|
Читайте также: |
1. подача и рассмотрение заявки на аттестацию во ФСТЭК;
2. предварительное ознакомление с аттестуемым объектом;
3. испытание сертифицированных средств и систем ЗИ;
4. разработка программы испытаний и методики испытаний
5. заключение договоров на аттестацию
6. проведение аттестационных испытаний
7. регистрация и выдача аттестат соответствия
8. осуществление государственного контроля и надзора за проведением аттестации и эксплуатации
9. рассмотрение апелляции
Аттестация состоит из перечня работ:
1. анализ исходных данных по объекту
2. проведение экспертного исследования объекта и анализ технической документации
3. проведение испытаний отдельных средств и систем защиты
4. проведение испытаний отдельных средств в испытательных центрах
5. проведение комплекса испытаний в реальных условиях эксплуатации
6. анализ результатов экспертного обследования
Переаттестация (повторная аттестация) производится в следующих случаях:
1) несоответствие объекта информатизации требованиям по безопасности
2) изменение категории объекта
3) изменение состава или расположения технических средств
4) замена технических средств защиты
5) изменение условий электропитания
6) изменение в монтаже и прокладке кабельной коммуникации
7) строительные работы
В состав пакета организационно-распорядительных документов по вопросам безопасности и защите информации могут входить следующие организационно-распорядительные документы:
· Концепция обеспечения информационной безопасности;
· План защиты информации;
· Положение о категорировании ресурсов ИС;
· Порядок обращения с информацией, подлежащей защите;
· План обеспечения непрерывной работы и восстановления;
· Положение о службе защиты информации;
· Обязанности администратора безопасности;
· Инструкции пользователю ИС (общие обязанности по обеспечению информационной безопасности);
· Инструкция по внесению изменений в списки пользователей и наделению их полномочиями доступа к ресурсам ИС;
· Инструкция по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств ИС;
· Инструкция по организации парольной защиты;
· Инструкция по организации антивирусной защиты;
· другие.
Аттестация предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта в реальных условиях эксплуатации с целью оценки соответствия использованного комплекса мер и средств защиты требуемому уровню безопасности информации.
Аттестационные испытания осуществляются аттестационной комиссией, формируемой аккредитованным ФСТЭК России органом по аттестации из компетентных специалистов по согласованной с заявителем программе испытаний.
При проведении аттестационных испытаний применяются следующие методы проверок и испытаний:
- экспертно-документальный метод;
- измерение и оценка уровней защищенности для отдельных технических средств и каналов утечки информации;
- проверка функций или комплекса функций защиты информации от НСД с помощью тестирующих средств, а также путем пробного запуска средств защиты информации от НСД и наблюдения за их выполнением;
- попытки «взлома» систем защиты информации.
Порядок проведения аттестационных испытаний объектов информатизации определен требованиями «Положения по аттестации объектов информатизации по требованиям безопасности информации» и СТР, при аттестации объектов информатизации, обрабатывающих сведения, содержащие конфиденциальную информацию – порядок определяется СТР-К и временными методиками к нему.
74. Раскрыть понятия: «белый» шум, «розовый» шум и «речеподобный» шум.
Активные методы защиты основаны на увеличении уровня шума Lш по отношению к естественному (фоновому) и реализуются с помощью технических средств, основу которых составляют различные генераторы шума.
На практике чаще всего используют так называемые «белый», «розовый» и речеподобный шумы (рис.1), (графики 1,2,3 соответственно), различающиеся формой огибающей спектра.
Рис.1. Виды шумов
1. «белый» шум — имеет равномерный спектр в полосе частот речевого сигнала;
2. «окрашенный» шум — формируется из «белого» в соответствии с огибающей амплитудного спектра скрываемого речевого сигнала;
3. «речеподобные» помехи — формируются путем микширования в различных сочетаниях отрезков речевых сигналов и музыкальных фрагментов, а также шумовых помех, или формируется из фрагментов скрываемого речевого сигнала при многократном наложении с различными уровнями.
Целесообразность использования того или иного вида помех определяется многими факторами (в частности, преследуемыми целями: маскирование, имитация, обеспечение максимальной комфортности переговоров и т.п.). С точки зрения обеспечения минимума интегрального уровня помех, наиболее эффективной является речеподобная помеха (рис.2), т.е. обеспечивается энергетическая оптимальность помехи в пределах всего диапазона частот защищаемого речевого сигнала.
Рис.2. Зависимость словесной разборчивости от интегрального отношения сигнал /шум при различных видах шума:
1. «белый»шум,
2. «розовый» шум (3 дБ/окт.);
3. «коричневый» шум(6 дБ/окт.);
4. «речеподобная» помеха.
Речеподобная помеха бывает трех видов:
1. «речеподобная помеха — 1» — формируется из фрагментов речи трех дикторов радиовещательных станций при примерно равных уровнях смешиваемых сигналов;
2. «речеподобная помеха — 2» — формируется из одного доминирующего речевого сигнала или музыкального фрагмента и смеси фрагментов радиопередач с шумом;
3. «речеподобная помеха — З» — формируется из фрагментов скрываемого речевого сигнала при многократном их наложении с различными уровнями. Анализ исследований показал, что наибольшей эффективностью из всех существующих обладает именно «речеподобная помеха — З».
75. Правовое определение понятий и видов защищаемой информации, их учёт в практической деятельности по защите информации.
Защищаемая Информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации. Собственником информации может быть: государство, юридическое лицо, группа физических лиц, отдельное физическое лицо.
Предприятие обязано или имеет право защищать несколько видов информации. Всю охраняемую в организации информацию можно свести к двум классам:
· государственная тайна;
· конфиденциальная информация.
Институт государственной тайны регулируется законодательством о государственной тайне. Это, в частности: Федеральный закон "О безопасности", Закон РФ "О государственной тайне", иные правовые акты. В соответствии с законом РФ «О государственной тайне» государственная тайна – это защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации. Устанавливаются три степени секретности сведений, составляющих государственную тайну, и соответствующие этим степеням грифы секретности для носителей указанных сведений: «особой важности», «совершенно секретно» и «секретно». Секретная Информация – информация, содержащая сведения, отнесенные к государственной тайне.
Состав же конфиденциальных с ведений раскрыт в Указе Президента РФ от 6 марта 1997 №188 "Об утверждении перечня сведений конфиденциального характера". Это персональные данные, служебная тайна, коммерческая тайна, профессиональная тайна, а также сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них. Конфиденциальная информация - информация, требующая защиты, но не относящаяся к государственной тайне и не являющаяся общедоступной. К конфиденциальной информации фирмы можно отнести и сведения, которые законодательство прямо запрещает относить к коммерческой тайне или не предусматривает их в качестве тайны, охраняемой законом. К ней, например, нельзя отнести процедуры обеспечения безопасности в коммерческой организации.
Информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности.
Персональные данные -любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Профессиональная тайна – з ащищаемая по закону информация, доверенная или ставшая известной лицу исключительно в силу исполнения им своих профессиональных обязанностей, не связанных с государственной и муниципальной службой, распространение которой может нанести ущерб правам и законным интересам другого лица, доверившего эти сведения (доверителя), и не являющаяся государственной или коммерческой тайной. К профессиональной тайне, например, относятся тайны предварительного следствия, судопроизводства, страхования, журналистская (редакционная) тайна, нотариальная, врачебная, адвокатская, аудиторская тайны, тайна связи. Существуют и иные виды охраняемых законом тайн - это, в частности, тайна усыновления, тайна голосования, тайна исповеди. Содержание и порядок обращения служебной тайны регулируется ведомственными нормативными актами.
Таким образом, охраняемая в организации конфиденциальная информация состоит из:
· тайны, охраняемой законом,
· сведений ограниченного доступа, отнесенных к конфиденциальной информации в соответствии с локальными нормативными актами на основаниях, не противоречащих законодательству РФ.
На основании вышеизложенного можно выстроить примерную структуру информации, охраняемой в организации (см.табл).
Из таблицы видно, что организация обязана охранять любую "чужую" информацию: государственную, персональную, полученную от контрагентов (граждан и организаций). Также организация может иметь и охранять "свою" тайну.
| Класс информации | Вид информации | Источник регулирования | Ответств. лица | Степень ответств | Наличие | ||
| 1. Государственная тайна | Тайна, охраняемая законом | Законодательство о государственной тайне. | Руководитель | Обязан | Если есть | ||
| Конфиденциальная информа-ция фирмы | 2. Персональ-ные данные | ФЗ № 152 «О персональных данных» | Работодат., любое лицо | Обязан | Всегда есть | ||
| 3. Коммерчес-кая тайна | ФЗ № 98 «О коммерческой тайне» | Любое лицо | Может | Если введен режим охраны | |||
| 4. Служебная тайна, профес-сиональная тайна | Законы, иные правовые акты или договоры с контрагентами | Сотрудник | Обязан | Если есть в соотв. с законом или договором | |||
| 5. Сведения ограниченного доступа (служебная информация фирмы) | Внутрифирменные нормативные акты | Сотрудник | Может | Если введен режим охраны | |||
Дата добавления: 2015-10-28; просмотров: 253 | Нарушение авторских прав
| <== предыдущая страница | | | следующая страница ==> |
| Физическая природа акустоэлектрического преобразования. | | | Классификация технических средств перехвата речевой информации. |