ТЕХНИЧЕСКИЕ СРЕДСТВА В ЗАЩИЩЕННОМ ИСПОЛНЕНИИ

Статьи по теме: «Информационная безопасность»

В статье приведены основные положения документа «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К), утвержденного Приказом Председателя Гостехкомиссии России от 30.08.2002 № 282. Рассмотрены требования к аттестации, порядок ввода в действие и эксплуатации объектов информатизации, а также порядок контроля за их использованием. Также представлен полный цикл работ по аттестации АС/ИС – от проектирования до ввода в эксплуатацию.

АС — автоматизированная система ВТСС — вспомогательные технические средства и системы
ДСП — для служебного пользования
ИС — информационная система
КЗ — контролируемая зона
ОТСС — основные технические средства и системы
ПО — программное обеспечение
РД АС — Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. (Утверждено решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.)
СВТ — средства вычислительной техники
СЗИ – система защиты информации
СКЗИ – средство криптографической защиты информации
ТЗ — техническое задание

Персональная электронная вычислительная машина «Базальт МЮ»

ПЭВМ «Базальт МЮ» предназначена для выполнения функций ввода, вывода, отображения, хранения, обработки и документирования информации со степенью секретности не выше «совершенно секретно» и эксплуатации в выделенных помещениях до 2 категории включительно, находящихся на территории Российской Федерации, в том числе в органах государственной власти Российской Федерации, на режимных объектах ФСО России и ФСБ России.

ПЭВМ «Базальт МЮ» соответствует 4-ому классу уровня защищенности средств вычислительной техники в соответствии с требованиями ФСБ России по безопасности информации, предъявляемыми к защищенным средствам вычислительной техники 2 категории, эксплуатируемым в выделенных помещениях 2 категории включительно на территории Российской Федерации при условии выполнения требований руководства по эксплуатации.

Техническое средство имеет сертификат соответствия в системе сертификации ФСБ России № СФ/СЗИ-0145 от 02 мая 2017 года, который подтверждает соответствие изделия требованиям ФСБ России по безопасности информации, предъявляемым к защищенным средствам вычислительной техники 2 категории, эксплуатируемым в выделенных помещениях до 2 категории включительно на территории Российской Федерации, в том числе органов государственной власти Российской Федерации.

Копия сертификата соответствия в системе сертификации ФСБ России прилагается к каждому изделию.

  1. Моноблочный персональный компьютер Kraftway Studio KM65 на базе Баребона ECS G24-L5 23″,1920×1080 Full HD с внешним блоком питания, процессором Intel Core i5-4570S 2,9 GHz, оперативной памятью DDR3 – 2х4GB, жестким диском 2.5″ SATA-II 1Tb;
  2. Клавиатура, USB;
  3. Манипулятор типа «мышь», USB;
  4. МФУ или принтер;
  5. ИБП;
  6. Колонки;
  7. Наушники;
  8. Сетевой фильтр;
  9. Flash-накопитель;
  10. Внешний привод DvD-RW;
  11. Внешний жесткий диск 2.5″ в боксе с кабелем USB 3.0;
  12. Кабели USB;
  13. Операционная система (определяется договором поставки);
  14. Комплект эксплуатационной документации (руководство по эксплуатации, паспорт, Заключение по результатам проведения специальной проверки технических средств, Предписание на эксплуатацию изделия).

Комплектность изделия может быть изменена с учетом пожеланий Заказчика.

Изделие полностью готово к использованию по назначению при соблюдении требований предписания на эксплуатацию после размещения на месте эксплуатации и подключения к сети электропитания.

Изделие, в случае необходимости, можно подключать к сетям, в которых циркулирует информация ограниченного доступа, при условии выполнения требований по защите информации предъявляемым к автоматизированным системам в защищенном исполнении.

Алгоритм выбора

Для корректного выбора компьютера в защищенном исполнении необходимо определить:

  • Принадлежность выделенного помещения или объекта СВТ к определенной (1-ой, 2-ой либо 3-ей) категории;
  • Параметры подлежащей контролю зоны R2 по каждой из категорий;
  • Необходимый класс защищенности. На этот показатель влияет количество пользователей и разграничение их доступа к информации, а также число различных видов информации;
  • ОС и прикладное ПО, которые будут использованы в ПЭВМ.

К каждой поставляемой нами ПЭВМ в защищенном исполнении прилагается сертификат соответствия требованиям ГОСТ, санитарный и гигиенический сертификаты.

Офис в Москве

Адрес
127287, г. Москва, Старый Петровско-Разумовский проезд, д. 1/32, стр. 1
Телефон
+7 (495) 984-16-89
E-mail
info@rosintelcom.ru
Режим работы
Пн. – Пт.: с 9:00 до 18:00

Оформите заявку на сайте, мы свяжемся с вами в ближайшее время и ответим на все интересующие вопросы.

Персональные ЭВМ в защищенном исполнении «ОБРУЧ»

Персональные ЭВМ в защищенном исполнении «ОБРУЧ»

ПЭВМ серии «ОБРУЧ » — средства защиты информации от утечки по техническим каналам побочных электромагнитных излучений и наводок, предназначенные для обработки информации, содержащей сведения, составляющие государственную тайну, с грифом секретности до « совершенно секретно » включительно.

Единая государственная информационная система в сфере здравоохранения ЕГИСЗ

Предназначена для объединения медицинских организаций, территориальных органов управления здравоохранения и фондов ОМС и страхования в единую корпоративную сеть. Сеть имеет в своем составе подсистему защищенной сети передачи данных ЗСПД. Оператором системы и ЗСПД также является ПАО Ростелеком. В системе доступно множество сервисов: электронная медицинская карта пациента, электронная регистратура, специализированные регистры пациентов и медработников, телемедицинские консультации и другие.

Также существует множество других защищенных сетей, менее популярных и более специализированных. Если вам интересно, в будущем можем рассказать что-нибудь и про них. Список сайтов, которые используют защищённые сети и про которые знает Гугл, вы можете посмотреть здесь. Спасибо за внимание!

Что ещё интересного есть в блоге Cloud4Y

Подписывайтесь на наш Telegram-канал, чтобы не пропустить очередную статью. Пишем не чаще двух раз в неделю и только по делу

3 Термины и определения

В настоящем стандарте применены термины по ГОСТ Р 50922, ГОСТ Р 53114. ГОСТ 34.003. ГОСТ 16504. а также следующие термины с соответствующими определениями:

3.1 мероприятия по защите информации: Совокупность действий, направленныхна разработку и/или практическое применение способов и средств защиты информации.

3.2 обработка информации: Выполнение любого действия (операции) или совокупности действий (операций) с информацией (например, сбор, накопление, ввод, вывод, прием, передача, запись, хранение, регистрация, преобразование, отображение и т. п.). совершаемых с заданной целью.

3.3 система защиты информации автоматизированной системы: Совокупность организационных мероприятий, технических, программных и программно-технических средств защиты информации и средств контроля эффективности защиты информации.

3.4 информационная система: Совокупность содержащейся е базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.

Как оформить документы для допуска

Государственная тайна — это дорого. Поскольку раскрытая тайна может причинить ущерб, рисковать РФ не хочет и кого попало с такими сведениями не знакомит. Для обычного гражданина процедура допуска выглядит следующим образом.

Оформить допуск по месту работы или службы. Самостоятельно обратиться, например, в ФСБ и потребовать оформить допуск не получится — закон этого не предусматривает. Нужно, чтобы соблюдалось одно из двух условий:

  1. cотрудник претендует на должность, где придется работать с секретными, совершенно секретными или особой важности сведениями. В этом случае все мероприятия проводятся еще до трудоустройства. Если кандидат не пройдет спецпроверку, в трудоустройстве могут отказать — это законно;
  2. человек уже работает, и ему поручают дополнительную работу, которая связана с гостайной, — так бывает. Например, фирма выпускала гражданскую продукцию, а потом получила оборонный заказ. В этом случае если сотрудник спецпроверку не пройдет, его могут перевести на другую должность, а если это невозможно — уволить.

Дать письменное согласие, поскольку допуск к гостайне — дело добровольное. Откажется — заставить его нельзя, но и с государственными секретами он знакомиться не сможет. Причем письменное согласие потребуется:

  • на ограничение прав, например права на выезд за границу;
  • на проверочные мероприятия в связи с процедурой допуска, например запросы информации о судимости и о привлечении к уголовной или административной ответственности, сбор характеристик по месту жительства и работы.

Заполнить анкету. Анкету подписывает сам претендент на допуск гостайне, работник кадрового подразделения и работник режимно-секретного подразделения. К ней прикладывают заверенные копии документов об указанных в ней сведениях: паспорта, свидетельства о браке, диплома и других.

На допуск могут не рассчитывать люди, которые имеют следующие болезни и расстройства здоровья:

  1. Психические расстройства.
  2. Шизофрению, шизотипические и бредовые расстройства.
  3. Расстройства настроения.
  4. Расстройства привычек и влечений — это склонность к совершению действий, опасных для себя и окружающих.
  5. Нарушения интеллектуального развития.
  6. Употребление психоактивных веществ, например наркотиков.
  7. Эпилепсию.

Ознакомиться с текущим законодательством, которое касается государственной тайны, а также с законами об ответственности, если он ее нарушит. А еще письменно предупреждают о том, что права гражданина в связи с допуском могут быть ограничены.

Ожидать решения. После подписания гражданину больше ничего делать не нужно — начинается работа организации, министерства или ведомства, которое оформляет допуск. Оно должно сделать следующее:

  1. Оформить письмо с обоснованием, почему конкретному человеку нужно оформить этот допуск. Указать, что допуск нужен на всякий случай, не получится. Нужно, чтобы должность, на которую назначается человек, была указана в специальной номенклатуре должностей — она должна быть в каждой организации, которая с государственными секретами работает. А еще в письме указывается, есть ли у гражданина медицинские противопоказания.
  2. Оформить карточку по форме 1. Она нужна для отметок о проведении проверочных мероприятий.
  3. Оформить учетную карточку на допуск к государственной тайне по форме 10.
  4. Составить список, где указываются оформляемый гражданин и все его родственники по форме 11.

Все эти документы направляются в органы безопасности по месту, где оформляют допуск. Если сотрудникам ФСБ покажется, что в документах неточности или чего-то не хватает, они могут запросить дополнительные сведения. А если документы будут оформлены неправильно, их вернут на доработку.

Получить отметку о допуске. После проверки карточка формы 1 вернется в организацию. Если ФСБ решило, что гражданину можно дать допуск, в карточке сделают отметку о проведении проверочных мероприятий с номером допуска к государственной тайне. Только с этого момента человека можно допустить к государственным секретам. И именно с этого момента гражданин начинает нести ответственность за разглашение, получать надбавки, доплаты и льготы.

Карточка, которая со всеми отметками вернулась в организацию, которая оформляет допуск, должна храниться в режимно-секретном подразделении вместе с копиями трудового договора, контракта или расписками, в которых гражданин обязуется соблюдать законодательство о государственной тайне.

Этапы стадии создания системы защиты информации

  1. Этап 1. Формирование требований к системе защиты информации (предпроектный этап).
  2. Этап 2. Разработка системы защиты информации (этап проектирования).
  3. Этап 3. Внедрение системы защиты информации (этап установки, настройки, испытаний).
  4. Этап 4. Подтверждение соответствия системы защиты информации (этап оценки).

Формирование требований к системе защиты информации

Этап 1 осуществляется обладателем информации (заказчиком).

Перечень работ на этапе 1:

  1. Принятие решения о необходимости защиты обрабатываемой информации.
  2. Классификация объекта по требованиям защиты информации (установление уровня защищенности обрабатываемой информации).
  3. Определение угроз безопасности информации, реализация которых может привести к нарушению безопасности обрабатываемой информации.
  4. 4. Определение требований к системе защиты информации.

Решение о необходимости создания системы защиты информации принимается на основе анализа стоящих задач, обрабатываемой информации и нормативной базы. В ходе анализа определяются структурно-функциональные характеристики объекта и режим обработки информации:

  • статус (принадлежность) объекта (государственный, муниципальный, иной);
  • структура объекта (локальный или распределенный);
  • масштаб объекта (федеральный, региональный, объектовый);
  • наличие подключений к сторонним сетям, в том числе сетям общего пользования (имеются или отсутствуют);
  • режим обработки информации (одно или многопользовательский);
  • уровень доступа (с разграничением или без разграничения);
  • перечень технологических операций (чтение, поиск, запись, удаление, сортировка, модификация, передача, голосовой ввод,);
  • используемые информационные технологии (беспроводный, удаленный доступ, виртуализация, мобильные объекты, туннелирование и пр.),

Категория информации, подлежащей защите, и свойства ее безопасности:

  • информация ограниченного доступа (конфиденциальность, целостность, доступность);
  • общедоступная информация (целостность, доступность),

Нормативная правовая база по информационно-технической безопасности выделяет разные задачи по защите информации:

  • защита информации, составляющей государственную тайну;
  • защита государственного информационного ресурса, не отнесенного к государственной тайне;
  • обеспечение безопасности персональных данных в иных информационных системах;
  • обеспечение безопасности критической информационной инфраструктуры;
  • обеспечение безопасности информации в информационных системах общего пользования.

Более подробно правовое сопровождение защиты информации рассмотрено в разделе экономических и правовых аспектов защиты информации.

Актуальным на этом этапе видится формулирование целей и задач защиты информации.

Цель защиты информации — минимизировать (предотвратить) ущерб обладателю информации из-за возможных нарушений свойств ее безопасности.

Задача защиты информации — обеспечить необходимый уровень защищенности информации от нарушений ее целостности, доступности, конфиденциальности.

Решение оформляется локальным нормативным правовым актом, в котором отражаются цели и задачи защиты информации, этапы и сроки создания системы защиты информации, функционал и ответственность обладателя информации, заказчика и оператора.

Основные документы, формируемые по результатам исполнения работ на этапе формирования требований к системе защиты информации:

Действие Документ
1. Принятие решения о необходимости защиты информации Локальный нормативный правовой акт, определяющий необходимость создания системы защиты информации
2. Классификация по требованиям защиты информации (по уровню защищенности информации) Акт классификации по требованиям безопасности информации
3.Определение актуальных угроз безопасности информации Частная модель угроз безопасности информации
4. Определение требований к системе защиты информации ТЗ на создание системы защиты информации с указанием требований к мерам и средствам защиты информации

Разработка системы защиты информации

Этап 2 — разработка системы защиты информации – организуется обладателем информации (заказчиком).

Перечень работ на этапе 2:

  1. Проектирование системы защиты информации.
  2. Разработка эксплуатационной документации на систему защиты информации.

Положением о лицензировании деятельности по технической защите конфиденциальной информации, утвержденном постановлением Правительства Российской Федерации от 3 февраля 2012 г. № 79 «О лицензировании деятельности по технической защите конфиденциальной информации» с учетом изменений, внесенных постановлением правительства российской федерации от 15 июня 2016 г. № 541 «О внесении изменений в некоторые акты Правительства Российской Федерации по вопросам лицензирования отдельных видов деятельности» определены виды работ и услуг по технической защите конфиденциальной информации, подлежащие обязательному лицензированию:

работы и услуги по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации, а также работы и услуги по проектированию в защищенном исполнении:

  • средств и систем информатизации;
  • помещений со средствами (системами) информатизации, подлежащими защите;
  • защищаемых помещений.

Согласно Федеральному закону от 27.12.2002 № 184 -ФЗ «О техническом регулировании», оценка соответствия средств (продукции) защиты информации, предназначенных для обеспечения безопасности государственного информационного ресурса ограниченного доступа и персональных данных, проводится в форме обязательной сертификации.

В зависимости от вида защищаемой информации, следует руководствоваться Постановлением Правительства Российской Федерации от 26 июня 1995 г. № 608 «Положение о сертификации средств защиты информации» — для информации ограниченного доступа, либо Постановлением Правительства Российской Федерации от 15 мая 2010 г. № 330 «Положение об особенностях оценки соответствия продукции. » — для государственных информационных ресурсов и персональных данных.

Основные документы, формируемые по результатам исполнения работ на этапе разработки системы защиты информации:

Действие Документ
1.Проектирование системы защиты информации Технический проект (рабочая документация) на создание системы защиты информации
2.Разработка эксплуатационной документации на систему защиты информации Описание структуры системы защиты информации. Технический паспорт с указанием наименования, состава и мест установки аппаратных и программных средств.
Перечень параметров настройки средств защиты информации. Правила эксплуатации средств защиты информации.

Примерный состав эксплуатационной документации, разрабатываемой на этапе проектирования системы защиты информации

  1. Технический паспорт с указанием состава и мест установки ее технических и программных средств.
  2. Описание технологического процесса обработки информации.
  3. Описание параметров и порядка настройки средств защиты информации.
  4. Описание организационной структуры системы защиты информации, с указанием функциональных обязанностей ее элементов.
  5. Ведомость и журнал учета применяемых машинных носителей информации.
  6. Правила эксплуатации системы защиты информации.

Внедрение системы защиты информации

Этап 3 — Внедрение системы защиты информации – организуется обладателем информации (заказчиком) с привлечением оператора. Перечень работ на этапе 3:

  1. Установка и настройка средств защиты информации.
  2. Внедрение организационных мер защиты информации, в том числе, разработка документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в ходе эксплуатации объекта.
  3. Выявление и анализ уязвимостей программных и технических средств, принятие мер по их устранению;
  4. Испытания и опытная эксплуатации системы защиты информации.

Основные документы, формируемые по результатам исполнения работ на этапе внедрения системы защиты информации:

Действие Документ
1. Установка и настройка средств защиты информации Акт установки средств защиты информации
2.Внедрение организационных мер, разработка организационно-распорядительных документов Документы по регламентации правил по эксплуатации и вывода из эксплуатации системы защиты информации
3.Выявление и анализ уязвимостей Протокол контроля уязвимостей программного обеспечения и технических средств
4.Испытания и опытная эксплуатации системы защиты информации Протоколы контроля оценки эффективности средств и оценки защищенности информации

Состав обязательных организационно-распорядительных документов, разрабатываемых на этапе внедрения системы защиты информации:

  1. Порядок администрирования системой защиты информации.
  2. Порядок выявления инцидентов, которые могут привести к возникновению угроз безопасности информации и реагирования на них.
  3. Порядок управления конфигурацией объекта и его системы защиты информации.
  4. Порядок контроля за обеспечением уровня защиты обрабатываемой информации.
  5. Порядок защиты информации при выводе из эксплуатации объекта.

Подтверждение соответствия системы защиты информации

Этап 4 — подтверждение соответствия системы защиты информации – организуется обладателем информации (заказчиком) или оператором. Перечень работ на этапе 4 определяется в Программе и методиках аттестационных испытаний, разрабатываемой до их начала. Документ формируется исполнителем работ и согласовывается с заявителем.

Общие требования к структуре и содержанию программ и методик аттестационных испытаний на соответствие требованиям безопасности информации, выполнение которых позволяет защитить информацию от утечки по техническим каналам, от несанкционированного доступа и от специальных воздействий определяются национальным стандартом ГОСТ РО 0043-004-2013 «Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний».

Аттестация – комплекс организационных и технических мероприятий, в результате которых подтверждается соответствие системы защиты информации объекта информатизации (информационной системы) требованиям безопасности информации.

Аттестация объектов информатизации делится на обязательную и добровольную.

Обязательная аттестация проводится в принятых законодательством случаях для определения соответствия системы защиты информации объекта исключительно требованиям, установленным федеральными нормативными правовыми актами.

Добровольная аттестация проводится по инициативе заявителя для определения соответствия системы защиты информации объекта требованиям, установленным национальными стандартами, владельцем информации или владельцем объекта.

Обязательной аттестации подлежат государственные (муниципальные) информационные системы и их сегменты, содержащие информацию ограниченного доступа, добровольной – все иные информационные системы.

Порядок проведения аттестации информационных систем по требованиям безопасности информации:

  1. Подача и рассмотрение заявки на аттестацию.
  2. Предварительное ознакомление с аттестуемым объектом (при необходимости).
  3. Разработка программы и методики аттестационных испытаний.
  4. Проведение аттестационных испытаний объекта.
  5. Оформление, регистрация и выдача аттестата соответствия.

Подача и рассмотрение заявки на аттестацию объекта информатизации:

  1. Заявителем выбирается исполнитель работ по аттестации объекта информатизации (организация-лицензиат по технической защите конфиденциальной информации).
  2. Заявителем направляется исполнителю заявка на проведение аттестации с исходными данными на аттестуемый объект.
  3. Исполнителем рассматривается заявка, принимается решение о порядке аттестации, готовятся договорные документы на оказание услуг по аттестации объекта информатизации.

При недостаточности исходных данных в порядок аттестации включаются работы исполнителя по предварительному ознакомлению с аттестуемым объектом.

Структура и содержание программы и методики аттестационных испытаний определяется Национальным стандартом ограниченного распространения ГОСТ РО 0043-004-2013 «Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний»

Аттестуемая распределенная информационно-телекоммуникационная система

Основные документы, формируемые по результатам исполнения работ на этапе подтверждения соответствия системы защиты информации:

Действие Документ
1.Аттестационные испытания системы защиты информации Протоколы и заключение по результатам аттестационных испытаний
2.Оформление результатов аттестационных испытаний Рекомендации по обеспечению защищенности информации на аттестуемом объекте и Аттестат соответствия

После подтверждения соответствия системы защиты информации осуществляется переход на другую стадию жизненного цикла – стадию эксплуатации.

Оцените статью
Fobosworld.ru
Добавить комментарий

Adblock
detector