ) и автоматизированные рабочие места администраторов (операторов) безопасности, расположенные на объектах АС организации.
Подсистемы управления выполняют информационную, управляющую и вспомогательную функции.
Информационная функция заключается в непрерывном контроле состояния системы зашиты, проверке соответствия показателей защищенности допустимым значениям и немедленном формировании операторов безопасности о возникающих в AG' ситуациях, способных привести к нарушению безопасности формации.
К контролю состояния системы защиты предъявляются два требования: полнота и достоверность. Полнота характеризует степень охвата всех средств защиты и параметров их функционирования. Достоверность контроля характеризует степень адекватности значений контролируемых параметров их истинному значению. В результате обработки данных контроля формируется информация состояния системы зашиты, которая обобщается (агрегируется) и передается на вышестоящие пункты управления.
Управляющая функция заключается в формировании планов реализации технологических операций АС с учетом требований безопасности информации в условиях, сложившихся для данного' момента времени, а также в определении места возникновения ситуации уязвимости информации и предотвращении ее утечки за счет оперативного блокирования участков АС, на которых возникают угрозы безопасности информации. К управляющим функциям службы безопасности относятся учет, хранение и выдача документов и информационных носителей, паролей и ключей. При этом генерация паролей, ключей, сопровождение средств разграничения доступа, приемка включаемых в программную среду АС новых программных средств, контроль соответствия программной среды эталону, а также контроль за ходом технологического процесса обработки секретной (конфиденциальной) информации возлагаются на администратора автоматизированной системы (базы данных) и администратора службы безопасности, которые расположены в ЦУБ.
К вспомогательным функциям подсистемы управления относятся учет всех операций, выполняемых в АС с защищаемой информацией, формирование отчетных документов и сбор статистических данных с целью анализа и выявления потенциальных каналов утечки информации.
Контроль эффективности защиты информации. Контроль осуществляется в целях своевременного выявления и предотвращения утечки информации по техническим каналам за счет несанкционированного доступа к ней, а также предупреждения возможных специальных воздействий, направленных на уничтожение информации, разрушение средств информатизации.
Контроль может проводиться как службой безопасности (оперативный контроль в процессе информационного взаимодействия в АС), так и привлекаемыми для этой цели компетентными организациями, имеющими лицензию на этот вид деятельности, а также Инспекцией ФСТЭК России или ФСБ России в пределах их компетенции.
Оценка эффективности мер защиты информации проводится с использованием технических и программных средств контроля на предмет соответствия установленным требованиям.
Контроль может осуществляться администратором безопасности как с помощью штатных средств системы защиты информации от НСД, так и с помощью специальных программных средств контроля.
10.8. Первоочередные мероприятия по обеспечению безопасности информации АС организации
В данном разделе Концепции описаны мероприятия по реализации ее положений. Необходимо:
• создать во всех территориальных подразделениях организации подразделений технической защиты информации в АС организации и ввести ответственных (можно внештатных, из числа сотрудников подразделения) за безопасность информации в структурных подразделениях организации, определить их задачи и функции на различных стадиях создания, развития и эксплуатации АС и системы защиты информации;
• рассмотреть возможность внесения изменений в конфигурацию сетей и СВТ, технологии обработки, передачи и хранения (архивирования) информации (с целью максимального разделения подсистем АС организации, в которых обрабатывается информация различных категорий конфиденциальности), для снижения затрат на создание системы зашиты и упрощения категорирования и аттестации подсистем АС организации;
• определить порядок приобретения и использования сертифицированных серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации; образцов технических средств, прошедших специальные исследования, в соответствии с требованиями предписания на эксплуатацию, а также сертифицированных средств защиты информации;
• уточнить (в том числе на основе апробации) конкретные требования к СЗИ, включаемые в ТЗ на разработку СЗИ АС организации;
• определить возможность использования в АС организации имеющихся сертифицированных средств защиты информации;
• произвести закупку сертифицированных образцов и серийно' выпускаемых технических и программных средств зашиты информации («Secret Net» и т.п.) и их внедрение на рабочих станциями файловых серверах сети с целью контроля за изменением конфигурации аппаратных и программных средств и действиями пользователей;
• осуществить разработку и последующую сертификацию программных средств зашиты информации в случае, когда на рынке отсутствуют требуемые программные средства;
• для обеспечения режима удаленного доступа пользователей по сети организации к информации конфиденциальных баз данных рассмотреть возможность разработки, сертификации и аттестации специальных криптографических средств; в их состав должны входить: сетевой криптошлюз, защищенные абонентские пункты доступа через криптошлюз, центр генерации и распространения ключей; на уровне прикладных программ необходимо разработать средства, обеспечивающие возможность доступам конфиденциальным данным только с защищенных абонентских пунктов;
• определить степень участия персонала в обработке (передаче; хранении, обсуждении) информации, характер его взаимодействия между собой и с подразделениями по защите информации;
• произвести разработку и реализацию разрешительной системы доступа пользователей и эксплуатационного персонала АС организации или иного объекта информатизации к обрабатываем мой информации, оформляемой в виде раздела «Положения3о разрешительной системе допуска исполнителей к документам и сведениям»;
• осуществить разработку организационно-распорядительной и рабочей документации по эксплуатации объекта информатизации. в защищенном исполнении, а также средств и мер защиты информации в АС организации (план защиты, инструкции, обязанности и т.п.), регламентирующих процессы допуска пользователей к работе с АС организации, разработки, приобретения и использования программного обеспечения на рабочих станциях и серверах, порядок внесения изменений в конфигурацию аппаратных и программных средств при ремонте, развитии и обслуживании СВТ, порядок применения и администрирования средств защиты информации и т.п.;
• для снижения риска перехвата в сети с других рабочих станций имен и паролей привилегированных пользователей (в особенности администраторов средств защиты и баз данных) организовать их работу в отдельных сегментах сети, шире применять сетевые устройства типа switch, не использовать удаленные режимы конфигурирования сетевых устройств (маршрутизаторов, концентраторов и т.п.);
• исключить доступ программистов в эксплуатируемые подсистемы АС организации (к реальной информации и базам данных), организовать опытный участок АС для разработки и отладки программ; передачу разработанных программ в эксплуатацию производить через архив эталонов программ (фонд алгоритмов и программ) подразделения, ответственного за эксплуатацию ПО;
• для защиты компонентов ЛВС органов организации от неправомерных воздействий из других ЛВС организации и внешних сетей по IP-протоколу целесообразно использовать на узлах корпоративной сети организации сертифицированные установленным порядком межсетевые экраны;
• осуществить опытную эксплуатацию средств зашиты информации в комплексен другими техническими и программными средствами в целях проверки их работоспособности в составе объектов информатизации и отработки технологических процессов обработки (передачи) информации;
• произвести специальную проверку импортных технических средств на предмет обнаружения возможно внедренных в них электронных устройств перехвата информации («закладок»);
• произвести специальную проверку выделенных помещений на предмет обнаружения возможно внедренных в них или в предметы интерьера электронных устройств перехвата информации («закладок»);
• обследовать объект информатизации и провести специальные исследования технических средств;
• выполнить конструктивные доработки технических средств и помещений, где они расположены, в целях локализации возможных технических каналов утечки информации (в случае необходимости);
• произвести развязку цепей электропитания объектов защиты с помощью защитных фильтров, блокирующих (подавляющих) информативный сигнал;
• произвести развязку линий связи и других цепей между выходящими за пределы контролируемой зоны и находящимися внутри нее;
• осуществить необходимую звуко- и виброизоляцию выделенных помещений;
• произвести категорирование помещений, в которых проводятся обсуждения или ведутся переговоры по секретным вопросам (выделенные помещения);
• произвести категорирование ОТСС, предназначенных для обработки, передачи и хранения конфиденциальной информации;
• классифицировать защищенность автоматизированных систем от несанкционированного доступа (НСД) к информации, предназначенных для обработки конфиденциальной информации;
• оформить технический паспорт объекта информатизации (АС организации);
• аттестовать объект информатизации по требованиям защиты информации;
• организовать охрану и физическую защиту объекта информатизации и отдельных технических средств, исключающих НСД техническим средствам, их хищение и нарушение работоспособности;
• организовать контроль состояния и эффективности защиты информации с оценкой выполнения требований нормативных документов организационно-технического характера, обоснованности принятых мер, проверки выполнения норм эффективности зашиты информации по действующим методикам с применением поверенной контрольно-измерительной аппаратуры и сертифицированных программных средств контроля;
• для контроля за состоянием защиты, выявлением слабых мест (уязвимостей) в системе зашиты серверов и рабочих станций принятия своевременных мер по их устранению (перекрытию возможности их использования злоумышленниками) необходимо использовать специальные программы оценки защищенности (сканеры, например Internet Security Scanner фирмы ISS).
Тема 11.
