Классификация автоматизированных систем в составе объектов вычислительной техники.
Информация Федеральный закон “Об информации, информационных технологиях и о защите информации” от 27 июля 2006 года регулирует отношения, возникающие при: осуществлении права на поиск, получение, передачу, производство и распространение информации; применении информационных технологий и обеспечении защиты информации. При этом под информацией – понимаются сведения (сообщения, данные) независимо от формы их представления. Информация в зависимости от порядка её предоставления или распространения подразделяется на: свободно распространяемую; предоставляемую по соглашению лиц, участвующих в соответствующих отношениях; которая в соответствии с федеральными законами подлежит предоставлению или распространению и информацию распространение которой в РФ ограничивается или запрещается. Условно её можно разделить на конфиденциальную и информацию составляющую государственную тайну.
Конфиденциальная информация В качестве конфиденциальной рассматривается документированная информация, с ограниченным доступом, за исключением сведений, отнесенных к государственной тайне и персональным данным, содержащихся в государственных (муниципальных) информационных ресурсах, накопленных за счет государственного (муниципального) бюджета и являющихся собственностью государства (к ней может быть отнесена информация, составляющая служебную тайну и другие виды тайн в соответствии с законодательством Российской Федерации, а также сведения конфиденциального характера в соответствии с "Перечнем сведений конфиденциального характера", утвержденного Указом Президента Российской Федерации от 06. 03. 97 № 188), защита которой осуществляется в интересах государства (далее служебная тайна).
Государственная тайна Закон РФ от 21 июля 1993 г. N 5485 1 "О государственной тайне" (с изменениями от 6 октября 1997 г. , 30 июня 2003 г. , 11 ноября 2003 г. ) регулирует отношения, возникающие в связи с отнесением сведений к государственной тайне, их засекречиванием или рассекречиванием и защитой в интересах обеспечения безопасности Российской Федерации. государственная тайна защищаемые государством сведения в области его военной, внешнеполитической, экономической, научной, оперативно розыскной разведывательной и контрразведывательной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.
В целях дифференцированного подхода к защите информации на предпроектной стадии обследования ОИ производится: категорирование помещений, в которых проводятся обсуждения или ведутся переговоры по секретным, конфиденциальным вопросам (выделенные, защищаемые помещения); категорирование основных технических систем и средств, предназначенных для обработки, передачи и хранения секретной и конфиденциальной информации; классификация защищённости несанкционированного доступа к предназначенных для обработки конфиденциальной информации. АС от информации, секретной и
Основные руководящие документы ФСТЭК по категорированию и классификации объектов информатизации ФЗ «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г. N 149 -ФЗ; Федеральный закон РФ "О государственной тайне» от 21 июля 1993 г. ; Положение по аттестации объектов информатизации по требованиям безопасности информации, утверждено Председателем Гостехкомиссии России 25. 11. 94 г. ; «Специальные требования и рекомендации по защите информации от утечки по техническим каналам» от 1997 года «Специальные требования и рекомендации по технической защите конфиденциальной информации» утверждены решением Коллегии Гостехкомиссии России от 02. 03. 01 г. № 7. 2; Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации РД Гостехкомиссии России, утвержден решением председателя Гостехкомиссии России от 30 марта 1992 г Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. РД Гостехкомиссии России, утвержден решением председателя Гостехкомиссии России от 30 марта 1992 г
Защищаемые объекты информатизации: средства и системы информатизации (средства вычислительной техники, автоматизированные системы различного уровня и назначения на базе средств вычислительной техники, в том числе информационно вычислительные комплексы сети и системы связи и передачи данных) технические средства приема, передачи и обработки информации (телефонии, звукозаписи, звукоусиления, звуко воспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео , смысловой и буквенно цифровой информации) программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), используемые для обработки секретной информации технические средства и системы, не обрабатывающие непосредственно секретную информацию, но размещенные в помещениях, где обрабатывается (циркулирует) секретная информация; выделенные помещения, предназначенные для ведения секретных переговоров или в которых размещены средства закрытой телефонной связи.
Основные технические средства и системы (ОТСС) защищаемого объекта информатизации Технические средства и системы, а также их коммуникации, используемые для обработки, хранения и передачи секретной информации. К ним могут относиться средства и системы информатизации (средства вычислительной техники, автоматизированные системы различного уровня и назначения на базе средств вычислительной техники, в том числе информационно вычислительные комплексы, сети и системы, средства и системы связи и передачи данных), технические средства приема, передачи и обработки информации телефонии, звуковоспроизведения, звукоусиления, звукозаписи, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео , смысловой и буквенно цифровой информации), используемые для обработки секретной информации.
Вспомогательные технические средства и системы (ВТСС) защищаемого объекта информатизации Технические средства и системы, не предназначенные для передачи обработки и хранения секретной информации, устанавливаемые совместно с ОТСС или в выделенных помещениях. К ним относятся: различного рода телефонные средства и системы; средства вычислительной техники; средства и системы передачи данных в системе радиосвязи: средства и системы охранной и пожарной сигнализации: средства и системы оповещения и сигнализации: контрольно измерительная аппаратура; средства и системы кондиционирования; средства и системы проводной радиотрансляционной сети и приема программ радиовещания и телевидения (абонентские громкоговорители, системы радиовещания; телевизоры и радиоприемники и т. д. ); средства электронной оргтехники;
Контролируемая зона Пространство, в котором исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового допуска, и посторонних транспортных средств. Границей КЗ могут являться: периметр (учреждения); охраняемой территории предприятия ограждающие конструкции охраняемого здания, охраняемой части здания, выделенного помещения. В отдельных случаях на период обработки техническими средствами секретной информации (проведения закрытого мероприятия) КЗ временно может устанавливаться большей, чем охраняемая территория предприятия. При этом должны приниматься организационно-режимные и технические меры, исключающие или существенно затрудняющие возможность ведения перехвата информации в этой зоне.
Классификация автоматизированных систем в составе объектов вычислительной техники Класс защищенности автоматизированной системы от НСД к информации устанавливается заказчиком и разработчиком автоматизированной системы с привлечением специалистов по защите информации в соответствии с требованиями руководящих документов Гостехкомиссии России по этому направлению работ. Классификация необходима для более детальной, дифференцированной разработки требований по защите от НСД с учетом специфических особенностей этих систем.
Характеристики объектов и субъектов защиты, положенные в основу системы классификации АС информационные определяющие ценность информации, ее объем и степень (гриф) конфиденциальности, а также возможные последствия неправильного функционирования АС из за искажения (потери) информации; организационные пользователей; определяющие полномочия технологические определяющие условия обработки информации, например, способ обработки (автономный, мультипрограммный и т. д. ), время циркуляции (транзит, хранение и т. д. ), вид АС (автономная, сеть, стационарная, подвижная и т. д. ).
Основные этапы классификации АС 1. Разработка и анализ исходных данных. 2. Выявление основных признаков АС, необходимых для классификации. 3. Сравнение выявленных признаков АС с классифицируемыми. 4. Присвоение АС соответствующего класса защиты информации от НСД.
Исходные данные необходимые для проведения классификации конкретной АС перечень защищаемых информационных ресурсов АС и их уровень конфиденциальности; перечень лиц, имеющих доступ к штатным средствам АС, с указанием их уровня полномочий; матрица доступа или полномочий субъектов доступа по отношению к защищаемым информационным ресурсам АС; режим обработки данных в АС.
Определяющие признаки при классификации АС
Классы АС Классификация АС приведена в Руководящем документе "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требований по защите информации", (Гостехкомиссия РФ, 1992 г. , далее РД к АС). Данный РД устанавливается девять классов защищенности АС от несанкционированного доступа к информации. Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС. В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности АС. Класс, соответствующий высшей степени защищенности для данной группы, обозначается индексом № A, где № номер группы от 1 до 3. Следующий класс обозначается Б и т. д.
Вариант организации доступа персонала к ресурсам АС при классе защищённости 3 А
Вариант организации доступа персонала к ресурсам АС при классе защищённости 2 А
Вариант организации доступа персонала к ресурсам АС при классах защищённости 1 А, 1 Б, 1 В
Классификация СВТ по уровню защищенности от НСД Классификация АС приведена в Руководящем документе «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» . утвержден решением председателя Гостехкомиссии России от 30 марта 1992 г Данный РД устанавливает семь классов защищенности СВТ от НСД к информации. Самый низкий класс – седьмой, самый высокий – первый. Классы подразделяются на четыре группы, отличающиеся качественным уровнем защиты. Выбор класса защищенности СВТ для автоматизированных систем, создаваемых на базе защищенных СВТ, зависит от грифа секретности обрабатываемой в АС информации, условий эксплуатации и расположения объектов системы.
Скачать презентацию Классификация автоматизированных систем в составе объектов вычислительной техники
13 - Классификация АС.ppt