Студопедия
Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3
АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатика
ИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханика
ОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторика
СоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансы
ХимияЧерчениеЭкологияЭкономикаЭлектроника

Методика проведения аттестации

Читайте также:
  1. II. Методика работы
  2. II. Методика работы.
  3. II. Методика работы.
  4. II. Методика работы.
  5. II. Методика работы.
  6. II. Методика работы.
  7. II. Методика работы.

1. подача и рассмотрение заявки на аттестацию во ФСТЭК;

2. предварительное ознакомление с аттестуемым объектом;

3. испытание сертифицированных средств и систем ЗИ;

4. разработка программы испытаний и методики испытаний

5. заключение договоров на аттестацию

6. проведение аттестационных испытаний

7. регистрация и выдача аттестат соответствия

8. осуществление государственного контроля и надзора за проведением аттестации и эксплуатации

9. рассмотрение апелляции

Аттестация состоит из перечня работ:

1. анализ исходных данных по объекту

2. проведение экспертного исследования объекта и анализ технической документации

3. проведение испытаний отдельных средств и систем защиты

4. проведение испытаний отдельных средств в испытательных центрах

5. проведение комплекса испытаний в реальных условиях эксплуатации

6. анализ результатов экспертного обследования

Переаттестация (повторная аттестация) производится в следующих случаях:

1) несоответствие объекта информатизации требованиям по безопасности

2) изменение категории объекта

3) изменение состава или расположения технических средств

4) замена технических средств защиты

5) изменение условий электропитания

6) изменение в монтаже и прокладке кабельной коммуникации

7) строительные работы

В состав пакета организационно-распорядительных документов по вопросам безопасности и защите информации могут входить следующие организационно-распорядительные документы:

· Концепция обеспечения информационной безопасности;

· План защиты информации;

· Положение о категорировании ресурсов ИС;

· Порядок обращения с информацией, подлежащей защите;

· План обеспечения непрерывной работы и восстановления;

· Положение о службе защиты информации;

· Обязанности администратора безопасности;

· Инструкции пользователю ИС (общие обязанности по обеспечению информационной безопасности);

· Инструкция по внесению изменений в списки пользователей и наделению их полномочиями доступа к ресурсам ИС;

· Инструкция по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств ИС;

· Инструкция по организации парольной защиты;

· Инструкция по организации антивирусной защиты;

· другие.

Аттестация предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта в реальных условиях эксплуатации с целью оценки соответствия использованного комплекса мер и средств защиты требуемому уровню безопасности информации.

Аттестационные испытания осуществляются аттестационной комиссией, формируемой аккредитованным ФСТЭК России органом по аттестации из компетентных специалистов по согласованной с заявителем программе испытаний.

При проведении аттестационных испытаний применяются следующие методы проверок и испытаний:

- экспертно-документальный метод;

- измерение и оценка уровней защищенности для отдельных технических средств и каналов утечки информации;

- проверка функций или комплекса функций защиты информации от НСД с помощью тестирующих средств, а также путем пробного запуска средств защиты информации от НСД и наблюдения за их выполнением;

- попытки «взлома» систем защиты информации.

Порядок проведения аттестационных испытаний объектов информатизации определен требованиями «Положения по аттестации объектов информатизации по требованиям безопасности информации» и СТР, при аттестации объектов информатизации, обрабатывающих сведения, содержащие конфиденциальную информацию – порядок определяется СТР-К и временными методиками к нему.


74. Раскрыть понятия: «белый» шум, «розовый» шум и «речеподобный» шум.

Активные методы защиты основаны на увеличении уровня шума Lш по отношению к естественному (фоновому) и реализуются с помощью технических средств, основу которых составляют различные генераторы шума.

На практике чаще всего используют так называемые «белый», «розовый» и речеподобный шумы (рис.1), (графики 1,2,3 соответственно), различающиеся формой огибающей спектра.

Рис.1. Виды шумов

1. «белый» шум — имеет равномерный спектр в полосе частот речевого сигнала;

2. «окрашенный» шум — формируется из «белого» в соответствии с огибающей амплитудного спектра скрываемого речевого сигнала;

3. «речеподобные» помехи — формируются путем микширования в различных сочетаниях отрезков речевых сигналов и музыкальных фрагментов, а также шумовых помех, или формируется из фрагментов скрываемого речевого сигнала при многократном наложении с различными уровнями.

Целесообразность использования того или иного вида помех определяется многими факторами (в частности, преследуемыми целями: маскирование, имитация, обеспечение максимальной комфортности переговоров и т.п.). С точки зрения обеспечения минимума интегрального уровня помех, наиболее эффективной является речеподобная помеха (рис.2), т.е. обеспечивается энергетическая оптимальность помехи в пределах всего диапазона частот защищаемого речевого сигнала.

 

 

Рис.2. Зависимость словесной разборчивости от интегрального отношения сигнал /шум при различных видах шума:

1. «белый»шум,

2. «розовый» шум (3 дБ/окт.);

3. «коричневый» шум(6 дБ/окт.);

4. «речеподобная» помеха.

 

Речеподобная помеха бывает трех видов:

1. «речеподобная помеха — 1» — формируется из фрагментов речи трех дикторов радиовещательных станций при примерно равных уровнях смешиваемых сигналов;

2. «речеподобная помеха — 2» — формируется из одного доминирующего речевого сигнала или музыкального фрагмента и смеси фрагментов радиопередач с шумом;

3. «речеподобная помеха — З» — формируется из фрагментов скрываемого речевого сигнала при многократном их наложении с различными уровнями. Анализ исследований показал, что наибольшей эффективностью из всех существующих обладает именно «речеподобная помеха — З».

 


75. Правовое определение понятий и видов защищаемой информации, их учёт в практической деятельности по защите информации.

Защищаемая Информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации. Собственником информации может быть: государство, юридическое лицо, группа физических лиц, отдельное физическое лицо.

Предприятие обязано или имеет право защищать несколько видов информации. Всю охраняемую в организации информацию можно свести к двум классам:

· государственная тайна;

· конфиденциальная информация.

Институт государственной тайны регулируется законодательством о государственной тайне. Это, в частности: Федеральный закон "О безопасности", Закон РФ "О государственной тайне", иные правовые акты. В соответствии с законом РФ «О государственной тайне» государственная тайна – это защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации. Устанавливаются три степени секретности сведений, составляющих государственную тайну, и соответствующие этим степеням грифы секретности для носителей указанных сведений: «особой важности», «совершенно секретно» и «секретно». Секретная Информация – информация, содержащая сведения, отнесенные к государственной тайне.

Состав же конфиденциальных с ведений раскрыт в Указе Президента РФ от 6 марта 1997 №188 "Об утверждении перечня сведений конфиденциального характера". Это персональные данные, служебная тайна, коммерческая тайна, профессиональная тайна, а также сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них. Конфиденциальная информация - информация, требующая защиты, но не относящаяся к государственной тайне и не являющаяся общедоступной. К конфиденциальной информации фирмы можно отнести и сведения, которые законодательство прямо запрещает относить к коммерческой тайне или не предусматривает их в качестве тайны, охраняемой законом. К ней, например, нельзя отнести процедуры обеспечения безопасности в коммерческой организации.

Информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности.

Персональные данные -любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Профессиональная тайна – з ащищаемая по закону информация, доверенная или ставшая известной лицу исключительно в силу исполнения им своих профессиональных обязанностей, не связанных с государственной и муниципальной службой, распространение которой может нанести ущерб правам и законным интересам другого лица, доверившего эти сведения (доверителя), и не являющаяся государственной или коммерческой тайной. К профессиональной тайне, например, относятся тайны предварительного следствия, судопроизводства, страхования, журналистская (редакционная) тайна, нотариальная, врачебная, адвокатская, аудиторская тайны, тайна связи. Существуют и иные виды охраняемых законом тайн - это, в частности, тайна усыновления, тайна голосования, тайна исповеди. Содержание и порядок обращения служебной тайны регулируется ведомственными нормативными актами.

Таким образом, охраняемая в организации конфиденциальная информация состоит из:

· тайны, охраняемой законом,

· сведений ограниченного доступа, отнесенных к конфиденциальной информации в соответствии с локальными нормативными актами на основаниях, не противоречащих законодательству РФ.

На основании вышеизложенного можно выстроить примерную структуру информации, охраняемой в организации (см.табл).

Из таблицы видно, что организация обязана охранять любую "чужую" информацию: государственную, персональную, полученную от контрагентов (граждан и организаций). Также организация может иметь и охранять "свою" тайну.

 

 

Класс информации Вид информации Источник регулирования Ответств. лица Степень ответств Наличие
1. Государственная тайна Тайна, охраняемая законом Законодательство о государственной тайне. Руководитель Обязан Если есть
Конфиденциальная информа-ция фирмы 2. Персональ-ные данные ФЗ № 152 «О персональных данных» Работодат., любое лицо Обязан Всегда есть
3. Коммерчес-кая тайна ФЗ № 98 «О коммерческой тайне» Любое лицо Может Если введен режим охраны
4. Служебная тайна, профес-сиональная тайна Законы, иные правовые акты или договоры с контрагентами Сотрудник Обязан Если есть в соотв. с законом или договором
5. Сведения ограниченного доступа (служебная информация фирмы) Внутрифирменные нормативные акты Сотрудник Может Если введен режим охраны
               

 


Дата добавления: 2015-10-28; просмотров: 253 | Нарушение авторских прав


Читайте в этой же книге: Основные методы защиты телефонных переговоров. | Особенности лицензирования и сертификации в области защиты информации. | Системный подход к защите информации и его практическая реализация в современных условиях. | Принципы построения и основные характеристики индикаторов электромагнитного поля. | Методика оценки защищаемых помещений от утечки по каналам ПЭМИ. | Общая характеристика виброакустического канала утечки информации. | Методы и методики проектирования КСИБ | Защита от утечки по ПЭМИН | Классификация помех, используемых в технических средствах защиты информации. | Принципы нелинейной радиолокации. |
<== предыдущая страница | следующая страница ==>
Физическая природа акустоэлектрического преобразования.| Классификация технических средств перехвата речевой информации.

mybiblioteka.su - 2015-2024 год. (0.009 сек.)