Защита информации как составная часть общей системы безопасности организации
Выбери формат для чтения
Загружаем конспект в формате pdf
Это займет всего пару минут! А пока ты можешь прочитать работу в формате Word 👇
«Актуальность проблемы защиты
информации. Защита информации как
составная часть общей системы
безопасности организации,
предприятия»
Лекция 1
кандидат технических наук
МОКЛЯКОВ Виталий Александрович
МЕСТО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В
ОБЩЕЙ СИСТЕМЕ БЕЗОПАСНОСТИ РФ
Политическая
безопасность
Экономическая
безопасность
Военная
безопасность
Национальная
безопасность
РФ
Социальная
безопасность
Информационная
безопасность
Техническая защита
информации
Экологическая
безопасность
ДОКТРИНА ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ
Национальная безопасность страны
существенным образом зависит от
обеспечения информационной
безопасности, и в ходе технического
прогресса эта зависимость будет
возрастать
«Мы должны найти убедительные ответы
на
угрозы
в
сфере
национальной
безопасности…
Эти
угрозы
менее
предсказуемы, чем прежние, и уровень
их опасности в полной мере до конца
не осознан».
Президент Российской Федерации В.В. Путин,
послание Федеральному Собранию
ИСТОЧНИКИ УГРОЗ БЕЗОПАСНОСТИ
ИНФОРМАЦИИ
Внешние
Внутренние
ВНЕШНИЕ ИСТОЧНИКИ
УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
Деятельность иностранных политических, экономических, военных,
разведывательных и информационных структур, направленная против
интересов Российской Федерации в информационной сфере
Деятельность
международных
террористических
организаций
Внешние
Разработка рядом
государств
концепций
информационны
х войн
Использование иностранными государствами космических,
воздушных, морских и наземных технических средств
разведки, наблюдения и контроля
ВНУТРЕННИЕ ИСТОЧНИКИ
УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
Недостаточная координирующая роль органов власти
субъектов РФ
Отсутствие
квалифицированных
кадров
Неблагоприятная
криминогенная
обстановка в стране
Внутренние
Недостаточное
развитие
нормативной
правовой базы
Критическое
состояние
оборонной
промышленности
Недостаточное финансирование
НАИБОЛЕЕ ВАЖНЫЕ ОБЪЕКТЫ ПРИВОЛЖСКОГО ФЕДЕРАЛЬНОГО
ОКРУГА В ЧАСТИ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
объекты органов
государственной власти
финансовые и банковские
структуры
объекты топливо–
энергетического комплекса
объекты инфраструктуры
связи и телекоммуникаций
предприятия с экологически
опасными производствами
предприятия Федерального
агентства по атомной энергии
предприятия и организации
Минтранса России
системы жизнеобеспечения
крупных городов
Федеральный закон от 26 июля 2017 г. № 187-ФЗ «О безопасности критической
информационной инфраструктуры Российской Федерации»
СФЕРА ДЕЙСТВИЯ ЗАКОНА
193-ФЗ
«О внесении
изменений в отдельные
законодательные
акты…»
обеспечение безопасности объектов критической
информационной инфраструктуры, а также сетей
электросвязи, используемых для организации
взаимодействия таких объектов
Российской Федерации в целях ее устойчивого
функционирования при проведении в отношении
ее компьютерных атак.
ОБЪЕКТЫ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ
ИНФРАСТРУКТУРЫ (КИИ)
информационные системы, информационнотелекоммуникационные сети, автоматизированные
системы управления, принадлежащие на праве
собственности, аренды или на ином законном основании
субъектам критической информационной
инфраструктуры
ОТВЕТСТВЕННОСТЬ
субъект критической информационной
инфраструктуры,
для обеспечения безопасности значимого объекта
критической информационной инфраструктуры создает
систему безопасности такого объекта и
обеспечивает ее функционирование.
9
Основные направления реализации Федерального закона № 187-ФЗ.
Обеспечение безопасности значимых объектов КИИ
ФСТЭК России
Федеральный орган исполнительной власти, уполномоченный в
области обеспечения безопасности критической
информационной инфраструктуры Российской Федерации
Категорирова
ние
Реализация
требований
Государстве
нный
контроль
Устранение
замечаний
госконтроля
ФСБ России
Федеральный орган исполнительной власти,
уполномоченный в области обеспечения функционирования
государственной системы обнаружения, предупреждения и
ликвидации последствий компьютерных атак на
информационные ресурсы Российской Федерации
(ГосСОПКА)
Организация
взаимодействия
10
Внедрение
технических средств
ГосСОПКА
Реагирование на
компьютерные
инциденты
Перечень нормативных правовых актов, разрабатываемых в
связи с принятием Федерального закона № 187-ФЗ
Федеральный закон от 26 июля 2017 года № 187-ФЗ «О безопасности критической информационной
инфраструктуры Российской Федерации»
Перечень нормативных правовых актов, разработанных на уровне
Правительства Российской Федерации, ФСТЭК и ФСБ России
Постановление Правительства Российской Федерации от 08.02.2018 г. № 127 «Об утверждении
Правил категорирования объектов критической информационной инфраструктуры Российской
Федерации, а также перечня показателей критериев значимости объектов критической
информационной инфраструктуры Российской Федерации и их значений»
Приказ ФСТЭК от 22.12.2017 №236 «Об утверждении
формы направления сведений о результатах
присвоения объекту КИИ одной из категорий
значимости либо об отсутствии необходимости
присвоения ему одной из таких категорий»
Приказ ФСТЭК от 21.12.2017 №235 «Об утверждении
Требований к созданию систем безопасности значимых
объектов критической информационной
инфраструктуры Российской Федерации и
обеспечению их функционирования»
Приказ ФСТЭК от 25.12.2017 №239 «Об
утверждении Требований по обеспечению
безопасности значимых объектов критической
информационной инфраструктуры Российской
Федерации»
ПРОЕКТ Приказа ФСБ «Об утверждении Порядка
информирования ФСБ России о компьютерных
инцидентах, реагирования на них, принятия мер по
ликвидации последствий компьютерных атак,
проведенных в отношении значимых объектов
критической информационной инфраструктуры
Российской Федерации»
Перечень документов, разработанных на уровне ПАО «Газпром»
Методические рекомендации по категорированию
объектов критической информационной
инфраструктуры в ПАО «Газпром», 2018 г.
11
Методические рекомендации по формированию
перечня объектов критической информационной
инфраструктуры дочернего общества (организации)
ПАО «Газпром», подлежащих категорированию 2018 г.
С развитием технологий АСУ ТП постепенно преобразовались из закрытых управляющих
устройств в многоуровневые промышленные сети на базе стандартных сетевых протоколов,
которые имеют множество сходных признаков с активно используемыми корпоративными
сетями.
К сожалению, это касается и уязвимостей, которые тесно связаны с угрозами
кибербезопасности. Эти сети подвержены заражению компьютерными вирусами, взлому,
выводу из строя ПО и другим видам внешнего воздействия.
Это оказывает существенное влияние на производственные процессы, и с каждым годом
количество подобных инцидентов увеличивается.
Классификация и способы атак на АСУ ТП
Кто и зачем вмешивается в технологические процессы? Специалисты по информационной
безопасности выделяют несколько типов нарушителей для АСУ:
Враждебные государства проводят атаки на АСУ ТП
Террористические организации
Промышленные шпионы и представители ОПГ
Хактивисты
12
Действия киберподразделений силовых структур враждебных государств направлены на
нарушения функционирования объектов инфраструктуры, что может привести к
разрушениям и человеческим жертвам. Данный вид атак является одним из наиболее
опасных при кибервойнах.
13
Специалисты полагают, что в ближайшие годы этот вид будет наиболее
распространенным. Человечество уже видело применение этого типа атак на
практике: так называемая операция Stuxnet, в ходе которой ЦРУ взрывало
иранские заводы по производству оружейного урана с помощью компьютерного
вируса.
ОРГАНИЗАЦИЯ ВЗАИМОДЕЙСТВИЯ
Аппарат
полномочного
представителя
Президента РФ в
ПФО
Территориальные
органы федеральных
органов
исполнительной
власти
Управление
ФСТЭК России
по ПФО
Организации,
предприятия
Аппараты органов
государственной
власти субъектов
РФ
Органы
исполнительной
власти субъектов
РФ
Органы местного
самоуправления
15
ГЛАВНОЕ ПРЕДНАЗНАЧЕНИЕ
ОСНОВ
ВЫРАБОТКА ЕДИНОЙ ПОЛИТИКИ,
НАПРАВЛЕННОЙ НА СОВЕРШЕНСТВОВАНИЕ
СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ В
ПРИВОЛЖСКОМ ФЕДЕРАЛЬНОМ ОКРУГЕ
ОСНОВЫ ОРГАНИЗАЦИИ ЗАЩИТЫ ИНФОРМАЦИИ В
ПРИВОЛЖСКОМ ФЕДЕРАЛЬНОМ ОКРУГЕ
I. ОБЩИЕ ПОЛОЖЕНИЯ
II. ОСНОВНЫЕ УГРОЗЫ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В
ПРИВОЛЖСКОМ ФЕДЕРАЛЬНОМ ОКРУГЕ
III. ЦЕЛЬ, ОСНОВНЫЕ ЗАДАЧИ, ПРИНЦИПЫ И ПРИОРИТЕТНЫЕ
НАПРАВЛЕНИЯ ЗАЩИТЫ ИНФОРМАЦИИ В ПРИВОЛЖСКОМ
ФЕДЕРАЛЬНОМ ОКРУГЕ
IV. ОСНОВЫ ОРГАНИЗАЦИИ ЗАЩИТЫ ИНФОРМАЦИИ В
ПРИВОЛЖСКОМ ФЕДЕРАЛЬНОМ ОКРУГЕ
V. ОСНОВЫ ОРГАНИЗАЦИИ ЗАЩИТЫ ИНФОРМАЦИИ В СУБЪЕКТАХ
РОССИЙСКОЙ ФЕДЕРАЦИИ ПРИВОЛЖСКОГО ФЕДЕРАЛЬНОГО
ОКРУГА
СТРУКТУРА
СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ
В ПРИВОЛЖСКОМ ФЕДЕРАЛЬНОМ
ОКРУГЕ
ОКРУЖНОЙ УРОВЕНЬ
УРОВЕНЬ СУБЪЕКТА
РОССИЙСКОЙ ФЕДЕРАЦИИ
ОБЪЕКТОВЫЙ УРОВЕНЬ
Полномочный представитель
Президента Российской
Федерации в ПФО
Территориальные
органы
федеральных
органов
исполнительной
власти РФ
окружного уровня
Территориальные органы окружного уровня
специально уполномоченных федеральных
органов исполнительной власти в области
ЗИ
ПДТК
ПТЗИ
(ШС)
Окружные учебнометодические центры
по защите
информации в ПФО
Управление
Головные НИО по
направлениям защиты
информации в ПФО
Координационный
Совет по ЗИ при
полномочном
представителе
Президента РФ в ПФО
Окружные аттестационные
центры по проведению
Координация
специальных экспертиз
Проведение
Взаимодействие
работ по ЗИ
Управление
Управление
Координация
Управление ФСБ
России
по субъекту РФ
Территориальные
органы
федеральных
органов
исполнительной
власти
ПЗИ
(ШС)
ПЗГТ
(ШС)
ПДТК
Организациилицензиаты в
области ЗИ
Проведение работ по ЗИ
Управление
Взаимодействие
Главный
федеральный
инспектор в
субъекте РФ
Орган
исполнительной
власти субъекта
РФ ПДТК
ПЗИ
(ШС)
Органы местного
самоуправления
ПЗИ (ШС)
Аттестационные центры
и органы по аттестации
объектов
информатизации
Проведение работ по ЗИ
Координация
Совет органа
исполнительной
власти субъекта
РФ по защите
информации
Координация
Управление
Координация
Координация
Проведение работ по ЗИ
Управление
Управление
Организации,
учреждения и
предприятия,
находящиеся в ведении
федеральных органов
исполнительной власти
Организации,
учреждения и
предприятия,
находящиеся в ведении
субъектов РФ
ПЗИ
(ШС)
ПЗИ
(ШС)
Управление
Организации,
учреждения и
предприятия,
находящиеся в
ведении органов
местного
самоуправления
ПДТК
ПДТК
ПЗИ
(ШС)
Организации, учреждения и
предприятия с
негосударственной формой
собственности
ПЗИ
(ШС)
ПДТК
ПДТК
Система защиты информации
совокупность органов и (или) исполнителей,
используемой ими техники защиты информации, а также
объектов защиты, организованная и функционирующая по
правилам, устанавливаемым соответствующими правовыми,
организационно-распорядительными и нормативными
документами в области защиты информации.
НОРМАТИВНЫЕ ДОКУМЕНТЫ
Положение о государственной системе защиты информации в Российской
Федерации от иностранных технических разведок и от утечки по
техническим каналам». Постановление Правительства Российской
Федерации от 15.09.1993 г. №912-51.(Положение 93)
«Положение о ПДТК по защите государственной тайны» утверждено ФСБ
России и Гостехкомиссией России по распоряжению Правительства РФ от 28
июня 2001г. №852-р
«Основы защиты информации в Приволжском федеральном округе»,
принятых Координационным советом по защите информации при
полномочном представителе Президента РФ.
ГЛАВНЫМИ НАПРАВЛЕНИЯМИ РАБОТ
ПО ЗАЩИТЕ ИНФОРМАЦИИ ЯВЛЯЮТСЯ:
1)
2)
обеспечение эффективного управления
системой защиты информации;
определение сведений, охраняемых от
технических средств разведки, и
демаскирующих признаков, раскрывающих
эти сведения;
3)
4)
5)
анализ и оценка реальной опасности перехвата
информации техническими средствами
разведки, несанкционированного доступа,
разрушения (уничтожения) или искажения
информации путем преднамеренных
программно-технических воздействий в
процессе её обработки, передачи и хранения в
технических средствах, выявление возможных
каналов утечки сведений, подлежащих защите;
разработка организационно-технических
мероприятий по защите информации и их
реализация;
организация и проведение контроля состояния
защиты информации.
СТРУКТУРА
системы защиты информации на предприятии
РУКОВОДИТЕЛЬ ПРЕДПРИЯТИЯ
Заместитель Руководителя предприятия (главный
инженер, главный конструктор)
Подразделение по защите информации (штатный
специалист по защите информации)
П Д Т К
Представитель ВП МО РФ, ответственный за защиту
информации об образце ВТ
Объекты защиты информации
Средства защиты информации
Средства контроля эффективности
защиты информации
Средства и системы управления
ОРГАНИЗАЦИЯ КОМПЛЕКСНОЙ
ЗАЩИТЫ ИНФОРМАЦИИ
Условия размещения
Категорирование и
классификация
объектов
Высший гриф информации
Установленная категория
Разработка мер
комплексной защиты
Модель ИТР, применительно
к объекту защиты
Разработанные организационные
мероприятия
Реализация мер
комплексной защиты
Разработанные
технические мероприятия
Объект защиты
Аттестация объектов на
соответствие
требованиям по
безопасности
информации
Стандарты и нормативные
документы по защите
информации (ФСТЭК России,
ФСБ, и др.)
Контроль состояния и
эффективности
защиты информации
Устранение
недостатков
ПДТК вырабатывает рекомендации руководителю
предприятия, направленные на обеспечение
решения следующих основных вопросов:
надежное и эффективное управление системой защиты
государственной тайны на предприятии и ее
функционирование;
своевременное выявление и закрытие возможных
каналов неправомерного распространения сведений,
составляющих государственную тайну, служебную тайну,
коммерческую тайну;
организация и координация работ по противодействию
иностранным техническим разведкам (ПД ИТР) и
технической защите информации;
совершенствование системы физической и технической
защиты объектов предприятия, направленной на
обеспечение их безопасности.
На ПДТК может быть возложена и функция экспертизы
материалов, предназначенных для открытого
опубликования.
«Основные понятия, термины и
определения в области защиты
информации»
ОСНОВНЫЕ НОРМАТИВНЫЕ ДОКУМЕНТЫ,
ОПРЕДЕЛЯЮЩИЕ ТЕРМИНОЛОГИЮ В
ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ
1
1. ГОСТ Р 50922-2006 «Защита информации. Основные термины и
определения».
2. ГОСТ Р 51275-99. «Защита информации. Объект
информатизации. Факторы, воздействующие на информацию».
3. Федеральный закон от 27.07.2006 г. № 149-ФЗ
«Об информации, информационных технологиях и о
защите информации».
4.
Указ президента Российской Федерации от 06.03.1997 г. № 188
«О перечне сведений конфиденциального характера».
5.
Специальные требования и рекомендации по защите
конфиденциальной информации (СТР-К).
ИНФОРМАЦИОННЫЕ РЕСУРСЫ ПО КАТЕГОРИЯМ 2
ДОСТУПА
Федеральный закон «Об информации, информационных технологиях и о
защите информации»
Открытая
информация
Информация с ограниченным
доступом
Информация,
отнесенная
к государственной
тайне
«О перечне сведений,
отнесенных к
государственной
тайне»
Указ Президента
Российской Федерации от
30.11.95 № 1203
Конфиденциальная
информация
«Об утверждении
перечня сведений
конфиденциального
характера»
Указ Президента Российской
Федерации от 06.03.97 № 188
КЛАССИФИКАЦИОННАЯ СХЕМА ПОНЯТИЙ В
ОБЛАСТИ «ЗАЩИТА ИНФОРМАЦИИ»
3
Информация
Защищаемая информация
Защита информации
Защита
информации
от НСВ
Защита информации от утечки
ЗИ от
разглашения
ЗИ от
НСД
ЗИ от
утечки по ТК
Защита
информации
от НПВ
Организация защиты информации
Система защиты информации
Мероприятие по ЗИ
Объект защиты информации
Способ ЗИ
Техника защиты информации
Лицензирование
Средство
защиты
информации
Средство
контроля
Сертификация СЗИ
Аттестация ОИ
Мероприятие по контролю
эффективности ЗИ
Организационный
контроль эффектив. ЗИ
Технический контроль
эффективности ЗИ
ОСНОВНЫЕ ПОНЯТИЯ
Информация
4
♦ Информация - сведения о лицах, предметах, фактах, событиях, явлениях
и процессах независимо от формы их представления.
♦ Информатизация - организационный социально-экономический и
научно-технический процесс создания оптимальных условий для
удовлетворения информационных потребностей и реализации прав
граждан, органов государственной власти, органов местного
самоуправления, организаций, общественных объединений на основе
формирования и использования информационных ресурсов.
♦ Документированная информация (документ) - зафиксированная на
материальном носителе информация с реквизитами, позволяющими ее
идентифицировать.
♦ Информационные ресурсы - отдельные документы и отдельные
массивы документов, документы и массивы документов в
информационных системах (библиотеках, архивах, фондах, банках
данных, других информационных системах, в том числе предприятий).
♦ Конфиденциальная информация - документированная информация,
доступ к которой ограничен в соответствии с законодательством
Российской Федерации.
5
БЕЗОПАСНОСТЬ ИНФОРМАЦИИ
5
♦ Безопасность информации - состояние защищенности информации,
характеризуемое способностью персонала, технических средств и
информационных технологий обеспечивать конфиденциальность, т.е.
сохранение в тайне от субъектов, не имеющих полномочий на
ознакомление с ней, целостность и доступность информации при ее
обработке техническими средствами.
♦ Конфиденциальность информации - состояние защищенности
информации, характеризуемое способностью АС обеспечивать сохранение
в тайне информации от субъектов, не имеющих полномочий на
ознакомление с ней.
♦ Доступность информации - состояние информации, характеризуемое
способностью АС обеспечивать беспрепятственный доступ к информации
субъектов, имеющих на это полномочия
Доступ к информации (доступ) - ознакомление с информацией, ее
обработка, в частности копирование, модификация или уничтожение
информации.
♦ Целостность информации - состояние защищенности информации,
характеризуемое способностью АС обеспечивать сохранность и
неизменность конфиденциальной информации при попытках
несанкционированных или случайных воздействий на нее в процессе
обработки или хранения.
3АЩИТА ИНФОРМАЦИИ (1)
6
♦ Защита информации - деятельность, направленная на предотвращение
утечки защищаемой информации, несанкционированных и
непреднамеренных воздействий на защищаемую информацию.
♦ Защищаемая информация - информация, являющаяся предметом
собственности и подлежащая защите в соответствии с требованиями
правовых документов или требованиями, устанавливаемыми
собственником информации.
Собственником информации могут быть: государство, юридическое лицо,
группа физических лиц, отельное физическое лицо.
♦ Защита информации от утечки - деятельность, направленная на
предотвращение неконтролируемого распространения защищаемой
информации в результате ее разглашения, несанкционированного
доступа к информации и получения защищаемой информации
разведками.
♦ Защита информации от разглашения - деятельность, направленная на
предотвращение несанкционированного доведения защищаемой
информации до потребителей, не имеющих права доступа к этой
информации
ЗАЩИТА ИНФОРМАЦИИ (2)
7
♦ Защита информации от несанкционированного доступа (НСД) деятельность, направленная на предотвращение получения защищаемой
информации заинтересованным субъектом с нарушением
установленных правовыми документами или собственником,
владельцем информации прав или правил доступа к защищаемой
информации.
♦ Защита информации от технической разведки - деятельность,
направленная на предотвращение получения защищаемой информации
разведкой с помощью технических средств.
♦ Защита информации при ее обработке техническими средствами действия, направленные на обеспечение безопасности информации при ее
обработке техническими средствами от всех видов угроз и факторов
опасности.
♦ Техническая защита конфиденциальной информации (ТЗКИ) - защита
информации некриптографическими методами, направленными на
предотвращение утечки защищаемой информации по техническим
каналам, от несанкционированного доступа к ней и от специальных
воздействий на информацию в целях ее уничтожения, искажения или
блокирования.
ОРГАНИЗАЦИЯ ЗАЩИТЫ ИНФОРМАЦИИ
8
♦ Организация защиты информации - содержание и порядок действий,
направленных на обеспечение защиты информации.
♦ Система защиты информации - совокупность органов и (или)
исполнителей, используемой ими техники защиты информации, а также
объектов защиты, организованная и функционирующая по правилам,
установленным соответствующими правовыми, организационнораспорядительными и нормативными документами в области защиты
информации.
♦ Средство защиты информации - техническое, программное средство,
вещество и (или) материал, предназначенные или используемые для
защиты информации.
♦ Средство контроля эффективности защиты информации - техническое,
программное средство, вещество и (или) материал, предназначенные или
используемые для контроля эффективности защиты информации.
ОБЪЕКТ ИНФОРМАТИЗАЦИИ
9
♦ Объект информатизации -совокупность информационных ресурсов,
средств и систем обработки информации, используемых в соответствии с
заданной информационной технологией, средств обеспечения объекта
информатизации, помещений или объектов (зданий, сооружений,
технических средств), в которых они установлены, или помещения и
объекты, предназначенные для ведения конфиденциальных переговоров.
♦ Система обработки информации - совокупность технических средств и
программного обеспечения, а также методов обработки информации и
действий персонала, обеспечивающая выполнение автоматизированной
обработки информации.
ОБЪЕКТЫ ЗАЩИТЫ ИНФОРМАЦИИ (1)
Объект защиты
информации
Средства и
системы
информатизации
(ОТСС),
программные
средства,
используемые
для обработки
КИ
Вспомогательные
технические
средства и
системы
(ВТСС)
Защищаемые
помещения
(ЗП)
10
ОБЪЕКТЫ ЗАЩИТЫ ИНФОРМАЦИИ (2)
11
♦ Объект защиты информации - информация или носитель информации,
или информационный процесс, которые необходимо защищать в
соответствии с поставленной целью защиты информации.
♦ Основные технические средства и системы (ОТСС) - технические
средства и системы, а также их коммуникации, используемые для
обработки, хранения и передачи конфиденциальной информации (АС
различного уровня и назначения), средства и системы связи и передачи
данных, включая коммуникационное оборудование, используемые для
обработки и передачи конфиденциальной информации.
♦ Вспомогательные технические средства и системы (ВТСС) технические средства и системы, не предназначенные для передачи,
обработки и хранения конфиденциальной информации, размещаемые
совместно с основными техническими средствами и системами или в
защищаемых помещениях.
♦ Защищаемые помещения (ЗП) – помещения (служебные кабинеты,
актовые, конференц-залы и т.д.), специально предназначенные для
проведения конфиденциальных мероприятий (совещаний, обсуждений,
конференций, переговоров и т.п.).
ТЕРМИНЫ В ОБЛАСТИ ЛИЦЕНЗИРОВАНИЯ
12
♦ Лицензирование - мероприятия, связанные с предоставлением
лицензий, переоформлением документов, подтверждающих наличие
лицензий, приостановлением и возобновлением действия лицензий,
аннулированием лицензий и контролем лицензирующих органов за
соблюдением лицензиатами при осуществлении лицензируемых видов
деятельности соответствующих лицензионных требований и условий.
♦ Лицензия - специальное разрешение на осуществление конкретного
вида деятельности при обязательном соблюдении лицензионных
требований и условий, выданное лицензирующим органом
юридическому лицу или индивидуальному предпринимателю.
♦ Лицензиат - юридическое лицо или индивидуальный
предприниматель, имеющие лицензию на осуществление конкретного
вида деятельности.
ТЕРМИНЫ В ОБЛАСТИ СЕРТИФИКАЦИИ И
АТТЕСТАЦИИ
13
♦ Сертификация продукции (сертификация) - процедура
подтверждения соответствия, посредством которой независимая от
изготовителя (продавца, исполнителя) и потребителя (покупателя)
организация удостоверяет в письменной форме, что продукция
соответствует установленным требованиям .
♦ Сертификация средств защиты информации по требованиям
безопасности информации - деятельность по подтверждению их
соответствия требованиям государственных стандартов или иных
нормативных документов по защите информации, утвержденных
Федеральной службой по техническому и экспортному контролю
Российской Федерации (ФСТЭК России).
♦
Аттестация
объектов
информатизации
комплекс
организационно-технических мероприятий, в результате которых
посредством специального документа - «Аттестата соответствия»
подтверждается, что объект соответствует требованиям стандартов
или иных нормативно-технических документов по безопасности
информации, утвержденных ФСТЭК России.
Персональные данные - любая информация, относящаяся
к прямо или косвенно определенному или определяемому
физическому лицу (субъекту персональных данных);
Оператор - государственный орган, муниципальный
орган, юридическое или физическое лицо,
самостоятельно или совместно с другими лицами
организующие и (или) осуществляющие обработку
персональных данных, а также определяющие цели
обработки персональных данных, состав
персональных данных, подлежащих обработке,
действия (операции), совершаемые с персональными
данными;
3) обработка персональных данных - любое действие (операция) или
совокупность действий (операций), совершаемых с использованием средств
автоматизации или без использования таких средств с персональными
данными, включая сбор, запись, систематизацию, накопление, хранение,
уточнение (обновление, изменение), извлечение, использование, передачу
(распространение, предоставление, доступ), обезличивание, блокирование,
удаление, уничтожение персональных данных;
4) автоматизированная обработка персональных данных - обработка
персональных данных с помощью средств вычислительной техники;
5) распространение персональных данных - действия, направленные на
раскрытие персональных данных неопределенному кругу лиц;
6) предоставление персональных данных - действия, направленные на
раскрытие персональных данных определенному лицу или определенному
кругу лиц;
7) блокирование персональных данных - временное прекращение обработки
персональных данных (за исключением случаев, если обработка необходима
для уточнения персональных данных);
8) уничтожение персональных данных - действия, в результате которых
становится невозможным восстановить содержание персональных данных в
информационной системе персональных данных и (или) в результате
которых уничтожаются материальные носители персональных данных;
9) обезличивание персональных данных - действия, в результате которых
становится невозможным без использования дополнительной информации
определить принадлежность персональных данных конкретному субъекту
персональных данных;
10) информационная система персональных данных - совокупность
содержащихся в базах данных персональных данных и обеспечивающих их
обработку информационных технологий и технических средств;
11) трансграничная передача персональных данных - передача персональных
данных на территорию иностранного государства органу власти
иностранного государства, иностранному физическому лицу или
иностранному юридическому лицу.
Виды объектов информатизации.
Технические каналы утечки
информации.
Кандидат технических наук
МОКЛЯКОВ Виталий Александрович
ОБЩАЯ КЛАССИФИКАЦИЯ МЕТОДОВ ОБЕСПЕЧЕНИЯ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Правовые
Лицензирование
Сертификация
СЗИ
Аттестация
ОИ
Организационнотехнические
Разработка и внедрение
технических решений по
защите информации
Решения по
защите
информаци
и от утечки
по
техническим
каналам
Решения по
защите
информаци
и от НСД к
ней
Экономические
Разработка и применение
средств защиты
информации
Средства
защиты
информации
от утечки по
техническим
каналам
Средства
защиты
информаци
и от НСД
к ней
Виды объектов информатизации
Под объектами информатизации, аттестуемыми по
требованиям безопасности информации, понимаются
автоматизированные системы различного уровня и
назначения, системы связи, отображения и
размножения вместе с помещениями, в которых они
установлены, предназначенные для обработки и
передачи информации, подлежащей защите, а также
сами помещения, предназначенные для ведения
переговоров, содержащих информацию ограниченного
доступа.
Виды объектов информатизации
Автоматизированные
системы
Выделенные помещения
Системы связи, отображения и размножения документов
Термины и определения
АВТОМАТИЗИРОВАННАЯ СИСТЕМА - система, состоящая из персонала и
комплекса средств автоматизации
его деятельности, реализующая
информационную технологию
выполнения установленных
функций
ГОСТ 34.003-90. Информационная технология. Комплекс стандартов на автоматизированные
системы. Автоматизированные системы Термины и определения;
ГОСТ Р 51624-00. Защита информации. Автоматизированные системы в защищенном
исполнении. Общие требования;
СТР-К.
Термины и определения
Выделенные помещения (ВП) –
помещения (служебные кабинеты,
актовые, конференц-залы и т.д.),
специально предназначенные для
проведения закрытых мероприятий
(совещаний, обсуждений, конференций,
переговоров и т.п.) по секретным
вопросам, а также помещения,
оборудованные средствами
правительственной связи, иных видов
специальной связи.
Термины и определения
Защищаемые помещения (ЗП) –
помещения (служебные кабинеты,
актовые, конференц-залы и т.д.),
специально предназначенные для
проведения конфиденциальных
мероприятий (совещаний,
обсуждений, конференций,
переговоров и т.п.)
СТР-К
Под техническими средствами
приема, обработки, хранения и
передачи информации (ТСПИ)
понимают технические средства и
системы, непосредственно
обрабатывающие
конфиденциальную информацию.
Такие технические средства
называют также
основными техническими
средствами и системами (ОТСС).
К ТСПИ относятся:
• средства вычислительной техники, информационновычислительные комплексы, сети и системы;
• технические средства звукозаписи, звукоусиления и
звукосопровождения;
• системы и средства связи (оперативно-командной,
внутренней телефонной) и передачи данных;
• телевизионные системы;
• средства изготовления, тиражирования документов и
другие технические средства обработки графической,
смысловой и буквенно-цифровой информации.
Технические средства и системы,
непосредственно не участвующие в
обработке конфиденциальной
информации, но использующиеся
совместно с ТСПИ и которые могут
находиться в зоне
электромагнитного поля,
создаваемого ТСПИ, называются
вспомогательными техническими
средствами и системами (ВТСС).
К ВТСС относятся:
• различного рода телефонные средства и
системы;
• средства и системы передачи данных в
системе радиосвязи;
• средства и системы охранной и пожарной
сигнализации;
• средства и системы оповещения и
сигнализации;
• контрольно-измерительная аппаратура;
• средства и системы кондиционирования;
К ВТСС относятся:
• средства и системы проводной
радиотрансляционной сети и приема
программ радиовещания и телевидения
(абонентские громкоговорители, системы
радиовещания, телевизоры и
радиоприемники и т.д.);
• средства электронной оргтехники;
• средства и системы электрочасофикации;
• иные технические средства и системы.
Схема технического канала утечки информации
Сигнал
Источник
информации
Среда распространения
Объект разведки
Воздушная среда
Технические
средства
связи
Посторонние проводники
(токопроводящие
инженерные коммуникации,
выходящие за пределы
контролируемой зоны)
Средства
вычислительной
техники
Оргтехника и т.п.
Соединительные линии
связи и ВТСС, выходящие
за пределы контролируемой
зоны
Приемник
информации
Средство
разведки
ПЭМИН
Под акустической понимается
информация, носителем которой
являются акустические сигналы.
В том случае, если источником
информации является
человеческая речь, акустическая
информация называется речевой.
ТЕХНИЧЕСКИЕ КАНАЛЫ УТЕЧКИ
АКУСТИЧЕСКОЙ (РЕЧЕВОЙ) ИНФОРМАЦИИ
Воздушные (акустические)
Вибрационные
Акустоэлектрические
Оптико-электронные
Параметрические
ТЕХНИЧЕСКИЕ КАНАЛЫ УТЕЧКИ
ИНФОРМАЦИИ
Акустическое излучение
речевого сигнала;
ТЕХНИЧЕСКИЕ КАНАЛЫ УТЕЧКИ
ИНФОРМАЦИИ
Виброакустический
канал утечки:
- ограждающие,
строительные
конструкции (стены,
полы, потолки,
перекрытия);
- окна;
- системы
водо-,
теплоснабжения;
ТЕХНИЧЕСКИЕ КАНАЛЫ УТЕЧКИ
ИНФОРМАЦИИ
Акустоэлектрические
сигналы (микрофонный
эффект):
УСТРОЙСТВА ЗАЩИТЫ ТЕЛЕФОННЫХ
ПЕРЕГОВОРОВ
Атолл-3
Antifly
Гранит-VIII
SEC-2000 Ultra
SEC-2004 Antifly
Корунд-М
Грань-300
МП-1Ц
Вьюга-4
ТЕХНИЧЕСКИЕ КАНАЛЫ УТЕЧКИ
ИНФОРМАЦИИ
Перехват акустических сигналов
путем лазерного зондирования
оконных стекол
ТЕХНИЧЕСКИЕ КАНАЛЫ УТЕЧКИ
ИНФОРМАЦИИ
Паразитная генерация в
узлах (элементах)
технических средств
(телевизоры,
радиоприемники, факсы);
ТЕХНИЧЕСКИЕ КАНАЛЫ УТЕЧКИ
ИНФОРМАЦИИ
Акустический и Виброакустический канал;
Средства разведки
Лазер
Направленный микрофон
разведчика НМ-СН головной.
Технические средства контроля эффективности
принятых мер защиты информации по
акустическому и виброакустическому каналам
SMV-6.5
SMV-8.5
ВШВ-003
Unipan 237
Robotron 00 024
101А Октава
ПАК предназначенные для проведения
аттестации выделенных (защищаемых)
помещений
СПРУТ-5
VNK-012GL
ШОРОХ - ТЕСТ
ШЕПОТ
Гриф-АЭ-1001
СИСТЕМЫ, КОМПЛЕКСЫ И ПРИБОРЫ ЗАЩИТЫ
ИНФОРМАЦИИ ОТ УТЕЧКИ ПО АКУСТИЧЕСКИМ И
ВИБРОАКУСТИЧЕСКИМ КАНАЛАМ
ANG-2000
БАРОН DIGITAL
SI-3001
СОНАТА-АВ 1М
VAG-6/6
СКИТ-М-ВА
ГЕНЕРАТОРЫ АКУСТИЧЕСКИХ
(ВИБРОАКУСТИЧЕСКИХ) СИГНАЛОВ
Обертон
БАРОН-U
SEL SP-51/A
СОНАТА-АВ2
ВГШ-103
WNG-023
ШОРОХ-1
ВИБРАЦИОННЫЕ ПРЕОБРАЗОВАТЕЛИ
МОЛОТ
вибрационный
излучатель на
стену
FOX VA-07A
СЕРП
вибрационный
излучатель на
раму окна
КВП-6
КОПЕЙКА
вибрационный
излучатель на
стекло
КВП-2
ВИ-45
КВП-7
SEL SP-51/AV
АКУСТИЧЕСКИЕ ИЗЛУЧАТЕЛИ
SOUND PRESS
SI-3100
СОНАТА-АВ 1М
СОНАТА-АВ квадро
ТЕХНИЧЕСКИЕ КАНАЛЫ УТЕЧКИ
ИНФОРМАЦИИ
ОПАСНО ВИРУС
Воздействие на технические или
программные средства
информационных систем в целях
нарушения
конфиденциальности,
целостности и доступности
информации посредством
специально внедренных
программных средств;
ТЕХНИЧЕСКИЕ КАНАЛЫ УТЕЧКИ
ИНФОРМАЦИИ
Хищение технических
средств с хранящейся в них
информацией или носителей
информации;
Средства досмотра
Металлодетекторы
GARRETT Magnascanner
МИНИСКАН 7210
ВМ-611 и ВМ-611pro
COMET
SUPER WAND
SUPER SCANNER
Handheld Scaner
АКА 7202
MIT
ТЕХНИЧЕСКИЕ КАНАЛЫ УТЕЧКИ
ИНФОРМАЦИИ ОБРАБАТЫВАЕМОЙ ТСПИ
Электромагнитные
Электрические
Параметрический
ТЕХНИЧЕСКИЕ КАНАЛЫ УТЕЧКИ
ИНФОРМАЦИИ
линия связи
Побочные
электромагнитные
излучения информативных
сигналов от технических
средств и линий передачи
информации;
Электромагнитное
излучение
ТЕХНИЧЕСКИЕ КАНАЛЫ УТЕЧКИ
ИНФОРМАЦИИ
Наводки информативного
сигнала, обрабатываемого
техническими средствами,
на цепи электропитания и
линии связи, выходящие за
пределы контролируемой
зоны;
Средства контроля
Анализаторы спектра
Белан
Advantest R3361B
Agilent E7402A
AVСOM PSA-65C
Tektronix 2784
Hewlett Packard 8564E
GSP-810
SDU-5500
Marconi 2382
Anritsu MS2663A
Rohde & Schwarz FSP30
IFR 2398
Средства контроля
Измерительные антенны и интерфейсы
DIAMOND D-130
АИ4-1
АИР 3-2
LAA-1530
Интерфейсы
NR-900Z
RS-1000/A
Средства контроля
Программно-аппаратные комплексы контроля
эффективности принятых мер защиты информации
(ПЭМИН)
Легенда
Сигурд
Зарница
Различные виды комплектации ПАК Навигатор
Генераторы электромагнитных сигналов
SEL SP-21B1 Баррикада
ГШ-К-1000
Скит-М-П
Гном-3М
ЛГШ-501
Гром-ЗИ-4
Бриз
ПОМЕХОПОДАВЛЯЮЩИЕ ФИЛЬТРЫ ФСП,
ФСПК, ЛФС, ФАЗА, ИМПУЛЬС
Фильтры серии ФСП
ФСПК
Импульс
Фаза
ЛФС
АКТИВНЫЕ УСТРОЙСТВА ЗАЩИТЫ
ИНФОРМАЦИИ ОТ УТЕЧКИ ПО ЦЕПЯМ
ПИТАНИЯ И СИСТЕМАМ ЗАЗЕМЛЕНИЯ
SEL SP-41/C
SEL SP-41/D
БАРЬЕР-4
SI-8001
СКИТ-М-С
СОПЕРНИК
ИМПУЛЬС
МП-3
ЦИКАДА-М1
СОНАТА-С1
ТЕХНИЧЕСКИЕ КАНАЛЫ УТЕЧКИ
ИНФОРМАЦИИ
Специально внедренные
электронные устройства
перехвата информации;
ТЕХНИЧЕСКИЕ КАНАЛЫ УТЕЧКИ
ИНФОРМАЦИИ
Линия связи
Радиоизлучения или
электрические сигналы от
электронных устройств
перехвата информации,
подключенных к каналам
связи или техническим
средствам обработки
информации;
ТЕХНИЧЕСКИЕ КАНАЛЫ УТЕЧКИ
ИНФОРМАЦИИ
Специально внедренные электронные
устройства перехвата информации;
Средства разведки
МИКРОПЕРЕДАТЧИКИ НА
ТЕЛЕФОННУЮ ЛИНИЮ
РАДИОМИКРОФОН НА ОБЫЧНЫЙ
FM ПРИЕМНИК
Радиопередатчики
Микрорадиомикрофоны
Размер с фильтр сигареты
РАДИОМИКРОФОН ТАБЛЕТКА С АРУ
Специально внедренные электронные
устройства перехвата информации
Средства поиска
Нелинейные локаторы
NR-900ЕМ
ЛЮКС
NJE - 4000 ORION
ОБЬ-3
ОНЕГА-23
NR-µ
РОДНИК-23М
SEL SP-61 Катран
МАСТЕР
Средства поиска
Средства обнаружения устройств несанкционированного
снятия информации с проводных и кабельных линий
LBD-50
SEL SP-18T БАГЕР 01
SEL SP - 17/D
АВРОРА
ПСЧ-6
АТ-2
ТПУ-7
ВЕКТОР
PPL-2
ОБЛАКО-М
Средства поиска
Обнаружители диктофонов
ST-041
RM - 200
PTRD-018
TRD-800
ST-0110
PTRD-014
RM - 100
Средства защиты
Постановщики помех закладным устройствам
передающим снятую информацию по
радиоканалу
SEL SP-21B2 СПЕКТР
Вето
УАЗИ-1
Равнина-5И
Пелена-6У
ПРП-М
Гром-ЗИ-4
Средства защиты
Изделия уничтожения устройств
несанкционированного снятия информации
путем их электрического уничтожения
(выжигания)
ГИ-1500
Кобра
BUGROASTER
Средства защиты
ПОДАВИТЕЛИ ДИКТОФОНОВ
Буран-3М
Рамзес-Дубль
Шторм
Шумотрон-2
Шумотрон
Шумотрон-5
Мангуст
ТЕХНИЧЕСКИЕ КАНАЛЫ УТЕЧКИ
ИНФОРМАЦИИ
Прослушивание телефонных
и радиопереговоров;
Линия связи
УСТРОЙСТВА ЗАЩИТЫ ТЕЛЕФОННЫХ
ПЕРЕГОВОРОВ
SEL SP-17/T
SI-2001
SI-2001
Акцент
Барьер-3
КТЛ-400
Соната-03М
УСТРОЙСТВО БЛОКИРОВАНИЯ РАБОТЫ СИСТЕМ
МОБИЛЬНОЙ СВЯЗИ
DLW 4003
DLW 4012
Скат
Москит GSM 3
Мозаика
DLW 2000
Сапфир
Гамма
C-CUARD-300YK
ТЕХНИЧЕСКИЕ КАНАЛЫ УТЕЧКИ
ИНФОРМАЦИИ ПЕРЕДАВАЕМОЙ ПО КАНАЛАМ
СВЯЗИ
Электрические
Электромагнитные
Индукционные
ТЕХНИЧЕСКИЕ КАНАЛЫ УТЕЧКИ
ИНФОРМАЦИИ
Съем информации с её
носителей с помощью
средств визуальнооптической и оптикоэлектронной разведки;
ТЕХНИЧЕСКИЕ КАНАЛЫ УТЕЧКИ
ИНФОРМАЦИИ
Несанкционированный доступ к
информации, обрабатываемой в
автоматизированной системе и
несанкционированные действия
с ней;
Средства защиты информации
ОСНОВНЫЕ НАПРАВЛЕНИЯ ЗАЩИТЫ
ИНФОРМАЦИИ
Обеспечение
защиты
информации
от
хищения,
утраты,
утечки,
уничтожения,
искажения, подделки и блокирования доступа к ней
за счет НСД и специальных воздействий
Обеспечение защиты информации от утечки
по техническим каналам при ее обработке,
хранении и передаче по каналам связи
РЕКВИЗИТЫ УПРАВЛЕНИЯ ФСТЭК РОССИИ ПО ПРИВОЛЖСКОМУ
ФЕДЕРАЛЬНОМУ ОКРУГУ
Для закрытой переписки:
Управление ФСТЭК России по Приволжскому
федеральному округу,
г. Нижний Новгород, проспект Гагарина, д. 60, к. 11;
Для открытой переписки:
Управление ФСТЭК России по Приволжскому
федеральному округу,
603104, г. Нижний Новгород, проспект Гагарина, д. 60,
корп. 11.
ФАКС: 439-68-74, 439-68-79
ТЕЛЕФОН: 439-68-75
439-68-76
Тема лекции
«Классификация
типовых
объектов
информатизации и особенности ТЗИ в
условиях возможных угроз безопасности
информации»
Цель лекции: ознакомить слушателей с
основными понятиями, связанными с
объектами
информатизации,
угрозами
безопасности
информации,
способами
средствами и системами защиты от них, и
раскрыть особенности обеспечения ТЗИ на
объектах информатизации, принципами и
путями построения систем защиты
Место технической защиты информации в системе
мероприятий по защите информации
Защита информации (деятельность, направленная на предотвращение
утечки
защищаемой
информации,
несанкционированных
и
непреднамеренных воздействий на защищаемую информацию )
Правовая защита информации (Защита информации правовыми
методами, включающими разработку нормативных правовых актов,
регулирующих отношения субъектов по защите информации,
применение этих актов, а также надзор и контроль их исполнения )
Техническая защита информации
Криптографическая защита информации (Защита информации при
помощи криптографического преобразования)
Защита информации от разглашения (Деятельность, направленная
на предотвращение несанкционированного доведения защищаемой
информации до субъектов, не имеющих права на ознакомление с
ней)
Некоторые термины и определения
Техническая
защита
информации:
Защита
информации
некриптографическими
методами,
включающими
проведение
организационных и технических мероприятий по предотвращению
утечки
защищаемой
информации,
несанкционированных
и
непреднамеренных воздействий на нее (Унифицированный глоссарий
союзного государства в области информационной безопасности)
Средство вычислительной техники: совокупность программных и
технических элементов систем обработки данных, способных
функционировать самостоятельно или в составе других систем
(Средства вычислительной техники. Защита от несанкционированного
доступа
к
информации.
Показатели
защищенности
от
несанкционированного доступа к информации: Руководящий документ
// Сборник руководящих документов по защите информации от
несанкционированного доступа. М.: Гостехкомиссия России, 1998. )
Автоматизированная система - система, состоящая из персонала и
комплекса средств автоматизации его деятельности, реализующая
информационную технологию выполнения установленных функций
(ГОСТ Р 51624-00. Защита информации. Автоматизированные системы
в защищенном исполнении. Общие требования)
Некоторые понятия в области защиты
информации
информация - сведения (сообщения, данные) независимо от формы их
представления;
документированная информация - зафиксированная на материальном
носителе
путем
документирования
информация
с
реквизитами,
позволяющими определить такую информацию или в установленных
законодательством Российской Федерации случаях ее материальный носитель
обладатель информации - лицо, самостоятельно создавшее информацию
либо получившее на основании закона или договора право разрешать или
ограничивать доступ к информации, определяемой по каким-либо признакам;
доступ к информации - возможность получения информации и ее
использования;
конфиденциальность информации - обязательное для выполнения лицом,
получившим доступ к определенной информации, требование не передавать
такую информацию третьим лицам без согласия ее обладателя;
предоставление информации - действия, направленные на получение
информации определенным кругом лиц или передачу информации
определенному кругу лиц;
распространение информации - действия, направленные на получение
информации неопределенным кругом лиц или передачу информации
неопределенному кругу лиц
ФЕДЕРАЛЬНЫЙ ЗАКОН от 27 июля 2006 г. № 149-ФЗ "ОБ ИНФОРМАЦИИ,
ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЯХ И О ЗАЩИТЕ ИНФОРМАЦИИ"
Понятия объекта информатизации
Объект информатизации - совокупность информационных
ресурсов, средств и систем обработки информации,
используемых в соответствии с заданной информационной
технологией, средств обеспечения объектов информатизации,
помещений или объектов (зданий, сооружений, технических
средств), в которых они установлены, или помещения или
объекты, предназначенные для ведения конфиденциальных
переговоров
(ГОСТ
Р 51275 ИНФОРМАЦИЮ)
2006,
ФАКТОРЫ,
ВОЗДЕЙСТВУЮЩИЕ
НА
Информационная технология – процессы, методы поиска,
сбора, хранения, обработки, предоставления, распространения
информации и способы осуществления таких процессов и
методов
(Федеральный
закон
"Об
информации,
информационных технологиях и защите информации", ФЗ от
27.07.2007г. №. 149)
Информационная система - совокупность содержащейся в
базах данных информации и обеспечивающих ее обработку
информационных технологий и технических средств;
ФЕДЕРАЛЬНЫЙ ЗАКОН от 27 июля 2006 г. № 149-ФЗ "ОБ ИНФОРМАЦИИ,
ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЯХ И О ЗАЩИТЕ ИНФОРМАЦИИ"
Элементы объекта информатизации
Информационные ресурсы - Отдельные документы и отдельные массивы
документов, документы и массивы документов в информационных системах:
библиотеках, архивах, фондах, банках данных, других видах информационных
систем [ Федеральный закон "Об участии в международном информационном
обмене", №85-ФЗ от 4.07.96г., упразднен ]
Основные технические средства и системы (ОТСС) - технические средства и
системы, а также их коммуникации, используемые для обработки, хранения и
передачи защищаемой информации
Вспомогательные технические средства и системы (ВТСС) - технические
средства и системы, не предназначенные для передачи, обработки и хранения
защищаемой информации, устанавливаемые совместно с ОТСС или в
выделенных помещениях
Программные средства - операционные системы, системы управления базами
данных, другое общесистемное и прикладное программное обеспечение в
составе технических средств.
Средства обеспечения объекта информатизации - технические средства и
системы, их коммуникации, не предназначенные для обработки информации,
но устанавливаемые вместе со средствами обработки информации на объекте
информатизации (ГОСТ 51 275. ФАКТОРЫ, ВОЗДЕЙСТВУЮЩИЕ НА
ИНФОРМАЦИЮ).
Помещения или объекты, в которых расположены средства и системы
обработки информации, средства обеспечения объекта информатизации, а
также информационные ресурсы.
Выделенные помещения (ВП) - помещения (служебные кабинеты, актовые,
конференцзалы и т.д.), специально предназначенные для проведения закрытых
мероприятий (совещаний, обсуждений, конференций, переговоров и т.п.) по
секретным вопросам, а также помещения, оборудованные средствами
правительственной связи, иных видов специальной связи.
Понятия классификации и типизации
Классификация
Определение перечня
категорий для классификации
объектов
Определение системы
признаков для разделения
объектов по категориям
Разделение объектов по
категориям на основе
выбранной системы
признаков
Типизация
Определение системы признаков
для разделения объектов по
группам эквивалентности
Разделение множества объектов по
группам эквивалентности в
соответствии с выбранной
системой признаков
Выделение из каждой группы
эквивалентности типового
представителя и формирование
множества типовых объектов
Признаки классификации объектов информатизации
принадлежность;
направленность и содержание информационных ресурсов;
назначение;
мобильность;
расположение;
тип используемого носителя информации;
характеристики используемой автоматизированной системы:
а) структура системы;
б) расположение системы;
в) топология системы;
г) открытость системы;
д) тип используемых ЭВМ;
д) организация управления ресурсами;
е) тип физической среды в каналах связи;
ж) используемая технология передачи данных;
з) используемая операционная система
Классификация объектов информатизации
Назначение
Административное
здание
Объекты
обеспечения связи
Объекты
обеспечения
навигации и
управления
транспортом
Военные объекты
Военнопромышленные
объекты
Принадлежность
Государственный
Расположение
Топология
Частный
Локальный
Акционерное
общество
Распределенный
Совместное
предприятие
Среда
пребывания
Наземный
Наземновоздушный
Наземно-морской
Наземнокосмический
Воздушнокосмический
Воздушный
Морской
Космический
Мобильность
Стационарный
Подвижный
Классификация объектов информатизации
Система доступа
Не охраняемый
Охраняемый ВОХР с
пропускной системой
Охраняемый ВОХР с
пропускной системой и
автоматизированной
системой наблюдения
Охраняемый ВОХР с
биометрической системой
контроля доступа
Носитель
информации
ОИ, на котором носитель
информации является только
человек
ОИ, использующие бумажные
носители информации
ОИ, использующие в визуальную
демонстрационную аппаратуру,
контрольно-визуальные
устройства технических средств
и систем
ОИ, использующие магнитные
носители информации
ОИ, использующие оптические
носители информации (CD, DVD)
ОИ, использующие совокупность
носителей
Классификация объектов информатизации
Характеристики используемой автоматизированной информационной системы
Структура системы
Топология системы
Отдельная АРМ
Объект с ЛВС
Объект с РВС
Организация управления
Объект с одноранговой АС
Объект с однодоменной АС
Открытость системы
Объект с АС, построенной
по топологии "Шина"
Объект с АС, построенной
по топологии "Звезда"
Объект с АС, построенной
по топологии "Кольцо"
С выходом в
сеть общего
пользования
Без выхода в
сеть общего
пользования
Объект с АС, построенной
по топологии "Дерево"
Объект с многодоменной АС
Используемая операционная система
Базовая технология передачи данных
Состав ЭВМ
С однородным
составом ЭВМ
С разнородным
составом ЭВМ
Компьютерные средства и системы
Средства
вычислительной техники
Автоматизированные
системы
по составу и расположению
Отдельные автоматизированные рабочие места (АРМ )
АРМ с подключением к сетям общего пользования
Локальные компьютерные сети
(локальные вычислительные
сети - ЛВС) кампусного типа без подключения к сетям общего
пользования
ЛВС кампусного типа с подключением к сетям общего пользования
ЛВС в нескольких зданиях с многоточечным подключением к сетям
общего пользования
Корпоративные компьютерные сети без подключения к внешним сетям
и без разделения на домены
Корпоративные компьютерные сети с подключением к корпоративной
информационно-телекоммуникационной сети связи и передачи данных
с однодоменной или много доменной структурой
Корпоративные компьютерные сети без подключения к сетям общего
пользования с многодоменной структурой
Корпоративные компьютерные сети с подключением к сетям общего
пользования с многодоменной структурой
по содержанию
основных функций
Информационно-управляющие
системы
Информационно-измерительные
системы
Расчетно-аналитические
информационные системы
Информационно-справочные
системы
Информационнотелекоммуникационные системы
связи и передачи данных
Компьютерные системы (продолжение)
По назначению
Системы
поддержки
принятия решений
Системы
автоматизированного
проектирования
Системы
автоматизации
делопроизводства, в том
числе
электронного
документооборота
Геоинформационные
системы
Исследовательские
системы
Сигнализационные
системы
Автоматизированные
системы
управления
связью
Автоматизированные системы
управления
промышленным
производством
Автоматизированные системы
управления воздушным
транспортом
Автоматизированные
управления
транспортом
системы
морским
Автоматизированные системы
управления технологическими
процессами в нефтегазовом
комплексе страны
Автоматизированные системы
обеспечения
деятельности
средств массовой информации
Автоматизированные системы
управления электроснабжением
Электронные базы и
хранилища данных
Автоматизированная система
"ГАС-выборы"
Автоматизированная система
"Единого
государственного
экзамена"
Автоматизированные системы
обеспечения
жизнедеятельности населения
Информационные
системы
банковской
и
кредитнофинансовой сферы
Автоматизированные системы
в правоохранительной сфере
Автоматизированные
информационные
системы
персональных данных
Информационные системы персональных данных
По принадлежности
ИСПДн государственных
органов
ИСПДн муниципальных
органов
ИСПДн других
юридических лиц
ИСПДн физических лиц
(за исключением случаев,
когда последние
используют указанные
системы исключительно
для личных и семейных
нужд)
По важности
ИСПДн 1 класса, для которых нарушение
безопасности ПДн может привести к
значительным негативным последствиям для
субъектов персональных данных
ИСПДн 2 класса, для которых нарушение
безопасности ПДн может привести к
негативным последствиям для субъектов
персональных данных
ИСПДн 3 класса, для которых нарушение
безопасности ПДн может привести к
незначительным негативным последствиям
для субъектов персональных данных
ИСПДн 4 класса, для которых нарушение
безопасности ПДн не приводит к негативным
последствиям для субъектов персональных
данных
Классификация ИСПДн проводится оператором в соответствии с Порядком проведения классификации
информационных систем персональных данных, утвержденным приказом ФСТЭК России, ФСБ России и
Мининформсвязи России от 13 февраля 2008 г. № 55/86/ХХ
Ключевые системы информационной инфраструктуры
Признаки
Управление экологически опасным или социально значимым
производством или процессом, нарушение штатного режима
которого может привести к чрезвычайной ситуации
определенного уровня и масштаба или к иным значительным
негативным для страны последствиям
Принадлежность к критически важным сегментам информационной
инфраструктуры страны, перечень которых определен
Правительством РФ
Размеры возможных ущербов от реализации деструктивных
информационных воздействий
Чрезвычайные ситуации трансграничного, федерального,
регионального, территориального, местного или объектового
уровня
Нарушение систем обеспечения
Гибель
и травмы
людей
Экологические
катастрофы
жизнедеятельности
городов и населенных пунктов
Нарушение социальной
стабильности
Нанесение крупного финансового
(экономического) ущерба
Нанесение крупного
политического ущерба
Нарушение системы
государственного управления
Крупномасштабное уничтожение
национальных ресурсов
Сегменты
информационной
инфраструктуры,
включающие
Системы органов
государственной
власти
Системы органов
управления
правоохранительных
структур
Системы
финансово-кредитной
и банковской сферы
Системы управления
добычей и
транспортировкой
нефти, нефтепродуктов
и газа
Системы управления
энергоснабжением
Системы управления
водоснабжением
Типовые объекты информатизации
1) автоматизированное рабочее место (АРМ) на базе
ПЭВМ без подключения к какой-либо сети;
2) автоматизированное рабочее место (АРМ) с
подключением к локальной или корпоративной сети;
3) автоматизированное рабочее место (АРМ) с
подключением к глобальной сети общего пользования;
4) выделенное помещение без ОТСС;
5) помещение с основными и вспомогательными
средствами и системами, а также средствами
обеспечения без развернутой сети ЭВМ;
6) помещение с основными и вспомогательными
средствами и системами, средствами обеспечения, в
том числе с локальной сетью ЭВМ без подключения к
глобальным сетям общего пользования;
7) помещение со вспомогательными средствами и
системами, средствами обеспечения, в том числе с
локальной сетью ЭВМ с подключением к глобальным
сетям общего пользования.
Принципы организации ТЗИ
Принцип системности предполагает необходимость учета всех взаимосвязанных,
взаимодействующих и изменяющихся во времени элементов, условий и факторов,
существенно значимых для понимания и решения проблемы обеспечения безопасности
ИТКС
Принцип комплексности предполагает согласованное применение разнородных
средств при построении целостной системы защиты
Принцип непрерывности предполагает, что
защита информации - это
непрерывный целенаправленный процесс, предполагающий принятие соответствующих
мер в ходе всего рассматриваемого периода защиты информации
Разумная достаточность предполагает то, что важно правильно выбрать тот
достаточный уровень зашиты, при котором затраты, риск и размер возможного ущерба
были бы приемлемыми
Принцип гибкости системы защиты направлен на обеспечение возможности
варьирования уровнем защищенности
Принцип открытости алгоритмов и механизмов защиты предполагает,
что защита не должна обеспечиваться только за счет секретности структурной
организации и алгоритмов функционирования ее подсистем. При этом знание
алгоритмов работы системы защиты не должно давать возможности ее преодоления
Общий алгоритм организации ТЗИ на объекте
информатизации
Оценка
обстановки
Проведение
НИОКР по
разработке
ТЗИ
Обоснование
требований
по защите
информации
Планирование
ТЗИ
Привлечение подразделений
организации,
специализированных сторонних
организаций к разработке и
развертыванию системы ТЗИ
Формулирование
задач ТЗИ
Решение вопросов
управления и
обеспечения ТЗИ
Разработка
документации
по вопросам
организации
ТЗИ
Разработка
замысла или
концепции
ТЗИ
Выбор способов
(мер и средств)
ТЗИ
Развертывание и
ввод в опытную
эксплуатацию
системы ТЗИ
Порядок организации ТЗИ на этапе оценки
обстановки
Инвентаризация информационных и технических ресурсов
Оценка обстановки
Анализ информационных
ресурсов
Категорирование информации по видам тайн и уровням
конфиденциальности
Оценка времени устаревания информации
Определение условий допуска должностных лиц к
информационным ресурсам и фактической их реализации
Оценка возможности физического доступа в помещения и к СВТ
Выявление возможных технических каналов утечки информации
Анализ уязвимых
звеньев и возможных
угроз безопасности
информации
Оценка возможности несанкционированного доступа к
информации (непосредственного и удаленного)
Анализ возможностей программно-математического воздействия
Анализ возможностей непреднамеренного электромагнитного
воздействия на информационные ресурсы
Анализ возможности реализации угроз техногенного характера
Анализ имеющихся в
распоряжении мер и
средств защиты
информации
Анализ рисков от реализации угроз
По направлениям защиты: от физического доступа, от утечки по
ТКУИ, от НСД,, от ПМВ, от ЭМИ, от техногенных угроз и др.
Объекты защиты на объекте информатизации
Информация
Пользовательская
информация
Данные
Прикладные
программы
пользователя
Прикладные
программы
общего
применения
(СУБД,
редакторы и
др.)
Носитель информации
Технологическая
информация
Операционные
системы
Драйверы для
управления
аппаратными
компонентами
Специальные
программы
(например,
графические
ускорители)
Средства хранения
Средства обработки
Физическая среда
распространения
Проводные
средства
Физическое
поле
Понятие инвентаризации и категорирования
Инвентаризация информационных ресурсов - это
процедура анализа хранимой и обрабатываемой
на объекте информатизации информации в
интересах
отнесения
ее
к
защищаемой,
разделения
защищаемой
информации
на
именованные блоки с обеспечением возможности
нахождения любого блока по его имени при
решении задач защиты, а также определение
носителей защищаемой информации.
Категорирование защищаемой информации - это
присвоение именованному блоку информации
соответствующей
категории
из
заранее
определенного списка категорий
Основные задачи инвентаризации
- выделение блоков информации в соответствии с заданной
тематикой и перечнем защищаемых сведений, а также блоков
пользовательской информации (данных, программ),
представляющих ценность для пользователей;
- оценка важности (определение уровня важности, ценности,
категории важности) каждого блока информации с позиции
обеспечения его конфиденциальности, целостности и
доступности;
- выделение файлов технологической информации, на которую
имеет возможность воздействовать пользователь или
нарушитель и уничтожение или модификация которой может
привести к сбою в работе компьютерной сети или ее
элементов, оценка важности технологической информации;
- выбор в соответствии с установленными правилами
(критериями) блоков защищаемой информации (среди всех
блоков информации выделение тех, которые подлежат защите);
- формирование сводных данных об атрибутах блоков
защищаемой информации (в том числе местоположения блока
в файловой системе компьютерной сети, метки соответствия
пользовательской или технологической информации,
установленного грифа конфиденциальности и т.д.).
Алгоритм инвентаризации и категорирования информационных
ресурсов
Определение
перечня
носителей информации
Определение
видов
тайн,
которые могут быть раскрыты на
основе перехвата (выявления
содержания)
информации
на
объекте информатизации
Предварительное
определение
угроз безопасности информации
и возможности их реализации
относительно
блоков
пользовательской информации
Определение
обладателя
(собственника информационных
ресурсов или их владельца)
Определение
порядка
использования информационных
ресурсов
Разделение информации на блоки с
именованием каждого блока
Отнесение каждого блока к пользовательским
данным,
прикладным
программам
или
технологической информации
Определение
блоков
пользовательской
информации, которые относятся к тому или
иному виду тайны
Определение
блоков
пользовательской
информации, относящейся к защищаемой
Определение
размещения
блоков
защищаемой
конфиденциальной
пользовательской
информации
в
выделенных областях памяти
Алгоритм инвентаризации и категорирования
информационных ресурсов (продолжение)
Выделение блоков технологической и
пользовательской
информации,
целостность или доступность которой
должна быть защищена
Выявление изменений в содержании и
структуре защищаемой информации
по
сравнению
с
последней
инвентаризацией
Определение служебных помещений, в
которых может быть разглашена
конфиденциальная информация в ходе
разговоров или с применением средств
связи
Выявление средств связи, по которым
может передаваться
конфиденциальная информация
Учет блоков пользовательской и
технологической
защищаемой
информации в электронном журнале
учета
Составление ведомости
информационных ресурсов
на объекте информатизации
Категорирование
информационных
ресурсов
Составление докладной записки о
результатах инвентаризации и
категорирования
Понятие угрозы безопасности информации
Под угрозой безопасности информации понимается
совокупность условий и факторов, которые в случае их
реализации могут привести к утечке или утрате
информации (ГОСТ Р 51275, Защита информации, Объекты
информатизации. факторы, воздействующие на информацию)
Описание угрозы
наименование угрозы , источник угрозы , используемое
U
уязвимое звено , способ реализации угрозы , деструктивные
действия, выполняемые при реализации угрозы , время
существования угрозы , время, необходимое на реализацию
угрозы
Источник угрозы безопасности информации - это субъект, деятельность
или функционирование которого может привести к нарушению
безопасности информации на объекте информатизации
.
Источники угроз безопасности информации
•Конкуренты, конкурирующие организации
•Специальные службы государств и их представители
•Криминальные структуры
•Недобросовестные партнеры
•Персонал учреждения, организации
•Бывшие сотрудники учреждения, организации
•Внешние субъекты, физические лица, не имеющие прямого
отношения к организации, учреждению
•Разработчики и производители технических средств и
программного обеспечения
•Клиенты организации
•Представители обслуживающих организаций, предприятий
•Закладные устройства и вредоносные программы
Состав возможных уязвимых звеньев
Уязвимость - любая характеристика или свойство системы, использование
которой нарушителем может привести к реализации угрозы
Уязвимые звенья аппаратного обеспечения (в том числе отчуждаемые носители
информации (ГМД, ЖМД, компакт-диски, магнитные ленты, магнитные карты,
распечатки и т.д.), средства ввода информации (клавиатура, компакт-диск привод,
НГМД, стример, порты ввода-вывода и т.д.), средства вывода информации
(принтер, плоттер, графопостроитель, привод компакт-диска, НГМД, стример,
порты ввода-вывода и т.д.), средства отображения информации (монитор,
проектор и т.д.), средства обработки информации (ПЗУ, ОЗУ, ЦП, материнская
плата, контроллеры внешних устройств и т.д.), средства коммутации и передачи
информации (сетевая плата, модем, маршрутизатор, концентратор, кабель,
радиоканал,
оптический
канал
и
т.д.),
система
электропитания,
несертифицированные или некачественные ОТСС и ВТСС)
Уязвимые звенья программного обеспечения, доступные файлы со служебной
информацией (*.pwl, *.sam, системный журнал, учётных записей пользователей и
т.д.), открытые общие сетевые ресурсы, доступный системный реестр,
несертифицированная ОС), сетевые протоколы и службы, прикладное ПО,
незащищенная
информация
пользователя,
несертифицированные
или
некачественные программные продукты)
Уязвимые звенья в организации защиты (наличие процедуры обхода
администратором сети установленных правил и режимов безопасности, наличие
процедур обхода (невыполнения) пользователями сети установленных правил и
режимов безопасности, нерегламентированные правила и режимы эксплуатации
ОТСС, ВТСС и ПО, некатегорированные (неаттестованные) помещения, ОТСС и
ВТСС в составе ОИ, неконтролируемый вход на территорию или в помещение)
Совокупность элементов, составляющих технические каналы утечки информации
(ТКУИ)
Уязвимости, используемые в атаках
Уязвимости
Уязвимости
архитектуры клиентсервер
Уязвимости системных утилит,
команд и сетевых сервисов
Уязвимости,
обусловленные
ошибками в
конфигурации системы
Уязвимости серверов
(файловых, баз данных,
обработки транзакций,
печати, обмена
данными, человекомашинного
взаимодействия,
сетевого взаимодействия
и др.)
Уязвимости рабочих
станций
Уязвимости каналов
связи
Уязвимости протоколов
Уязвимости, связанные с
командами удаленного
выполнения протоколов
Уязвимости утилит
Уязвимости
прикладных
программ
Уязвимости
проектирования
Уязвимости,
заложенные в
проекте
информационной
системы
Уязвимости,
связанные с
алгоритмом,
кодом программы
Уязвимости,
обусловленные
ошибками в
программном
обеспечении
Классификация угроз безопасности информации
По фактору возникновения
По виду нарушения
Угрозы
конфиденциальн
ости
Природные
Техногенные
Антропогенные
По объекту
воздействия
Информации
в базах
данных
По форме
проявления
Программным
компонентам
Угрозы
целостности
Аппаратным
элементам
Угрозы
доступности
По способу
реализации
Модификации
Блокирования
Хищения
Уничтожения
Разглашения
Персоналу
С использованием технических
средств перехвата информации
По физической среде
С использованием
акустических волн
По воздушному
каналу
По вибрационному
каналу
С использованием
Э/М волн
По радиоканалу
(Э/М каналу)
По оптическому
каналу
По электрическому
каналу
Угрозы воздействия по
физическим полям
Угрозы НСД
По физической среде
Смешанная
Химическое
воздействие
По электроакустическому каналу
По оптико -электронному каналу
По параметрическому каналу
Другая
Радиационное
воздействие
Классификация угроз безопасности информации
(продолжение)
Угрозы утечки при применении технических средств перехвата
информации
По источнику
Угрозы утечки
информации по ПЭМИ
ТСПИ и наводкам
по
электромагнитному
каналу
по электрическому
каналу
по параметрическому
каналу
информации
Угрозы утечки
речевой
информации
Угрозы утечки
информации по
телефонным линиям связи
по воздушному
(акустическому)
каналу
по вибрационному
каналу
по электроакустическому
каналу
по оптикоэлектронному каналу
по
параметрическому
каналу
угрозы прямого
подключения
угрозы
установки
закладок
Классификация угроз безопасности информации
(продолжение)
Угрозы НСД
По используемым средствам доступа
С использованием программного
обеспечения
По используемой ошибке
Угрозы
удаленного
доступа
Угрозы
непосредственного
доступа
С использованием
средств
операционной среды
С использованием
специальных
программ, в том
числе вредоносных
Угрозы, обусловленные
неадекватностью
принятых мер и правил
обеспечения безопасности
Угрозы, обусловленные
ошибками в программном
обеспечении
Угрозы, обусловленные
ошибками пользователя
Угрозы обусловленные
ошибками технического
обслуживания
Без использования программного
обеспечения
По приему воздействия
Кража носителя, элементов
оборудования
Физическое разрушение
носителей, элементов
оборудования
Классификация угроз безопасности информации
(продолжение)
Угрозы удаленного
доступа (сетевых атак)
По способу реализации деструктивной функции
Угрозы программноматематического
воздействия
Угрозы внедрения
программных
закладок
Угрозы внедрения
вирусов и червей
С прямым использованием
программных средств
операционной системы
С использованием
программных средств
прикладных программ
С запуском функций
копирования
записи
уничтожения
форматирования
блокирования
модификации
перезагрузки системы
Классификация угроз безопасности информации (продолжение)
Анализ сетевого
трафика
С
обр
.
св.
Внутр
исегм
ентны
е
По
соб
.
Без
усл
.
Без
Обр.
св.
Межсег
ментн
ые
Прикладн.
По
запро
су
Акт
Представ.
Пас
Уровень модели
взаимодействия
открытых систем
Сеансов.
Расположени
е субъекта
относительно
объекта
Транспор.
Наличие
обратной
связи
Сетевой
Условие начала
атаки
Канальн.
Характер
атаки
Физич.
Наименование
атаки
+ - - + -
- + - + +
+ - + + +
+
- + - - - - - - + + - - -
Внедрение в сеть
ложного объекта
путем навязывания
ложного маршрута
-
+ -
- + + + +
+
- - + - - - -
То же за счет
недостатков
алгоритмов
удаленного поиска
-
+ +
- + + -
+
+
- + + + - - -
Отказ в
обслуживании
-
+ -
- + - + +
+
- + + + +++
Подмена
доверенного
объекта
Порядок организации ТЗИ на этапе определения задач
защиты
Формулирование целей и
задач защиты
Формулирование цели
Целевые установки
Предотвращение материального (экономического,
финансового) ущерба, трудозатрат
Обеспечение устойчивого функционирования объекта
информатизации, его элементов, программного
обеспечения
Исключение или снижение возможности возникновения,
реализации угроз и др.
Детализация цели
Формулирование
задач защиты
Определение
состава объектов
защиты
Определение
времени защиты
Определение требуемой
эффективности решения задачи
По направлениям защиты
По защищаемым информационным
ресурсам
По угрозам и т.д.
По уязвимым звеньям
По категории информации
По принадлежности
На установленный период
На период проведения
мероприятий
На период существования угрозы
и т.д.
Понятия цели и задачи защиты информации
ЦЕЛЬ – предмет стремления, то, что надо, желательно осуществить. С.И.
Ожегов. Толковый словарь.
ЦЕЛЬ ЗАЩИТЫ ИНФОРМАЦИИ – желаемый ожидаемый результат защиты
ЗАДАЧА ЗАЩИТЫ ИНФОРМАЦИИ - ожидаемый результат проведения
мероприятий по устранению, ослаблению, искажению и созданию
ложных технических и демаскирующих признаков объекта защиты.
ОСТ. (Некорректное определение, соответствует понятию «цель защиты»).
ЗАДАЧА ЗАЩИТЫ ИНФОРМАЦИИ – связанная по смыслу
совокупность, по крайней мере, четырех характеристик: <цели
защиты>, <наименования объекта защиты>, <времени
защиты> и <требуемой эффективности защиты>
ЭФФЕКТИВНОСТЬ ЗАЩИТЫ – это степень достижения ожидаемого
результата защиты
Понятие программного (программно-математического) воздействия
Программное (программно-математическое) воздействие –
несанкционированное воздействие на ресурсы автоматизированной
информационной системы, осуществляемое с использованием
вредоносных программ
Программа с потенциально опасными последствиями или
вредоносная программа – это некоторая самостоятельная
программа (набор инструкций), которая способна выполнять
любое непустое подмножество следующих функций:
скрывать признаки своего присутствия в программной среде
ПЭВМ;
обладать способностью к самодублированию,
ассоциированию себя с другими программами и/или переносу
своих фрагментов в иные области оперативной или внешней
памяти;
разрушать (искажать произвольным образом) код программ в
оперативной памяти;
сохранять фрагменты информации из оперативной памяти в
некоторых областях внешней памяти прямого доступа
(локальных или удаленных);
искажать произвольным образом, блокировать и/или
подменять выводимый во внешнюю память или в канал связи
массив информации, образовавшийся в результате работы
прикладных программ, или уже находящиеся во внешней
памяти массивы данных
Группы угроз ПМВ
программы, ассоциированные с программно-аппаратной средой
(BIOS);
программы, ассоциированные с программами первичной загрузки
(находящиеся в MASTER BOOT RECORD или ВООТ-секторах
активных разделов);
программы,
ассоциированные
с
загрузкой
драйверов
операционной системы, командного интерпретатора, сетевых
драйверов, т. е. с загрузкой операционной среды;
программы, ассоциированные с прикладным программным
обеспечением общего назначения (встроенные в клавиатурные
и экранные драйверы, программы тестирования ПЭВМ,
утилиты
и оболочки типа NORTON),
исполняемые модули,
содержащие только код программы (как правило, внедряемые в
пакетные файлы типа .ВАТ);
модули-имитаторы,
совпадающие
по внешнему виду с
некоторыми программами, требующими ввода конфиденциальной
информации;
программы, маскируемые
под
программные
средства
оптимизационного назначения (архиваторы, ускорители и т. д.);
программы, маскируемые под программные средства игрового и
развлекательного назначения.
Виды вредоносных программ
Классические
программы-вирусы
Загрузочные вирусы
Файловые вирусы
Макро-вирусы
Программызакладки
"Троянский конь"
("логическая
бомба")
"Логический или
программный люк"
Программышпионы
Сетевые
черви
Способ внедрения загрузочного
вируса
Загрузочные вирусы записывают себя либо в
загрузочный сектор диска (boot-сектор), либо в
сектор, содержащий системный загрузчик винчестера
(Master Boot Record), либо меняют указатель на
активный boot-сектор. Они внедряются в память
компьютера при загрузке с инфицированного диска.
При этом системный загрузчик считывает
содержимое первого сектора диска, с которого
производится загрузка, помещает считанную
информацию в память и передает на нее (т.е. на
вирус) управление. После этого начинают
выполняться инструкции вируса
Деструктивные действия загрузочного вируса
- уничтожение информации в секторах дискет и винчестера;
- исключение возможности загрузки операционной системы (компьютер
"зависает");
- искажение кода загрузчика;
- форматирование дискет или логических дисков винчестера;
- закрытие доступа к COM- и LPT-порты;
- замена символов при печати текстов;
- вызывание подергивания экрана;
- изменение метки диска или дискеты;
- создание псевдосбойных кластеров;
- создание звуковых и визуальных (например, падение букв на экране)
эффектов;
- порча файлов данных;
- перезагрузка компьютера;
- вывод на экран разнообразных сообщений;
- отключение периферийных устройств (например, клавиатуры);
- изменение палитры экрана;
- заполнение экрана посторонними символами или изображениями;
- погашение экрана и перевод в режим ожидания ввода с клавиатуры;
- шифрование секторов винчестера;
- выборочное уничтожение символов, выводимых на экран при наборе с
клавиатуры;
- уменьшение объема оперативной памяти;
- вызов печати содержимого экрана;
- блокирование записи на диск;
- уничтожение таблицы разбиения (Disk Partition Table), после этого компьютер
можно загрузить только с флоппи-диска;
- блокирование запуска исполняемых файлов;
- блокирование доступа к винчестеру.
Файловые вирусы
По способу заражения:
замещающие ("overwriting") - записывают свой код вместо кода
заражаемого файла, уничтожая его содержимое;
паразитические ("parasitic") - при распространении своих копий
обязательно изменяют содержимое файлов, оставляя сами файлы при
этом полностью или частично работоспособными. Основными типами
таких вирусов являются вирусы, записывающиеся в начало, середину
или конец файлов );
компаньон-вирусы ("companion") - для заражаемого файла создается
файл-двойник, причем при запуске зараженного файла управление
получает именно этот двойник, то есть вирус;
файловые черви ("worms") - копируют свой код в какие-либо каталоги
дисков в надежде, что эти новые копии будут когда-либо запущены
пользователем. Иногда эти вирусы дают своим копиям "специальные"
имена, чтобы подтолкнуть пользователя на запуск своей копии например, INSTALL.EXE или WINSTART.BAT;
"link"-вирусы - не изменяют физического содержимого файлов, однако
при запуске зараженного файла "заставляют" ОС выполнить свой код;
заражающие объектные модули (OBJ), библиотеки компиляторов (LIB) и
исходные тексты программ
Макровирусы
Являются программами на языках (макро-языках), встроенных
в некоторые системы обработки данных (текстовые редакторы,
электронные таблицы и т.д.). Для своего размножения такие
вирусы используют возможности макро-языков и при их
помощи переносят себя из одного зараженного файла
(документа или таблицы) в другие.
Для существования вирусов в конкретной системе (редакторе)
необходимо наличие встроенного в систему макро-языка с
возможностями:
1) привязки программы на макро-языке к конкретному файлу;
2) копирования макро-программ из одного файла в другой;
3) получения управления макро-программой без вмешательства
пользователя (автоматические или стандартные макросы).
Данным условиям удовлетворяют прикладные программы Microsoft
Word, Excel и Microsoft Access. Они содержат в себе макро-языки:
Word Basic, Visual Basic for Applications.
Средства антивирусной защиты
Типы САВЗ
А
Предназначены для централизованного
администрирования САВЗ, установленных на рабочих
станциях
Б
Предназначены для применения в СВТ, выполняющих
функции серверов вычислительных сетей
В
Предназначены для применения в СВТ, выполняющих
функции рабочих станций вычислительных сетей
Г
Предназначены для применения в отдельных
изолированных СВТ
Классы САВЗ
6
5
4
3
2
1
Системы обнаружения вторжений
Типы СОВ
СОВ уровня сети
СОВ уровня узла
(хоста)
Классы СОВ
6
5
4
3
2
1
Общие подходы к заданию требований по ТЗИ
На основе нормирования
показателей эффективности ТЗИ
Задание предельных значений
внешнесистемных показателей
на основе определения уровня
неприемлемого ущерба
на основе минимизации
возможного ущерба
На основе определения соответствия мер
и средств защиты установленным
(декларированным) уровням
защищенности
На основе
определения прямого
соответствия набора
мер и средств защиты
заданному классу
защищенности
На основе
определения
соответствия набора
мер и средств
защиты выбранному
уровню доверия
на основе определения
содержания недопустимых
действий
Оптимизация выбора предельных
значений частных показателей
Обоснование или
декларирование
состава классов
защищенности
Обоснование или
декларирование
состава уровней
доверия
Классификация требований по ТЗИ
Функциональные требования
По назначению
Требования по защите от физического
доступа на территорию,
в помещение, к аппаратуре
Требования по защите от утечки по
техническим каналам
Требования по защите от утечки по
каналам связи
Требования по защите от НСД
Требования по защите от программных
воздействий
Требования по защите от воздействий
по физическим полям
Требования доверия
Требования по
эффективности ТЗИ
Структурные
требования по ТЗИ
Требования к
дистрибуции
Требования к
разработке
Требования к
управлению
конфигурацией
Требования к
тестированию
Требования к
документации
Основные документы, содержащие нормы,
требования и рекомендации по ТЗИ
Специальные
требования
и
рекомендации
конфиденциальной информации (СТР-К). 2002 г.
по
защите
РД. СВТ. Защита от НСД к информации. Показатели защищенности
от НСД к информации. 1992 г.
РД. АС. Защита от НСД к информации. Классификация АС и
требования по защите информации. 1992 г.
ГОСТ Р 50739-95 «Средства вычислительной техники. Защита от
несанкционированного доступа к информации».
РД. Средства вычислительной техники. Межсетевые экраны. Защита
от НСД к информации. Показатели защищенности от НСД к
информации. 1997 г.
РД Защита информации. Специальные защитные знаки.
Классификация и общие требования. Решение Председателя
Гостехкомиссии России от 25.07.97г.
Основные документы, содержащие нормы, требования и
рекомендации по ТЗИ (продолжение)
ГОСТ Р ИСО/ МЭК 15408-2002. Безопасность информационных
технологий. Критерии безопасности. 2002 г.
РД Защита от несанкционированного доступа к информации. Часть
1.
Программное
обеспечение
средств
защиты
информации.
Классификация
по
уровню
контроля
недекларированных
возможностей. Решение Председателя Гостехкомиссии России от
15.06.99г.
РД "Средства защиты информации. Защита информации в
контрольно-кассовых машинах и автоматизированных кассовых
системах.
Классификация
контрольно-кассовых
машин,
автоматизированных кассовых систем и требования по защите
информации" (Решение Председателя Гостехкомиссии России от 01. 04.
96г.).
Классы защиты информации в СВТ
7 класс
СВТ не
имеет
защиты
6 класс 5 класс 4 класс 3 класс 2 класс
Реализуется
дискреционный
принцип
защиты
Реализуется
мандатный
принцип защиты
1 класс
Реализуется
верифициро
ванная
защита
РД. Средства вычислительной техники. Защиты от несанкционированного доступа к
информации. Показатели защищенности.Гостехкомиссия России 1992 г.
Классы защиты информации в АС
Третья группа
В АС работает один
пользователь, допущенный ко
всей информации АС,
размещенной на носителях
одного уровня
конфиденциальности.
Вторая группа
Первая группа
В АС пользователи имеют
одинаковые права доступа
(полномочия) ко всей
информации АС,
обрабатываемой и ( или )
хранимой на носителях
различного уровня
В многопользовательской АС
одновременно обрабатывается и
(или) хранится информация
разных уровней
конфиденциальности и не все
пользователи имеют право
доступа ко всей информации АС
конфиденциальности
3Б
3А
2Б
1Д
2А
1Г
1В
1Б
1А
Порядок организации ТЗИ на этапе определения замысла
защиты
Определение замысла
защиты информации
Определение направления
сосредоточения усилий по защите
Выбор основных способов защиты
Решение основных вопросов
управления защитой
Решение основных вопросов
обеспечения
По подразделениям
По уязвимым звеньям, направлениям защиты
По категорированным информационным
ресурсам и т.д.
По направлениям защиты
По актуальным угрозам
По возможности реализации с допустимыми
затратами и т.д.
Организация охраны
Организация служебной связи и сигнализации
Организация взаимодействия
Организация резервирования программного и
аппаратного обеспечения
Организация управления администрированием,
распределения ключевой информации и т.д.
Финансового
Технического и программного
Информационного
Кадрового и др.
Стратегии защиты
СТРАТЕГИЯ - ученье о лучшем расположении и употреблении всех военных сил и средств (словарь В.И.Даля).
СТРАТЕГИЯ – искусство планирования руководства, основанного на правильных и далеко идущих прогнозах (словарь С.И.
Ожегова)
СТРАТЕГИЯ ЗАЩИТЫ ИНФОРМАЦИИ- кратко выраженная основополагающая идея, определяющая характер проводимых
мероприятий по защите информации и применения мер и средств защиты
Стратегии защиты
информации в
компьютерной сети
по организации защиты
Стратегия
"периметровой" защиты
Стратегия
эшелонированной
защиты
Стратегия "ключевых
элементов"
(выборочная стратегия)
Стратегия тотального
контроля
Стратегия
дифференцированного
контроля и реакции
по направленности
защите
действий по
Стратегия пресечения
Стратегия обмана
(отвлечения)
Стратегия
игнорирования
последствий и
резервирования
информации
Смешанная стратегия
по признаку
адаптивности
Стратегия плановой
защиты
(неадаптивная)
Стратегия адаптивной
защиты
Смешанная стратегия
Принципы разграничения доступа
Дискреционный принцип разграничения доступа – принцип
разграничение
доступа
между
поименованными
субъектами
(пользователями) и поименованными объектами (например, файлами,
программами, томами) (ГОСТ Р 50739-95. Средства вычислительной
техники. Защита от несанкционированного доступа к информации )
Мандатный
принцип
разграничения
доступа
–
принцип
разграничения доступа, когда каждому субъекту и каждому объекту
присваивают классификационные метки, отражающие их место в
соответствующей иерархии. С помощью этих меток субъектам и
объектам должны быть назначены классификационные уровни,
являющиеся комбинациями уровня иерархической классификации и
иерархических категорий. Данные метки должны служить основой
мандатного принципа разграничения доступа
(ГОСТ Р 50739-95.
Средства вычислительной техники. Защита от несанкционированного
доступа к информации )
Ролевой принцип разграничения доступа - принцип разграничения
доступа, когда каждому субъекту присваивается определенная роль
(совокупность функций), которую разрешается выполнять относительно
объектов доступа
Общая классификация способов, мер и средств защиты от НСД
По степени участия
оператора
Организационные
Организационно-технические
Технические
По назначению
Защиты
от
физического
доступа
Защиты
от
доступа
с
применением
программных
средств
По функциям
Идентификации
Аутентификации
Фильтрации
Выполнения
прокси-функций
Обнаружения
аномалий или
сигнатур
Сигнализации,
наблюдения
Резервирования
Пресечения,
блокирования,
Уничтожения
остаточной
информации
По месту установки
(уровню)
Контроля
целостности
Устанавливаемые
по периметру сети
Контроля доступа
Устанавливаемые в
составе системного
программного
обеспечения (на
уровне системных
сервисов)
Преобразования
информации,
шифрования
Отвлечения
Восстановления
Изолирования,
разделения
операционной
среды
Устанавливаемые в
составе или в виде
прикладного
программного
обеспечения (на
уровне прикладных
сервисов)
На уровне ядра ОС
и архитектуры
процессора
Технологии (способы) создания доверенной среды
По платформе реализации
Технологии,
основанные на
создании программных
средств
Технологии,
основанные на
создании
аппаратных
(программноаппаратных)
средств
На независимой
аппаратной
платформе
На аппаратной
платформе
компьютера, в
котором
реализуется
доверенная
среда
По основному способу
разграничения доступа в
вычислительную среду
Технологии, основанные на
идентификации,
аутентификации объектов и
субъектов доступа и
целостности программной
среды и данных
Технологии с
использованием
электронных
идентификаторов и
паролей без
криптографических
преобразований
Технологии контроля
доступа с
использованием
криптографии
Технологии с
использованием
биометрических
признаков субъектов
доступа
Технологии контроля
доступа с использованием
сочетания электронной
идентификации,
аутентификации, проверки
целостности программного
и аппаратного
обеспечения и биометрии
Терминальные технологии
(технология "Тонкий
клиент«)
Технологии, основанные
на тотальном контроле
функций, выполняемых в
вычислительной среде
(технология "монитора
безопасности"), и
комплексные технологии
По степени зависимости
от операционной системы
Технологии, основанные
на применении
программных средств,
управляемых
операционной системой
в составе защищаемого
компьютера
(компьютерной сети)
Технологии, основанные
на применении
программных средств,
функционирующих на
собственной
программной или
программно-аппаратной
платформе
По уровню архитектуры
доверенной
вычислительной среды
На уровне на
уровне сети
компьютерной
сети (сервера,
сетевого сервиса)
На уровне рабочей
станции или
отдельного
компьютера
На уровне
прикладной
программы
На уровне ядра
операционной
системы,
процессора
компьютера
В доверенной среде имеет место:
- счетность субъектов и объектов;
- доверенность конфигурации и настройки;
- целостность всех элементов;
- подконтрольность всех действий;
- документированность всех событий;
- доверенное окружение и субъекты;
- доверенные правила (политики безопасности);
- доверенная аппаратная платформа (Hard);
- доверенная программная платформа (Soft);
- доверенные каналы передачи информации
Содержание замысла защиты информации
•Цель защиты;
•Основные требования по ТЗИ, которые необходимо выполнить;
•Направления, на которых должны быть сосредоточены усилия по
ТЗИ (элементы объекта информатизации, блоки защищаемой
информации, угрозы, которые должны быть парированы в первую
очередь);
•Целесообразные стратегии, основные способы защиты информации
на объекте информатизации и контроля ее эффективности;
•Предложения по распределению задач ТЗИ между подразделениями
организации, должностными лицами;
•Перечень программных и программно-аппаратных средств защиты и
контроля, подлежащих применению, разработке (закупке);
•Основные вопросы управления, взаимодействия и обеспечения
решения задач ТЗИ.
Содержание концепции защиты информации
•
Краткая оценка состояния и обоснование необходимости защиты
информации;
•
Характеристика объектов защиты и актуальных угроз безопасности
информации;
•
Цель или цели защиты информации;
•
Основные стратегии или принципы защиты информации;
•
Замысел защиты или основные направления деятельности по защите
информации (способы реализации выбранных стратегий);
•
Основные (концептуальные) вопросы организации управления, связи
и взаимодействия при выполнении мероприятий по защите информации;
•
Систему взглядов на правовое, материальное, техническое,
финансовое, научное, программное, кадровое и другие виды обеспечения и
пути их развития в интересах достижения целей защиты информации;
•
Достигаемые эффекты от реализации концепции
Определение способа защиты информации
Способ – действие или система действий, применяемые
выполнении какой-либо работы, при осуществлении чего-либо.
при
С.И. Ожегов. Толковый словарь русского языка.
Способ защиты – совокупность
применения
мер и средств защиты и порядок их
Способ защиты – прием или совокупность приемов защиты,
отличающиеся характерным составом применяемых мер или средств
или характерной последовательностью действий по защите
Способ защиты – это прием или совокупность приемов решения задачи
защиты
Способ защиты – это способ решения задачи защиты
Меры и средства защиты от физического доступа
Сигнализа
ционные
системы
Телевизионные
системы
наблюдения
СВЧ
Ультразвуко
вые
ИК
Сейсмические
В видимом
диапазоне
длин волн
В ИК
диапазоне
длин волн
Лазерные и оптические
(по прерыванию луча)
Виброакустические
Магнитометрические
Кабельные
системы
обнаружения
Системы
защиты окон
и дверей
Средства контроля
квазистатических
характеристик
Биометрические
системы
контроля
доступа
Средства контроля
квазидинамических
характеристик
отпечатки пальцев;
строение лица;
строение сетчатки
глаза;
пульс;
геометрия рук;
строение
кровеносных сосудов
кардиограмма.
речь;
почерк;
Меры и средства защиты информации от утечки по ПЭМИН
Пассивные средства защиты
Активные средства защиты
Средства локализации излучений
Экранирование ТСПИ и
соединительных линий
Заземление ТСПИ и экранов
соединительных линий
Меры и средства развязывания
информационных сигналов
Спецсредства защиты от микрофонного
эффекта типа «Гранит»
Диэлектрические вставки
Автономные или стабилизированные
источники электропитания, устройства
гарантированного питания
Помехоподавляющие фильтры
Пространственные средства зашумления
Генераторы шума и средства создания
прицельных по частоте помех
Генераторы акустического шума
(акустических и вибрационных помех)
Подавители диктофонов в режиме записи
Средства линейного зашумления
Для линий электропитания
Для посторонних проводников и
линий ВТСС за пределами зоны
Специальные генераторы импульсов
для уничтожения закладных
устройств («выжигатели жучков»)
Меры и средства защиты речевой информации от перехвата
из помещений
Пассивные
Активные
Меры и средства звукоизоляции
Меры и средства фильтрации
Меры и средства обнаружения
акустических закладок и
диктофонов
Переносные - "Сова", RM - 100,
стационарные – PTRD - 14, PTRD - 16
(нелинейная радиолокация,
обнаружение излучений генераторов
подмагничивания и двигателей
магнитофонов)
Системы акустической и
виброакустической
маскировки типа «Завеса»
«Кабинет»
«Фон-В»
«Барон»
«WNG-023» (моб.)
Шумогенератор, от 6 до 12..25 вибродатчиков (пьезокерамических,
электромагнитных), звуковые колонки. Эффективный радиус
действия вибродатчика составляет от1,5 до 5 м. В комплекс
"Барон" дополнительно включены 3 радиоприемника, независимо
настраиваемые на различные радиовещательные станции УКВдиапазоны.
Меры и средства звукоизоляции
Применение архитектурных, инженерных решений,
специальных строительных и отделочных материалов
Меры звукоизоляции дверей и
окон
Устранение щелей,
применение
уплотнителей,
специальных коробов
Применение
акустических экранов
Звукоизоляция стен
Применение
звукопоглощающих
материалов
Сплошные
Обивка и облицовка
Создание дверей с
тамбурами и окон с
двойными
переплетами
Пористые
Плиты типа «Акмигран», «Акмант», «Винипор»
Рельефной
конструкции
Пирамиды, клинья и т.п.
Комбинированные
Резонансные
Мембранные, резонаторные
Меры и средства защиты информации при передаче по
телефонным каналам связи
Пассивные меры
Применение
диодных
ограничителей
малых амплитуд
Фильтрация
сигналов (от ВЧнавязывания)конденсаторы в
звонковой цепи,
системы защиты
типа «Экран»,
«Гранит-8»,
«Корунд»
Отключение
телефонных
аппаратов
Ограничения на
использование средств
связи (пространственные,
временные,
параметрические,
энергетические и др.)
Меры криптографической
защиты трафика
Мониторинг приема и
передачи сообщений
Использование скрытных
видов сигналов
Активные меры
Линейное зашумление
Синфазная НЧ-помеха
ВЧ маскирующая помеха
Ультразвуковая маскирующая
помеха
Повышение напряжения в
телефонной линии (уход
несущей частоты и снижение
разборчивости)
Применение компенсационного
способа защиты
НЧ маскирующая помеха
Применение способа «обнуления»
Уничтожение («выжигание») закладок
(высоковольтными импульсами до 1500
В)
Применение электронных
блокираторов
Меры и средства защиты от НСД с применением
программных и программно-аппаратных средств
Организационно-технические
меры и средства защиты
Резервное копирование
Изолирование
участков оперативной
памяти
Уничтожение
остаточных данных
Контроль
целостности данных
и программ
Смена паролей
Ограничения на
использование сетевых
сервисов, служб,
сетевых протоколов,
сценариев
Технические меры защиты
Программные
средства ОС
Дополнительные программные
средства
Средства блокирования
Криптографи
исследования, модификации и ческие
несанкционированного запуска средства
Средства предупреждения
пользователей о выполнении
опасных действий
Абонентского
шифрования
Программные средства
администрирования
(разграничения полномочий,
регистрации и контроля)
Пакетного
шифрования
Шифрования
паролей
Программные средства
идентификации и
аутентификации
Программные средства
резервного копирования
Стеганографии
ЭЦП
VPNтехнологии
Отечественные системы CryptonSoft (для абонентского шифрования и ЭЦП),
CryptonSign (для ЭЦП), CryptonArcMail (для защиты электронных документов)
Средства
защиты от
ПМВ
Средства
контроля
целостности
Специальные
средства
обнаружения
вредоносных
программ и
«лечения»
Средства
тестирования
Утилиты для
восстановления
информации
Другие
средства
защиты
Средства
тестирования
сетей и
программ
Средства
обнаружения
атак
Межсетевые
экраны
Меры и средства защиты от ПМВ
Организационно-технические меры
Архивирование данных и файлов
Применение лицензионного
программного обеспечения
Профилактическая проверка
администратором программ и
файлов на наличие вредоносных
программ
Отключение дисководов гибких
дисков, применение только
зарегистрированных дискет
Программно-аппаратные средства
Универсальные
Резидентные
Специализированные
Нерезидентные
Фаги,
полифаги
Ревизоры
(сканеры)
Организация спецпроверок
Сообщающие о ПМВ
Блокирующие ПМВ
Иммунизаторы
На основе контрольного
суммирования
На основе анализа
сигнатур
По изменению файлов,
каталогов
По изменению системных
областей
Средства
блокирования
Программные
Программно-аппаратные
Меры и средства защиты от электромагнитного
воздействия
Конструкционные
Экранирование
проводов и
фильтрация
Ограничители
перенапряжения
Разрядники
Варисторы
Мощные диоды
Зенера
Проходные
фильтры
Фильтры
встроенные в
разъемы
Экранирование
помещений и
изделий
Металлические полотна
и металлизированные
ткани
Металлическая фольга
Токопроводящие пленки
Армированное
металлической сеткой
или пленкой стекло
Композитные
материалы
Информационные
Кодирование
(избыточное , с
исправлением
кодов)
Развязка по
параметрам
Блокирование
входа
Изоляция
функциональных
задач и модулей
Меры и средства защиты информации от техногенных угроз
Организационно-технические
При проектировании
При создании
Привлечение
разработчиков
необходимой
квалификации
Выбор места
расположения
ОИ
Ориентация на
более надежную
аппаратуру и
детали
Правильное
расположение
ОТСС и ВТСС
Проектирование
избыточных
элементов и
структур
Обеспечение
полноты и
качества
технической
документации
Строгое
соблюдение
технологической
дисциплины
Проведение
полного цикла
испытаний и
тестирования
Применение
лицензионного
оборудования и
программного
обеспечения
Технические
При эксплуатации
Своевременное
техобслуживание
Соблюдение и
контроль
требуемого режима
функционирования
Организация
резервирования
информационных и
технических
ресурсов
Обучение персонала
правилам
эксплуатации и
обеспечения
безопасности
информации
Меры защиты от
случайного Э/М
воздействия
Программные
Защита информации от
угроз сбоя в работе
аппаратуры
Аппаратные
Комплексные
Резервное
копирование
Резервирование
ОТСС и ВТСС
Дублирование
носителей
Резервировани
е линий
э/питания
Средства
сигнализации,
предупреждения
и оповещения
Программы
профилактиче
ского
обслуживания
Программы
восстановлен
ия
Сетевые
фильтры
Стабилитрон
ы
Автономные
источники
бесперебойног
о питания
Средства и
комплексы
функционального
контроля
Порядок выбора целесообразных мер и средств
защиты
Составление
перечня
функций
безопасности,
которые
необходимо
выполнить для решения всей
совокупности задач ТЗИ
Определение
мер
и
средств
защиты,
с
помощью
которых
реализуется
каждая
функция безопасности
Оценка эффективности
мер и средств защиты
применительно
к
каждой задаче
Исключение
из
перечней
повторяющиеся и
несовместимые
меры и средства
защиты
Оценка затрат на
ТЗИ и исключение
мер и средств с
неприемлемыми
затратами
Выбор целесообразных мер и
средств защиты по критерию
"эффективность - стоимость"
Понятие системы защиты информации на объекте
информатизации
СИСТЕМА
ЗАЩИТЫ
ИНФОРМАЦИИ
ОТ
НЕСАНКЦИОНИРОВАННОГО ДОСТУПА комплекс организационных мер и программно-технических (в
том
числе
криптографических)
средств
защиты
от
несанкционированного
доступа
к
информации
в
автоматизированных
системах.
Защита
от
несанкционированного доступа к информации. Термины и
определения: Руководящий документ // Сборник руководящих
документов по защите информации от несанкционированного
доступа. - М.: Гостехкомиссия России, 1998.
Понятие системы защиты информации на объекте информатизации
(продолжение)
СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ АВТОМАТИЗИРОВАННОЙ
СИСТЕМЫ - совокупность технических, программных, и
программно-технических средств защиты информации и средств
контроля эффективности защиты информации. ГОСТ Р 51624-99.
Защита информации. Автоматизированные системы в защищенном
исполнении. Общие требования.
СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ - совокупность
органов и/или исполнителей, используемой ими техники
защиты информации, а также объектов защиты,
организованная и функционирующая по правилам,
установленным соответствующими правовыми,
организационно - распорядительными и нормативными
документами в области защиты информации. ГОСТ Р 5092296. Защита информации. Основные термины и определения
Система защиты информации предприятия
Подсистема
управления
Подсистема защиты от НСД
От физического
доступа
Подсистема защиты от утечки по
ПЭМИН
От доступа к
программной среде
Подсистема защиты от утечки речевой информации
Подсистема защиты информации от перехвата при передаче по
каналам связи
Подсистема защиты информации от техногенных угроз
Подсистема защиты от электромагнитных воздействий
Подсистема управления защитой информации
Организационная подсистема
Подсистема управления
физическим доступом
Техническая подсистема
Программные средства администрирования
АРМ администратора
Служба безопасности и
система администраторов
Подсистема
организационного контроля
Технические средства регистрации и
учета
Подсистемы обнаружения атак,
вторжений и ликвидации их последствий
Подсистема технического контроля
Документы по организации ТЗИ на объекте
информатизации
Утвержденный перечень сведений конфиденциального характера по
каждому виду тайны
Акт и журнал инвентаризации информационных ресурсов
Акт категорирования защищаемой информации
Концепция ТЗИ на предприятии
“Положение о порядке организации и проведения работ по защите
конфиденциальной информации”
Модель угроз безопасности информации на объекте информатизации
План проведения мероприятий по ТЗИ на объекте информатизации
План обеспечения ТЗИ
и взаимодействия
План или график проведения
контрольных мероприятий
Состав оформляемых документов
На стадии ввода в действие
объекта информатизации и СЗИ
Приказы, указания и решения:
•акты
внедрения
средств
защиты
информации
по
результатам
их
приемосдаточных испытаний;
на проектирование СЗИ и
назначение
ответственных
исполнителей;
•протоколы
аттестационных
испытаний и заключение по их
результатам;
•аттестат соответствия объекта
информатизации требованиям
по безопасности информации.
на проведение работ по защите
информации;
о назначении лиц, ответственных
за
эксплуатацию
объекта
информатизации;
на обработку в АС (обсуждение в
защищаемом
помещении)
конфиденциальной информации.
АНАЛИЗ И ОЦЕНКА УГРОЗ
ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
ОБЪЕКТА
ПЕРСОНАЛЬНЫЕ ДАННЫЕ любая информация,
относящаяся к прямо
или косвенно определенному
или определяемому
физическому лицу (субъекту
персональных данных)
ОПЕРАТОР - государственный орган,
муниципальный орган, юридическое или
физическое лицо, самостоятельно или
совместно с другими лицами
организующие и (или) осуществляющие
обработку персональных данных, а также
определяющие цели обработки
персональных данных, состав
персональных данных, подлежащих
обработке, действия (операции),
совершаемые с персональными данными
обработка персональных данных -
любое действие (операция) или
совокупность действий (операций),
совершаемых с использованием средств
автоматизации или без использования
таких средств с персональными данными,
включая сбор, запись, систематизацию,
накопление, хранение, уточнение
(обновление, изменение), извлечение,
использование, передачу (распространение,
предоставление, доступ), обезличивание,
блокирование, удаление, уничтожение
персональных данных
ЗАКОНОДАТЕЛЬНАЯ БАЗА
Конституция Российской Федерации
принята 12 декабря 1993г.
Федеральный закон от 07 июля 2006 г. № 126-ФЗ,
(редакция №153-ФЗ от 27 июля 2006г.)
«О связи»
Федеральный закон от 29 июля 2004 г. N 98-ФЗ,
«О коммерческой тайне»
Федеральный закон от 27 июля 2006 г. № 152-ФЗ
«О персональных данных»
Федеральный закон от 10 января 2002г. № 1-ФЗ
«Об электронной цифровой подписи»
Законодательные, нормативные и
методические документы (ПДн)
Федеральный закон от 27 июля 2006 г. № 152-ФЗ
«О персональных данных»
Постановление Правительства Российской Федерации
от 1 ноября 2012 г. № 1119
«Об утверждении требований к защите персональных данных при их
обработке в информационных системах персональных данных»
Постановление Правительства Российской Федерации
от 15 сентября 2008 г. № 687
«Об утверждении Положения об особенностях обработки персональных
данных, осуществляемой без использования средств автоматизации»
Постановление Правительства Российской Федерации
от 6 июля 2008 г. № 512
«Требования к материальным носителям биометрических персональных
данных и технологиям хранения таких данных вне информационных
систем персональных данных»
Законодательные, нормативные и
методические документы (ПДн)
«Порядок проведения классификации информационных систем
персональных данных»
Утвержден приказом ФСТЭК России, ФСБ России и Мининформсвязи
России от 13 февраля 2008 г. № 55/86/20. (не применяется)
«Методика определения актуальных угроз безопасности персональных
данных при их обработке в информационных системах персональных
данных»
Утверждена ФСТЭК России 14 февраля 2008 г.
«Базовая модель угроз безопасности персональных данных при их
обработке в информационных системах персональных данных»
Утверждена ФСТЭК России 15 февраля 2008 г.
Разрабатываемые нормативные и
методические документы (ПДн)
«Состав и содержание организационных и технических мер
по обеспечению безопасности персональных данных при их обработке
в информационных системах персональных данных»
Приказ ФСТЭК России от 18 февраля 2013 г. №21.
Зарегистрирован минюстом 14 мая 2013 г. №28375.
«Требования о защите информации, не составляющей государственную
тайну, содержащейся в государственных информационных системах»
Приказ ФСТЭК России от 11 февраля 2013 г. №17.
Зарегистрирован минюстом 31 мая 2013 г. №28608
Постановление Правительства Российской Федерации
от 21 марта 2012 г. № 211
«Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей,
предусмотренных федеральным законом "о персональных данных" и принятыми в
соответствии с ним нормативными правовыми актами, операторами, являющимися
государственными или муниципальными органами»
Конституция Российской Федерации
Статья 23
1. Каждый имеет право на неприкосновенность частной жизни, личную и
семейную тайну, защиту своей чести и доброго имени.
2. Каждый имеет право на тайну переписки, телефонных переговоров,
почтовых, телеграфных и иных сообщений. Ограничение этого права
допускается только на основании судебного решения.
Статья 24
1. Сбор, хранение, использование и распространение информации о частной
жизни лица без его согласия не допускаются.
2. Органы государственной власти и органы местного самоуправления, их
должностные лица обязаны обеспечить каждому возможность
ознакомления с документами и материалами, непосредственно
затрагивающими его права и свободы, если иное не предусмотрено
законом.
Статья 29
4. Каждый имеет право свободно искать, получать, передавать, производить
и распространять информацию любым законным способом. Перечень
сведений,
составляющих
государственную
тайну,
определяется
федеральным законом.
5. Гарантируется свобода массовой информации. Цензура запрещается.
ФЗ «О персональных данных» от 27 июля 2006 г. № 152-ФЗ
Регулирует отношения, связанные с обработкой персональных
данных,
осуществляемой
федеральными
органами
государственной власти, органами государственной власти
субъектов Российской Федерации, иными государственными
органами, . . . физическими лицами с использованием средств
автоматизации или без использования таких средств, . . .
Целью настоящего ФЗ является обеспечение защиты прав и
свобод человека и гражданина при обработке его персональных
данных, в том числе защиты прав на неприкосновенность
частной жизни, личную и семейную тайну.
Указ Президента РФ «Об утверждении Перечня сведений
конфиденциального характера» от 6 марта 1997 г. № 188.
Утверждает перечень сведений конфиденциального характера
1. Сведения о фактах, событиях и обстоятельствах частной жизни
гражданина,
позволяющие
идентифицировать
его
личность
(персональные данные), за исключением сведений, подлежащих
распространению в средствах массовой информации в установленных
федеральными законами случаях.
2. Сведения, составляющие тайну следствия и судопроизводства.
3. Служебные сведения, доступ к которым ограничен органами
государственной власти в соответствии с Гражданским кодексом
Российской Федерации и федеральными законами (служебная тайна).
4. Сведения, связанные с профессиональной деятельностью, доступ к
которым ограничен в соответствии с Конституцией Российской
Федерации и федеральными законами (врачебная, нотариальная,
адвокатская тайна, тайна переписки, телефонных переговоров, почтовых
отправлений, телеграфных или иных сообщений и так далее).
5. Сведения, связанные с коммерческой деятельностью, доступ к которым
ограничен в соответствии с Гражданским кодексом Российской
Федерации и федеральными законами (коммерческая тайна).
6. Сведения о сущности изобретения, полезной модели или
промышленного образца до официальной публикации информации о
них.
Определение актуальных угроз безопасности
персональных данных
Пункт 1 части 2 статьи 19
Федерального закона
«О персональных данных»:
«…оператором определяются угрозы
безопасности персональных данных
при их обработке в информационных
системах…».
Определение актуальных угроз безопасности
персональных данных
«Базовая модель угроз безопасности персональных
данных при их обработке в информационных системах
персональных данных»,
утверждена Заместителем директора ФСТЭК России
15 февраля 2008 г.
«Методика определения актуальных угроз безопасности
персональных данных при их обработке в информационных
системах персональных данных»,
утверждена Заместителем директора ФСТЭК России
14 февраля 2008 г.
БАЗОВАЯ МОДЕЛЬ УГРОЗ
БЕЗОПАСНОСТИ
ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ
ИХ ОБРАБОТКЕ В
ИНФОРМАЦИОННЫХ
СИСТЕМАХ ПЕРСОНАЛЬНЫХ
ДАННЫХ
БАЗОВАЯ МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ
ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ
СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ
Содержит систематизированный перечень угроз
безопасности персональных данных при их обработке в
информационных системах персональных данных
(ИСПДн).
Эти угрозы обусловлены преднамеренными или
непреднамеренными действиями физических лиц,
действиями зарубежных спецслужб или организаций (в
том числе террористических), а также криминальных
группировок, создающими условия (предпосылки) для
нарушения безопасности персональных данных (ПДн),
которые ведут к ущербу жизненно важным интересам
личности, общества и государства.
БАЗОВАЯ МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ
ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ
СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ
Содержит единые исходные данные по угрозам
безопасности персональных данных (УБДн),
обрабатываемых в ИСПДн, связанным:
- с перехватом (съемом) ПДн по техническим каналам с
целью
их
копирования
или
неправомерного
распространения;
- с несанкционированным, в том числе случайным,
доступом в ИСПДн с целью изменения, копирования,
неправомерного распространения ПДн или деструктивных
воздействий на элементы ИСПДн и обрабатываемых в них
ПДн с использованием программных и программноаппаратных средств с целью уничтожения или
блокирования ПДн.
.
БАЗОВАЯ МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ
ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ
СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ
Модель угроз является методическим документом и предназначена для
операторов, заказчиков и разработчиков ИСПДн и их подсистем при
решении следующих задач:
разработка частных моделей угроз безопасности ПДн в конкретных
ИСПДн с учетом их назначения, условий и особенностей
функционирования;
анализ защищенности ИСПДн от угроз безопасности ПДн в ходе
организации и выполнения работ по обеспечению безопасности ПДн;
разработка системы защиты ПДн, обеспечивающей нейтрализацию
предполагаемых угроз с использованием методов и способов защиты
ПДн, предусмотренных для соответствующего класса ИСПДн;
проведение мероприятий, направленных на предотвращение
несанкционированного доступа к ПДн и (или) передачи их лицам, не
имеющим права доступа к такой информации;
недопущение воздействия на технические средства ИСПДн, в
результате которого может быть нарушено их функционирование;
контроль за обеспечением уровня защищенности персональных
данных.
«Базовая модель угроз безопасности персональных данных
при их обработке в информационных системах
персональных данных»
утверждена ФСТЭК России 15 февраля 2008г.
Классификация угроз безопасности персональных данных
по видам возможных источников угроз;
по структуре ИСПДн на которые направлена реализация
угроз безопасности ПДн;
по виду несанкционированных действий, осуществляемых с
ПДн;
по способам реализации угроз;
по виду каналов, с использованием которых реализуются те
или иные угрозы.
БАЗОВАЯ МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ
ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ
ПЕРСОНАЛЬНЫХ ДАННЫХ
В зависимости от целей и содержания обработки ПДн оператор может
осуществлять обработку ПДн в ИСПДн различных типов.
По структуре ИСПДн подразделяются на автоматизированные рабочие места,
локальные информационные системы и распределенные информационные
системы.
По наличию подключений к сетям связи общего пользования и (или) сетям
международного информационного обмена ИСПДн подразделяются на
системы, имеющие подключения, и системы, не имеющие подключений.
По режиму обработки персональных данных в информационной системе
ИСПДн подразделяются на однопользовательские и многопользовательские.
По разграничению прав доступа пользователей ИСПДн подразделяются на
системы без разграничения прав доступа и системы с разграничением прав
доступа.
ИСПДн в зависимости от местонахождения их технических средств
подразделяются на системы, все технические средства которых находятся в
пределах Российской Федерации, и системы, технические средства которых
частично или целиком находятся за пределами Российской Федерации.
БАЗОВАЯ МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ
ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ
ПЕРСОНАЛЬНЫХ ДАННЫХ
В зависимости от технологий, состава и характеристик технических средств
ИСПДн, а также опасности реализации УБПДн и наступления последствий
в результате несанкционированного или случайного доступа можно выделит
следующие типы ИСПДн:
автоматизированные рабочие места, не имеющие подключение к сетям связи
общего пользования и (или) сетям международного информационного
обмена;
автоматизированные рабочие места, имеющие подключение к сетям вязи
общего пользования и (или) сетям международного информационного
обмена;
локальные ИСПДн, не имеющие подключение к сетям связи общего
пользования и (или) сетям международного информационного обмена;
локальные ИСПДн, имеющие подключение к сетям связи общего пользования и
(или) сетям международного информационного обмена;
распределенные ИСПДн, не имеющие подключение к сетям связи общего
пользования и (или) сетям международного информационного обмена;
распределенные ИСПДн, имеющие подключение к сетям связи общего
пользования и (или) сетям международного информационного обмена.
Информационные системы
Локальные
информационные
системы
Автономные
- без подключения к
ССОП или СМИО
- с подключением к
ССОП или СМИО
- без подключения к
ССОП или СМИО
- с подключением к
ССОП или СМИО
АРМ
Распределенные
информационные
системы
- без подключения к
ССОП или СМИО
- с подключением к
ССОП или СМИО
Перечень типовых угроз для автономного АРМ
Угрозы утечки по техническим каналам:
угрозы утечки акустической (речевой) информации;
угрозы утечки видовой информации;
угрозы утечки информации по каналу ПЭМИН.
Угрозы НСД в автономном АРМ:
угрозы, реализуемые в ходе загрузки операционной системы и
направленные на перехват паролей или идентификаторов, модификацию
базовой системы ввода/вывода (BIOS), перехват управления загрузкой;
угрозы, реализуемые после загрузки операционной системы и
направленные на выполнение несанкционированного доступа с применением
стандартных функций (уничтожение, копирование, перемещение,
форматирование носителей информации и т.п.) операционной системы или
какой-либо прикладной программы (например, системы управления базами
данных), с применением специально созданных для выполнения НСД
программ (программ просмотра и модификации реестра, поиска текстов в
текстовых файлах и т.п.);
угрозы внедрения вредоносных программ.
Перечень типовых угроз для ЛВС (в части НСД)
угрозы «Анализа сетевого трафика» с перехватом передаваемой и
принимаемой в ИСПДн информации;
угрозы сканирования, направленные на выявление типа или типов
используемых операционных систем, сетевых адресов рабочих
станций ИСПДн, топологии сети, открытых портов и служб,
открытых соединений и др.;
угрозы внедрения ложного объекта как в ИСПДн, так и во внешних
сетях;
угрозы подмены доверенного объекта;
угрозы навязывания ложного маршрута путем несанкционированного
изменения маршрутно-адресных данных как внутри сети, так и во
внешних сетях;
угрозы выявления паролей;
угрозы типа «Отказ в обслуживании»;
угрозы удаленного запуска приложений;
угрозы внедрения по сети вредоносных программ
Алгоритм определения актуальных угроз
- сопоставить свою ИСПДн с типовой,
приведенной в пункте 6 «Базовой модели угроз…»;
- составить перечень потенциальных угроз;
- добавить в перечень угрозы не предусмотренные
«Базовой моделью угроз…»;
- детализировать угрозы применительно к
конкретным условиям;
- в соответствии с «Методикой определения
актуальных угроз…» в отношении каждой
угрозы определяется ее актуальность
МЕТОДИКА ОПРЕДЕЛЕНИЯ
АКТУАЛЬНЫХ УГРОЗ
БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ
ДАННЫХ ПРИ ИХ ОБРАБОТКЕ
В ИНФОРМАЦИОННЫХ СИСТЕМАХ
ПЕРСОНАЛЬНЫХ ДАННЫХ
В соответствии с пунктом 1 части 2 статьи 19 Федерального
закона «О персональных данных» оператором определяются
угрозы безопасности персональных данных при их обработке
в информационных системах.
Актуальные угрозы безопасности информации определяются
по результатам оценки возможностей внешних и внутренних
нарушителей, анализа возможных уязвимостей
информационной системы, возможных способов реализации
угроз безопасности информации и последствий от нарушения
свойств безопасности информации: конфиденциальности,
целостности, доступности.
Методика предназначена для использования при проведении
работ по обеспечению безопасности персональных данных
при их обработке в следующих автоматизированных
информационных системах персональных данных:
- государственные или муниципальные ИСПДн;
- ИСПДн, создаваемые и (или) эксплуатируемые предприятиями,
организациями и учреждениями (далее - организациями) независимо от
форм собственности, необходимые для выполнения функций этих
организаций в соответствии с их назначением;
- ИСПДн, создаваемые и используемые физическими лицами, за
исключением случаев, когда последние используют указанные системы
исключительно для личных и семейных нужд.
Документ предназначен для специалистов по обеспечению безопасности
информации,
руководителей
организаций
и
предприятий,
организующих и проводящих работы по обработке ПДн в ИСПДн.
МЕТОДИКА ОПРЕДЕЛЕНИЯ АКТУАЛЬНЫХ УГРОЗ
БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ
ПЕРСОНАЛЬНЫХ ДАННЫХ
Под угрозами безопасности ПДн при их обработке в
ИСПДн понимается совокупность условий и
факторов, создающих потенциальную или
реально существующую опасность, связанную с
утечкой информации и (или)
несанкционированными и (или)
непреднамеренными воздействиями на нее.
МЕТОДИКА ОПРЕДЕЛЕНИЯ АКТУАЛЬНЫХ УГРОЗ
БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ
ПЕРСОНАЛЬНЫХ ДАННЫХ
Угрозы безопасности ПДн могут быть реализованы
за счет утечки ПДн по техническим каналам
(технические каналы утечки информации,
обрабатываемой в ЭВМ, технические каналы
перехвата информации при ее передаче по
каналам связи, технические каналы утечки
акустической (речевой) информации) либо за
счет несанкционированного доступа к базам
данных с использованием штатного или
специально разработанного программного
обеспечения.
МЕТОДИКА ОПРЕДЕЛЕНИЯ АКТУАЛЬНЫХ УГРОЗ
БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ
ПЕРСОНАЛЬНЫХ ДАННЫХ
Детальное описание угроз, связанных с утечкой ПДн по техническим
каналам, приведено в "Базовой модели угроз безопасности
персональных данных при их обработке в информационных
системах персональных данных".
Выявление технических каналов утечки ПДн осуществляется на основе
методических и нормативных документов ФСТЭК России.
Источниками угроз, реализуемых за счет несанкционированного доступа
к базам данных с использованием штатного или специально
разработанного программного обеспечения являются субъекты,
действия которых нарушают регламентируемые в ИСПДн правила
разграничения доступа к информации Этими субъектами могут
быть:
нарушитель (человек);
программно-аппаратная закладка.
ПОРЯДОК ОПРЕДЕЛЕНИЯ АКТУАЛЬНЫХ УГРОЗ
БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ
ПЕРСОНАЛЬНЫХ ДАННЫХ
Актуальной считается угроза, которая может
быть реализована в ИСПДн и представляет
опасность для ПДн.
Для оценки возможности реализации угрозы
применяются два показателя:
1. уровень исходной защищенности ИСПДн
2. частота (вероятность) реализации
рассматриваемой угрозы
Под уровнем исходной
защищенности ИСПДн понимается
обобщенный показатель,
зависящий от технических и
эксплуатационных характеристик
ИСПн.
Показатели исходной защищенности ИСПДн
Технические и эксплуатационные
характеристики ИСПДн
1. По территориальному размещению:
- распределенная ИСПДн, которая охватывает
несколько областей, краев, округов или
государство в целом;
- городская ИСПДн, охватывающая не более
одного населенного пункта (города, поселка);
- корпоративная распределенная ИСПДн,
охватывающая многие подразделения одной
организации;
- локальная (кампусная) ИСПДн, развернутая в
пределах нескольких близко расположенных
зданий;
- локальная ИСПДн, развернутая в пределах
одного здания.
2. По наличию соединения с сетями общего
пользования:
- ИСПДн, имеющая многоточечный выход в
сеть общего пользования;
- ИСПДн, имеющая одноточечный выход в сеть
общего пользования;
- ИСПДн, физически отделенная от сети общего
пользования.
Высокий
Уровень защищенности
Средний
Низкий
-
-
+
-
-
+
-
+
-
-
+
-
+
-
-
-
-
+
-
+
-
+
-
-
Показатели исходной защищенности ИСПДН
3. По встроенным (легальным) операциям с записями баз персональных
данных:
- чтение, поиск;
- запись, удаление, сортировка;
- модификация, передача.
4. По разграничению доступа к персональным данным:
- ИСПДн, к которой имеет доступ определенный перечень сотрудников
организации, являющейся владельцем ИСПДн, либо субъект ПДн;
- ИСПДн, к которой имеют доступ все сотрудники организации,
являющейся владельцем ИСПДн;
- ИСПДн с открытым доступом.
5. По наличию соединений с другими базами ПДн иных ИСПДн:
- интегрированная ИСПДн (организация использует несколько баз ПДн
ИСПДн, при этом организация не является владельцем всех
используемых баз ПДн);
- ИСПДн, в которой используется одна база ПДн, принадлежащая
организации - владельцу данной ИСПДн.
6. По уровню обобщения (обезличивания) ПДн:
- ИСПДн, в которой предоставляемые пользователю данные являются
обезличенными (на уровне организации, отрасли,области, региона и т.д.);
- ИСПДн, в которой данные обезличиваются только при передаче в
другие организации и не обезличены при предоставлении пользователю в
организации;
- ИСПДн, в которой предоставляемые пользователю данные не являются
обезличенными (т.е. присутствует информация, позволяющая
идентифицировать субъекта ПДн).
+
-
+
-
+
-
+
-
-
-
+
-
-
+
-
-
+
+
-
+
-
-
-
+
-
-
-
+
Показатели исходной защищенности ИСПДН
7. По объему ПДн, которые предоставляются
сторонним пользователям ИСПДн без
предварительной обработки:
- ИСПДн, предоставляющая всю БД с ПДн;
- ИСПДн, предоставляющая часть ПДн;
- ИСПДн, не предоставляющие никакой
информации.
+
+
-
+
-
Показатели исходной защищенности ИСПДн
Технические и эксплуатационные
характеристики ИСПДн
1. По территориальному размещению:
- распределенная ИСПДн, которая охватывает
несколько областей, краев, округов или
государство в целом;
- городская ИСПДн, охватывающая не более
одного населенного пункта (города, поселка);
- корпоративная распределенная ИСПДн,
охватывающая многие подразделения одной
организации;
- локальная (кампусная) ИСПДн, развернутая в
пределах нескольких близко расположенных
зданий;
- локальная ИСПДн, развернутая в пределах
одного здания.
2. По наличию соединения с сетями общего
пользования:
- ИСПДн, имеющая многоточечный выход в
сеть общего пользования;
- ИСПДн, имеющая одноточечный выход в сеть
общего пользования;
- ИСПДн, физически отделенная от сети общего
пользования.
Высокий
Уровень защищенности
Средний
Низкий
-
-
+
-
-
+
-
+
-
-
+
-
+
-
-
-
-
+
-
+
-
+
-
-
Показатели исходной защищенности ИСПДН
3. По встроенным (легальным) операциям с записями баз персональных
данных:
- чтение, поиск;
- запись, удаление, сортировка;
- модификация, передача.
4. По разграничению доступа к персональным данным:
- ИСПДн, к которой имеет доступ определенный перечень сотрудников
организации, являющейся владельцем ИСПДн, либо субъект ПДн;
- ИСПДн, к которой имеют доступ все сотрудники организации,
являющейся владельцем ИСПДн;
- ИСПДн с открытым доступом.
5. По наличию соединений с другими базами ПДн иных ИСПДн:
- интегрированная ИСПДн (организация использует несколько баз ПДн
ИСПДн, при этом организация не является владельцем всех
используемых баз ПДн);
- ИСПДн, в которой используется одна база ПДн, принадлежащая
организации - владельцу данной ИСПДн.
6. По уровню обобщения (обезличивания) ПДн:
- ИСПДн, в которой предоставляемые пользователю данные являются
обезличенными (на уровне организации, отрасли,области, региона и т.д.);
- ИСПДн, в которой данные обезличиваются только при передаче в
другие организации и не обезличены при предоставлении пользователю в
организации;
- ИСПДн, в которой предоставляемые пользователю данные не являются
обезличенными (т.е. присутствует информация, позволяющая
идентифицировать субъекта ПДн).
+
-
+
-
+
-
+
-
-
-
+
-
-
+
-
-
+
+
-
+
-
-
-
+
-
-
-
+
Показатели исходной защищенности ИСПДН
7. По объему ПДн, которые предоставляются
сторонним пользователям ИСПДн без
предварительной обработки:
- ИСПДн, предоставляющая всю БД с ПДн;
- ИСПДн, предоставляющая часть ПДн;
- ИСПДн, не предоставляющие никакой
информации.
+
+
-
+
-
Исходная степень защищенности определяется
следующим образом
1. ИСПДн имеет высокий уровень исходной защищенности, еcли не менее
70% характеристик ИСПДн соответствуют уровню «высокий»
(суммируются положительные решения по первому столбцу
соответствующему высокому уровню защищенности), а остальные –
среднему уровню защищенности (положительные решения по второму
столбцу).
2. ИСПДн имеет средний уровень исходной защищенности, если не
выполняются условия по пункту 1 и не менее 70% характеристик ИСПДн
соответствуют уровню не ниже "средний" (берется отношение суммы
положительные решений по второму столбцу, соответствующему среднему
уровню защищенности, к общему количеству решений), а остальные низкому уровню защищенности.
3. ИСПДн имеет низкую степень исходной защищенности, если не
выполняется условия по пунктам 1 и 2.
При составлении перечня актуальных угроз безопасности
ПДн каждой степени исходной защищенности ставится в
соответствие числовой коэффициент
Y1
0 - для высокой степени исходной
защищенности;
5 - для средней степени исходной
защищенности;
10 - для низкой степени исходной
защищенности.
Возможность реализации угроз безопасности
персональных данных, обрабатываемых в ИСПДн
Угрозы
Y1
угрозы утечки акустической
(речевой) информации
5
угрозы утечки информации по
каналу ПЭМИН
5
угрозы «Анализа сетевого
трафика» с перехватом
передаваемой по сети
информации
5
Y2
Y=(Y1+Y2)
/20
Под частотой (вероятностью) реализации
угрозы понимается определяемый
экспертным путем показатель,
характеризующий, насколько вероятным
является реализация конкретной угрозы
безопасности ПДн для данной ИСПДн в
складывающихся условиях обстановки.
Вводятся четыре вербальных градации
вероятности реализации угрозы:
маловероятно - отсутствуют объективные предпосылки для осуществления
угрозы (например, угроза хищения носителей информации лицами, не
имеющими легального доступа в помещение, где последние хранятся)
низкая вероятность - объективные предпосылки для реализации угрозы
существуют, но принятые меры существенно затрудняют ее реализацию
(например, использованы соответствующие средства защиты информации)
средняя вероятность - объективные предпосылки для реализации угрозы
существуют, но принятые меры обеспечения безопасности ПДн
недостаточны
высокая вероятность - объективные предпосылки для реализации угрозы
существуют и меры по обеспечению безопасности ПДн не приняты
При составлении перечня актуальных угроз безопасности
ПДн каждой градации вероятности возникновения угрозы
ставится в соответствие числовой коэффициент
Y2
0 - для маловероятной угрозы;
2 - для низкой вероятности угрозы;
5 - для средней вероятности угрозы;
10 - для высокой вероятности угрозы.
Возможность реализации угроз безопасности
персональных данных, обрабатываемых в ИСПДн
Коэффициент реализуемости угрозы
Угрозы
Y1
Y2
угрозы утечки акустической
(речевой) информации
5
угрозы утечки информации по
каналу ПЭМИН
5
2
угрозы «Анализа сетевого трафика»
с перехватом передаваемой по сети
информации
5
10
Y=(Y1+Y2)/ Возможность
20
реализации
Коэффициент реализуемости угрозы
определяется соотношением
Y=(Y1+Y2)/20
Возможность реализации угроз безопасности
персональных данных, обрабатываемых в ИСПДн
Коэффициент реализуемости угрозы
Угрозы
Y1
Y2
Y=(Y1+Y2)/ Возможность
20
реализации
угрозы утечки акустической
(речевой) информации
5
0,25
угрозы утечки информации по
каналу ПЭМИН
5
2
0,35
угрозы «Анализа сетевого трафика»
с перехватом передаваемой по сети
информации
5
10
0,75
По значению коэффициента реализуемости угрозы
Y формируется вербальная (словесная)
интерпретация реализуемости угрозы
0 < Y ≤ 0,3 - возможность реализации угрозы
низкая;
0,3 < Y ≤ 0,6 - возможность реализации угрозы
средняя;
0,6 < Y ≤ 0,8 - возможность реализации угрозы
высокая;
Y > 0,8 - возможность реализации угрозы
очень высокая.
Возможность реализации угроз безопасности
персональных данных, обрабатываемых в ИСПДн
Коэффициент реализуемости угрозы
Угрозы
Y1
Y2
Y=(Y1+Y2)/ Возможность
20
реализации
угрозы
угрозы утечки акустической
(речевой) информации;
5
0,25
низкая
угрозы утечки информации по
каналу ПЭМИН,
5
2
0,35
средняя
угрозы «Анализа сетевого трафика»
с перехватом передаваемой по сети
информации;
5
10
0,75
высокая
При оценке опасности на основе опроса экспертов
(специалистов в области защиты информации)
определяется вербальный показатель опасности для
рассматриваемой ИСПДн.
Этот показатель имеет три значения:
низкая опасность - если реализация угрозы может привести к
незначительным негативным последствиям для субъектов персональных
данных;
средняя опасность - если реализация угрозы может привести к негативным
последствиям для субъектов персональных данных;
высокая опасность - если реализация угрозы может привести к
значительным негативным последствиям для субъектов персональных
данных.
Правила отнесения угрозы безопасности
ПДн к актуальной
Возможность
реализации
угрозы
(вербальная)
Показатель опасности угрозы
(вербальный)
Низкая
Средняя
Высокая
Низкая
неактуальная неактуальная
актуальная
Средняя
неактуальная
актуальная
актуальная
Высокая
актуальная
актуальная
актуальная
Очень высокая
актуальная
актуальная
актуальная
ПРИМЕР ОФОРМЛЕНИЯ РЕЗУЛЬТАТОВ
Угрозы утечки
информации по
техническим
каналам и за
счёт НСД
Уровен
ь
исходн
ой
защищ
ённост
и (Y1)
Вероятность реализации угрозы (Y2)
Малая
вероятн
ость
(0)
Утечка
информации по
каналу ПЭМИН
5
Утечка речевой
информации
5
угрозы «Анализа
сетевого
трафика»
Низка
я
вероят
ность
(2)
Средн
яя
вероят
ность
(5)
Высокая
вероятнос
ть (10)
Коэффиц
иент
реализуем
ости
угрозы
Y=(Y1+Y2
)/20
Возможно
сть
реализац
ии угрозы
Показатель
опасности угрозы
(определяется на
основе опроса
специалистов в
области ЗИ)
Низ
кая
опа
снос
ть
Сре
дня
я
опа
снос
ть
Высо
кая
опасн
ость
Выв
од
об
акт
уал
ьно
сти
угро
зы
0,35
2
средняя
0.25
низкая
да
нет
да
нет
0,75
5
10
высокая
да
да
Спасибо за внимание
Лицензирование деятельности по
технической защите
конфиденциальной информации.
ОБЩАЯ КЛАССИФИКАЦИЯ МЕТОДОВ ОБЕСПЕЧЕНИЯ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Правовые
Лицензирование
Сертификация
СЗИ
Аттестация
ОИ
Организационнотехнические
Разработка и внедрение
технических решений по
защите информации
Решения по
защите
информаци
и от утечки
по
техническим
каналам
Решения по
защите
информаци
и от НСД к
ней
Экономические
Разработка и применение
средств защиты
информации
Средства
защиты
информации
от утечки по
техническим
каналам
Средства
защиты
информаци
и от НСД
к ней
ЛИЦЕНЗИРУЕМЫЙ ВИД
ДЕЯТЕЛЬНОСТИ –
вид деятельности, на осуществление
которого на территории Российской
Федерации требуется получение
лицензии в соответствии с
Федеральным законом;
ТЕХНИЧЕСКАЯ ЗАЩИТА КОНФИДЕНЦИАЛЬНОЙ
ИНФОРМАЦИИ
Лицензирование деятельности по технической
защите конфиденциальной информации является
государственной функцией, исполняемой ФСТЭК
России, и представляет собой мероприятия,
связанные с предоставлением лицензий на
осуществление деятельности по технической защите
конфиденциальной информации, переоформлением
документов, подтверждающих наличие лицензий,
приостановлением действия лицензий в случае
административного приостановления деятельности
лицензиатов за нарушение лицензионных требований
и условий, возобновлением или прекращением
действия лицензий, аннулированием лицензий,
контролем за соблюдением лицензиатами
соответствующих лицензионных требований и
условий, ведением реестров лицензий, а также с
предоставлением в установленном порядке
заинтересованным лицам сведений из реестров
лицензий и иной информации о лицензировании.
ЗАКОНОДАТЕЛЬНАЯ БАЗА ЛИЦЕНЗИРОВАНИЯ ДЕЯТЕЛЬНОСТИ ПО
ТЕХНИЧЕСКОЙ ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ
1. ФЗ №
149-ФЗ, 27 июля 2006г.
"Об информации, информационных технологиях и о защите информации"
2. ФЗ N
152-ФЗ, 27 июля 2006 г.
"О персональных данных"
3. ФЗ N
126-ФЗ, 07 июля 2006 г. (редакция №153-ФЗ от 27 июля 2006г.)
"О связи"
4. ФЗ N
99-ФЗ,
04 мая 2011 г.
«О лицензировании отдельных видов деятельности»
5. Указ Президента Российской Федерации от 6 марта 1997года №188
«Об утверждении перечня сведений конфиденциального характера»
ЗАКОНОДАТЕЛЬНАЯ БАЗА ЛИЦЕНЗИРОВАНИЯ ДЕЯТЕЛЬНОСТИ ПО
ТЕХНИЧЕСКОЙ ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ
6. Постановление Правительства РФ от 26 января 2006 г. №
45
«Об организации лицензирования отдельных видов деятельности»
7. Постановление Правительства РФ от 03 февраля 2012г. №
79
«О лицензировании деятельности по технической защите конфиденциальной
информации»
8. Постановление Правительства РФ от 3 марта 2012 г. №171
«Об утверждении положения о лицензировании деятельности по разработке и
(или) производству средств защиты конфиденциальной информации»
ЗАКОНОДАТЕЛЬНАЯ БАЗА ЛИЦЕНЗИРОВАНИЯ ДЕЯТЕЛЬНОСТИ ПО
ТЕХНИЧЕСКОЙ ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ
«Административный регламент Федеральной службы по техническому и
экспортному контролю по исполнению государственной функции по
лицензированию деятельности по технической защите конфиденциальной
информации»
(утв.приказом Федеральной службы по техническому и экспортному
контролю от 28 августа 2007 г. №
181)
Административный регламент Федеральной службы по техническому и
экспортному контролю по исполнению государственной функции по
лицензированию деятельности по разработке и (или) производству средств
защиты конфиденциальной информации
(утв.приказом Федеральной службы по техническому и экспортному
контролю от 28 августа 2007 г. №
182)
РАБОТЫ И УСЛУГИ, ЛИЦЕНЗИРУЕМЫЕ
ФСТЭК РОССИИ В ОБЛАСТИ ЗАЩИТЫ
КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ
ДЕЯТЕЛЬНОСТЬ ПО ТЕХНИЧЕСКОЙ ЗАЩИТЕ
КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ
ДЕЯТЕЛЬНОСТЬ ПО РАЗРАБОТКЕ И (ИЛИ) ПРОИЗВОДСТВУ
СРЕДСТВ ЗАЩИТЫ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ
Лицензированию подлежат следующие виды
работ и услуг
а) контроль защищенности конфиденциальной информации от
утечки по техническим каналам в:
средствах и системах информатизации;
технических средствах (системах), не обрабатывающих
конфиденциальную информацию, но размещенных в помещениях, где она
обрабатывается;
помещениях со средствами (системами), подлежащими защите;
помещениях, предназначенных для ведения конфиденциальных
переговоров (далее - защищаемые помещения);
б) контроль защищенности конфиденциальной информации от
несанкционированного доступа и ее модификации в средствах и
системах информатизации;
в) сертификационные испытания на соответствие требованиям по
безопасности информации продукции, используемой в целях защиты
конфиденциальной информации (технических средств защиты
информации, защищенных технических средств обработки информации,
технических средств контроля эффективности мер защиты информации,
программных (программно-технических) средств защиты информации,
защищенных программных (программно-технических) средств обработки
информации, программных (программно-технических) средств контроля
защищенности информации);
Лицензированию подлежат следующие виды
работ и услуг
г) аттестационные испытания и аттестация на соответствие
требованиям по защите информации:
средств и систем информатизации;
помещений со средствами (системами) информатизации,
подлежащими защите;
защищаемых помещений;
д) проектирование в защищенном исполнении:
средств и систем информатизации;
помещений со средствами (системами) информатизации,
подлежащими защите;
защищаемых помещений;
е) установка, монтаж, испытания, ремонт средств защиты
информации (технических средств защиты информации, защищенных
технических средств обработки информации, технических средств
контроля эффективности мер защиты информации, программных
(программно-технических) средств защиты информации, защищенных
программных (программно-технических) средств обработки информации,
программных (программно-технических) средств контроля защищенности
информации).
При осуществлении деятельности по разработке и производству
средств защиты конфиденциальной информации лицензированию
подлежат следующие виды работ
а) разработка средств защиты конфиденциальной информации, в том числе:
технических средств защиты информации;
защищенных технических средств обработки информации;
технических средств контроля эффективности мер защиты информации;
программных (программно-технических) средств защиты информации;
защищенных программных (программно-технических) средств обработки
информации;
программных (программно-технических) средств контроля защищенности
информации;
б) производство средств защиты конфиденциальной информации, в том числе:
технических средств защиты информации;
защищенных технических средств обработки информации;
технических средств контроля эффективности мер защиты информации;
программных (программно-технических) средств защиты информации;
защищенных программных (программно-технических) средств обработки
информации;
программных (программно-технических) средств контроля защищенности
информации.
ТЕХНИЧЕСКАЯ ЗАЩИТА КОНФИДЕНЦИАЛЬНОЙ
ИНФОРМАЦИИ
Под технической защитой конфиденциальной информации
понимается выполнение работ и (или) оказание услуг по ее защите от
несанкционированного доступа, от утечки по техническим каналам, а
также от специальных воздействий на такую информацию в целях ее
уничтожения, искажения или блокирования доступа к ней.
(Постановление Правительства Российской Федерации от 03 февраля
2012г. № 79)
Обязательным является соблюдение конфиденциальности
информации,
доступ к которой ограничен федеральными законами.
(ст. 9,п.2 ФЗ № 149)
Общие принципы лицензирования в области защиты
конфиденциальной информации
Обеспечение единства экономического пространства на территории Российской
Федерации (лицензия действует на всей территории Российской Федерации).
Заявительный принцип получения лицензии (принцип «одного окна»).
Гласность и открытость лицензирования.
Соблюдение законности при осуществлении лицензирования.
Установление лицензионных требований и условий положениями о
лицензировании конкретных видов деятельности.
Лицензии выдаются конкретным юридическим лицам (индивидуальным
предпринимателям, образовавшим ПБОЮЛ).
Лицензии выдаются только юридическим лицам (индивидуальным
предпринимателям), зарегистрированным на территории Российской Федерации.
Передача лицензии другим юридическим лицам (предпринимателям)
запрещена.
Лицензия бессрочная.
Лицензирование осуществляется на платной основе.
Выданная лицензия может быть приостановлена или аннулирована.
ТЕХНИЧЕСКАЯ ЗАЩИТА КОНФИДЕНЦИАЛЬНОЙ
ИНФОРМАЦИИ
Требования о защите информации, содержащейся
в государственных информационных системах,
устанавливаются
федеральным органом исполнительной власти в
области обеспечения безопасности и
федеральным органом исполнительной власти,
уполномоченным в области противодействия
техническим разведкам и технической защиты
информации,
в пределах их полномочий.
ЛИЦЕНЗИОННЫЕ ТРЕБОВАНИЯ:
юридического лица - специалистов, находящихся в штате
соискателя лицензии, имеющих высшее профессиональное образование
в области технической защиты информации либо высшее техническое
или среднее профессиональное (техническое) образование и
прошедших переподготовку или повышение квалификации по вопросам
технической защиты информации;
индивидуального предпринимателя - высшего профессионального
образования в области технической защиты информации либо высшего
технического или среднего профессионального (технического)
образования при условии прохождения им переподготовки или
повышения квалификации по вопросам технической защиты
информации
(Постановление Правительства РФ от 03 февраля 2012г. № 79)
ЛИЦЕНЗИОННЫЕ ТРЕБОВАНИЯ:
наличие помещений для осуществления
лицензируемого вида
деятельности, соответствующих установленным
законодательством
Российской Федерации техническим нормам и
требованиям по
технической защите информации и принадлежащих
соискателю лицензии
на праве собственности или на ином законном основании
(Постановление Правительства РФ от 03 февраля 2012г. № 79)
ЛИЦЕНЗИОННЫЕ ТРЕБОВАНИЯ:
наличие на праве собственности или на ином
законном основании контрольно-измерительного
оборудования (прошедшего в соответствии с
законодательством Российской Федерации
метрологическую поверку (калибровку) и
маркирование),производственного и испытательного
оборудования, соответствующего требованиям по
техническим характеристикам и параметрам,
устанавливаемым Федеральной службой по техническому и
экспортному контролю (при выполнении работ и (или)
оказании услуг, предусмотренных подпунктами "а", "в",
"г" и "е" пункта 4 настоящего Положения)
(Постановление Правительства РФ от 03 февраля 2012г. № 79)
ЛИЦЕНЗИОННЫЕ ТРЕБОВАНИЯ И УСЛОВИЯ:
наличие на праве собственности или на ином
законном основании средств контроля
защищенности информации от
несанкционированного доступа,
сертифицированных по требованиям
безопасности информации, в соответствии с
перечнем, утверждаемым Федеральной службой по
техническому и экспортному контролю (при
выполнении работ и (или) оказании услуг,
предусмотренных подпунктами "б", "в" и "г"
пункта 4 настоящего Положения)
ЛИЦЕНЗИОННЫЕ ТРЕБОВАНИЯ И УСЛОВИЯ:
наличие автоматизированных систем, предназначенных
для обработки конфиденциальной информации, а также
средств защиты такой информации, прошедших
процедуру оценки соответствия
(аттестованных и (или) сертифицированных по
требованиям безопасности информации) в соответствии с
законодательством Российской Федерации
ЛИЦЕНЗИОННЫЕ ТРЕБОВАНИЯ:
наличие предназначенных для осуществления
лицензируемого вида деятельности
программ для электронно-вычислительных машин и баз
данных,
принадлежащих соискателю лицензии на праве
собственности или на ином законном основании
ЛИЦЕНЗИОННЫЕ ТРЕБОВАНИЯ:
наличие
технической документации, национальных
стандартов и методических документов,
необходимых для выполнения работ и (или)
оказания услуг, предусмотренных пунктом 4
настоящего Положения, в соответствии с
утверждаемым Федеральной службой по
техническому и экспортному контролю перечнем
и принадлежащих соискателю лицензии на праве
собственности или на ином законном основании
ЛИЦЕНЗИОННЫЕ ТРЕБОВАНИЯ:
наличие системы производственного контроля в
соответствии с установленными стандартами (при
выполнении работ, указанных в подпункте "в"
пункта 4 настоящего Положения)
Для получения лицензии соискатель лицензии
направляет или представляет в лицензирующий
орган следующие документы
а) заявление о предоставлении лицензии, документы (копии
документов), предусмотренные пунктами 1, 3 и 4 части 3 статьи 13
Федерального закона "О лицензировании отдельных видов
деятельности";
б) копии документов, подтверждающих квалификацию специалистов по защите
информации (дипломов, удостоверений, свидетельств);
в) копии правоустанавливающих документов на помещения, предназначенные
для осуществления лицензируемого вида деятельности, права на которые не
зарегистрированы в Едином государственном реестре прав на недвижимое имущество и
сделок с ним (в случае, если такие права зарегистрированы в указанном реестре, сведения об этих помещениях);
г) копии технических паспортов и аттестатов соответствия защищаемых помещений
требованиям безопасности информации;
д) копии технических паспортов автоматизированных систем, предназначенных для
хранения и обработки конфиденциальной информации (с приложениями),
актов классификации автоматизированных систем по требованиям безопасности
информации, планов размещения основных и вспомогательных технических средств и
систем, аттестатов соответствия автоматизированных систем требованиям
безопасности информации или сертификатов соответствия автоматизированных систем
требованиям безопасности информации, а также перечень защищаемых в
автоматизированных системах ресурсов, описание технологического процесса обработки
информации в автоматизированных системах;
Для получения лицензии соискатель лицензии
направляет или представляет в лицензирующий
орган следующие документы
е) копии документов, подтверждающих право соискателя лицензии на программы для
электронно-вычислительных машин и базы данных, планируемые к использованию при
осуществлении лицензируемого вида деятельности;
ж) документы, содержащие сведения о наличии контрольно-измерительного,
производственного и испытательного оборудования, средств защиты информации и
средств контроля защищенности информации, необходимых для осуществления
лицензируемого вида деятельности, с приложением копий документов о поверке
(калибровке) и маркировании контрольно-измерительного оборудования, а также
документов, подтверждающих права соискателя лицензии на использование указанного
оборудования, средств защиты информации и средств контроля защищенности
информации;
з) документы, содержащие сведения об имеющихся технической документации,
национальных стандартах и методических документах, необходимых для выполнения
работ и (или) оказания услуг, предусмотренных пунктом 4 настоящего Положения;
и) копии документов, подтверждающих наличие необходимой системы
производственного контроля в соответствии с установленными стандартами (при
выполнении работ, указанных в подпункте "в" пункта 4 настоящего Положения)
Документы (копии документов), указанные в подпунктах "б" - "и" пункта 8 настоящего
Положения, подписываются (заверяются) соискателем лицензии
Лицензионными требованиями, предъявляемыми к соискателю
лицензии на осуществление деятельности по разработке и
производству средств защиты конфиденциальной информации
являются
а) наличие в штате у соискателя лицензии не менее 2 специалистов, имеющих высшее
профессиональное образование в области технической защиты информации либо высшее
техническое или среднее профессиональное (техническое) образование и прошедших
переподготовку или повышение квалификации по вопросам разработки и (или)
производства средств защиты информации;
б) наличие помещений для осуществления лицензируемого вида деятельности,
соответствующих требованиям технической и технологической документации,
национальных стандартов и методических документов в области защиты информации и
принадлежащих соискателю лицензии на праве собственности или на ином законном
основании;
в) наличие на праве собственности или на ином законном основании необходимого для
осуществления лицензируемого вида деятельности контрольно-измерительного
оборудования (прошедшего в соответствии с законодательством Российской Федерации
метрологическую поверку (калибровку) и маркирование), производственного и
испытательного оборудования;
г) наличие предназначенных для осуществления лицензируемого вида деятельности
программ (в том числе программных средств разработки средств защиты
конфиденциальной информации) для электронно-вычислительных машин и баз данных,
принадлежащих соискателю лицензии на праве собственности или на ином законном
основании;
Лицензионными требованиями, предъявляемыми к соискателю
лицензии на осуществление деятельности по разработке и
производству средств защиты конфиденциальной информации
являются
д) наличие принадлежащих соискателю лицензии на праве собственности или на ином
законном основании технической и технологической документации, документации,
содержащей национальные стандарты, и методических документов, необходимых для
осуществления лицензируемого вида деятельности, в соответствии с утверждаемым
Федеральной службой по техническому и экспортному контролю перечнем;
е) наличие системы производственного контроля, включающей правила и процедуры
проверки и оценки системы разработки средств защиты конфиденциальной информации,
учета изменений, вносимых в проектную и конструкторскую документацию на
разрабатываемую продукцию (при выполнении работ, предусмотренных подпунктом "а"
пункта 3 настоящего Положения);
ж) наличие системы производственного контроля, включающей правила и процедуры
проверки и оценки системы производства средств защиты конфиденциальной информации,
оценки качества выпускаемой продукции и неизменности установленных параметров, учета
изменений, вносимых в техническую и конструкторскую документацию на производимую
продукцию, учета готовой продукции (при выполнении работ, предусмотренных подпунктом
"б" пункта 3 настоящего Положения).
Форма
заявления о предоставлении лицензии юридическому лицу
Бланк
юридического лица
В Федеральную службу
по техническому и экспортному контролю
Заявление
о предоставлении лицензии юридическому лицу
Прошу предоставить ______________________________________________________
_________________________________________________________________________
(указываются полное и (в случае, если имеется) сокращенное наименование,
в том числе фирменное наименование, и организационно-правовая форма
юридического лица)
лицензию на осуществление _______________________________________________
(указывается лицензируемый вид деятельности:
деятельность по технической защите конфиденциальной
информации либо деятельность по разработке и (или)
производству средств защиты конфиденциальной
информации)
Место нахождения:________________________________________________________
(указывается адрес места нахождения юридического лица)
Адрес для переписки:_____________________________________________________
(указываются почтовый адрес юридического лица и адрес
электронной почты (при наличии)
Адреса мест осуществления лицензируемого вида деятельности: ______________
_________________________________________________________________________
(указываются адреса мест осуществления лицензируемого вида деятельности)
Основной государственный регистрационный номер записи о государственной
регистрации юридического лица (ОГРН)_____________________________________
Данные документа, подтверждающего факт внесения сведений о юридическом
лице в единый государственный реестр юридических лиц_____________________
_________________________________________________________________________
(указываются наименование, серия и номер, дата выдачи документа,
подтверждающего факт внесения сведений о юридическом лице в единый
государственный реестр юридических лиц, наименование и адрес места
нахождения органа, осуществившего государственную регистрацию
юридического лица)
Идентификационный номер налогоплательщика (ИНН) _________________________
Данные документа, подтверждающего факт постановки юридического лица на
учет в налоговом органе _________________________________________________
_________________________________________________________________________
(указываются наименование, серия и номер, дата выдачи документа,
подтверждающего факт постановки юридического лица на учет в налоговом
органе, наименование и адрес места нахождения налогового органа,
осуществившего постановку на налоговый учет)
Работник, уполномоченный по вопросам лицензирования _____________________
_________________________________________________________________________
(указываются наименование должности, фамилия, имя, отчество, телефон,
адрес электронной почты (при наличии) работника)
Приложение: 1. Копии учредительных документов (с представлением
оригиналов в случае если верность копий не
засвидетельствована в нотариальном порядке).
2. Документ, подтверждающий уплату государственной пошлины за
рассмотрение заявления о предоставлении лицензии.
3. Сведения и копии документов, перечень которых определен
положением о лицензировании конкретного вида деятельности.
Наименование должности
руководителя юридического лица (подпись, печать) (инициалы, фамилия)
Форма
заявления о предоставлении лицензии индивидуальному предпринимателю
В Федеральную службу
по техническому и экспортному контролю
Заявление
о предоставлении лицензии
индивидуальному предпринимателю
Прошу предоставить ______________________________________________________
_________________________________________________________________________
(указывается фамилия, имя и (в случае, если имеется) отчество
индивидуального предпринимателя, данные документа, удостоверяющего
его личность)
лицензию на осуществление _______________________________________________
(указывается лицензируемый вид деятельности:
деятельность по технической защите конфиденциальной
информации либо деятельность по разработке и (или)
производству средств защиты конфиденциальной
информации)
Место жительства: _______________________________________________________
(указывается адрес места жительства индивидуального
предпринимателя)
Адрес для переписки: ____________________________________________________
(указываются почтовый адрес, адрес электронной почты
(при наличии), контактный телефон)
Адреса мест осуществления лицензируемого вида деятельности: _____________
_________________________________________________________________________
(указываются адреса мест осуществления лицензируемого вида деятельности
Основной государственный регистрационный номер записи о государственной
регистрации индивидуального предпринимателя (ОГРНИП) ____________________
Данные документа, подтверждающего факт внесения сведений об
индивидуальном предпринимателе в единый государственный реестр
индивидуальных предпринимателей _________________________________________
_________________________________________________________________________
(указываются наименование, серия и номер, дата выдачи документа,
подтверждающего факт внесения сведений об индивидуальном предпринимателе
в единый государственный реестр индивидуальных предпринимателей,
наименование и адрес места нахождения органа, осуществившего
государственную регистрацию индивидуального предпринимателя)
Идентификационный номер налогоплательщика (ИНН) _________________________
Данные документа, подтверждающего факт постановки индивидуального
предпринимателя на учет в налоговом органе ______________________________
_________________________________________________________________________
(указываются наименование, серия и номер, дата выдачи документа,
подтверждающего факт постановки индивидуального предпринимателя на учет
в налоговом органе, наименование и адрес места нахождения
налогового органа, осуществившего постановку на налоговый учет)
Приложение: 1. Документ, подтверждающий уплату государственной пошлины за
рассмотрение заявления о предоставлении лицензии.
2. Сведения и копии документов, перечень которых определен
положением о лицензировании конкретного вида деятельности.
(подпись, печать)
(инициалы, фамилия)
Лицензирующий орган в срок не
превышающий 45 суток с датой
получения документов, принимает решение
о выдаче или об отказе выдаче лицензии.
СРОК ДЕЙСТВИЯ ЛИЦЕНЗИИ
БЕСРОЧНО
и по его окончании может быть продлен по заявлению
лицензиата в порядке,
предусмотренном для переоформления
документа
Проверка выполнения лицензиатом
лицензионных требований и условий
осуществляется лицензирующим органом
в соответствии с
Федеральным законом
"О защите прав юридических лиц и
индивидуальных предпринимателей при
проведении государственного контроля
(надзора)"
официальный сайт
ФСТЭК России:
http://www.fstec.ru
РЕКВИЗИТЫ УПРАВЛЕНИЯ ФСТЭК РОССИИ ПО ПРИВОЛЖСКОМУ
ФЕДЕРАЛЬНОМУ ОКРУГУ
Для закрытой переписки:
Управление ФСТЭК России по Приволжскому
федеральному округу,
г. Нижний Новгород, проспект Гагарина, д. 60, к. 11;
Для открытой переписки:
Управление ФСТЭК России по Приволжскому
федеральному округу,
603104, г. Нижний Новгород, проспект Гагарина,
д. 60, корп. 11.
ФАКС:
439-68-74, 439-68-79;
ТЕЛЕФОН: 439-68-75, 439-68-76;
E-mail: fstec@mts-nn.ru
МОКЛЯКОВ
Виталий Александрович
Лицензирование отдельных видов деятельности
Во исполнение Федерального закона от 8 августа 2001 г. № 128-ФЗ «О
лицензировании отдельных видов деятельности» постановлением
Правительства Российской Федерации от 26 января 2006 г. № 45 «Об
организации лицензирования отдельных видов деятельности» на ФСБ
России также возложено лицензирование следующих видов деятельности:
1. разработка, производство, реализация и приобретение в целях продажи
специальных технических средств, предназначенных для негласного
получения информации, индивидуальными предпринимателями и
юридическими лицами, осуществляющими предпринимательскую
деятельность (Порядок лицензирования определяется постановлением
Правительства Российской Федерации от 15.07.2002 г. № 526 «Об
утверждении Положения о лицензировании деятельности по разработке,
производству, реализации и приобретению в целях продажи специальных
технических средств, предназначенных для негласного получения
информации, индивидуальными предпринимателями и юридическими
лицами, осуществляющими предпринимательскую деятельность»);
2. деятельность по выявлению электронных устройств, предназначенных
для негласного получения информации, в помещениях и технических
средствах (за исключением случая, если указанная деятельность
осуществляется для обеспечения собственных нужд юридического лица
или индивидуального предпринимателя) (Порядок лицензирования
определяется постановлением Правительства Российской Федерации от
22.10.2007 г. № 689 «Об утверждении Положения о лицензировании
деятельности по выявлению электронных устройств, предназначенных
для негласного получения информации, в помещениях и технических
средствах (за исключением случая, если указанная деятельность
осуществляется для обеспечения собственных нужд юридического лица
или индивидуального предпринимателя»);
3. деятельность по разработке и (или) производству средств защиты
конфиденциальной информации (Приказ ФСБ России от 1 апреля 2009 г.
№ 123 «Об утверждении Административного регламента Федеральной
службы безопасности Российской Федерации по исполнению
государственной функции по лицензированию деятельности по
разработке и (или) производству средств защиты конфиденциальной
информации)
(Порядок лицензирования определяется постановлением Правительства
Российской Федерации от 31.08.2006 г. № 532 «О лицензировании
деятельности по разработке и (или) производству средств защиты
конфиденциальной информации»);
4. деятельность по распространению шифровальных (криптографических)
средств (Приказ ФСБ России от 16 марта 2009 г. № 106 «Об утверждении
Административного регламента Федеральной службы безопасности
Российской Федерации по исполнению государственной функции по
лицензированию деятельности по распространению шифровальных
(криптографических) средств)
(Порядок лицензирования определяется постановлением Правительства
Российской Федерации от 29.12.2007 г. № 957 «Об утверждении
Положений о лицензировании отдельных видов деятельности, связанных
с шифровальными (криптографическими) средствами»);
5. деятельность по техническому обслуживанию шифровальных
(криптографических) средств (Приказ ФСБ России от 16 марта 2009 г. №
105 «Об утверждении Административного регламента Федеральной
службы безопасности Российской Федерации по исполнению
государственной функции по лицензированию деятельности по
техническому обслуживанию шифровальных (криптографических)
средств)
(Порядок лицензирования определяется постановлением Правительства
Российской Федерации от 29.12.2007 г. № 957 «Об утверждении
Положений о лицензировании отдельных видов деятельности, связанных
с шифровальными (криптографическими) средствами»);
6. деятельность по предоставлению услуг в области шифрования
информации (Приказ ФСБ России от 16 марта 2009 г. № 104 «Об
утверждении Административного регламента Федеральной службы
безопасности Российской Федерации по исполнению государственной
функции по лицензированию деятельности по предоставлению услуг в
области шифрования информации)
(Порядок лицензирования определяется постановлением Правительства
Российской Федерации от 29.12.2007 г. № 957 «Об утверждении
Положений о лицензировании отдельных видов деятельности, связанных
с шифровальными (криптографическими) средствами»);
7. разработка, производство шифровальных (криптографических) средств,
защищенных с использованием шифровальных (криптографических)
средств информационных систем, телекоммуникационных систем
(Порядок лицензирования определяется постановлением Правительства
Российской Федерации от 29.12.2007 г. № 957 «Об утверждении
Положений о лицензировании отдельных видов деятельности, связанных
с шифровальными (криптографическими) средствами»).
По вопросам лицензирования вышеперечисленных видов деятельности
можно получить консультации по телефонам:
пункт 1 перечня – 914-39-03; 914-36-80
пункты 2-7 перечня - 8(499)149-57-28, 8(499)141-15-04, 8(499)149-82-85
Для получения лицензии ее соискатель (место нахождения г. Москва или
Московская область) направляет или представляет в ЦЛСЗ ФСБ России
на имя начальника Центра Умерникова Николая Ивановича заявление о
предоставлении лицензии с приложением к нему документов,
предусмотренных положениями о лицензировании соответствующих
видов деятельности.
В соответствии с решением руководства ФСБ России лицензирование
вышеуказанных
видов
деятельности
также
осуществляется
территориальными органами безопасности по месту расположения
соискателя лицензии (за исключением соискателей лицензии,
расположенных на территории г. Москвы или Московской области).
МОКЛЯКОВ
Виталий Александрович
Система сертификации
средств защиты информации
по требованиям
безопасности информации
Объекты информатизации
Комплексная система безопасности информации
задачи
Обеспечение объективности
оценки состояния объектов
Обеспечение уровня
гарантии информационной
безопасности объектов
способы
Сертификация
Аттестация
Перечень видов деятельности при осуществлении оценки соответствия
продукции, используемой в целях защиты информации ограниченного
доступа
Аккредитация органов по сертификации, испытательных лабораторий и
органов по аттестации
Сертификация средств защиты информации ограниченного доступа
Организация аттестации объектов информатизации по требованиям
безопасности информации
Разработка и совершенствование нормативной и методической базы
по оценке соответствия продукции, используемой в целях защиты
информации ограниченного доступа
СООТНОШЕНИЕ ПОНЯТИЙ
СЕРТИФИКАЦИИ И АТТЕСТАЦИИ
Сертификация
деятельность по подтверждению соответствия СЗИ
требованиям безопасности информации.
Требования определяются государственными
стандартами или иными нормативными документами
Аттестация
комплекс организационно-технических мероприятий,
в результате которых подтверждается, что ОИ
соответствует требованиям стандартов или иных
нормативных документов по безопасности информации
ВЗАИМОСВЯЗЬ СЕРТИФИКАЦИИ И АТТЕСТАЦИИ
Общее в аттестации и сертификации
1. Похожие формулировки
2. Проверяется соответствие определенных характеристик
определенным требованиям, которые установлены НМД
3. Используются в большинстве случаев одни и те же НМД
Различия в аттестации и сертификации
1. Процессы сертификации и аттестации обеспечивают
различные этапы жизненного цикла информационных систем:
•сертификация связана с этапом производства СЗИ и такой
категорией, как продукция, предназначенная для
реализации;
•аттестация - с этапом эксплуатации и такой категорией, как
объект информатизации (ОИ.)
2. При аттестации оцениваются как отдельные СЗИ, так и
система защиты в целом, включая организационные меры,
а также конкретные условия эксплуатации.
3. Процессы сертификации и аттестации – самостоятельные
процессы, отличающиеся процедурами, методологией,
объектами и конечными результатами.
ЗАКОНОДАТЕЛЬНАЯ БАЗА СЕРТИФИКАЦИИ
СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ
В РОССИЙСКОЙ ФЕДЕРАЦИИ
Закон Российской Федерации 1993 года № 5076-1
«О защите прав потребителей»
Федеральный закон от 27 декабря 2002г. № 184-ФЗ
«О техническом регулировании»;
Закон Российской Федерации 21 июля 1993г. № 5485-1
«О государственной тайне»
Федеральный Закон от 27 июля 2006г. N 149-ФЗ «Об информации,
информационных технологиях и о защите информации»;
Постановление Правительства Российской Федерации от 26 июня
1995г. №608 «О сертификации средств защиты информации»
СИСТЕМА СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ
ИНФОРМАЦИИ В РОССИЙСКОЙ ФЕДЕРАЦИИ
Сертификация продукции - деятельность по подтверждению
соответствия продукции установленным требованиям
Правительство Российской Федерации
МВК по защите гостайны
Федеральные органы исполнительной власти
ФСБ
СВР
ФСТЭК
России
МО РФ
СТРУКТУРА СИСТЕМЫ СЕРТИФИКАЦИИ СРЕДСТВ
ЗАЩИТЫ ИНФОРМАЦИИ ПО ТРЕБОВАНИЯМ
БЕЗОПАСНОСТИ ИНФОРМАЦИИ
ФСТЭК РОССИИ
№ РОСС RU.0001.01БИ00
Уполномоченный федеральный орган исполнительной власти
ФСТЭК России
Органы по сертификации средств защиты информации - 9
ФГУ
ГНИИИ
ПТЗИ
ФГУП
«Центральный НИИ
химии и
механики»
ФГУП
Центр
«Атомзащи
таинформ»
ЗАО
«НПП
«БИТ»
АНО
Секция
«ИБ»
РИА
ГУП
«Российский
НИИ ПКИН
АС МПС РФ»
ЗАО
«Лабора
тория
ППШ»
ООО
«НИИ
СОКБ
Испытательные лаборатории (38/2),
органы по аттестации объектов информатизации (352/45)
Заявители
Подсистема аттестации ОИ
ООО
«ЦБИ»
ОРГАНИЗАЦИОННЫЕ ДОКУМЕНТЫ СИСТЕМЫ
СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ
ИНФОРМАЦИИ ФСТЭК РОССИИ
«Положение о сертификации средств защиты
информации
по
требованиям
безопасности
информации».
Постановление Правительства Российской Федерации
от 26 июня 1995 г. № 608.
«Положение
об
аккредитации
испытательных
лабораторий по сертификации средств защиты
информации
по
требованиям
безопасности
информации».
Утверждено приказом Председателя Гостехкомиссии
России 25 ноября 1994 г.
«Положение по аттестации объектов информатизации
по требованиям безопасности информации».
Утверждено приказом Председателя Гостехкомиссии
России 25 ноября 1994 г.
СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ, ПОДЛЕЖАЩИЕ
СЕРТИФИКАЦИИ В СИСТЕМЕ СЕРТИФИКАЦИИ
ФСТЭК РОССИИ
•
средства
защиты информации от утечки по техническим
каналам, основные и вспомогательные технические средства и
системы в защищенном исполнении
•
средства защиты информации (технические, программные,
программно-технические) от НСД, блокировки доступа и
нарушения целостности
•
средства контроля эффективности принятых мер защиты,
применения средств защиты
информации (технические,
программные, программно-технические)
•
программные средства общего назначения со встроенными
средствами защиты
•
некриптографические
средства
передаваемой по сетям электросвязи
•
системы и средства защиты информации, встроенные в средства
связи
защиты
информации,
ПОРЯДОК СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ
ИНФОРМАЦИИ В СИСТЕМЕ СЕРТИФИКАЦИИ
ФСТЭК
РОССИИ
ФСТЭК России
(федеральный орган
по сертификации)
2
9
Решение по заявке
Орган по
Экспертное заключение, сертификации
материалы испытаний
6
2
1
7
Заявитель
(производитель,
поставщик,
пользователь)
5
3
Сертифицируемая
продукция, документация
Сертификационные
испытания
4
Испытательная
лаборатория
21
Средства антивирусной защиты
Типы САВЗ
А
Предназначены для централизованного
администрирования САВЗ, установленных на рабочих
станциях
Б
Предназначены для применения в СВТ, выполняющих
функции серверов вычислительных сетей
В
Предназначены для применения в СВТ, выполняющих
функции рабочих станций вычислительных сетей
Г
Предназначены для применения в отдельных
изолированных СВТ
Классы САВЗ
6
5
4
3
2
1
22
Системы обнаружения вторжений
Типы СОВ
СОВ уровня сети
СОВ уровня узла
(хоста)
Классы СОВ
6
5
4
3
2
1
10
Приложение 1
Кому________________________________________________________________
(наименование федерального органа по сертификации, адрес )
ЗАЯВКА
на проведение сертификации средства защиты информации в системе
сертификации по требованиям безопасности информации
№ POCC RU. 0001. 01БИОО
1._____________________________________________________________ (наименование заявителя,
адрес )
просит провести сертификацию следующей продукции:
__________________________________________________________________________________________
__ (наименование продукции, код ОКП, шифр)
по требованиям безопасности информации на соответствие
____
______________________________________________________________________________________
_ (наименование нормативных и методических документов)
2. Заявитель предлагает провести испытания продукции по схеме
___________________________________________________________ (указывается схема
сертификации)
___________________________________________(наименование испытательного центра
(лаборатории))
3. Заявитель обязуется:
выполнять все условия сертификации;
обеспечивать стабильность сертифицированных характеристик средств защиты
информации, маркированных знаком соответствия;
оплатить все расходы по проведению сертификации.
4. Дополнительные условия или сведения для договора:
а) предварительную проверку производства предлагаем провести в период
______________________________________________________________________________________
_
место гербовой печати _________________ ___________________ дата, подпись
Фамилия И.О
11
ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ
______________________________________________________
СИСТЕМА СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ
ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
№ POCC RU. 0001. 01БИОО
РЕШЕНИЕ
от “_____” __________________199__ г.
по заявке на проведение сертификации
Рассмотрев заявку______________________________________________________________________
(наименование заявителя)
на сертификацию_______________________________________________________________________
(наименование продукции)
сообщаем:
1. Сертификация будет проведена _______________________________________________________
______________________________________________________________________________________
_(наименование органа по сертификации , адрес)
2. Испытания сертифицируемой продукции следует провести в______________________________
______________________________________________________________________________________
_(наименование испытательного центра (лаборатории), адрес)
3. Сертификация будет проведена на соответствие требованиям ____________________________
______________________________________________________________________________________
_ (наименование нормативных и методических документов)
4. Инспекционный контроль будет осуществлять __________________________________________
______________________________________________________________________________________
_
(наименование организации, адрес)
путем испытаний образцов, взятых в торговле и (или) у изготовителя с периодичностью
______________________________________________________________________________________
_
место
гербовой печати
_____________________ ______________
дата, подпись
Фамилия И.О.
12
ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ
______________________________________________________
СИСТЕМА СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ
ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
№ POCC RU. 0001. 01БИОО
СЕРТИФИКАТ
№ ______________
Выдан “___”_____________ 199 г.
Действителен до “___”_____________ 199 г.
Настоящий сертификат удостоверяет, что:
1. _____________________________________________________________________________________
(наименование вида продукции, код, № ТУ )
соответствует требованиям______________________________________________________________
______________________________________________________________________________________
_ (перечисление конкретных стандартов или нормативных документов, на соответствие
которым проведены сертификационные испытания)
2. Сертификат выдан на основании экспертного заключения ________________________________
______________________________________________________________________________________
_(наименование органа по сертификации )
и результатов испытаний указанной продукции ___________________________________________
______________________________________________________________________________________
_(наименование испытательного центра (лаборатории))
3. Заявитель_________________________________________________________________
_____________________________________________________________________________
(наименование организации-заявителя, адрес)
место
гербовой печати
_________________ ______________
дата, подпись
Фамилия И.О.
13
ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ
______________________________________________________
СИСТЕМА СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ
ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
№ POCC RU. 0001. 01БИОО
СЕРТИФИКАЦИОННАЯ ЛИЦЕНЗИЯ
№ ______________
Выдана “___”_____________ 199 г.
Действительна до “___”_____________ 199 г.
Настоящая сертификационная лицензия выдана __________________________________
_____________________________________________________________________________
(наименование предприятия-изготовителя, адрес )
на применение знака соответствия для маркирования _______________________________
_________________________________________________________________________
_
(наименование вида продукции)
место
гербовой печати
_________________
дата, подпись
Фамилия И.О.
АТТЕСТАЦИЯ
ОБЪЕКТОВ
ИНФОРМАТИЗАЦИИ
ИНФОРМАЦИОННЫЕ РЕСУРСЫ ПО КАТЕГОРИЯМ
ДОСТУПА
Федеральный закон «Об информации, информационных технологиях и о
защите информации»
Открытая
информация
Информация с ограниченным доступом
Информация,
отнесенная
к государственной
тайне
Конфиденциальная
информация
«О перечне сведений,
отнесенных к
государственной
тайне»
«Об утверждении перечня
сведений
конфиденциального
характера»
Указ Президента
Российской Федерации от
24.01.98 № 61
Указ Президента Российской
Федерации от 06.03.97 № 188
АТТЕСТАЦИЯ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ ПО
ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
ОБЪЕКТ ИНФОРМАТИЗАЦИИ:
совокупность информационных ресурсов,
средств и систем обработки информации,
используемых в соответствии с заданной
информационной технологией, а также средств
их обеспечения, помещений или объектов, в
которых эти средства и системы установлены,
или помещений и объектов, предназначенных
для ведения конфиденциальных переговоров.
(ГОСТ РО 0043-003-2012)
ОСНОВНЫЕ НАПРАВЛЕНИЯ ЗАЩИТЫ
ИНФОРМАЦИИ
Обеспечение защиты информации от хищения,
утраты, утечки, уничтожения, искажения, подделки
и блокирования доступа к ней за счет НСД и
специальных воздействий
Обеспечение защиты информации от утечки
по техническим каналам при ее обработке,
хранении и передаче по каналам связи
Законодательные, нормативные и
методические документы (аттестация)
Специальные требования и рекомендации по защите информации, составляющей
государственную тайну, от утечки по техническим каналам (СТР).
Решение Гостехкомиссии России от 23.05.1997 г. № 55
с изменениями 2005, 2006, 2008 годов
Сборник методических документов по контролю защищенности информации,
обрабатываемой средствами вычислительной техники, от утечки за счет
побочных электромагнитных излучений и наводок (ПЭМИН).
ФСТЭК России, приказ от 30.12.2005 г. № 075
Сборник нормативно-методических документов по технической защите
информации в волоконно – оптических системах (НМД по ТЗИ ВОЛС).
ФСТЭК России №448 от 15.11.2005 г.
Сборник норм защиты информации от утечки за счет побочных
электромагнитных излучений и наводок (ПЭМИН).
Гостехкомиссия России, 1998 г. с изменениями 2005 г.
Сборник нормативно-методических документов по противодействию
акустической речевой разведке.
Приказ Председателя Гостехкомиссии России от 26.07.2000 г. № 304.
Законодательные, нормативные и
методические документы (аттестация)
Национальный стандарт РФ ограниченного распространения.
ГОСТ РО 0043-003-2012.
«Защита информации. Аттестация объектов информатизации»
«Положение об аттестации объектов информатизации по требованиям
безопасности информации»
Приказ Председателя Гостехкомиссии России 25 октября 1994 г.
«Специальные требования и рекомендации по защите
конфиденциальной информации». (СТР-К)
Приказ Гостехкомиссии России от 30 августа 2002 г. №282
«Сборник временных методик оценки защищенности конфиденциальной
информации от утечки по техническим каналам».
Утверждены Первым заместителем Председателя Гостехкомиссии России
8 ноября 2001 г.
Законодательные, нормативные и
методические документы (аттестация)
«Сборник руководящих документов по защите информации
от несанкционированного доступа»
Гостехкомиссия России, 1998 г.
Руководящий документ. Защита от НСД. Часть 1. Программное
обеспечение средств защиты информации. Классификация по уровню
контроля отсутствия недекларированных возможностей.
Приказ председателя Гостехкомиссии России № 114 от 04 июня 1999 г.
Национальный стандарт РФ ограниченного распространения.
ГОСТ РО 0043-004-2013.
Защита информации. Аттестация объектов информатизации.
Программа и методики аттестационных испытаний.
«Сборник методических документов по технической защите информации
ограниченного доступа, не содержащей сведений, составляющих
государственную тайну, в волоконно-оптических системах передачи»
Утвержден приказом ФСТЭК России от 15 марта 2012 г.
АТТЕСТАЦИЯ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ ПО
ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
В соответствии с требованиями СТР:
статьи 1.14 «Все объекты информатизации должны быть
аттестованы на соответствие установленным нормам и
требованиями по защите информации для проведения
работ со сведениями соответствующей степени
секретности»;
статьи 1.15 «Проведение любых мероприятий и работ
с использованием сведений, составляющих
государственную тайну, без принятия необходимых мер
по защите информации не допускается».
АТТЕСТАЦИЯ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ ПО
ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
В соответствии с требованиями:
статьи 2.17 СТР-К «объекты информатизации должны
быть аттестованы по требованиям безопасности
информации в соответствии с требованиями
нормативных и методических документов Федеральной
службы по техническому и экспортному контролю»;
статьи 13 «Требований о защите информации, не
составляющей государственную тайну, содержащейся в
государственных информационных системах» «для
обеспечения защиты информации, содержащейся в
информационной системе, проводится
аттестация информационной системы по требованиям
защиты информации».
АТТЕСТАЦИЯ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ ПО
ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
Аттестация объектов информатизации:
комплекс организационных и технических
мероприятий, в результате которых
подтверждается соответствие системы защиты
информации объекта информатизации
требованиям безопасности информации.
(ГОСТ РО 0043-003-2012)
АТТЕСТАЦИЯ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ ПО
ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
Цель аттестации объекта
информатизации: подтверждение
соответствия его системы защиты
информации в реальных условиях
эксплуатации требованиям
безопасности информации.
(ГОСТ РО 0043-003-2012)
АТТЕСТАЦИЯ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ ПО
ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
Аттестация объектов информатизации носит
добровольный или обязательный характер.
(ГОСТ РО 0043-003-2012)
Аттестация
объектов информатизации (ОИ)
Обязательная
Добровольная
АТТЕСТАЦИЯ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ ПО
ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
Добровольная аттестация осуществляется по
инициативе заявителя (владельца информации или
владельца объекта информатизации) на условиях
договора между заявителем и органом по
аттестации. Добровольная аттестация может
осуществляться для установления соответствия
системы защиты информации объекта
информатизации требованиям безопасности
информации, установленным национальными
стандартами и владельцем информации или
владельцем объекта информатизации.
(ГОСТ РО 0043-003-2012)
АТТЕСТАЦИЯ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ ПО
ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
Обязательная аттестация проводится только в случаях,
установленных федеральными законами, актами Президента
Российской Федерации и Правительства Российской
Федерации, нормативными правовыми актами
уполномоченных федеральных органов исполнительной
власти и исключительно на соответствие системы защиты
информации объекта информатизации требованиям
безопасности информации, установленным федеральными
законами, нормативными правовыми актами Президента
Российской Федерации, Правительства Российской
Федерации, уполномоченных федеральных органов
исполнительной власти.
(ГОСТ РО 0043-003-2012)
АТТЕСТАЦИЯ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ ПО
ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
Аттестация объекта информатизации
проводится до ввода объекта
информатизации в эксплуатацию и
вызвана необходимостью официального
подтверждения эффективности системы
защиты информации, реализованной на
объекте информатизации.
(ГОСТ РО 0043-003-2012)
Организации, имеющие право проведения аттестации
объектов информатизации
Организации, имеющие лицензию
на деятельность по технической
защите конфиденциальной
информации
Организации, имеющие
аттестат аккредитации органа по
аттестации объектов
информатизации
АТТЕСТАЦИЯ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ ПО
ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
Аттестация информационной системы
организуется обладателем информации
(заказчиком) или оператором и включает
проведение комплекса организационных и
технических мероприятий
(аттестационных испытаний), в
результате которых подтверждается
соответствие системы защиты
информации информационной системы
установленным Требованиям.
Порядок проведения аттестации объектов
информатизации
Подача и рассмотрение заявки на аттестацию
объекта информатизации
Предварительное ознакомление с
аттестуемым объектом информатизации
Разработка программы и методик
аттестационных испытаний
Проведение аттестационных испытаний
объекта информатизации
Оформление, регистрация и выдача
аттестата соответствия
ПОРЯДОК ПРОВЕДЕНИЯ АТТЕСТАЦИИ
ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ
ПОДГОТОВИТЕЛЬНЫЙ
ЭТАП
ЭТАП АТТЕСТАЦИОННЫХ ИСПЫТАНИЙ
ОБЪЕКТА ИНФОРМАТИЗАЦИИ
ЭТАП ЭКСПЛУАТАЦИИ
ОБЪЕКТА ИНФОРМАТИЗАЦИИ
АТТЕСТАЦИЯ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ ПО
ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
ПОДГОТОВИТЕЛЬНЫЙ ЭТАП
включает:
- подача и рассмотрение заявки на аттестацию
объекта информатизации;
- предварительное ознакомление с аттестуемым
объектом информатизации;
- разработка программы и методик
аттестационных испытаний;
- заключение договора на проведение
аттестации
Кому:________________________________
____________________________________
Наименование органа по аттестации и его адрес
ЗАЯВКА
на проведение аттестации объекта информатизации
1.________________________________________________________________________________________________
(наименование организации - заявителя)
просит провести аттестацию на соответствие требованиям по безопасности информации
__________________________________________________________________________________________________
(наименование объекта информатизации)
2. Исходные данные по аттестуемому объекту информатизации прилагаются.
3. Заявитель готов предоставить необходимые документы и условия для проведения аттестации.
4. Заявитель согласен на договорной основе оплатить расходы по всем видам работ и услуг по аттестации
указанного в данной заявке объекта информатизации.
5. Дополнительные условия или сведения для договора:
5.1. Предварительное ознакомление с аттестуемым объектом прошу провести в период
_______________________________________________________________________________________________________________________________________
(дата)
5.2. Аттестационные испытания объекта информатики прошу провести в период
________________________________________________________________________________________________________________________________________
(дата)
5.3. Испытания несертифицированной продукции, используемой в целях защиты информации, планируется
провести в испытательной лаборатории_____________________________________________
(наименование испытательной лаборатории)
в период________________________________________________________________
Другие условия (предложения)
Должность руководителя
организации-заявителя
(Фамилия и инициалы)
(подпись)
м.п.
«___» _________ 20___г.
Приложение к заявке
Исходные данные по аттестуемому объекту информатизации
(готовятся на основе следующего перечня вопросов)
1. Полное и точное наименование объекта информатизации и его назначение.
2. Уровень конфиденциальности информации ограниченного доступа, обрабатываемой на объекте
информатизации.
3. Категория объекта информатизации.
4. Состав и структура объекта информатизации (перечень помещений, состав комплекса
технических средств, входящих в объект информатизации, в которых (на которых) обрабатывается
информация).
5. Особенности и схема расположения объекта информатизации с указанием границ
контролируемой зоны.
6. Состав программного обеспечения, используемого на аттестуемом объекте информатизации и
предназначенного для обработки защищаемой информации, используемые протоколы обмена
информацией.
7. Общая функциональная схема объекта информатизации, включая схему информационных
потоков и режимы обработки защищаемой информации.
8. Наличие и характер взаимодействия с другими объектами информатизации.
9. Состав и структура системы защиты информации на аттестуемом объекте информатизации.
10. Перечень сертифицированной продукции, используемой в целях защитв информатизации.
11. Наличие и готовность проектной и эксплуатационной документации на объект информатизации
и другие исходные данные по аттестуемому объекту информатизации, влияющие на безопасность
информации.
12. Сведения об организационно-режимных мерах защиты, принятых на объекте информатизации.
ДОКУМЕНТЫ ПРЕДСТАВЛЯЕМЫЕ ОРГАНИЗАЦИЕЙ-ЗАЯВИТЕЛЕМ
ДЛЯ ПРОВЕДЕНИЯ АТТЕСТАЦИОННЫХ ИСПЫТАНИЙ.
1. Техническое задание (ТЗ) на объект информатизации (ОИ).
2. Технический паспорт на ОИ.
3. Приемо-сдаточная документация на ОИ.
4. Акт классификации автоматизированных систем (АС) по требованиям защиты
информации (ЗИ).
5. Состав технических и программных средств, входящих в АС (или технических
средств (ТС), расположенных в ЗП).
6. Планы размещения основных технических средств и систем (ОТСС) и
вспомогательных технических средств и систем (ВТСС).
7. Состав и схемы размещения средств защиты информации (СЗИ).
8. План контролируемой зоны (КЗ) предприятия.
9. Схемы прокладки линий передачи данных.
10.Схемы и характеристики систем электропитания и заземления ОИ.
11.Перечень защищаемых в АС ресурсов с документальным подтверждением
степени конфиденциальности каждого ресурса (или максимальной степени
конфиденциальности обсуждаемых в ЗП вопросов).
ДОКУМЕНТЫ ПРЕДСТАВЛЯЕМЫЕ ОРГАНИЗАЦИЕЙ-ЗАЯВИТЕЛЕМ
ДЛЯ ПРОВЕДЕНИЯ АТТЕСТАЦИОННЫХ ИСПЫТАНИЙ.
12. Организационно распорядительная документация разрешительной степени
доступа персонала к защищаемым ресурсам АС (обсуждаемым вопросам).
13. Описание технологического процесса обработки информации в АС.
14. Технологические инструкции пользователям АС и администратору
безопасности информации.
15. Инструкции по эксплуатации СЗИ.
16. Предписание на эксплуатацию ТСС с приложением протокола спец.
исследований ТСС (1 класс)
17.Сертификаты соответствия требованиям по безопасности информации на
средства и системы обработки и передачи информации, используемые СЗИ.
18. Данные по уровню подготовки кадров, обеспечивающих ЗИ.
19. Данные о техническом обеспечении средствами контроля эффективности ЗИ и
их метрологической поверке.
20. Нормативную и методическую документацию по ЗИ и контролю
эффективности защиты.
ТЕХНИЧЕСКОЕ ЗАДАНИЕ
НА СОЗДАНИЕ АСЗИ
ГОСТ Р 51624-2000
«Автоматизированные системы в
защищенном исполнении. Общие
требования»
ГОСТ 51583-2000
«ПОРЯДОК СОЗДАНИЯ
АВТОМАТИЗИРОВАННЫХ СИСТЕМ В
ЗАЩИЩЕННОМ ИСПОЛНЕНИИ.
ОБЩИЕ ПОЛОЖЕНИЯ»
ТЕХНИЧЕСКОЕ ЗАДАНИЕ
НА СОЗДАНИЕ АСЗИ
Разделы ТЗ:
1. Общие сведения.
2. Назначение , вид и цели создания
объекта информатизации в
защищенном исполнении
3. Характеристики объекта
информатизации
ТЕХНИЧЕСКОЕ ЗАДАНИЕ
НА СОЗДАНИЕ АСЗИ
4. Требования к АРМ
5. Состав и содержание работ по
созданию объекта информатизации
в защищенном исполнении
6. Порядок контроля создания и
приемки объекта информатизации
в защищенном исполнении.
ТЕХНИЧЕСКОЕ ЗАДАНИЕ
НА СОЗДАНИЕ АСЗИ
7. Требования к составу и
содержанию работ по вводу в
эксплуатацию объекта
информатизации в защищенном
исполнении.
8.Требования к документированию.
9. Источники разработки.
АТТЕСТАЦИЯ ОБЪЕКТА ИНФОРМАТИЗАЦИИ ПО
ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
Орган по аттестации в месячный срок
рассматривает заявку и на основании
исходных данных выбирает схему
аттестации, согласовывает ее
с заявителем и принимает решение
о проведении аттестации объекта
информатизации, а также оформляет
необходимые договорные документы
на оказание услуг по аттестации
АТТЕСТАЦИЯ ОБЪЕКТА ИНФОРМАТИЗАЦИИ ПО
ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
При недостаточности исходных данных
по аттестуемому объекту информатизации
в схему аттестации включаются работы
по предварительному ознакомлению
с аттестуемым объектом, проводимые
до этапа аттестационных испытаний
АТТЕСТАЦИИ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ
ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
Предварительное
ознакомление с аттестуемым
объектом информатизации
Организация-заявитель
Организация, имеющая лицензию
на деятельность по ТЗКИ,
аттестат аккредитации
АТТЕСТАЦИЯ ОБЪЕКТА ИНФОРМАТИЗАЦИИ ПО
ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
ПРОГРАММА И МЕТОДИКИ
АТТЕСТАЦИОННЫХ ИСПЫТАНИЙ
разрабатываются организацией, имеющей аттестат
аккредитации в качестве органа по аттестации объектов
информатизации или имеющей право на деятельность
в области технической защиты конфиденциальной
информации в соответствии с
Национальным стандартом РФ ГОСТ РО 0043-004-2013.
«Защита информации. Аттестация объектов
информатизации.
Программа и методики аттестационных испытаний»
РАЗДЕЛЫ ПРОГРАММЫ И МЕТОДИК
АТТЕСТАЦИОННЫХ ИСПЫТАНИЙ ОИ
ОБЩИЕ ПОЛОЖЕНИЯ
ПРОГРАММА АТТЕСТАЦИОННЫХ
ИСПЫТАНИЙ КОНКРЕТНОГО ОИ
МЕТОДИКИ АТТЕСТАЦИОННЫХ
ИСПЫТАНИЙ КОНКРЕТНОГО ОИ
Примечание: Допускается совмещение в одном документе
разделы программ и методик аттестационных испытаний
различных типов ОИ
АТТЕСТАЦИЯ ОБЪЕКТА ИНФОРМАТИЗАЦИИ ПО
ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
ПРОГРАММА И МЕТОДИКИ
АТТЕСТАЦИОННЫХ ИСПЫТАНИЙ
подлежат согласованию
с заявителем до начала
аттестационных испытаний
АТТЕСТАЦИИ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ
ПО ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
ЗАКЛЮЧЕНИЕ ДОГОВОРА
НА ПРОВЕДЕНИЕ
АТТЕСТАЦИИ
Организация-заявитель
Организация, имеющая лицензию
на деятельность по ТЗКИ,
аттестат аккредитации
АТТЕСТАЦИЯ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ ПО
ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
ЭТАП АТТЕСТАЦИОННЫХ ИСПЫТАНИЙ
включает:
- проведение аттестационных испытаний
объекта информатизации
- оформление, регистрация и выдача
аттестата соответствия
АТТЕСТАЦИЯ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ ПО
ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
этап аттестационных испытаний
Задачи аттестационных испытаний ОИ заключаются в
оценке соответствия системы защиты информации ОИ
требованиям безопасности информации
Целью аттестации объекта информатизации является
подтверждение соответствия его системы защиты
информации в реальных условиях эксплуатации
требованиям безопасности информации
Результаты аттестационных испытаний ОИ используются
для оценки его соответствия требованиям безопасности
информации
АТТЕСТАЦИЯ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ ПО
ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
Аттестационные испытания проводятся в
реальных условиях эксплуатации технических
средств и систем ОИ (с использованием
информации, не содержащей сведения
ограниченного доступа) с применением
поверенных средств измерений, контрольной
аппаратуры и сертифицированных средств
контроля эффективности защиты информации
МЕТОДЫ АТТЕСТАЦИОННЫХ ИСПЫТАНИЙ
ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ
ЭКСПЕРТНО-ДОКУМЕНТАЛЬНЫЙ МЕТОД,
предусматривающий проверку соответствия
системы защиты информации объекта
информатизации установленным требованиям
безопасности информации на основании
экспертной оценки полноты и достаточности
необходимых мер защиты информации в
представленных документах, а также
соответствия реальных условий эксплуатации
требованиям к размещению, монтажу и
эксплуатации технических средств
МЕТОДЫ АТТЕСТАЦИОННЫХ ИСПЫТАНИЙ
ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ
ИНСТРУМЕНТАЛЬНЫЙ МЕТОД
с использованием контрольно-измерительной
аппаратуры (при условии наличия угрозы
безопасности информации от утечки по
техническим каналам), предусматривающий
проведение измерений и оценку уровней
защищенности в соответствии с нормативными
правовыми актами и методическими
документами по защите информации
от ее утечки по техническим каналам
ПОРЯДОК ПРОВЕДЕНИЯ АТТЕСТАЦИОННЫХ
ИСПЫТАНИЙ ОБЪЕКТА ИНФОРМАТИЗАЦИИ
Осуществляют анализ структуры объекта информатизации,
информационных потоков, комплекса технических средств
и программного обеспечения, разработанной
документации на систему защиты информации объекта
Оценивают правильность классификации информационных
(автоматизированных) систем, выбора и применения продукции,
используемой для защиты информации в целях исключения
(блокирования) опасных технических каналов утечки информации и
возможных угроз безопасности информации, связанных с
несанкционированным доступом к информации и специальным
воздействием на информацию или носители информации
Проводят проверку наличия сертификатов соответствия на
продукцию, используемую в целях защиты информации
ПОРЯДОК ПРОВЕДЕНИЯ АТТЕСТАЦИОННЫХ
ИСПЫТАНИЙ ОБЪЕКТА ИНФОРМАТИЗАЦИИ
Проводят аттестационные испытания системы защиты информации
объекта информатизации в реальных условиях эксплуатации путем
проверки фактического выполнения установленных требований
безопасности информации на различных этапах технологического
процесса обработки защищаемой информации
Оформляют протоколы аттестационных испытаний.
Протоколы подписывают специалисты, проводившие испытания, и
утверждает организация, проводящая аттестацию
По результатам аттестационных испытаний оформляют заключение.
Заключение подписывают члены аттестационной комиссии, утверждает
орган по аттестации (организация) и доводят до заявителя
АТТЕСТАЦИЯ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ ПО
ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
Этап аттестационных испытаний объекта информатизации
Заключение по результатам аттестационных
испытаний объекта информатизации
с приложением
Протоколы аттестационных
испытаний, обосновывающие
приведенный в заключении вывод
Аттестат соответствия
Приложение Б (справочное)
Форма аттестата соответствия объекта информатизации требованиям
безопасности информации
Б 1 Аттестат соответствия
Орган по аттестации объектов информатизации по требованиям безопасности информации
(аттестат аккредитации №
)
УТВЕРЖДАЮ
Руководитель органа по аттестации
______________________________
должность, название организации
______________________________________
подпись, инициалы, фамилия
м.п.
«____ » ________20 г.
АТТЕСТАТ СООТВЕТСТВИЯ № ____
___________________________________
название объекта информатизации
ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
_________20___г.
Выдан «____» ________20___г.
Действителен до «_____»
Приложение Б (справочное)
Форма аттестата соответствия объекта информатизации требованиям
безопасности информации
Б 1 Аттестат соответствия
Орган по аттестации объектов информатизации по требованиям безопасности информации
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
Настоящим АТТЕСТАТОМ удостоверяется, что объект информатизации________________________, расположенный в
_______________по адресу_______________, соответствует требованиям безопасности информации, предъявляемым к
объектам информатизации категории (при обработке информации конфиденциального характера категория не
указывается) и
класса защищенности [указывается при аттестации информационных (автоматизированных)
систем].
Состав комплекса технических (программных) средств и продукции, используемой в целях защиты информации, а также
схема их размещения на объекте и относительно границ контролируемой зоны (при наличии технических каналов утечки
информации) приведены в приложении к аттестату.
Организационная
структура,
нормативное
и
методическое
обеспечение
и
техническая
оснащённость
____________________ обеспечивают поддержание уровня защищённости объекта информатизации в процессе
эксплуатации в соответствии с установленными требованиями.
Аттестация ______________ выполнена в соответствии с программой и методикой испытаний, утверждёнными
руководителем органа по аттестации (организации) _______________
С учётом результатов аттестационных испытаний на ____________ разрешается обработка информации со степенью
секретности «____________».
При эксплуатации объекта информатизации запрещается:____________________________________________________
Контроль за эффективностью реализованных мер и продукцией, используемой в целях защиты информации, возлагается
на _____________________________________________.
Результаты испытаний _________________ приведены в заключении № __ от
_________________________
по
результатам аттестационных испытаний и в протоколе аттестационных испытаний № ___ от _____________________.
Аттестат соответствия выдан на _________ года, в течение которых должна быть обеспечена неизменность условий
функционирования
___________и технологии обработки защищаемой информации, способных повлиять на
характеристики, указанные в п. 10.
Перечень характеристик, об изменениях которых требуется обязательно извещать орган по аттестации (организацию):
состав и условия размещения технических средств и систем;
состав (комплектность) продукции используемой в целях защиты информации, схема её монтажа (параметры
установки и настройки), способствующие снижению уровня защищенности объекта информатизации.
характеристики систем (электропитания, заземления, сигнализации) обеспечения эксплуатации объекта
информатизации.
Руководитель аттестационной комиссии
_________________________________
должность и название организации
________________________________
подпись, инициалы, фамилия
«__ » ______ 20__ г.
АТТЕСТАЦИЯ ОБЪЕКТА ИНФОРМАТИЗАЦИИ ПО
ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
АТТЕСТАТ СООТВЕТСТВИЯ
оформляется и выдается заявителю
после утверждения положительного
заключения по результатам
аттестационных испытаний объекта
информатизации
АТТЕСТАЦИЯ ОБЪЕКТА ИНФОРМАТИЗАЦИИ ПО
ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
Аттестат соответствия выдает
владельцу аттестованного объекта
информатизации организация,
проводившая аттестацию, на период,
в течение которого владелец должен
обеспечить неизменность условий
функционирования объекта
информатизации и технологии
обработки защищаемой информации
но не более чем на 3 года
АТТЕСТАЦИЯ ОБЪЕКТА ИНФОРМАТИЗАЦИИ ПО
ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
При несоответствии системы защиты
информации аттестуемого объекта требованиям
безопасности информации и невозможности
оперативно устранить отмеченные
аттестационной комиссией недостатки
организация принимает решение об
отказе в выдаче аттестата соответствия.
При этом организация определяет срок повторной
аттестации при условии устранения недостатков
АТТЕСТАЦИЯ ОБЪЕКТА ИНФОРМАТИЗАЦИИ ПО
ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
Порядок рассмотрения апелляций
В случае несогласия с отказом в выдаче аттестата
соответствия заявитель имеет право обратиться в
уполномоченный федеральный орган
исполнительной власти с апелляцией для
дополнительного рассмотрения полученных при
испытаниях результатов, где её в месячный срок
рассматривают с привлечением
заинтересованных сторон.
Заявителя апелляции извещают о принятом
решении.
АТТЕСТАЦИЯ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ ПО
ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
Повторная аттестация информационной системы
осуществляется в случае окончания срока действия аттестата
соответствия, изменения класса защищенности
информационной системы, состава актуальных угроз
безопасности информации или проектных решений,
реализованных при создании системы защиты информации
информационной системы.
Ввод в действие информационной системы осуществляется в
соответствии с законодательством Российской Федерации
об информации, информационных технологиях и о защите
информации и с учетом ГОСТ 34.601 и
при наличии аттестата соответствия.
АТТЕСТАЦИЯ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ ПО
ТРЕБОВАНИЯМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
ЭТАП ЭКСПЛУАТАЦИИ
ОБЪЕКТА ИНФОРМАТИЗАЦИИ
включает:
- обеспечение защиты информации
в ходе эксплуатации объекта информатизации
- осуществление государственного контроля и
надзора за проведением аттестации и
эксплуатацией аттестованных объектов
информатизации
- рассмотрение апелляций
МЕРОПРИЯТИЯ ПО ЗАЩИТЕ ИНФОРМАЦИИ В
ХОДЕ ЭКСПЛУАТАЦИИ СИСТЕМЫ ЗАЩИТЫ
Обеспечение защиты информации
в ходе эксплуатации аттестованного
объекта информатизации осуществляется
оператором (владельцем ОИ)
в соответствии с эксплуатационной
документацией
на систему защиты информации и
организационно-распорядительными
документами по защите информации
МЕРОПРИЯТИЯ ПО ЗАЩИТЕ ИНФОРМАЦИИ В
ХОДЕ ЭКСПЛУАТАЦИИ СИСТЕМЫ ЗАЩИТЫ
- управление (администрирование) системой
защиты информации информационной системы;
- выявление инцидентов и реагирование на них;
- управление конфигурацией аттестованной
информационной системы и ее системы защиты
информации;
- контроль (мониторинг) за обеспечением уровня
защищенности информации, содержащейся в
информационной системе.
МЕРЫ ПО ЗАЩИТЕ ИНФОРМАЦИИ В ХОДЕ ВЫВОДА
ИНФОРМАЦИОННОЙ СИСТЕМЫ ИЗ ЭКСПЛУАТАЦИИ
ИЛИ ПОСЛЕ ОКОНЧАНИЯ ОБРАБОТКИ ИНФОРМАЦИИ
Обеспечение защиты информации при выводе
из эксплуатации аттестованной
информационной системы или после принятия
решения об окончании обработки информации
осуществляется оператором (владельцем ОИ)
в соответствии с эксплуатационной
документацией на систему защиты информации
информационной системы и организационнораспорядительными документами по защите
информации
МЕРЫ ПО ЗАЩИТЕ ИНФОРМАЦИИ В ХОДЕ ВЫВОДА
ИНФОРМАЦИОННОЙ СИСТЕМЫ ИЗ ЭКСПЛУАТАЦИИ
ИЛИ ПОСЛЕ ОКОНЧАНИЯ ОБРАБОТКИ ИНФОРМАЦИИ
•при необходимости дальнейшего использования
персональных
данных,
осуществляется
их
архивирование;
•при необходимости передачи машинных носителей
между пользователями информационной системы, в
сторонние организации для ремонта, обслуживания
или утилизации, осуществляется стирание данных
и остаточной информации;
•при выводе из эксплуатации машинных носителей
осуществляется их уничтожение
МЕРОПРИЯТИЯ ПО ЗАЩИТЕ ИНФОРМАЦИИ В
ХОДЕ ЭКСПЛУАТАЦИИ СИСТЕМЫ ЗАЩИТЫ
Обеспечение неизменности состава технических
и программных средств, а также средств защиты
и их настроек, соблюдение утвержденного
технологического процесса обработки
информации и принятие мер по нейтрализации
каналов утечки информации – основные задачи,
решение которых обеспечивает высокую степень
защищенности информации, обрабатываемой
объектами информатизации.
КОНТРОЛЬ ЗА СОБЛЮДЕНИЕМ ПОРЯДКА АТТЕСТАЦИИ И
ЭКСПЛУАТАЦИИ АТТЕСТОВАННЫХ ОБЪЕКТОВ
ИНФОРМАТИЗАЦИИ
Государственный контроль и надзор
В ходе государственного контроля и
надзора проверяют соответствие
аттестованного объекта информатизации
требованиям безопасности информации
Заявители организуют ежегодный контроль
соответствия системы защиты информации
объекта информатизации требованиям
безопасности информации
По результатам проведенного контроля оформляют соответствующие заключение и
протоколы.
При добровольной аттестации необходимость и периодичность ежегодного контроля
устанавливает заявитель.
Управление ФСТЭК России
по Приволжскому
федеральному округу
организует и контролирует
проведение работ
по аттестации объектов
информатизации
по требованиям безопасности
информации.
ДОКУМЕНТЫ РАЗРАБАТЫВАЕМЫЕ НА ЭТАПАХ РАБОТ
ПО СОЗДАНИЮ ОБЪЕКТА ВЫЧЕСЛИТЕЛЬНОЙ ТЕХНИКИ
Этап стендовых специальных исследований
Предписание на эксплуатацию СВТ
с приложением
Протокол
специальных
исследований
Перечень необходимых мер ЗИ
Этап объектовых специальных исследований(аттестационных)
Предписание на эксплуатацию объекта ВТ
Протоколы
по оценке защищенности
с приложением
информации от утечки за счет ПЭМИН, НСД
Перечень необходимых мер ЗИ
Заключение об эффективности примененных
СЗИзащищенности
Протоколы по оценке
Инструкция по
Акт сдачи СЗИ
информации
от утечки за счет ПЭМИН
с
приложением
эксплуатации
в
СЗИ
эксплуатацию
ДОКУМЕНТЫ РАЗРАБАТЫВАЕМЫЕ НА ЭТАПАХ РАБОТ
ПО СОЗДАНИЮ ОБЪЕКТА ИНФОРМАТИЗАЦИИ В
ЗАЩИЩЕННОМ ИСПОЛНЕНИИ
Этап аттестационных испытаний объекта ВТ
Заключение по результатам аттестационных
испытаний объекта ВТ
с приложением
Протоколы аттестационных
испытаний
Аттестат соответствия
Этап контроля
Заключение по результатам контроля
эффективности ЗИ
приложением
Протоколысконтроля
эффективности ЗИ
СПАСИБО ЗА ВНИМАНИЕ
АНАЛИЗ И ОЦЕНКА УГРОЗ
ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
ОБЪЕКТА
Постановление Правительства РФ
от 01.11.2012 № 1119
"Об утверждении требований
к защите персональных данных
при их обработке в информационных
системах персональных данных"
Настоящий документ устанавливает:
- требования к защите,
- уровни защищенности,
при обработке персональных данных
в информационных системах.
Безопасность персональных данных при их
обработке в ИС обеспечивается с помощью системы
защиты персональных данных, нейтрализующей
актуальные угрозы, определенные в соответствии
с частью 5 статьи 19 Федерального закона
"О персональных данных".
Система защиты персональных данных включает
в себя организационные и (или) технические меры,
определенные с учетом актуальных угроз
безопасности персональных данных и
информационных технологий,
используемых в информационной системе.
Оператор информационной системы :
- обеспечивает безопасность персональных данных
при их обработке;
- определяет типы актуальных угроз безопасности
персональных данных;
- осуществляет выбор средств защиты информации
для системы защиты персональных данных;
- организует и проводит контроль за выполнением
требований
по
обеспечению
защищенности
персональных данных.
Информационная система,
обрабатывающая специальные категории
персональных данных
– при обработке персональных данных,
касающихся расовой, национальной
принадлежности, политических взглядов,
религиозных или философских
убеждений, состояния здоровья, интимной
жизни субъектов персональных данных.
Информационная система, обрабатывающая
биометрические персональные данные
– при обработке в ней сведений,
характеризующих физиологические и
биологические особенности человека,
на основании которых можно установить
его личность и которые используются
оператором для установления личности
субъекта персональных данных,
и не обрабатываются сведения,
относящиеся к специальным категориям
персональных данных.
Информационная система, обрабатывающая
общедоступные персональные данные
– при обработке в ней персональных данных
субъектов персональных данных,
полученных только из общедоступных
источников персональных данных,
созданных в соответствии со статьей 8
Федерального закона "О персональных
данных".
Информационная система,
обрабатывающая иные категории
персональных данных
– информационная система
не обрабатывающая
специальные, биометрические и
общедоступные категории
персональных данных.
Информационная система,
обрабатывающая
персональные данные
сотрудников оператора
– при обработке в ней
персональных данных
сотрудников оператора.
Информационная система,
обрабатывающая персональные
данные субъектов персональных
данных, не являющихся
сотрудниками оператора
– при обработке в ней персональных
субъектов персональных данных,
не являющихся сотрудниками
оператора.
Информационные системы
Локальные информационные
системы
Автономные
АРМ
Распределенные
информационные системы
- без подключения к ССОП или СМИО
- с подключением к ССОП или СМИО
Информационная система,
обрабатывающая специальные
категории персональных данных
Информационная система,
обрабатывающая биометрические
персональные данные
Информационная система,
обрабатывающая общедоступные
персональные данные
Информационная система,
обрабатывающая иные категории
персональных данных
Информационная система,
обрабатывающая персональные
данные сотрудников оператора
Информационная система,
обрабатывающая персональные
данные субъектов персональных
данных, не являющихся
сотрудниками оператора
Угрозы безопасности персональных данных
Актуальные угрозы безопасности
персональных данных
– совокупность условий и факторов,
создающих актуальную опасность
несанкционированного, в том числе
случайного, доступа к персональным данным
при их обработке в ИС, результатом которого
могут стать уничтожение, изменение,
блокирование, копирование, предоставление,
распространение персональных данных,
а также иные неправомерные действия.
Угрозы безопасности персональных данных
Угрозы 1-го типа
актуальны для информационной
системы, если для нее в том числе
актуальны угрозы, связанные с
наличием недокументированных
возможностей в системном
программном обеспечении,
используемом в ИС.
Угрозы безопасности персональных данных
Угрозы 2-го типа
актуальны для информационной
системы, если для нее в том числе
актуальны угрозы, связанные
с наличием недокументированных
возможностей в прикладном
программном обеспечении,
используемом в информационной
системе.
Угрозы безопасности персональных данных
Угрозы 3-го типа
актуальны для информационной
системы, если для нее актуальны
угрозы, не связанные с наличием
недокументированных возможностей
в системном и прикладном
программном обеспечении,
используемом в информационной
системе.
При обработке персональных
данных в информационных
системах устанавливаются
4 уровня защищенности
персональных данных.
Уровни защищенности персональных данных
Необходимость обеспечения 1-го уровня защищенности
персональных данных при их обработке в
информационной системе устанавливается при наличии
хотя бы одного из условий:
а) актуальны угрозы 1-го типа и информационная
система обрабатывает либо специальные категории
персональных данных, либо биометрические персональные
данные, либо иные категории персональных данных;
б) актуальны угрозы 2-го типа и информационная
система обрабатывает специальные категории персональных
данных более чем 100000 субъектов персональных данных,
не являющихся сотрудниками оператора.
Уровни защищенности персональных данных
Необходимость обеспечения 2-го уровня защищенности
персональных данных при их обработке в информационной
системе устанавливается при наличии хотя бы
одного из условий :
а) угрозы 1-го типа, обработка общедоступных персональных данных;
б) угрозы 2-го типа, обработка специальных категорий персональных данных
сотрудников оператора или специальных категорий персональных данных менее
чем 100000 субъектов персональных данных, не являющихся сотрудниками
оператора;
в) угрозы 2-го типа, обработка биометрических персональных данных;
г) угрозы 2-го типа, обработка общедоступных персональных данных более чем
100000 субъектов персональных данных, не являющихся сотрудниками оператора;
д) угрозы 2-го типа, обработка иных категорий персональных данных более
чем 100000 субъектов персональных данных, не являющихся сотрудниками
оператора;
е) угрозы 3-го типа , обработка специальных категорий персональных данных
более чем 100000 субъектов персональных данных, не являющихся сотрудниками
оператора.
Уровни защищенности персональных данных
Необходимость обеспечения 3-го уровня защищенности
персональных данных при их обработке в информационной
системе устанавливается при наличии хотя бы одного
из условий :
а) угрозы 2-го типа, обработка общедоступных персональных данных
сотрудников оператора или общедоступных персональных данных менее чем
100000 субъектов персональных данных, не являющихся сотрудниками оператора;
б) угрозы 2-го типа, обработка иных категорий персональных данных
сотрудников оператора или иных категорий персональных данных менее чем
100000 субъектов персональных данных, не являющихся сотрудниками оператора;
в) угрозы 3-го типа, обработка специальных категорий персональных данных
сотрудников оператора или специальных категорий персональных данных менее
чем 100000 субъектов персональных данных, не являющихся сотрудниками
оператора;
г) угрозы 3-го типа, обработка биометрических персональных данных;
д) угрозы 3-го типа, обработка иных категорий персональных данных более
чем 100000 субъектов персональных данных, не являющихся сотрудниками
оператора.
Уровни защищенности персональных данных
Необходимость обеспечения 4-го уровня защищенности
персональных данных при их обработке в информационной
системе устанавливается при наличии хотя бы одного
из условий :
а) для информационной системы актуальны угрозы 3-го
типа
и
информационная
система
обрабатывает
общедоступные персональные данные;
б) для информационной системы актуальны угрозы 3-го
типа и информационная система обрабатывает иные
категории персональных данных сотрудников оператора или
иные категории персональных данных менее чем 100000
субъектов
персональных
данных,
не
являющихся
сотрудниками оператора.
С – ИС, обрабатывающая специальные категории
ПДн;
Б – ИС, обрабатывающая биометрические ПДн;
О – ИС, обрабатывающая общедоступные ПДн;
И – ИС, обрабатывающая иные категории ПДн;
Сот – ИС, обрабатывающая ПДн только
сотрудников оператора;
неСот – ИС, обрабатывающая ПДн субъектов ПДн,
не являющихся сотрудниками оператора.
↓
Тип информационной системы
Тип угрозы
→
→
Уровень защищенности ПДн в ИС →
Требования
О
О Сот
О неСот<100
О
О неСот>100
И Сот
И неСот<100
И Сот
И неСот<100
И неСот<100
И неСот>100
И
С Сот
С неСот<100
С Сот
С неСот<100
С неСот>100
С
С неСот>100
Б
Б
Б
26
У3 У2 У2 У1 У2 У3 У3 У2 У2 У3 У2 У1 У3 У3 У2 У2 У3 У1 У2 У3 У2 У1
4 3 3 2 2 4 4 3 3 3 2 1 3 3 2 2 2 1 1 3 2 1
↓
Организация режима обеспечения безопасности помещений, в которых размещена информационная
система, препятствующего возможности неконтролируемого проникновения или пребывания в этих + + + + + + + + + + + + + + + + + + + + + +
помещениях лиц, не имеющих права доступа в эти помещения.
Обеспечение сохранности носителей персональных данных.
+ + + + + + + + + + + + + + + + + + + + + +
Утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к
персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими + + + + + + + + + + + + + + + + + + + + + +
служебных (трудовых) обязанностей.
Использование средств защиты информации, прошедших процедуру оценки соответствия
требованиям законодательства Российской Федерации в области обеспечения безопасности
+ + + + + + + + + + + + + + + + + + + + + +
информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных
угроз.
Назначение должностного лица (работника), ответственного за обеспечение безопасности
+ + + +
+ + + + + + + + + + + + + + +
персональных данных в информационной системе.
Доступ к содержанию электронного журнала сообщений возможен исключительно для должностных
лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном
журнале, необходимы для выполнения служебных (трудовых) обязанностей.
Автоматическая регистрация в электронном журнале безопасности изменения полномочий
сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе.
Создание структурного подразделения, ответственного за обеспечение безопасности персональных
данных в информационной системе, либо возложение на одно из структурных подразделений функций
по обеспечению такой безопасности.
+ +
+ +
+ + + + +
+ +
+
+ +
+
+
+ +
+
Требования к уровни защищенности персональных данных
Для 4-го уровня защищенности:
а) организация режима обеспечения безопасности помещений, в
которых размещена информационная система, препятствующего
возможности неконтролируемого проникновения или пребывания в
этих помещениях лиц, не имеющих права доступа в эти помещения;
б) обеспечение сохранности носителей персональных данных;
в)
утверждение
руководителем
оператора
документа,
определяющего перечень лиц, доступ которых к персональным
данным, обрабатываемым в информационной системе, необходим для
выполнения ими служебных (трудовых) обязанностей;
г) использование средств защиты информации, прошедших
процедуру оценки соответствия требованиям законодательства
Российской Федерации в области обеспечения безопасности
информации, в случае, когда применение таких средств необходимо
для нейтрализации актуальных угроз.
Требования к уровни защищенности персональных данных
Для 3-го уровня защищенности персональных данных:
а) организация режима обеспечения безопасности помещений, в
которых размещена информационная система, препятствующего
возможности неконтролируемого проникновения или пребывания в
этих помещениях лиц, не имеющих права доступа в эти помещения;
б) обеспечение сохранности носителей персональных данных;
в)
утверждение
руководителем
оператора
документа,
определяющего перечень лиц, доступ которых к персональным
данным, обрабатываемым в информационной системе, необходим для
выполнения ими служебных (трудовых) обязанностей;
г) использование средств защиты информации, прошедших
процедуру оценки соответствия требованиям законодательства
Российской Федерации в области обеспечения безопасности
информации, в случае, когда применение таких средств необходимо
для нейтрализации актуальных угроз.
д) наличие должностного лица , ответственного за обеспечение
безопасности персональных данных в информационной системе.
Требования к уровни защищенности персональных данных
Для 2-го уровня защищенности персональных данных
необходимо выполнение следующих требований:
а) организация режима обеспечения безопасности помещений, в которых
размещена
информационная
система,
препятствующего
возможности
неконтролируемого проникновения или пребывания в этих помещениях лиц, не
имеющих права доступа в эти помещения;
б) обеспечение сохранности носителей персональных данных;
в) утверждение руководителем оператора документа, определяющего перечень
лиц, доступ которых к персональным данным, обрабатываемым в
информационной системе, необходим для выполнения ими служебных (трудовых)
обязанностей;
г) использование средств защиты информации, прошедших процедуру оценки
соответствия требованиям законодательства Российской Федерации в области
обеспечения безопасности информации, в случае, когда применение таких средств
необходимо для нейтрализации актуальных угроз.
д) наличие должностного лица , ответственного за обеспечение безопасности
персональных данных в информационной системе.
е) доступ к содержанию электронного журнала сообщений возможен
исключительно для должностных лиц оператора или уполномоченного лица,
которым сведения, содержащиеся в указанном журнале, необходимы для
выполнения служебных (трудовых) обязанностей.
Требования к уровни защищенности персональных данных
Для 1-го уровня защищенности персональных данных:
а) организация режима обеспечения безопасности помещений, в которых размещена
информационная система, препятствующего возможности неконтролируемого проникновения или
пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
б) обеспечение сохранности носителей персональных данных;
в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ
которых к персональным данным, обрабатываемым в информационной системе, необходим для
выполнения ими служебных (трудовых) обязанностей;
г) использование средств защиты информации, прошедших процедуру оценки соответствия
требованиям законодательства Российской Федерации в области обеспечения безопасности
информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных
угроз.
д) наличие должностного лица , ответственного за обеспечение безопасности персональных
данных в информационной системе.
е) доступ к содержанию электронного журнала сообщений возможен исключительно для
должностных лиц оператора или уполномоченного лица, которым сведения, содержащиеся в
указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей.
ж) автоматическая регистрация в электронном журнале безопасности изменения
полномочий сотрудника оператора по доступу к персональным данным, содержащимся в
информационной системе.
з) создание структурного подразделения, ответственного за обеспечение безопасности
персональных данных в информационной системе, либо возложение на одно из структурных
подразделений функций по обеспечению такой безопасности.
Контроль за выполнением настоящих
требований организуется и проводится
оператором
(уполномоченным
лицом)
самостоятельно и (или) с привлечением
на договорной основе юридических лиц и
индивидуальных
предпринимателей,
имеющих лицензию на осуществление
деятельности по технической защите
конфиденциальной
информации.
Указанный контроль проводится не реже 1
раза в 3 года в сроки, определяемые
оператором (уполномоченным лицом).
СОСТАВ И СОДЕРЖАНИЕ
ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ
МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ
ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ
ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ
СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ
ОБЩИЕ ПОЛОЖЕНИЯ
Документ устанавливает состав и содержание
организационных и технических мер по
обеспечению безопасности персональных
данных при их обработке в информационных
системах персональных данных для каждого
из уровней защищенности персональных
данных, установленных в Требованиях к
защите персональных данных при их
обработке в информационных системах
персональных данных, утвержденных
постановлением Правительства Российской
Федерации от 1 ноября 2012 г. № 1119.
ОБЩИЕ ПОЛОЖЕНИЯ
Меры по обеспечению безопасности
персональных данных принимаются для
защиты персональных данных
от неправомерного или случайного
доступа к ним, уничтожения, изменения,
блокирования, копирования,
предоставления, распространения
персональных данных, а также от иных
неправомерных действий в отношении
персональных данных.
ОБЩИЕ ПОЛОЖЕНИЯ
Меры по обеспечению безопасности
персональных данных реализуются в том числе
посредством применения в информационной
системе средств защиты информации,
прошедших в установленном порядке процедуру
оценки соответствия, в случаях, когда
применение таких средств необходимо для
нейтрализации актуальных угроз безопасности
персональных данных.
ОБЩИЕ ПОЛОЖЕНИЯ
Оценка эффективности реализованных в рамках
системы защиты персональных данных мер
по обеспечению безопасности персональных
данных проводится оператором самостоятельно
или с привлечением на договорной основе
юридических лиц и индивидуальных
предпринимателей, имеющих лицензию на
осуществление деятельности по технической
защите конфиденциальной информации.
Указанная оценка проводится не реже одного
раза в 3 года.
Состав и содержание мер по обеспечению безопасности
персональных данных
В состав мер по обеспечению безопасности персональных данных,
реализуемых в рамках системы защиты персональных данных с
учетом актуальных угроз безопасности персональных данных и
применяемых информационных технологий, входят:
- идентификация и аутентификация субъектов доступа и объектов
доступа;
- управление доступом субъектов доступа к объектам доступа;
- ограничение программной среды;
- защита машинных носителей информации, на которых хранятся и
(или) обрабатываются персональные данные;
- регистрация событий безопасности;
- антивирусная защита;
- обнаружение (предотвращение) вторжений;
- контроль (анализ) защищенности персональных данных;
Состав и содержание мер по обеспечению безопасности
персональных данных
- обеспечение целостности информационной системы и
персональных данных;
- обеспечение доступности персональных данных;
- защита среды виртуализации;
- защита технических средств;
- защита информационной системы, ее средств, систем связи и
передачи данных;
- выявление инцидентов (одного события или группы событий),
которые могут привести к сбоям или нарушению функционирования
информационной системы и (или) к возникновению угроз
безопасности персональных данных и реагирование на них;
- управление конфигурацией информационной системы и системы
защиты персональных данных.
Состав и содержание мер по обеспечению безопасности
персональных данных, необходимых для обеспечения каждого
из уровней защищенности персональных данных, приведены в
приложении.
Состав и содержание мер по обеспечению безопасности
персональных данных
Выбор мер по обеспечению безопасности персональных
данных, подлежащих реализации в информационной
системе в рамках системы защиты персональных
данных, включает:
1. Определение базового набора мер по обеспечению безопасности
персональных данных для установленного уровня защищенности
персональных данных в соответствии с базовыми наборами мер по
обеспечению безопасности персональных данных, приведенными в
приложении к настоящему документу;
2. Адаптацию базового набора мер по обеспечению безопасности
персональных данных с учетом структурно-функциональных
характеристик информационной системы, информационных
технологий, особенностей функционирования информационной
системы (в том числе исключение из базового набора мер,
непосредственно связанных с информационными технологиями, не
используемыми в информационной системе, или структурнофункциональными характеристиками, не свойственными
информационной системе);
Состав и содержание мер по обеспечению безопасности
персональных данных
Выбор мер по обеспечению безопасности персональных
данных, подлежащих реализации в информационной
системе в рамках системы защиты персональных
данных, включает:
3. Уточнение адаптированного базового набора мер по обеспечению
безопасности персональных данных с учетом не выбранных ранее
мер, приведенных в приложении к настоящему документу, в
результате чего определяются меры по обеспечению безопасности
персональных данных, направленные на нейтрализацию всех
актуальных угроз безопасности персональных данных для
конкретной информационной системы;
4. Дополнение уточненного адаптированного базового набора мер
по обеспечению безопасности персональных данных мерами,
обеспечивающими выполнение требований к защите персональных
данных, установленными иными нормативными правовыми актами
в области обеспечения безопасности персональных данных и
защиты информации).
Состав и содержание мер по обеспечению безопасности
персональных данных
При невозможности технической реализации отдельных
выбранных мер по обеспечению безопасности
персональных данных, а также с учетом экономической
целесообразности на этапах адаптации базового набора
мер и (или) уточнения адаптированного базового набора
мер могут разрабатываться иные (компенсирующие)
меры, направленные на нейтрализацию актуальных
угроз безопасности персональных данных.
В этом случае в ходе разработки системы защиты
персональных данных должно быть проведено
обоснование применения компенсирующих мер для
обеспечения безопасности персональных данных.
Состав и содержание организационных и технических мер по обеспечению
безопасности ПДн при их обработке в информационных системах ПДн
I. Идентификация и аутентификация
субъектов доступа и объектов доступа (ИАФ)
Номер и
условное
обозначени
е меры
ИАФ.1
ИАФ.2
ИАФ.3
ИАФ.4
ИАФ.5
ИАФ.6
Меры по защите информации в информационных
системах
Идентификация и аутентификация пользователей, являющихся
работниками оператора
Идентификация и аутентификация устройств, в том числе
стационарных, мобильных и портативных
Управление идентификаторами, в том числе создание, присвоение,
уничтожение идентификаторов
Управление средствами аутентификации, в том числе хранение
выдача, инициализация, блокирование средств аутентификации и
принятие мер в случае утраты и (или) компрометации средств
аутентификации
Защита обратной связи при вводе аутентификационной информации
Идентификация и аутентификация пользователей, не являющихся
работниками оператора (внешних пользователей)
Уровни защищенности
информационной
системы
4
3
2
1
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
Состав и содержание организационных и технических мер по обеспечению
безопасности ПДн при их обработке в информационных системах ПДн
II. Управление доступом
субъектов доступа к объектам доступа (УПД)
Номер и
условное
обозначен
ие меры
УПД.1
УПД.2
УПД.3
УПД.4
УПД.5
УПД.6
Меры по защите информации в информационных
системах
Управление (заведение, активация, блокирование и уничтожение)
учетными записями пользователей, в том числе внешних
пользователей
Реализация необходимых методов (дискреционный, мандатный,
ролевой или иной метод), типов (чтение, запись, выполнение или иной
тип) и правил разграничения доступа
Управление (фильтрация, маршрутизация, контроль соединений,
однонаправленная передача и иные способы управления)
информационными потоками между устройствами, сегментами
информационной системы, а также между информационными
системами
Разделение полномочий (ролей) пользователей, администраторов и
лиц, обеспечивающих функционирование информационной системы
Назначение минимально необходимых прав и привилегий
пользователям, администраторам и лицам, обеспечивающим
функционирование информационной системы
Ограничение неуспешных попыток входа в информационную
систему (доступа к информационной системе)
Уровни защищенности
информационной
системы
4
3
2
1
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
Состав и содержание организационных и технических мер по обеспечению
безопасности ПДн при их обработке в информационных системах ПДн
II. Управление доступом
субъектов доступа к объектам доступа (УПД)
Номер и
условное
обозначен
ие меры
УПД.7
УПД.8
УПД.9
УПД.10
УПД.11
УПД.12
Меры по защите информации в информационных
системах
Уровни защищенности
информационной
системы
4
3
2
1
Предупреждение пользователя при его входе в информационную систему о
том, что в информационной системе реализованы меры защиты
информации, и о необходимости соблюдения им установленных оператором
правил обработки информации
Оповещение пользователя после успешного входа в информационную
систему о его предыдущем входе в информационную систему
Ограничение числа параллельных сеансов доступа для каждой учетной
записи пользователя информационной системы
Блокирование сеанса доступа в информационную систему после
установленного времени бездействия (неактивности) пользователя или по
его запросу
Разрешение (запрет) действий пользователей, разрешенных до
идентификации и аутентификации
Поддержка и сохранение атрибутов безопасности (меток безопасности),
связанных с информацией в процессе ее хранения и обработки
+
+
+
+
+
+
+
+
Методы и способы защиты информации от утечки за счет
ПЭМИН
использование сертифицированных серийно выпускаемых
в защищенном исполнении технических средств;
использование сертифицированных средств защиты
информации;
размещение объектов защиты на максимально возможном
расстоянии относительно границы КЗ;
размещение понижающих трансформаторных подстанций
электропитания и контуров заземления объектов защиты в
пределах КЗ;
обеспечение развязки цепей электропитания объектов
защиты с помощью защитных фильтров, блокирующих
(подавляющих) информативный сигнал;
обеспечение электромагнитной развязки между линиями
связи и другими цепями ВТСС, выходящими за пределы
КЗ, и информационными цепями, по которым циркулирует
защищаемая информация.
Методы и способы защиты информации в информационных
системах персональных данных
Размещение устройств вывода информации средств вычислительной
техники, информационно-вычислительных комплексов,
технических средств обработки графической, видео- и буквенноцифровой информации, входящих в состав информационной
системы, в помещениях, в которых они установлены,
осуществляется таким образом, чтобы была исключена возможность
просмотра посторонними лицами текстовой и графической видовой
информации, содержащей персональные данные.
Методы и способы защиты акустической (речевой) информации
заключаются в реализации организационных и технических мер для
обеспечения звукоизоляции ограждающих конструкций помещений,
в которых расположена информационная система, их систем
вентиляции и кондиционирования, не позволяющей вести
прослушивание акустической (речевой) информации при голосовом
вводе персональных данных в информационной системе или
воспроизведении информации акустическими средствами.
Методы и способы защиты информации от
несанкционированного доступа
реализация разрешительной системы допуска пользователей (обслуживающего персонала) к
информационным ресурсам, информационной системе и связанным с ее использованием работам,
документам;
ограничение доступа пользователей в помещения, где размещены технические средства,
позволяющие осуществлять обработку персональных данных, а также хранятся носители
информации;
разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам,
программным средствам обработки (передачи) и защиты информации;
регистрация действий пользователей и обслуживающего персонала, контроль несанкционированного
доступа и действий пользователей, обслуживающего персонала и посторонних лиц;
учет и хранение съемных носителей информации и их обращение, исключающее хищение, подмену и
уничтожение;
резервирование технических средств, дублирование массивов и носителей информации;
использование средств защиты информации, прошедших в установленном порядке процедуру оценки
соответствия;
использование защищенных каналов связи;
размещение технических средств, позволяющих осуществлять обработку персональных данных, в
пределах охраняемой территории;
организация физической защиты помещений и собственно технических средств, позволяющих
осуществлять обработку персональных данных;
предотвращение внедрения в информационные системы вредоносных программ (программ-вирусов)
и программных закладок.
Спасибо за внимание
Требования ФСБ России.
Использование шифровальных
(криптографических) средств для
обеспечения безопасности
персональных данных
Нормативные документы ФСБ
«Типовые требования по организации и обеспечению
функционирования шифровальных
(криптографических) средств, предназначенных для
защиты информации, не содержащей сведений,
составляющих государственную тайну, в случае их
использования для обеспечения безопасности
персональных данных при их обработке в
информационных системах персональных данных»
«Методические рекомендации по обеспечению с
помощью криптосредств безопасности персональных
данных при их обработке в информационных
системах персональных данных с использованием
средств автоматизации»
http://www.rsoc.ru/main/directions/874/916.shtml
Оператор – государственный орган, муниципальный
орган, юридическое или физическое лицо,
организующие и (или) осуществляющие обработку
персональных данных, а также определяющие цели и
содержание обработки персональных данных.
Оператор обязан принимать необходимые
организационные и технические меры, в том числе
использовать шифровальные (криптографические)
средства для защиты персональных данных от
неправомерного или случайного доступа к ним,
уничтожения, изменения, копирования,
распространения и т.д.
Нормативные документы, разработанные
ФСБ, ФСТЭК и Минкомсвязи России
«Положение об обеспечении безопасности персональных данных при
их обработке в информационных системах персональных данных»,
утвержденное Постановлением Правительства Российской Федерации
от 17 ноября 2007 г. № 781 и разработанным на его основе документов
ФСТЭК и ФСБ России
«Требования к материальным носителям биометрических
персональных данных и технологиям хранения таких данных вне
информационных систем персональных данных», утвержденные
Постановлением Правительства Российской Федерации от 6 июля
2008 г. № 512
В 2008 г. ФСТЭК, ФСБ и Минкомсвязи России разработан и подписан
совместный приказ «Об утверждении Порядка проведения
классификации информационных систем персональных данных» от 13
февраля 2008 г. № 55/86/20, который зарегистрирован в Минюсте
России за № 11462 от 3.04.2008
Мероприятия по техническому
обеспечению безопасности
персональных данных
Мероприятия по размещению, специальному
оборудованию, охране и организации режима
допуска в помещения, где ведется работа с
персональными данными
Мероприятия по закрытию технических
каналов утечки персональных данных при их
обработке в информационных системах
Мероприятия по защите от
несанкционированного доступа и т.д.
В случае, если не удалось обеспечить безопасность
указанными выше методами, определяется
необходимость использования средств криптографии
для обеспечения безопасности персональных данных
и реализуется комплекс соответствующих (а при
необходимости дополнительных) организационных и
технических мер.
При этом:
в случае обеспечения безопасности персональных данных
без использования криптосредств при формировании модели
угроз используются методические документы ФСТЭК России
• в случае определения оператором необходимости
использования криптосредств при формировании модели
угроз используются методические документы ФСТЭК России
и Методические рекомендации ФСБ России. Из двух
содержащихся в документах однотипных угроз выбирается
наиболее опасная
•
В современных условиях любая система защиты информации
имеет, по крайней мере, два уязвимых места:
Во-первых, сотрудника организации, который, с одной стороны,
юридически и физически слабо защищен от различных
криминальных проявлений и незаконных действий. С другой–
юридически безответственен из-за сложностей формирования
доказательной базы
• Во-вторых, незащищенные каналы связи
•
Таким образом, необходимость применения криптосредств
прежде всего проявляется в следующих случаях:
•
•
в системах, являющихся комплексами автоматизированных рабочих
мест и (или) локальных информационных систем, объединенных в
единую информационную систему средствами связи. Необходимость
криптографической защиты информации возникает при передаче
информации в среду, в которой она может оказаться доступной
нарушителю, например в не защищенных от несанкционированного
доступа средствах хранения информации и каналах связи
в системах, являющихся многопользовательскими, в которых в
соответствии с моделью угроз введено разграничение прав доступа
пользователей и возможно наличие инсайдера, а безопасность
хранения и обработки не может быть гарантированно обеспечена
другими средствами
Документы, разработанные ФСБ России
во исполнение Федерального закона № 152-ФЗ
«О персональных данных» и Постановления
Правительства Российской Федерации
от 17 ноября 2007 г. № 781
«Методические рекомендации по обеспечению с помощью
криптосредств безопасности персональных данных при их
обработке в информационных системах персональных
данных с использованием средств автоматизации»
«Типовые требования по организации и обеспечению
функционирования шифровальных (криптографических)
средств, предназначенных для защиты информации, не
содержащей сведений, составляющих государственную
тайну, в случае их использования для обеспечения
безопасности персональных данных при их обработке в
информационных системах персональных данных»
Методические рекомендации
Методические рекомендации предназначены для
операторов и разработчиков информационных
систем персональных данных и позволяют:
сформировать модели угроз и нарушителей и на
их основе определить требуемый уровень
криптографической защиты персональных данных
и, как следствие, требуемый класс защиты
применяемого криптосредства
а также определяют Требования к контролю
встраивания криптосредства
2.3. В соответствии с п. 12 Положения
необходимым условием разработки
системы защиты персональных данных
является формирование модели угроз
безопасности персональных данных (далее модель угроз).
В случае обеспечения безопасности персональных данных без
использования криптосредств при формировании модели
угроз используются методические документы ФСТЭК России.
В случае определения оператором необходимости обеспечения
безопасности персональных данных с использованием
криптосредств при формировании модели угроз используются
методические документы ФСТЭК России и настоящие
Методические рекомендации. При этом из двух содержащихся в
документах ФСТЭК России и Методических рекомендациях
однотипных угроз выбирается более опасное
Модель угроз может быть пересмотрена:
по решению оператора на основе периодически
проводимых им анализа и оценки угроз безопасности
персональных данных с учетом особенностей и (или)
изменений конкретной информационной системы;
по результатам мероприятий по контролю за
выполнением требований к обеспечению
безопасности персональных данных при их
обработке в информационной системе.
3.1
Общие принципы
Разработка модели угроз должна базироваться на следующих принципах:
1. Безопасность
персональных
данных
при
их
обработке
в
информационных системах обеспечивается с помощью системы
защиты персональных данных (п. 2.2 Методических рекомендаций).
2. При формировании модели угроз необходимо учитывать как
угрозы, осуществление
которых
нарушает
безопасность
персональных данных
(далее
-прямая угроза), так и угрозы,
создающие
условия
для
появления
прямых
угроз
(далее
- косвенные угрозы) или косвенных угроз.
3. Персональные
данные
обрабатываются
и
хранятся
в
информационной
системе
с
использованием
определенных
информационных технологий и технических средств, порождающих
объекты
защиты
различного
уровня,
атаки
на
которые
создают прямые или косвенные угрозы защищаемой информации.
4. Криптосредство штатно функционирует совместно с техническими
и программными
средствами,
которые
способны
повлиять
на
выполнение предъявляемых к криптосредству требований
и
которые
образуют
среду функционирования криптосредства
(СФК).
3.1
Общие принципы
Разработка модели угроз должна базироваться на следующих принципах:
5. Система защиты персональных данных не может обеспечить
защиту информации от действий, выполняемых в рамках
предоставленных субъекту действий полномочий (например,
криптосредство не может обеспечить защиту
информации от раскрытия лицами, которым предоставлено право на
доступ к этой информации).
6. Нарушитель может действовать на различных этапах жизненного
цикла криптосредства и СФК (под этими этапами в настоящем
документе понимаются разработка, производство, хранение,
транспортировка, ввод в эксплуатацию, эксплуатация программных
и технических средств криптосредства и СФК).
7. Для обеспечения безопасности персональных данных при их обработке
в информационных системах должны использоваться
сертифицированные в системе сертификации ФСБ России
(имеющие положительное заключение экспертной
организации о соответствии требованиям нормативных документов по
безопасности
информации) криптосредства.
Различают модель угроз верхнего уровня и детализированную
модель угроз.
Модель угроз угроз верхнего уровня предназначена для
определения характеристик безопасности защищаемых
персональных данных и других объектов защиты (принципы 2 и 3).
Эта модель также определяет исходные данные для
детализированной модели угроз.
Детализированная модель угроз предназначена для определения
требуемого уровня криптографической защиты.
3.4 Методология формирования модели нарушителя
Согласно последнему из определенных в п. 3.1 Методических
рекомендаций принципу (принцип 8) нарушитель может действовать
на различных этапах жизненного цикла криптосредства и СФК
Этапы разработки, производства, хранения, транспортировки,
ввода в эксплуатацию технических и программных средств
криптосредства и СФК
Этап эксплуатации технических и программных средств
криптосредства и СФК
Этапы разработки, производства, хранения, транспортировки, ввода
в эксплуатацию технических и программных средств криптосредства
и СФК
На этапах разработки, производства, хранения, транспортировки, ввода в
эксплуатацию технических и программных средств криптосредства и СФК обработка
персональных данных не производится. Поэтому объектами атак могут быть только
сами эти средства и документация на них.
возможны следующие атаки:
• внесение негативных функциональных возможностей в технические и программные
компоненты криптосредства и СФК, в том числе с использованием вредоносных программ
(компьютерные вирусы, «троянские кони» и т.д.);
•внесение несанкционированных изменений в документацию на
криптосредство и технические и программные компоненты СФК. Необходимо отметить,
что указанные атаки:
•на этапах разработки, производства и транспортировки технических и программных
средств криптосредства и СФК могут проводиться только вне зоны ответственности
оператора;
•на этапе хранения технических и программных средств криптосредства и СФК могут
проводиться как в зоне, так и вне зоны ответственности оператора;
•на этапе ввода в эксплуатацию технических и программных средств криптосредства и
СФК могут проводиться в зоне ответственности оператора.
Этап эксплуатации технических и программных средств
криптосредства и СФК
Атака как любое целенаправленное действие характеризуется
рядом существенных признаков.
К этим существенным признакам на этапе эксплуатации технических и
программных средств криптосредства и СФК вполне естественно можно
отнести:
•
нарушителя - субъекта атаки;
•
объект атаки;
•
цель атаки;
•
имеющуюся у нарушителя информацию об объекте атаки;
•
имеющиеся у нарушителя средства атаки;
•
канал атаки.
Описание нарушителей (субъектов атак)
Различают шесть основных типов нарушителей: Н1 Н2, ..., Н6.
Предполагается, что нарушители типа Н5 и Н6 могут ставить работы по созданию
способов
и
средств
атак
в
научно-исследовательских
центрах,
специализирующихся в области разработки и анализа криптосредств и СФК.
Возможности нарушителя типа Hj+1 включают в себя возможности нарушителя
типа Нj (1 i).
Нарушитель относится к типу Н6 в информационных системах, в которых
обрабатываются наиболее важные персональные данные, нарушение характеристик
безопасности которых может привести к особо тяжелым последствиям.
Рекомендуется при отнесении оператором нарушителя к типу Н6 согласовывать
модель нарушителя с ФСБ России.
Различают шесть уровней КС1, КС2, КСЗ, КВ1,
КВ2,
КА1 криптографической защиты персональных
данных,
не
содержащих
сведений, составляющих
государственную тайну,
определенных в порядке
возрастания количества и жесткости предъявляемых
к
криптосредствам требований,
и, соответственно,
шесть классов криптосредств, также обозначаемых через
КС1, КС2, КСЗ,КВ1,КВ2, КА1.
Уровень криптографической защиты персональных данных, обеспечиваемой
криптосредством, определяется оператором путем отнесения нарушителя,
действиям которого должно противостоять криптосредство, к конкретному типу.
При отнесении заказчиком нарушителя к типу H1 криптосредство
должно обеспечить криптографическую защиту по уровню КС 1, к
типу Н2 - КС2, к типу Н3 -КСЗ, к типу Н4 - KB 1, к типу Н5 - КВ2, к
типу Н6 - КА1.
В соответствии с Методическими
рекомендациями
Встраивание криптосредств класса КС1 и КС2 осуществляется без
контроля со стороны ФСБ России (если этот контроль не
предусмотрен техническим заданием на разработку (модернизацию)
информационной системы)
Встраивание криптосредств класса КС3, КВ1, КВ2 и КА1
осуществляется только под контролем со стороны ФСБ России
Встраивание криптосредств класса КС1, КС2 или КС3 может
осуществляться либо самим пользователем криптосредства при
наличии соответствующей лицензии ФСБ России, либо
организацией, имеющей соответствующую лицензию ФСБ России
Встраивание криптосредства класса КВ1, КВ2 или КА1
осуществляется организацией, имеющей соответствующую
лицензию ФСБ России
Типовые требования
Типовые требования предназначены для
использования
операторами информационных систем и определяют:
организационно-технические меры при
развертывании и эксплуатации информационных
систем
порядок обращения с криптосредствами и
криптоключами к ним
мероприятия при компрометации криптоключей
порядок размещения, специального оборудования,
охраны и организации режима в помещениях, где
установлены криптосредства или хранятся
ключевые документы к ним
Организация и обеспечение безопасности обработки
персональных данных
Необходимо руководствоваться следующими документами:
Постановлением Правительства РФ от 29 декабря 2007 г. №
957 «Об утверждении положений о лицензировании
отдельных видов деятельности, связанных с шифровальными
(криптографическими) средствами»
Приказом ФСБ России от 9 февраля 2005 г. № 66 «Об
утверждении Положения о разработке, производстве,
реализации и эксплуатации шифровальных
(криптографических) средств защиты информации»
(Положение ПКЗ-2005)
Правилами пользования, требованиями формуляра,
руководства оператора, сертификата и другими документами
на используемое средство криптографической защиты
При разработке и реализации мероприятий по организации и
обеспечению безопасности персональных данных с использованием
криптосредств оператор должен осуществлять:
установку и ввод в эксплуатацию криптосредств в соответствии с
эксплуатационной и технической документацией на эти средства
проверку готовности криптосредств к использованию с составлением
заключений о возможности их эксплуатации
обучение лиц, использующих криптосредства, работе с ними
поэкземплярный учет используемых криптосредств, эксплуатационной и
технической документации к ним
учет лиц, допущенных к работе с криптосредствами, предназначенными
для обеспечения безопасности персональных данных в информационной
системе (пользователей криптосредств)
контроль за соблюдением условий использования криптосредств,
предусмотренных эксплуатационной и технической документацией к ним
разбирательство и составление заключений по фактам нарушения
условий хранения и использования криптосредств, которые могут
привести к нарушению конфиденциальности персональных данных или
другим нарушениям, приводящим к снижению уровня защищенности
персональных данных
разработку и принятие мер по предотвращению возможных опасных
последствий подобных нарушений
Предлагаемые виды проверок
В зависимости от ведомственного состава участвующих в их
проведении:
Комплексные – проводятся одновременно по всем
направлениям контроля и надзора, с проверкой соблюдения
оператором обязательных требований и норм, установленных
нормативными правовыми актами в области обработки
персональных данных и требований к обеспечению их
безопасности
Целевые – проводятся с целью оценки соблюдения
требований к обеспечению безопасности персональных
данных, установленных постановлениями Правительства РФ,
при этом проверки могут проводиться:
совместно
со ФСТЭК России
силами специалистов 8 Центра ФСБ России или сотрудников
территориальных органов безопасности в части использования
криптосредств
Необходимо отметить, что мероприятия по
государственному контролю и надзору за
использованием средств криптографии,
применяемых для защиты персональных данных,
будут проводиться исходя из следующих основных
принципов:
оценка выполнения требований к обеспечению
безопасности осуществляется в соответствии с
требованиями Федерального закона без
ознакомления с персональными данными
работы проводятся в строгом соответствии с
требованиями Федерального закона «О защите
прав юридических лиц и индивидуальных
предпринимателей при проведении
государственного контроля (надзора)»
Понятие надежности ЗТКС
Цели и принципы стандартизации в Российской Федерации установлены
Федеральным законом от 27 декабря 2002 г. N 184-ФЗ "О техническом
регулировании"
1.
2.
3.
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ. НАДЕЖНОСТЬ В
ТЕХНИКЕ. СИСТЕМА УПРАВЛЕНИЯ НАДЕЖНОСТЬЮ. ОСНОВНЫЕ ПОЛОЖЕНИЯ
ГОСТ Р 27.001-2009;
ГОСТ 27.002-89. Надежность в технике. Основные понятия, термины и
определения. Дефекты, повреждения, отказы. Временные понятия;
ГОСТ 27.301-95 Надежность в технике. Расчет надежности. Основные положения.
Разработан МТК 119 "Надежность в технике". Внесен Госстандартом России.
Принят Межгосударственным Советом по стандартизации, метрологии и
сертификации (протокол N 7 от 26 апреля 1995 г.
Литература:
1.
Вентцель Е.С. Теория вероятностей. -М.:1969;
2.
Надежность технических систем/ Под ред. И.А.Ушакова. –М.:1985;
3.
Надежность и эффективность в технике: Справочник. В 10 т. –М.:
Машиностроение, 1990;
4.
Рябинин И. А. Надежность и безопасность структурно-сложных систем. СПб.:
Издательство Санкт-Петербургского университета, 2007 г., 278 с.;
5.
Струков А.В. «Анализ международных и российских стандартов в области
надежности, риска и безопасности».
2
Надежность - свойство объекта сохранять во времени в установленных пределах
значения всех параметров, характеризующих способность выполнять требуемые
функции в заданных режимах и условиях применения, технического обслуживания,
хранения и транспортирования.
Надежность является комплексным свойством, которое в зависимости от
назначения объекта и условий его применения может включать безотказность,
долговечность,
ремонтопригодность, сохраняемость, устойчивоспособность,
режимную управляемость, живучесть и безопасность или определенные сочетания
этих свойств.
Отказ - событие, заключающееся в нарушении работоспособного состояния объекта.
Критерий отказа - признак или совокупность признаков нарушения работоспособного
состояния объекта, установленные в нормативно-технической и (или) конструкторской
(проектной) документации.
Отказы классифицируются по ряду признаков:
1) по степени нарушения работоспособности: полные и частичные;
2) по характеру процессов проявления: внезапные и постепенные;
3) по связи с другими отказами: зависимые и независимые;
4) по времени существования: устойчивые и неустойчивые (сбои).
3
Первую известную базу данных по надежности "Military Standard 217. Reliability
prediction of electronic equipment“ составили в 1962 году. Тогда же в 1962 году впервые
был использован метод анализа дерева отказов (fault tree analysis, FTA) компанией
Bell Labs для Военно-воздушных сил США, который на сегодняшний день получил
широкое распространение для анализа причин отказов статичных систем. Данный
метод является частью национальных стандартов таких, например, как стандарт США
«MIL-HDBK-217 Reliability prediction of electronic equipment» или российских
«Методических указаний по проведению анализа риска опасных производственных
объектов №РД 03-418-01».
Дерево отказов (аварий, происшествий, последствий, нежелательных событий и
пр.) лежит в основе логико-вероятностной модели причинно-следственных связей
отказов системы с отказами ее элементов и другими событиями (воздействиями).
При анализе возникновения отказа, дерево отказов состоит из последовательностей
и комбинаций нарушений и неисправностей, и таким образом оно представляет
собой многоуровневую графологическую структуру причинных взаимосвязей,
полученных в результате прослеживания опасных ситуаций в обратном порядке, для
того чтобы отыскать возможные причины их возникновения
4
Дерево отказов
5
Нормирование надежности
•
Для любой системы одной из первых инженерных задач надежности является
адекватное нормирование показателей надежности, например, в терминах
требуемой готовности. Нормирование надежности - это установление в проектной
или иной документации количественных и качественных требований к надежности.
•
При выборе номенклатуры нормируемых показателей надежности необходимо
учитывать назначение объекта, степень его ответственности, условия эксплуатации,
характер отказов (внезапные, постепенные и т. п.), возможные последствия отказов,
возможные типы предельных состояний. При этом целесообразно, чтобы общее
число нормируемых показателей надежности было минимально; нормируемые
показатели имели простой физический смысл, допускали возможность расчетной
оценки на этапе проектирования, статистической оценки и подтверждения по
результатам испытаний и (или) эксплуатации.
•
Требования по надежности относятся как к самой системе и ее составным частям,
так и к планам испытаний, к точности и достоверности исходных данных,
формулированию критериев отказов, повреждений и предельных состояний, к
методам контроля надежности на всех этапах жизненного цикла изделия.
Например, требования по ремонтопригодности могут включать в себя показатели
стоимости и времени восстановления. Оценивание эффективности процессов
технического обслуживания и ремонта является частью процесса FRACAS (failure
reporting, analysis and corrective action system – система отчетов об отказах, анализа и
коррекции действий).
6
Показатель надежности количественная характеристика одного или нескольких свойств,
составляющих надежность объекта.
К показателям надежности относят количественные характеристики надежности, которые
вводят согласно правилам статистической теории надежности.
•
Виды показателей надежности:
Единичный показатель надежности - показатель надежности, характеризующий одно из
свойств, составляющих надежность объекта;
Комплексный показатель надежности - показатель надежности, характеризующий несколько
свойств, составляющих надежность объекта;
В отличие от единичного показателя надежности комплексный показатель надежности
количественно характеризует не менее двух свойств, составляющих надежность, например
безотказность и ремонтопригодность.
Примером комплексного показателя надежности служит коэффициент готовности,
стационарное значение которого (если оно существует) определяют по формуле:
, где Т - средняя наработка на отказ;
- Тв среднее время восстановления.
Расчетный
показатель
надежности,
Экспериментальный
показатель
надежности,
Эксплуатационный показатель надежности, Экстраполированный показатель надежности
Коэффициент технического использования - отношение математического ожидания
суммарного времени пребывания объекта в работоспособном состоянии за некоторый период
эксплуатации к математическому ожиданию суммарного времени пребывания объекта в
работоспособном состоянии и простоев, обусловленных техническим обслуживанием и
ремонтом за тот же период.
7
Резервирование - одно из основных средств обеспечения заданного уровня надежности объекта
при недостаточно надежных компонентах и элементах.
Цель резервирования - обеспечить безотказность объекта в целом, т.е. сохранить его
работоспособность, когда возник отказ одного или нескольких элементов.
Кратность резерва - отношение числа резервных элементов
к числу резервируемых ими элементов, выраженное несокращенной дробью
•
Виды показателей безотказности:
Вероятность безотказной работы - вероятность того, что в пределах заданной наработки
отказ объекта не возникнет;
Средняя наработка до отказа - математическое ожидание наработки объекта до первого
отказа;
Интенсивность отказов - условная плотность вероятности возникновения отказа объекта
определяемая при условии, что до рассматриваемого момента времени отказ не возник;
Средняя наработка на отказ - отношение суммарной наработки восстанавливаемого объекта к
математическому ожиданию числа его отказов в течение этой наработки.
8
•
Виды показателей долговечности:
Средний ресурс - математическое ожидание ресурса;
эксплуатации, в течение которой объект не достигнет предельного состояния с вероятностью
гамма, выраженной в процентах;
Средний срок службы - математическое ожидание срока службы.
•
Виды показателей ремонтопригодности:
Вероятность восстановления - вероятность того, что время восстановления работоспособного
состояния объекта не превысит заданное значение;
Среднее время - математическое ожидание времени восстановления;
Интенсивность восстановления - условная плотность вероятности восстановления
работоспособного состояния объекта, определенная для рассматриваемого момента времени
при условии, что до этого момента восстановление не было завершено
9
Классификация
надежности:
объектов
по
показателям
и
методам
оценки
Для объектов разного назначения и устройства применяются различные показатели надежности.
Можно выделить четыре группы объектов, различающиеся показателями и методами оценки
надежности:
1) неремонтируемые объекты, применяемые до первого отказа;
2) ремонтируемые объекты, восстановление которых в процессе применения невозможно
(невосстанавливаемые объекты);
3) ремонтируемые восстанавливаемые в процессе применения объекты, для которых
недопустимы перерывы в работе;
4) Ремонтируемые восстанавливаемые в процессе применения объекта, для которых допустимы
кратковременные перерывы в работе.
10
Расчеты надежности систем по последовательно – параллельным
логическим схемам
При этом методе структура системы изображается в виде специальной логической схемы,
характеризующей состояние (работоспособное или неработоспособное) системы в зависимости
от состояний отдельных элементов. На логических схемах обычно применяют три способа
соединений элементов:
1) последовательное (основное) соединение соответствует случаю, когда при отказе элемента
отказывает вся система; наработка до отказа системы равна наработке до отказа того элемента, у
которого она оказалась минимальной:
Tc= min(Тj) ,j=1, 2, ...,n,
где п — число элементов системы;
2) параллельное нагруженное соединение соответствует случаю, когда система сохраняет
работоспособность, пока работоспособен хотя бы один элемент из k включенных в работу;
наработка до отказа системы. равна максимальному из значений наработки до отказа
элементов:
Tc= max(Тj) ,j=1, 2, ...,k,
3) параллельное ненагруженное соединение соответствует случаю, когда при отказе элемента
включается работоспособность; наработка в работу очередной резервный элемент и таким
путем система сохраняет способность; наработка до отказа системы равна сумме наработок до
отказа элементов.
а) последовательное (основное),
б) параллельно нагруженное,
в) параллельное
11
Надежность и безопасность
Надежность в инженерной практике отличается от безопасности отношением к видам
опасностей, с которыми она имеет дело.
Надежность в технике главным образом связана с определением стоимостных показателей. Они
относятся к тем опасностям в смысле надежности, которые могут перерасти в аварии с
частичной потерей доходов для компании или заказчика. Это может произойти из-за потери по
причине неготовности системы, неожиданно высоких затрат на запасные части и ремонт,
перерывов в нормальной работе и т.п.
Безопасность относится к тем случаям проявления опасности, которые могут привести к
потенциально тяжелым авариям. Требования по безопасности функционально связаны с
требованиями по надежности, но характеризуются более высокой ответственностью.
Безопасность имеет дело с нежелательными опасными событиями для жизни людей и
окружающей среды в том же смысле, что и надежность, но не связана напрямую со
стоимостными показателями и не относится к действиям по восстановлению после отказов и
аварий.
У безопасности другой уровень важности отказов в обществе и контроля со стороны
государства.
Безопасность часто контролируется государством (например, атомная промышленность,
космос, оборона, железные дороги и нефтегазовый сектор).
12
Отказоустойчивость
Одной из наиболее важных технологий проектирования является введение избыточности или
резервирование.
Резервирование – это способ обеспечения надежности изделия за счет дополнительных средств
и (или) возможностей, избыточных по отношению к минимально необходимым для выполнения
требуемых функций (ГОСТ 27.002).
Путем введения избыточности совместно с хорошо организованным мониторингом отказов,
даже системы с низкой надежностью по одному каналу могут в целом обладать высоким
уровнем надежности. Однако введение избыточности на высоком уровне в сложной системе
сложно и дорого, что ограничивает такое резервирование.
На более низком уровне системы резервирование реализуется быстро и просто, например,
использование дополнительного соединения.
Надежность может быть увеличена при использовании резервирования «2 из 2» на уровне
компонент или системы, но это может привести к снижению безопасности за счет увеличения
вероятности ложной тревоги (например, ложное срабатывание тормозной системы поезда).
Отказоустойчивые мажоритарные системы (логика голосования «2 из 3») может увеличить как
надежность, так и безопасность на системном уровне.
Такие методы являются общей практикой в аэрокосмических системах, в которых требуется
постоянная готовность и недопустимость опасных отказов.
13
В качестве методологической базы формирования системы целеполагания предлагается
использовать методику сбалансированных показателей (Balanced Scorecard, ССП),
обеспечивающую возможность координации различных уровней управления на основе ключевых
показателей эффективности (КПД).
Основные принципы построения
ССП, обеспечивающие
сбалансированность системы
показателей:
•
•
•
Иерархичность целей по уровням
управления - Четкое определение
роли подразделения в
реализации стратегии Общества;
Согласованность целей одного
уровня - Цели подразделений не
должны приводить к
противоречиям между ними;
Описание целей с различных
перспектив - Отношения с
клиентами, финансовые
результаты, производственные и
управленческие процессы,
инновации и персонал.
В соответствии с методологией ССП цели развития
Общества должны определяться на разных уровнях и в
различных перспективах:
Технологический /
управленческий процесс требования к процессу, технологи цели и риски в области
производственных и
управленческих процессов
Инновации и персонал характеристики персонала и
развития технологий, необходимых
для эффективного
функционирования процессов – цели
риски в области обучения и развития
Внешняя среда
(Централизованный поставщик,
прочие контрагенты,
ОАО «Газпром», надзорные органы) цели и риски в области
взаимоотношений с внешними
клиентами
Финансовые результаты отражение экономического
результата - финансовые цели и
риски
14
Система целей Общества включает:
•
Стратегические
цели,
которые
определяются
как
приоритетные
стратегические направления развития
Общества, определяющие условия его
существования в среднесрочной и
долгосрочной перспективе;
•
Функциональные
цели,
конкретизирующие и балансирующие
направления усилий на
уровне
направлений деятельности Общества;
•
На одну вышестоящую цель могут
влиять несколько целей нижнего уровня;
•
Одна цель низшего уровня может влиять
на несколько целей вышестоящих
уровней;
•
Цель,
отнесенная
к
одному
направлению/перспективе,
может
влиять или подвергаться влиянию целей,
отнесенных
к
другим
направлениям/перспективам и т,д.;
•
Совокупность функциональных целей и
связей между ними представляют собой
функциональные
карты в
разрезе
направлений деятельности Общества;
15
Для оценки успешности достижения целей, к каждой цели определяется
измерители – ключевые показатели деятельности.
Ключевые показатели деятельности предназначены
для руководства как
инструмент принятия решений в процессе управления деятельностью Общества;
КПД разрабатываются по следующим принципам:
•
•
•
Количество КПД должно быть ограничено - 1-3 показателя на цель, не
более 60 показателей (оптимально 20-25) для стратегической карты;
Набор КПД должен быть сбалансированным, не замыкаться на одной
области - финансовые результаты, клиенты, бизнес-процессы, инновации
и персонал;
Для каждого КПД должен быть определен способ получения его значения
- замер, вычисление, экспертная оценка.
Структура показателей должна обеспечивать возможность выбора уровня
детализации или разреза представления информации - интегральные оценки,
формируемые на основе многих (возможно разнородных) простых показателей.
16
Методика разработки стратегии Общества
Процесс формирования стратегии Общества и показателей уровня стратегических
целей:
Шаг 1. Формирование стратегической карты: определение взаимосвязанного набора целей
стратегии Общества;
Шаг 2. Формирование набора показателей, используемых для оценки реализации стратегии
Общества;
Шаг 3. Разработка спецификаций показателей стратегии: формализованное описание
показателей, включающее источники информации, алгоритмы расчета значений показателей,
зоны ответственности и т.д.
Формирование стратегической карты Общества - осуществляется высшим руководством, в
постановке целей участвуют ГД, ЗГД и РП. Рекомендуемые сроки постановки стратегических
целей 3-5 лет. Стратегические цели определяется в соответствии с методологией ССП,
оформляются в виде стратегической карты и утверждаются ГД.
Формирование набора показателей для стратегической карты Общества - КПД для
стратегических целей разрабатываются по принципам построения ССП с учетом особенности
деятельности Общества.
Разработанные КПД оформляются в виде документа – спецификации показателя.
Спецификации показателей согласовываются сотрудниками, ответственными за достижение,
контроль и расчет показателя, и утверждаются ЗГД, ответственными за достижение показателя.
17