Защита информации в средствах вычислительной техники

Защита информации в компьютерах должна осуществляться в соответствии с требования РД ГостехКомиссии, и СТР-к (специальные требования и рекомендации по технической защите конфиденциальной информации). На 16 страницах

5. ТРЕБОВАНИЯ И РЕКОМЕНДАЦИИ ПО ЗАЩИТЕ ИНФОРМАЦИИ,

ОБРАБАТЫВАЕМОЙ СРЕДСТВАМИ ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ

5.1. Общие требования и рекомендации

5.1.1. Система (подсистема) защиты информации, обрабатываемой в автоматизированных системах различного уровня и назначения, должна предусматривать комплекс организационных, программных, технических и, при необходимости, криптографических средств и мер по защите информации при ее автоматизированной обработке и хранении, при ее передаче по каналам связи.

5.1.2. Основными направлениями защиты информации являются:

· обеспечение защиты информации от хищения, утраты, утечки, уничтожения, искажения и подделки за счет НСД и специальных воздействий;

· обеспечение защиты информации от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи.

5.1.3. В качестве основных мер защиты информации рекомендуются:

· документальное оформление перечня сведений конфиденциального характера с учетом ведомственной и отраслевой специфики этих сведений;

· реализация разрешительной системы допуска исполнителей (пользователей, обслуживающего персонала) к информации и связанным с ее использованием работам, документам;

· ограничение доступа персонала и посторонних лиц в защищаемые помещения и помещения, где размещены средства информатизации и коммуникации, а также хранятся носители информации;

5.4. Порядок обеспечения защиты конфиденциальной информации при эксплуатации АС

5.5. Защита конфиденциальной информации на автоматизированных рабочих местах на базе автономных ПЭВМ

5.5.1. Автоматизированные рабочие места на базе автономных ПЭВМ являются автоматизированными системами, обладающими всеми основными признаками АС. Информационным каналом обмена между такими АС являются носители информации на магнитной (магнитно-оптической) и бумажной основе.

В связи с этим порядок разработки и эксплуатации АРМ на базе автономных ПЭВМ по составу и содержанию проводимых работ по защите информации, организационно-распорядительной, проектной и эксплуатационной документации должны полностью отвечать требованиям настоящего документа.

5.5.2. АС на базе автономных ПЭВМ в соответствии с требованиями РД Гостехкомиссии России "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации" должны быть классифицированы и отнесены:

· к 3 группе АС, если в ней работает только один пользователь, допущенный ко всей информации АС;

· ко 2 и 1 группе АС, если в ней последовательно работают несколько пользователей с равными или разными правами доступа (полномочиями), соответственно.

Примечание: При использовании на автономной ПЭВМ технологии обработки информации на съемных накопителях большой емкости, классификация АС производится на основании анализа режима доступа пользователей АС к информации на используемом съемном накопителе (либо одновременно используемом их комплексе).

5.6. Защита информации при использовании съемных накопителей информации большой емкости для автоматизированных рабочих мест на базе автономных ПЭВМ

5.7. Защита информации в локальных вычислительных сетях

5.7.1. Характерными особенностями ЛВС являются распределенное хранение файлов, удаленная обработка данных (вычисления) и передача сообщений (электронная почта), а также сложность проведения контроля за работой пользователей и состоянием общей безопасности ЛВС.

5.8. Защита информации при межсетевом взаимодействии

5.8.1. Положения данного подраздела относятся к взаимодействию локальных сетей, ни одна из которых не имеет выхода в сети общего пользования типа Internet.

5.8.2. Взаимодействие ЛВС с другими вычислительными сетями должно контролироваться с точки зрения защиты информации. Коммуникационное оборудование и все соединения с локальными периферийными устройствами ЛВС должны располагаться в пределах КЗ.

5.9. Защита информации при работе с системами управления базами данных

В общем Расскажу про основные моменты

В первую очередь следует разработать перечень сведений, составляющий конфиденциальную информацию организации. В перечень должны включаться все сведения, являющиеся собственностью организации.

Для разработки перечня следует руководствоваться следующими документами:

1. Конституцией РФ, принятой 12 декабря 1993 года.

2. Законом РФ «О государственной тайне» № 5485-1 от 21.07.93.

3. Федеральным законом РФ «Об информации, информатизации и защите информации» № 24-ФЗ от 20.02.95.

4. Указом Президента РФ «Об утверждении Перечня сведений, отнесённых к государственной тайне» № 1203 от 30.11.95.

5. Указом Президента РФ «Об утверждении Перечня сведений, конфиденциального характера» № 188 от 06.03.97.

6. Постановлением Правительства РФ «О Перечне сведений, которые не могут составлять коммерческую тайну» № 35 от 05.12.91.

7. Сведения, являющиеся общедоступными на законных основаниях, в том числе в соответствии с Постановлением Правительства РФ № 35 от 05.12.91.

8. Учредительные документы (решение о создании предприятия или договор учредителей) и устав.

9. Документы, дающие право заниматься предпринимательской деятельности (регистрационные удостоверения, лицензии, патенты).

10. Сведения по установленным формам отчётности о финансово- хозяйственной деятельности и иные сведения, необходимые для проверки правильности исчисления и уплаты налогов и других обязательных платежей в государственную бюджетную систему России.

11. Документы о платежеспособности; сведения о численности, составе работающих, их заработной плате и условиях труда, а так же о наличии свободных рабочих мест.

12. Документы об уплате налогов и обязательных платежах.

13. Сведения о загрязнении окружающей среды, нарушении антимонопольного законодательства, несоблюдении безопасных условий труда, реализации продукции, причиняющей вред здоровью населения, а так же других нарушениях законодательств РФ и размерах причиненного при этом ущерба.

14. Сведения об участии должностных лиц предприятия в кооперативах, малых предприятиях, товариществах и других организациях, занимающихся предпринимательской деятельностью.

15. Анализом преимуществ и недостатков для работы открытым и закрытым (внутренним) применением таких сведений.

16. Анализом характера возможного ущерба в случае несанкционированного распространения сведений конфиденциального.

После разработки проекта перечня, он обсуждается и утверждается на ЭТК и согласовывается с генеральным директором организации, начальниками основных служб и отделов Перечень вводится приказом генерального директора организации в виде приложения.

Сотрудники организации, допускаемые по роду своей работы или функциональным обязанностям к сведениям, составляющим конфиденциальную информацию, должны под расписку ознакомиться с этим приказом и приложением к нему.

Сотрудник, получивший доступ к конфиденциальной информации и документам, должен подписать индивидуальное письменное договорное обязательство об их неразглашении. Обязательство составляется в одном экземпляре и хранится в личном деле сотрудника не менее 5 лет после его увольнения. При его увольнении из организации ему даётся подписка о неразглашении конфиденциальной информации организации.

Далее должна быть разработана инструкция, регламентирующая порядок доступа сотрудников к КИ, порядок создания, учёта, хранения и уничтожения конфиденциальной документов организации. При написании такой инструкции следует руководствовать положениями ГОСТа Р6 30-2003- «Унифицированные системы документации.», а так же «Унифицированная система организационно-распорядительной документации. Требования к оформлению документов», который был принят и введен в действие постановлением Госстандарта РФ от 3 марта 2003 г. № 65-ст.

Контрольные вопросы

1. Дайте определение. Что понимается под разглашением КИ?

2. Дайте определение. Что понимается под утечкой информации?

3. Перечислите, какие задачи включает комплексная защита КИ.

4. Дайте определение «коммерческой тайне».

5. Перечислите требования, необходимые для получения лицензии на право осуществления деятельности по технической защите конфиденциальной информации.

6. Перечислите документы, которые соискатель лицензии представляет в лицензирующий орган.

7. Перечислите требования обеспечения безопасности и защиты информации, которые отражаются в Уставе.

8. В каком договоре предусматриваются требования правовой обеспеченности защиты информации.

9. Перечислите, из каких разделов состоит «Устав организации по защите конфиденциальной информации».

10. Перечислите, из каких разделов состоит «Коллективный договор организации».

11. Перечислите, какие мероприятия обеспечивает организационная защита.

12. Перечислите, из каких частей состоит инструкция по защите конфиденциальной информации.

Глава 7
Оборудование архивохранилищ

Дата добавления: 2014-12-16; Просмотров: 4774; Нарушение авторских прав?; Мы поможем в написании вашей работы!