Читайте также:
|
Характерными свойствами функционирования СФЗ ЯО как автоматизированной системы, обрабатывающей информацию, с точки зрения информационной безопасности являются:
· наличие информации, составляющей государственную и служебную тайну, а также информации конфиденциального характера о различных аспектах функционирования СФЗ и непосредственно ЯО, в том числе возможно, количественных и качественных характеристиках ЯМ, ядерно-опасных изделий и ЯЭУ;
· наличие служебной информации системы защиты информации от НСД в СФЗ, требующее обеспечения ее конфиденциальности и целостности;
· территориальное размещение компонентов СФЗ в различных охраняемых зонах ЯО, доступ в которые имеет ограниченный и строго дифференцированный персонал;
· размещение компонентов СФЗ в транспортных средствах, перевозящих ЯМ;
· строгое разделение функциональных обязанностей, распределение полномочий и прав на выполнение регламентных действий между персоналом СФЗ;
· относительное постоянство используемых штатных программных средств, включенных в регламент работы СФЗ, и узкая функциональная специализация СФЗ в отличие от автоматизированных систем общего назначения;
· исключение доступа части персонала, связанного с управлением и обеспечением функционирования СФЗ, в обслуживаемую им охраняемую зону.
Из анализа перечисленных особенностей функционирования СФЗ ЯО следует вывод о необходимости защиты информации в СФЗ ЯО, что обусловлена наличием в системе информации, составляющей государственную и служебную тайну, раскрывающей систему физической защиты конкретного ЯО, а также чувствительной по отношению к несанкционированным воздействиям на нее, в результате чего может быть снижена эффективность функционирования СФЗ в целом или ее отдельных элементов.
Основные требования по защите информации, составляющей государственную и служебную тайну, порядок разработки, введения в действие и эксплуатации технических систем и иных объектов информатизации в защищенном исполнении определены «Специальными требованиями и рекомендациями по защите информации, составляющей государственную тайну, от утечки по техническим каналам» (СТР), утвержденными решением Гостехкомиссии России от 23.05.97 №55, а также другими федеральными и отраслевыми нормативными документами по защите информации [12.6- 12.8]., к которым необходимо добавить:
• «Перечень сведений, подлежащих засекречиванию по Минатому России».
•«Перечня сведений конфиденциального характера», утвержденного Указом Президента Российской Федерации от 06.03.97 №188.
Прежде всего должны защищаться сведения, в результате разглашения, утраты, утечки по техническим каналам, уничтожения, искажения или подмены которых может быть нарушено функционирование СФЗ или снижена эффективность ее функционирования. Эти сведения должны защищаться в первую очередь в тех компонентах СФЗ, где они наиболее доступны для потенциального нарушителя, то есть необходимо следовать принципу «равнопрочности защиты». Необходимо также учитывать вопрос «времени жизни» защищаемой информации, имея в виду снижение или потерю ценности такой информации для потенциального нарушителя в результате ее изменения, замены по истечении определенного временного интервала.
Объем и степень секретности обрабатываемой и передаваемой между различными уровнями управления СФЗ информации (уровень чувствительности ресурсов), режим обработки данных и соответственно уровень требований по защите информации будут различны в зависимости от степени интеграции различных подсистем СФЗ, от характера взаимодействия в конкретной системе, а также с системами учета и контроля ядерных материалов, технологической безопасности и др.
В данном случае можно выделить информационные объекты и сведения, которые необходимо защищать.
К объектам защиты относятся:
· собственно информация, составляющая государственную и служебную тайну, а также чувствительная по отношению к несанкционированным воздействиям на нее, представленная в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, оптической и иной основе, информационных массивов и баз данных;
· средства и системы информатизации (автоматизированные системы различного уровня и назначения на базе средств вычислительной техники, специализированные микропроцессоры, средства и системы связи и передачи данных, технические средства приема, передачи и обработки информации (телефонной и радиосвязи, звукозаписи, звукоусиления, звуковоспроизведения, телевизионные устройства и другие технические средства обработки речевой, алфавитно-цифровой, графической и видеоинформации), программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), используемые для обработки, хранения и передачи защищаемой информации;
· датчики охранной сигнализации;
· технические средства и системы, не обрабатывающие непосредственно защищаемую информацию, но размещенные в помещениях, где обрабатывается (циркулирует) защищаемая информация;
· помещения пунктов управления СФЗ, в которых ведутся конфиденциальные разговоры, раскрывающие особенности функционирования СФЗ.
В СФЗ, с учетом конкретных особенностей функционирования ЯО и применяемых технических средств и систем, необходимо защищать следующие сведения, раскрывающие:
· систему физической защиты предприятий, отдельных производств, зданий, сооружений, в которых производятся работы с ЯМ или ядерно-опасными изделиями, осуществляется их хранение, размещаются ЯУ, в том числе при их транспортировке;
· структуру и систему функционирования комплекса инженерно-технических средств СФЗ;
· топологию ЯО, его отдельных охраняемых зон и их СФЗ с указанием схем расположения средств СФЗ и их обеспечивающих подсистем;
· маршруты и конкретные сроки транспортировки ЯМ;
· систему защиты автоматизированных систем управления СФЗ и контроля доступа от несанкционированного воздействия;
· наличие, место установки или принцип действия скрытых технических средств СФЗ;
· технические характеристики технических средств СФЗ;
· содержание таблиц кодовых комбинаций для запирающих устройств повышенной стойкости;
· систему защиты пропусков, магнитных карт, устройств идентификации личности от подделки для конкретных объектов;
· характеристики контроля работоспособности СФЗ и ее составляющих;
· действия сил охраны и персонала СФЗ на попытки нарушения СФЗ;
· размещение и оснащение, маршруты и графики патрулирования сил охраны;
· расчетное время прибытия сил охраны или службы безопасности к месту нарушения по сигналу тревоги;
· расчетное время задержки нарушителя инженерными средствами физической защиты для конкретного объекта;
· служебную информацию системы защиты информации от НСД (пароли, ключи, таблицы санкционирования и т.д.) в СФЗ;
· демаскирующие признаки СФЗ и ее составляющих, раскрывающие информацию, подлежащую защите (внешний вид и особенности установки технических средств СФЗ; функциональные и побочные излучения технических средств СФЗ; реакция сил охраны при различных воздействиях на технические средства СФЗ.
Требования по защите информации в СФЗ ЯО могут быть эффективно выполнены только при наличии в СФЗ подсистемы ЗИ, которая является необходимой составной частью СФЗ как АС.
Основой создания политики безопасности СФЗ ЯО является определение каналов утечки информации и характера информационных угроз, а также формулирование модели потенциального нарушителя ИБ СФЗ ЯО. Рассмотрим эти факторы отдельно с учетом требований отраслевых документов [6,7].
Дата добавления: 2015-07-08; просмотров: 167 | Нарушение авторских прав
| <== предыдущая страница | | | следующая страница ==> |
| Нормативные документы | | | Перечень и анализ угроз информационной безопасности СФЗ ЯО |