Лекция Обоснование требований к системе защиты информации Классификация

Зарегистрируйтесь, чтобы просмотреть полный документ!

Лекция: Обоснование требований к системе защиты информации. Классификация объектов информатизации по требованиям безопасности. Проектирование, создание и эксплуатация системы защиты информации.

Учебные вопросы: 1. Система защиты информации. 2. Обоснование требований к системе защиты информации. Классификация объектов информатизации по требованиям безопасности. 3. Проектирование, создание и эксплуатация системы защиты информации.

1. Система защиты информации Нормативно-правовая база, регламентирующая организацию и обеспечение защиты информации Органы по защите информации Организационные меры по защите информации Технические меры и средства защиты информации Контроль выполнения и эффективности принятых мер по защите информации

Модель технического канала утечки информации Источник информации ТСПИ (ОТСС) ЭВТ-с АТС-с СОКС-с СГГС-с СЗУ-с СЗС-с СЗЗ-с основное оборудование, оконечные устройства, СЛ, РУ, КУ, СЭП, СЗ ВТСС (выход за КЗ) Линия связи Посторонние проводники за КЗ Шум АТС-о ГГС-о СПС СОС СК СЭ СР СЧ ЭБП и т. п. Провода Кабели Трубы СО Трубы СВ и т. п. Технические средства перехвата информации Модель ИТР-2010, Модель МВТР-2010 (5 книг, методика определения возможностей ТСР)

Виды технических каналов утечки информации Технические каналы утечки информации при ее передаче по КС Электромагнитный Электрический Индукционный Перехват электромагнитных излучений на частотах работы передатчиков систем и средств связи Съем информации путем контактного подключения к кабельным линиям связи Бесконтактный съем информации с кабельных линий связи Технические каналы утечки видовой информации Наблюдение за объектами Съемка объектов Съемка документов Наблюдение с использование оптических приборов и телевизионных систем Съемка с использованием фотоаппаратов и устройств видеосъемки Съемка с использованием портативных фотоаппаратов

Технические каналы утечки речевой информации Акустические Виброакустические Параметрические Акустоэлектрические Перехват речевых сигналов с помощью микрофонов и передачи информации по: раидоканалу, сети ЭП, оптическому (ИК) каналу, СЛ ВТСС, инженерным коммуникация в УЗ диапазоне частот, тлф линии с вызовом от внешнего тлф абонента Перехват речевых сигналов с помощью вибродатчиков (акселерометров) и устройств звукозаписи Перехват речевых сигналов путем приема и детектирования ПЭМИ (на частотах ВЧ генераторов) ТСПИ и ВТСС Перехват речевых сигналов путем подключения к соединительным линиям ВТСС, обладающих микрофонным эффектом Перехват речевых сигналов путем высокочастотного облучения полуактивных закладных устройств Перехват речевых сигналов путем высокочастотного навязывания ВТСС Перехват речевых сигналов с помощью направленных микрофонов Перехват речевых сигналов с помощью микрофонов и устройств звукозаписи Перехват речевых сигналов с помощью вибродатчиков и передачи по: радиоканалу, оптическому (ИК) каналу, инженерным коммуникациям у УЗ диапазоне частот Оптикоэлектронный (лазерный) Перехват речевых сигналов путем лазерного зондирования отражающих поверхностей помещений

Технические каналы утечки информации, обрабатываемой ТСПИ Электромагнитные Параметрический Виброакустический Электрические Перехват речевых электромагнитных излучений элементов ТСПИ Перехват информации путем высокочастотного облучения ТСПИ Перехват акустических и вибрационых сигналов от работающих механических узлов ТСПИ Съем наводок электромагнитных излучений ТСПИ с соединительных линий ВТСС и посторонних проводников Перехват электромагнитных излучений на частотах самовозбуждения узлов ТСПИ Перехват электромагнитных излучений на частотах работы ВЧ-генераторов в ТСПИ и ВТСС Съем информации с использованием закладных устройств Съем информационных сигналов с линий электропитания и цепей заземления ТСПИ

Основные способы защиты информации от побочных электромагнитных излучений и наводок (ПЭМИН) Источник информации Линия связи Уменьшение уровня сигнала Увеличение затухания сигнала 1. Снижение рабочих напряжений ТСПИ. 2. Выполнение требований предписания на эксплуатацию объекта ВТ, выполнение норм для Rкз и зон r (ВТСС) и r’ (их проводов). 3. Экранирование ТСПИ или помещения, в которых они установлены. 4. Заземление ТСПИ, ВТСС и СЗИ. 5. Доработка ТСПИ. 1. Увеличение длины канала (временное или постоянное), т. е. размеров КЗ. 2. Применение широкополосных генераторов электромагнитного шума. 3. Применение генераторов шума по цепям электропитания и заземления. 4. Применение помехоподавляющих фильтров в цепях электропитания и заземления. 5. Применение средств виброаккустического зашумления (для матричных принтеров). ТСР Устранение

Технические меры и средства защиты государственной тайны Средства защиты информации от несанкционированного доступа (НСД) (Secret Net, Аккорд, Dallas Lock и т. п. ) Антивирусные средства защиты информации (AVP, DRWEB и т. п. ) Технические средства охраны Средства защиты информации от побочных электромагнитных излучений и наводок (ПЭМИН) Пассивные меры 1. Экранирование ТСПИ и выделенных помещений. 2. Заземление ТСПИ и СЗИ. 3. Доработка ТСПИ. 4. Реконструкция выделенных помещений. 5. Применение средств шифрования информации. 6. Применение помехоподавляющих фильтров в цепях ЭП и заземления. 7. Увеличение размеров КЗ и выполнение зон r и r’. Активные средства 1. Применение генераторов электромагнитного шума. 2. Применение генераторов шума по цепям питания и заземления. 3. Применение средств виброаккустического зашумления.

Контроль выполнения и эффективности принятых мер по защите государственной тайны Межведомственный контроль Ведомственный контроль Контроль за наличием секретных носителей информации ФСБ МО ФАПСИ СВР ГТК Органы государственной власти во всех подчиненных и подведомственных им органах государственной власти, на предприятиях, в учреждениях и организациях 1. Ежегодно внутренними комиссиями. 2. Ежеквартально подразделениями по ЗГТ. 3. Ежедневно исполнителем в конце рабочего дня. 4. Внезапно подразделениями по ЗГТ. 5. По событию (утрата, сдача должности и т. п. ) внутренними комиссиями. 1. Плановый (периодический). 2. Внезапный. 3. Контроль устранения недостатков.

2. Обоснование требований к системе защиты информации. Классификация объектов информатизации по требованиям безопасности. Создание СЗИ Анализ перечня информации, планируемой к обработке Степень секретности Объем информации Структура информации Обследование объекта ВТ на этапе проектирования место размещения (КЗ) системы электропитания и заземления Определение конфигурации объекта ВТ (ПЭВМ или ЛВС) Принтер CD ЖМД Монитор НГМД ОЗУ ПО СЗИ от НСД

Категорирование объекта ВТ 1 категория 2 категория 3 категория Классификация автоматизированной системы (АС) 1 А, 1 Б, 1 В, 1 Г, 1 Д 2 А, 2 Б 3 А, 3 Б Выбор организации-исполнителя работ по защите информации Наличие лицензий, аттестата аккредитации органа по аттестации ФСБ ГТК Опыт работы и его месторасположение Стоимость работ ФАПСИ Оформление договора на проведение работ, техзадания на создание объекта (для ЛВС или АСУ отдельное ТЗ на создание системы ЗИ), проектирование объекта (СЗИ) Эскизное проектирование Техническое проектирование Рабочее проектирование Испытание и доработка Рабочая документация Закупка ПЭВМ, ПО, сертифицированных СЗИ от НСД, вирусов, ПЭМИН Сертификат соответствия - срок действия, на что выдан, соответствие норма по защите, соответствие ТУ, класс защищенности, категория объекта ВТ, условия действия, наличие в реестре ГТК

Сборка ПЭВМ, установка ПО, СЗИ от вирусов и НСД Затухание до границ КЗ > 60 дб (f=10 МГц-10 ГГц), партия ПЭВМ > 50 шт. Специальная проверка на отсутствие закладок в ПЭВМ Заключение Запись в предписании на эксплуатацию Специальные исследования ПЭВМ (лабораторные) Протоколы Предписание на эксплуатацию СВТ объекта ВТ Доработка ПЭВМ (при необходимости) Разработка организационных документов (мер) по ЗИ Руководство по ЗИ, Перечень установленного на АРМ ПО, Перечень защищаемых ресурсов, Положение о разрешительной системе доступа к ЗР, Описание технологического процесса обработки информации, Схема информационных потоков, Списки сотрудников для техобслуживания, Списки допущенных в помещение и т. д.

Объектовые специальные исследования объекта ВТ (для объектов ВТ 1 категории, ниже 1 и выше 3 этажа - обязательно) Протокол (V > чем при ЛСИ) Предписание на эксплуатацию объекта ВТ Установка СЗИ от ПЭМИН (при необходимости) Акт установки и настройки СЗИ Акт скрытых работ Аттестационные испытания объекта ВТ Заключение по результатам Аттестат соответствия (на 3 года) Разработка технического паспорта на объект ВТ Разработка руководства по сопровождению СЗИ объекта ВТ Разработка приказа о вводе в эксплуатацию

Эксплуатация СЗИ Отработка распоряжения о допуске лиц к обработке информации на объекте ВТ Учет и выдача магнитных носителей информации (ф-77, ф-78) Штамп № 1 - учетный номер, ГС шифр задачи, кол-во экз, № экз, фамилия исполнителя, дата. Учет бумажных носителей информации (ф-44, ф-45) Контроль выполнения требований документов на объекте ВТ Анализ регистрационной информации СЗИ от НСД Принятие дополнительных организационных мер по ЗИ Организация проведения периодических инструментальных проверок (1 раз в год) эффективности принятых мер по защите сторонним предприятием-исполнителем работ по ЗИ (40% от стоимости работ)

Скачать презентацию Лекция Обоснование требований к системе защиты информации Классификация

Обоснование СЗИ.PPT

Количество слайдов: 15