THE BELL

Есть те, кто прочитали эту новость раньше вас.
Подпишитесь, чтобы получать статьи свежими.
Email
Имя
Фамилия
Как вы хотите читать The Bell
Без спама

Меры технического контроля эффективности защиты информации. Методы и средства контроля защищенности информации По результатам контроля защиты информации

Share
Share
Tweet
Like
Like

1. Организация работ по технической защите информации:

1.1.Организация технической защиты информации, отнесенной к государственной и служебной тайне, от ИТР и от утечки по техническим каналам:

  • наличие руководящих и нормативно-технических документов по вопросам технической защиты информации;
  • наличие документов, регламентирующих деятельность структурных подразделений по технической защите информации (задачи, функциональные обязанности и т.д.);
  • проведение анализа и оценки реальной опасности утечки информации по техническим каналам, полнота и правильность выявления возможных технических каналов утечки информации, подлежащей защите;
  • полнота, качество и обоснованность разработки организационно-технических мероприятий по защите информации, порядок их реализации;
  • порядок организации и проведения контроля состояния технической защиты информации, его эффективность;
  • своевременность и полнота выполнения требований руководящих документов, решений Гостехкомиссии России, нормативно-технических и методических документов по технической защите информации.

1.2. Изучение и анализ деятельности структурных подразделений (ответственных должностных лиц), по обеспечению безопасности информации, подлежащей защите, решаемые ими задачи и функциональные обязанности.

1.3. Анализ материалов, характеризующих разведдоступность к информации, циркулирующей в структурных подразделениях. Выявление наличия в 1000-метровой зоне иностранных представительств, пользующихся правом экстерриториальности, мест пребывания иностранных специалистов.

1.4 Изучение и анализ перечня сведений, подлежащих защите:

  • наличие перечня сведений, подлежащих защите от технических средств разведки и от утечки по техническим каналам:
  • полнота и правильность определения демаскирующих признаков, раскрывающих эти сведения;

1.5 Наличие системы защиты информации:

  • наличие задач по технической защите информации в организационно-распорядительных документах, регламентирующих деятельность организаций и ведомств, входящих в единую систему органов государственного управления в Российской Федерации;
  • организация и осуществление работ по технической защите информации в центральном аппарате министерства (ведомства) и в подведомственных ему предприятиях, организациях и учреждениях;
  • взаимодействие по вопросам технической защиты информации с другими министерствами (ведомствами) и другими сторонними организациями;
  • обеспечение контроля эффективности защиты сведений, составляющих государственную и служебную тайну, во всех подчиненных и подведомственных министерству (ведомству) предприятиях, учреждениях и организациях, осуществляющих работу с ними.

1.6 Анализ возможных технических каналов утечки информации о сведениях, отнесенных к государственной тайне, в процессе деятельности министерства (ведомства) и подведомственных им предприятий, организаций и учреждений.

1.7 Анализ информационных потоков при функционировании структурных подразделений.

1.8 Анализ состава технических и программных средств, участвующих в обработке информации, их дислокации, технологии обработки информации и состояния ее защиты:

  • состояние учета всех технических и программных средств отечественного и импортного производства, участвующих в обработке информации, подлежащей защите;
  • размещение средств ЭВТ, ТСПИ (с привязкой к помещениям, в которых они установлены), трасс прокладки информационных и неинформационных цепей, выходящих за пределы контролируемой территории.

1.9 Проведение анализа доступности информации, обрабатываемой в АСУ, ЭВТ и другими техническими средствами.

1.10 Изучение организации и фактического состояния доступа обслуживающего и эксплуатирующего персонала к информационным ресурсам.

2. Контроль состояния защиты информации:

Организация защиты информации в системах и средствах информатизации и связи:

  • проведение аттестования систем и средств автоматизации и связи, которые участвуют в обработке информации, отнесенной к государственной и служебной тайне;
  • проведение спецпроверок по выявлению закладных устройств;
  • деятельность структурных подразделений, отвечающих за проведение автоматизации процессов обработки информации, учет, хранение, доступ к ее магнитным носителям, обязанности лиц, ответственных за безопасность информации;
  • своевременность и правильность внедрения системы защиты информации, оформления разрешения на обработку конфиденциальной информации;
  • правильность размещения и использования технических средств, их отдельных элементов;
  • применяемые меры защиты информации oт утечки за счет побочных электромагнитных излучений и наводок, электроакустических преобразований;
  • применяемые меры по предотвращению несанкционированного доступа к информации, а также перехвата техническими средствами речевой информации из помещений и объектов защиты.

2.1 От несанкционированного доступа (НСД)

При проверке состояния защиты программно-информационных ресурсов от НСД целесообразно выполнить следующие мероприятия:

2.1.1 Определить класс автоматизированной системы, применяемой операционной системы, системы защиты от НСД и другого математического обеспечения. 2.1.2 Проверить выполнение организационных и технических мер по технической защите информации, циркулирующей в АС или СВТ. 2.1.3 Проверить наличие, качество установки и порядка эксплуатации программно-аппаратных средств защиты. 2.1.4 Подготовить и выполнить контрольное тестирование средств защиты информации, обрабатываемой АС и СВТ, сформировать машинные протоколы испытаний и их анализ. 2.1.5 Проанализировать результаты тестирования и установить фактические характеристики средств защиты, их соответствие показателям защищенности автоматизированной системы. 2.1.6 Провести обследование программно-информационного обеспечения одной или нескольких ПЭВМ (отдельных или из состава локальных вычислительных сетей) на отсутствие специального программного воздействия:

  • анализ информации о косвенных и прямых признаках заражения программно-информационного обеспечения ЭВМ компьютерными “вирусами”;
  • анализ схемно-технических, программно-аппаратных, организационных и других решений по организации защиты информации от специального программного воздействия, путей получения программного продукта и порядка его применения с целью выявления каналов проникновения “вирусов” или внедрения злоумышленниками специальных программ в АС или СВТ;
  • контроль целостности программно-информационного обеспечения, общесистемного и прикладного программного обеспечения и поиск скрытых программных механизмов искажения (уничтожения) информации.

2.2 От утечки информации за счет побочных электромагнитных излучений и наводок (ПЭМИН)

2.2.1 Проанализировать применимость имеющихся тест-программ или разработать новые для данного проверяемого технического средства.
2.2.2 На основании исходной информации выбрать для инструментального контроля технические средства передачи, хранения и обработки информации.
2.2.3 Провести инструментальный контроль эффективности защиты от утечки ПЭМИН защищаемых технических средств.

2.3 От утечки речевой информации, циркулирующей в выделенных помещениях, за счет наводок и акустического поля

При проведении проверок состояния защиты речевой информации, циркулирующей в выделенных помещениях, целесообразно:

2.3.1 Проанализировать доступность речевой информации, циркулирующей в служебных помещениях руководящего состава, а также помещениях, где ведутся конфиденциальные переговоры или установлены технические средства обработки конфиденциальной информации.

  • изучить условия размещения выделенных помещений и установленных в них основных (ОТСС) и вспомогательных технических систем и средств (ВТСС), схем их размещения и трасс прокладки соединительных линий;
  • выявить линии, имеющие выход за границу контролируемой зоны (ГКЗ);
  • уточнить разведобстановку, определить разведопасные направления и места возможного размещения средств акустической разведки;
  • проверить наличие и качество рабочих документов по защите речевой информации;

2.3.2 Проверить выполнение организационных и технических мер защиты речевой информации, циркулирующей в выделенных помещениях. При этом целесообразно выполнить следующий комплекс мероприятий:
  • проверку выполнения требований предписаний на эксплуатацию и порядка эксплуатации технических средств передачи, хранения и обработки информации ТСПИ (обход всех выделенных помещений);
  • проверку своевременности и правильности категорирования выделенных помещений, порядка их аттестации при вводе в эксплуатацию и оформления разрешения на право проведения мероприятий конфиденциального характера и ведения конфиденциальных переговоров;
  • проверку наличия, качества установки и порядка эксплуатации средств защиты речевой информации от утечки по техническим каналам;
  • проверку выполнения требований по проведению спецпроверок технических средств (на отсутствие специальных излучающих устройств);

2.3.3 Провести инструментальный контроль защищенности речевой информации, циркулирующей в выделенных помещениях, обрабатываемой и передаваемой ТСПИ, с целью выявления возможных технических каналов утечки:

. Контроль за выполнением требовании закона Российской Федерации “О государственной тайне”

Порядок приема иностранных граждан и его соответствие требованиям нормативных документов. Оценка применяемых мер защиты информации при посещении организаций (предприятий) иностранными представителями. Участие специалистов по противодействию разведкам в анализе возможных каналов утечки информации, аттестации и специальных проверках помещений до и после приема иностранных специалистов. Наличие Программ приема, согласование с органами ФСБ. Разработка и осуществление (при необходимости) дополнительных мероприятий по технической защите информации.
3.1 Проверка наличия структурных подразделений, сотрудников, уровня их подготовки, квалификации, обеспечивающих решение вопросов, связанных с гостайной. 3.2 Проверка наличия лицензии на право проведения работ, связанных с выполнением закона РФ “О государственной тайне”, как в штатных структурных подразделениях, так и во внешних организациях, выполняющих работы (оказывающих услуги) по технической защите информации в интересах министерства (ведомства) и подведомственных им предприятиях, организациях и учреждениях. 3.3 Проверка наличия руководящих документов и их содержания по вопросу технической защиты информации (закона РФ “О государственной тайне”, Перечня сведений, подлежащих защите... и др.). 3.4 Проверка состояния режима конфиденциальности в подразделениях и степени его соответствия руководящим документам по ведению делопроизводства (оборудование помещений, учет и хранение конфиденциальных документов, допуск к ведению делопроизводства и конфиденциальным документам). 3.5 Проверка своевременности и правильности доведения требований руководящих документов по технической защите информации до сотрудников подразделений, знание их сотрудниками. 3.6 Проверка правильности категорирования информации по степени конфиденциальности, порядка ее учета и хранения при использовании технических средств (ЭВТ, ТСПИ, оргтехники и т.п.). 3.7 Проверка правильности распечатки (размножения) конфиденциальных документов, их учета и порядка доведения до исполнителей. 3.8 Проверка порядка допуска сотрудников к работам с грифованной информацией. 3.9 Проверка организации работ по снижению степени конфиденциальности (рассекречиванию) документов и доведения информации до исполнителей. 3.10 Проверка наличия “Аттестатов соответствия” на выделенные помещения и технические средства, участвующие в обработке информации, подлежащей защите, и сертификационных документов на средства технической защиты информации и контроля ее эффективности.

4. Вопросы, подлежащие рассмотрению при проверке лицензиатов

4.1 Проверяется:
  • наличие лицензии (разрешения) на право проведения работ по технической защите информации, проверка действительности лицензии установленным срокам и соответствия практически выполняемым лицензиатом работ (1.5)*;
  • наличие у лицензиата документов о государственной регистрации предпринимательской деятельности и устава предприятия (1.7)*;
  • состояние производственной и испытательной базы, наличие нормативной и методической документации для проведения работ по заявленным видам деятельности (1.6)*;
  • укомплектованность научным и инженерно-техническим персоналом для проведения работ по заявленным видам деятельности. Уровень подготовленности специалистов для проведения работ (1.6)*;
  • профессиональная подготовка руководителя предприятия-лицензиата и (или) лиц, уполномоченных им для руководства лицензионной деятельностью (1.7)*;
  • соблюдение договорных обязательств по обеспечению сохранности конфиденциальных и материальных ценностей физических и юридических лиц, воспользовавшихся услугами лицензиата (2.4)*;
  • своевременность и полнота представления в государственный орган по лицензированию или в лицензионный центр сведений о выполненных работах по конкретным видам указанной в лицензии деятельности в соответствии с требованиями Гостехкомиссии России (2.4)*;
  • качество оказанных лицензиатом услуг (оценка эффективности проведенных лицензиатами мероприятий по технической защите информации на 1-3 предприятиях-потребителях, воспользовавшихся услугами лицензиата (3.2)*.

4.2 Результаты проверки лицензиатов отражаются в виде отдельного раздела акта или справки, оформляемых по итогам плановой проверки министерств (ведомств) и подведомственных им предприятий, организаций и учреждений. На основании полученных результатов делается заключение о соответствии лицензиата установленным требованиям и возможности дальнейшего проведения им работ по заявленным направлениям.

Примечание: *) В скобках указаны разделы “Положения о государственном лицензировании деятельности в области защиты информации”.
Контроль является механизмом, позволяющим собрать информацию, которая в дальнейшем может быть использована для улучшения процесса, в том числе процесса обеспечения информационной безопасности.

Эффективность защиты информации - степень соответствия результатов защиты информации цели защиты информации.

Контроль состояния защиты информации - проверка соответствия организации и эффективности защиты информации установленным требованиям и/или нормам в области защиты информации .

В соответствии с СТР-К методическое руководство и контроль за эффективностью предусмотренных мер защиты информации возлагается на руководителей подразделений по защите информации организации.

Под методом контроля понимают порядок и правила применения расчетных и измерительных операций при решении задач контроля эффективности защиты.

В зависимости от вида выполняемых операций методы технического контроля делятся на:

  • инструментальные, когда контролируемые показатели определяются непосредственно по результатам измерения контрольно-измерительной аппаратурой;
  • инструментально-расчетные, при которых контролируемые показатели определяются частично расчетным путем, частично измерением значений некоторых параметров физических полей аппаратными средствами;
  • расчетные, при которых контролируемые показатели рассчитываются по методикам, содержащимся в руководящей литературе.

17.3. Система документов по контролю состояния ТЗКИ

Аттестационный технический контроль защиты информации от утечки по ТКУИ осуществляется в соответствии со специально разработанными программами и методиками контроля ФСТЭК. Существует "Сборник временных методик оценки защищенности конфиденциальной информации от утечки по техническим каналам", он носит гриф "Для Служебного Пользования". В его состав входят следующие документы:

  1. Временная методика оценки защищенности основных технических средств и систем, предназначенных для обработки, хранения и (или) передачи по линиям связи конфиденциальной информации. Утверждена первым заместителем председателя Гостехкомиссии России 08.11.2001.
  2. Временная методика оценки защищённости конфиденциальной информации, обрабатываемой основными техническими средствами и системами, от утечки за счёт наводок на вспомогательные технические средства и системы и их коммуникации. Утверждена первым заместителем председателя Гостехкомиссии России 08.11.2001.
  3. Временная методика оценки защищенности помещений от утечки речевой конфиденциальной информации по акустическому и виброакустическому каналам. Утверждена первым заместителем председателя Гостехкомиссии России 08.11.2001.
  4. Временная методика оценки помещений от утечки речевой конфиденциальной информации по каналам электроакустических преобразований во вспомогательных технических средствах и системах. Утверждена первым заместителем председателя Гостехкомиссии России 08.11.2001.

Следует отметить, что ни СТР-К, ни приказ ФСТЭК России №21 не устанавливают форму оценки эффективности, формы и содержание документов, разрабатываемых в результате оценки. Таким образом, решение по данному вопросу возлагается на руководителя организации и (или) по соглашению с лицом, привлекаемым для проведения оценки эффективности реализованных мер по обеспечению безопасности информации.

В информационном сообщении от 15 июля 2013 г. № 240/22/2637 ФСТЭК говорит о том, что оценка эффективности реализованных мер может быть проведена в рамках работ по аттестации информационной системы персональных данных в соответствии с национальным стандартом ГОСТ РО 0043-003-2012 " Защита информации . Аттестация объектов информатизации. Общие положения". Если же речь идет о ГИС, в которых обрабатываются персональные данные , оценка эффективности принимаемых мер по обеспечению безопасности персональных данных проводится в рамках обязательной аттестации государственной информационной системы по требованиям защиты информации в соответствии с Требованиями, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. № 17, национальными стандартами ГОСТ РО 0043-003-2012 и ГОСТ РО 0043-004-2013 "контроль эффективности защиты информации предусматривает:

  • проверку состава и размещения основных технических средств и систем на объектах информатизации в соответствии с техническим паспортом на данный объект;
  • проверку состава и размещения вспомогательных технических средств и систем на объектах информатизации в соответствии с техническим паспортом на данный объект;
  • правильность категорирования объектов информатизации, классификации автоматизированных систем;
  • контроль деятельности и состояния работ по противодействию утечки информации по техническим каналам утечки;
  • проверку работоспособности средств защиты информации на объекте информатизации; контроль того, что они эксплуатируются в соответствии с эксплуатационной документацией;
  • наличие и качество организационно-распорядительных документов;
  • проверку уровня знаний и соблюдения требований нормативно-методических и руководящих документов ФСТЭК России;
  • проверку соблюдения инструкций, порядка ведения журналов учетов;
  • оценку эффективности выполняемых мероприятий по защите информации по результатам проведения выборочного технического контроля.

Контроль эффективности ТЗИ заключается в проверке соответствия качественных и количественных показателей эффективности мероприятий по ТЗИ требованиям или нормам эффективности ТЗИ.

Контроль эффективности ТЗИ включает:

Технический контроль эффективности ТЗИ – контроль эффективности ТЗИ, проводимый с использованием технических средств контроля.

Организационный контроль эффективности ТЗИ – проверка соответствия полноты и обоснованности мероприятий по ТЗИ требованиям руководящих и нормативно-методических документов в области ТЗИ;

Технический контроль эффективности ТЗИ (который рассматриваем) – контроль эффективности ТЗИ, проводимый с использованием технических средств контроля.

В зависимости от целей и задач контроля, а также особенностей проверяемых объектов технический контроль эффективности ТЗИ может быть:

Комплексным, когда проводится проверка организации и состояния ТЗИ от утечки по всем возможным техническим каналам, характерным для контролируемого технического средства (объекта информатизации), от несанкционированного доступа к информации или специальных воздействий на нее;

Целевым, когда проверка проводится по одному из возможных технических каналов утечки информации, характерному для контролируемого технического средства, которое имеет защищаемые параметры или в котором циркулирует защищаемая информация;

Выборочным, когда из всего состава технических средств на объекте выбираются те из них, которые по результатам предварительной оценки с наибольшей вероятностью имеют технические каналы утечки защищаемой информации.

В зависимости от конкретных условий проведения технического контроля контроль эффективности может осуществляться следующими методами:

Инструментальным методом, когда в ходе контроля используются технические измерительные средства и моделируются реальные условия работы технического средства разведки;

Инструментально-расчетным методом, когда измерения проводятся в непосредственной близости от объекта контроля, а затем результаты измерений пересчитываются к месту (условиям) предполагаемого места нахождения технического средства разведки;

Расчетным методом, когда эффективность ТЗИ оценивается путем расчета, исходя из реальных условий размещения и возможностей технического средства разведки и известных характеристик объекта контроля.

Существо мероприятий технического контроля состоит в осуществлении инструментальных (инструментально-расчетных) проверок эффективности защиты информации от утечки по техническим каналам, возникающим за счет:

1) побочных электромагнитных излучений (ПЭМИ) при работе основных технических средств и систем (ОТСС) объекта информатизации;

3) наводок информационного сигнала на соединительных линиях ВТСС, расположенных в зоне действия ПЭМИ ОТСС;

4) неравномерности потребления тока в сети электропитания ОТСС;

5) линейного высокочастотного навязывания и электроакустических преобразований как способов перехвата речевой информации через ВТСС, установленные в выделенных помещениях.

Инструментальный контроль осуществляется по типовым программам и типовым методикам, утвержденным органами по аттестации и сертификации. Вся измерительная аппаратура аттестуется метрологическими органами в установленном порядке.

Основными нормативно-методическими документами, регламентирующими деятельность по техническому контролю рассматриваемых объектов, являются:

2. ГОСТ 29339-92. Информационная технология. Защита информации от утечки за счет побочных электромагнитных излучений и наводок при ее обработке средствами вычислительной техники. Общие технические требования;

3. Сборник методических документов по контролю защищаемой информации, обрабатываемой средствами вычислительной техники, от утечки за счет электромагнитных излучений и наводок (ПЭМИН). Утв. приказом Гостехкомиссии России от 19.11.02 г. №391.

4. Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 11 февраля 2013 г. N 17 г. Москва

5. Приказ ФСТЭК России от 18.02.2013г. №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

Акт проверки состояния ТЗИ должен содержать следующие разделы:

1. Общие сведения об объекте контроля;

2. Общие вопросы организации ТЗИ на объекте;

3. Организация и состояние защиты объектов информатизации;

4. Полнота и качество проведения лицензиатами ФСТЭК России работ по защите и аттестации объектов информатизации;

Скрытие информации о средствах, комплексах, объектах и системах обработки информации. Эти задачи могут подразделяться на технические и организационные.

Организационные задачи по скрытию информации об объектах направлены на недопущение разглашения этих сведений сотрудниками и утечки их по агентурным каналам.

Технические задачи направлены на устранение или ослабление технических демаскирующих признаков объектов защиты и технических каналов утечки сведений о них. При этом скрытие осуществляется уменьшением электромагнитной, временной, структурной и признаковой доступности, а также ослаблением адекватности между структурой, топологией и характером функционирования средств, комплексов, объектов, систем обработки информации и управления.

Решение этой задачи представляет реализацию комплекса организационно-технических мероприятий и мер, обеспечивающих выполнение основного требования к средствам, комплексам и системам обработки информации - разведзащищенности и направлено на достижение одной из главных целей - исключение или существенное затруднение технической разведке поиска, определения местоположения, радионаблюдения источников радиоизлучения, классификации и идентификации объектов технической разведкой по выявленным демаскирующим признакам.

Решение задачи по снижению электромагнитной доступности затрудняет как энергетическое обнаружение, так и определение координат района расположения источников радиоизлучения, а также увеличивает время выявления демаскирующих признаков, уменьшает точность измерения параметров и сигналов средств радиоизлучения.

Снижение временной доступности радиоизлучающих средств предполагает сокращение времени их работы на излучение при передаче информации и увеличение длительности паузы между сеансами обработки информации. Для уменьшения структурной и признаковой доступности средств, комплексов и систем обработки информации реализуются организационно-технические мероприятия, ослабляющие демаскирующие признаки и создающие так называемый "серый фон".

Класс 1.2. Дезинформация противника.

К этому классу относятся задачи, заключающиеся в распространении заведомо ложных сведений относительно истинного назначения каких-то объектов и изделий, действительного состояния какой-то области государственной деятельности, положении дел на предприятии и т.д.

Дезинформация обычно проводится путем распространения ложной информации по различным каналам, имитацией или искажением признаков и свойств отдельных элементов объектов защиты, создания ложных объектов, по внешнему виду или проявлениям похожих на интересующие соперника объекты, и др.

Роль дезинформации подчеркивал А.Ф.Вивиани, специалист в области контр шпионажа: На нас обрушивается, валится, извергается огромное количество информации. Она бывает фальшивой, но выглядит правдоподобно; бывает правдивой, а на самом деле хитроумно перекроена, дабы производить впечатление фальшивой; бывает отчасти фальшивой и отчасти правдивой. Все зависит от выбранного способа так называемой дезинформации, цель которой - заставить вас верить, желать, думать, принимать решения в направлении, выгодном для тех, кому зачем-то нужно на нас воздействовать...

Техническая дезинформация на объекте защиты представляет комплекс организационных мероприятий и технических мер, направленных на введение в заблуждение технической разведки относительно истинных целей систем обработки информации, группировки и деятельности войск, намерений органов управления.

Решение этой задачи осуществляется в рамках известной оперативной радиомаскировки путем искажения технических демаскирующих признаков объекта защиты или имитации технических демаскирующих признаков ложного объекта.

Частными задачами технической дезинформации являются:

Искажение демаскирующих признаков реальных объектов и систем, соответствующих признакам ложных объектов;

Создание (имитация) ложной обстановки, объектов, систем, комплексов путем воспроизведения демаскирующих признаков реальных объектов, структур систем, ситуаций, действий, функций и т.д.;

Передача, обработка, хранение в системах обработки ложной информации;

Имитация боевой деятельности средств, комплексов и систем обработки информации на ложных пунктах управления;

Участие сил и средств в демонстративных действиях на ложных направлениях;

Передача ложной информации (радио дезинформация), в расчете на ее перехват противником и др.

В общем, виде эти задачи могут быть сгруппированы в частные задачи радиоимитации, радио дезинформации, демонстративных действий.

Контроль состояния защиты информации (далее именуется - контроль) осуществляется с целью своевременного выявления и предотвращения утечки информации по техническим каналам, несанкционированного доступа к ней, преднамеренных программно­технических воздействий на информацию.

Контроль заключается в проверке выполнения актов законодательства Российской Федерации по вопросам защиты информации, решений ФСТЭК России, а также в оценке обоснованности и эффективности принятых мер защиты для обеспечения выполнения утверждённых требований и норм по защите информации.

Контроль организуется Федеральной службой по техническому и экспортному контролю, Федеральной службой безопасности Российской Федерации, Министерством внутренних дел Российской Федерации, Министерством обороны Российской Федерации, Службойвнешней разведки Российской Федерации и Федеральной службой охраны Российской Федерации, структурными и межотраслевыми подразделениями органов государственной власти, входящими в государственную систему защиты информации, и предприятиями в соответствии с их компетенцией.

Акты проверок предприятий рассылаются их руководителями в орган, проводивший проверку, и в орган государственной власти по подчинённости предприятия.

ФСТЭК России организует контроль силами центрального аппарата и управлений ФСТЭК России по федеральным округам. Она может привлекать для этих целей подразделения по защите информации органов государственной власти.

Центральный аппарат ФСТЭК России осуществляет в пределах своей компетенции контроль в органах государственной власти и на предприятиях, обеспечивает методическое руководство работами по контролю (за исключением объектов и технических средств, защита которых входит в компетенцию ФСБ России, МВД России, Минобороны России, СВР России, ФСО Росси).

Управления ФСТЭК России по федеральным округам, в пределах своей компетенции осуществляют контроль в органах государственной власти и на предприятиях, расположенных в зонах ответственности этих центров.

Органы государственной власти организуют и осуществляют контроль на подчинённых им предприятиях через свои подразделения по защите информации. Повседневный контроль за состоянием защиты информации на предприятиях проводится силами их подразделений по защите информации.

Контроль на предприятиях негосударственного сектора при выполнении работ с использованием сведений, отнесённых к государственной или служебной тайне, осуществляется органами государственной власти, ФСТЭК России, ФСБ России, и заказчиком работ в соответствии с их компетенцией.

Защита информации считается эффективной, если принимаемые меры соответствуют установленным требованиям или нормам.

Несоответствие мер установленным требованиям или нормам по защите информации является нарушением. Нарушения по степени важности делятся на три категории:

    первая - невыполнение требований или норм по защите информации, в результате чего имелась или имеется реальная возможность ее утечки по техническим каналам;

    вторая - невыполнение требований по защите информации, в результате чего создаются предпосылки к ее утечке по техническим каналам;

    третья - невыполнение других требований по защите информации.

При обнаружении нарушений первой категории руководители органов государственной власти и предприятий обязаны:

    немедленно прекратить работы на участке (рабочем месте), где обнаруженынарушения и принять меры по их устранению;

    организовать в установленном порядке расследование причин и условийпоявления нарушений с целью недопущения их в дальнейшем и привлеченияк ответственности виновных лиц;

    сообщить в ФСТЭК России, ФСБ России, руководству органагосударственной власти и заказчику о вскрытых нарушениях и принятыхмерах.

Возобновление работ разрешается после устранения нарушений и проверки достаточности и эффективности принятых мер, проводимой ФСТЭК России или по её поручению подразделениями по защите информации органов государственной власти.

При обнаружении нарушений второй и третьей категорий руководители проверяемых органов государственной власти и предприятий обязаны принять необходимые меры по их устранению в сроки, согласованные с органом, проводившим проверку, или заказчиком (представителем заказчика). Контроль за устранением этих нарушений осуществляется подразделениями по защите информации этих органов государственной власти и предприятий.

Проверка защищенности информации от НСД заключается в проверке соответствия эффективности мероприятий по защите информации установленным требованиям или нормам по безопасности информации. Тестируются все группы средств защиты от НСД, рассмотренные нами в предыдущих лекциях.

Проверяется соответствие описания технологического процесса обработки и хранения защищаемой информации реальному процессу.

Оценивается возможность переноса информации большего уровня конфиденциальности на информационный носитель меньшего уровня.

Проводится анализ разрешенных и запрещенных связей между субъектами и объектами доступа с привязкой к конкретным ОТСС и штатному персоналу.

Оценивается соответствие разрешенных и запрещенных связей разрешительной системе доступа персонала к защищаемым ресурсам на всех этапах обработки.

Проверка, как правило, осуществляется с использованием программных и программно-аппаратных средств контроля защищенности. В качестве примера рассмотрим продукты одной фирмы-ООО "Центр безопасности информации".

Средство контроля защищенности от НСД "Ревизор 2 ХР" предназначено для контроля полномочий доступа к информационным ресурсам.

  • отображение всей информации, содержащейся в ПРД (возможен только просмотр);
  • сравнение структуры ресурсов АРМ, описанной в ПРД, с реальной структурой ресурсов;
  • создание отчета по результатам сравнения;
  • построение плана тестирования объектов АРМ;
  • проверка реальных прав доступа пользователей к объектам доступа;
  • создание отчета по результатам тестирования.

Сетевой сканер "Ревизор сети" версия 3.0 предназначен для обнаружения уязвимостей установленного сетевого программного и аппаратного обеспечения, использующего протоколы стека TCP/IP . Система имеет широкие возможности, одной из которых является поиск уязвимостей, содержащихся в базе данных угроз и уязвимостей ФСТЭК, рассмотренных нами ранее. Кроме того программа проводит поиск уязвимостей, содержащихся в cve.mitre. org , ovaldb.altx-soft.ru, microsoft . com и некоторых других источниках.

Средство фиксации и контроля исходного состояния программного комплекса "ФИКС" предназначено для контроля подсистемы обеспечения целостности. Основные возможности программы:

  • фиксация исходного состояния программного комплекса;
  • контроль исходного состояния программного комплекса;
  • фиксация и контроль каталогов;
  • контроль различий в заданных файлах (каталогах);
  • возможность работы с длинными именами файлов и именами, содержащими символы кириллицы.

Программа поиска и гарантированного уничтожения информации на дисках "TERRIER" позволяет осуществить контроль уничтожения информации. Для проверки необходимо создать на конфиденциальном логическом диске файл с контрольной комбинацией символов, определить местонахождение секторов с помощью "TERRIER", удалить файл с помощью штатных средств и проконтролировать его удаление с помощью TERRIER.

18.4. Документирование результатов контроля. Требования к средствам контроля защищенности информации

Следует отметить, что к средствам контроля эффективности мер защиты информации, как и к производителям таких средств, предъявляются достаточно жесткие требования. В соответствии с "Положением о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации", утвержденным Постановлением Правительства 3 марта 2012 №171, разработка и производство технических средств контроля эффективности мер защиты информации подлежит лицензированию. А сами разрабатываемые и производимые средства контроля эффективности мер защиты должны иметь сертификат соответствия ФСТЭК по требованиям Постановления Правительства РФ от 26 июня 1995 г. N 608 "О сертификации средств защиты информации".

Контроль эффективности защиты завершается оформлением Заключения с краткой оценкой соответствия объекта информатизации по безопасности информации, конкретными рекомендациями по устранению допущенных нарушений, приведению системы защиты объекта информатизации в соответствие с установленными требованиями, совершенствованию этой системы, рекомендациями по контролю функционирования объекта информатизации. К Заключению прилагаются протоколы испытаний, подтверждающие полученные при испытаниях результаты и обосновывающие приведенный в заключении вывод .

Share
Share
Tweet
Like
Like

Читайте также

THE BELL

Есть те, кто прочитали эту новость раньше вас.
Подпишитесь, чтобы получать статьи свежими.
Email
Имя
Фамилия
Как вы хотите читать The Bell
Без спама