24759
Правовой порядок установления соответствия параметров объектов информатизации и средств защиты информации требованиям нормативных документов
Шпаргалка
Информатика, кибернетика и программирование
Правовой порядок установления соответствия параметров объектов информатизации и средств защиты информации требованиям нормативных документов. Деятельность по аттестации объектов информатизации по требованиям безопасности информации осуществляет ФСТЭК России бывш. Объект информатизации совокупность информационных ресурсов средств и систем обработки информации используемых в соответствии с заданной информационной технологией средств обеспечения объекта информатизации помещений или объектов зданий сооружений технических средств в...
Русский
2013-08-09
75.83 KB
25 чел.
Билет №25
1. Правовой порядок установления соответствия параметров объектов информатизации и средств защиты информации требованиям нормативных документов.
Деятельность по аттестации объектов информатизации по требованиям безопасности информации осуществляет ФСТЭК России (бывш. Гостехкомиссия России). Для начала дадим определение объекта информатизации.
Объект информатизации - совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров.
Аттестация объектов информатизации (далее аттестация) - комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных ФСТЭК России (Гостехкомиссией России). Наличие аттестата соответствия в организации дает право обработки информации с уровнем секретности (конфиденциальности) на период времени, установленный в аттестате.
Аттестация производится в порядке, установленном "Положением по аттестации объектов информатизации потребованиям безопасности информации" от 25 ноября 1994 года. Аттестация должна проводится до начала обработки информации, подлежащей защите. Это необходимо в целях официального подтверждения эффективности используемых мер и средств по защите этой информации на конкретном объектеинформатизации.
Аттестация является обязательной в следующих случаях:
Во всех остальных случаях аттестация носит добровольный характер, то есть может осуществляться по желанию заказчика или владельца объекта информатизации.
Аттестация предполагает комплексную проверку (аттестационные испытания) объекта информатизации в реальных условиях эксплуатации. Целью является проверка соответствия применяемых средств и мер защиты требуемому уровню безопасности. К проверяемым требованиям относится:
Аттестация проводится органом по аттестации в соответствии со схемой, выбираемой этим органом, и состоит из следующего перечня работ:
Органы по аттестации должны проходить аккредитацию ФСТЭК в соответствии с "Положением об аккредитации испытательных лабораторий и органов по сертификации средств защиты информации по требованиям безопасности информации".
Все расходы по проведению аттестации возлагаются на заказчика, как в случае добровольной, так и обязательной аттестации.
Органы по аттестации несут ответственность за выполнение своих функций, за сохранение в секрете информации, полученной в ходе аттестации, а также за соблюдение авторских прав заказчика.
В структуру системы аттестации входят:
В качестве заявителей могут выступать заказчики, владельцы или разработчики аттестуемых объектов информатизации.
В качестве органов по аттестации могут выступать отраслевые и региональные учреждения, предприятия и организации по защите информации, специальные центры ФСТЭК России, которые прошли соответствующую аккредитацию.
Органы по аттестации:
ФСТЭК осуществляет следующие функции в рамках системы аттестации:
Испытательные лаборатории проводят испытания несертифицированной продукции, используемой на аттестуемом объекте информатизации.
Со списком органов по аттестации и испытательных лабораторий, прошедших аккредитацию, можно ознакомиться на официальном сайте ФСТЭК России в разделе "Сведения о Системе сертификации средств защиты информации по требованиям безопасности информации".
Заявители:
Для проведения испытаний заявитель предоставляет органу по аттестации следующие документы и данные:
Порядок проведения аттестации объектов информатизации по требованиям безопасности информации включает следующие действия:
К заключению прилагаются протоколы испытаний, подтверждающие полученные при испытаниях результаты и обосновывающие приведенный в заключении вывод.
Протокол аттестационных испытаний должен включать:
Протоколы испытаний подписываются экспертами членами аттестационной комиссии, проводившими испытания, с указанием должности, фамилии и инициалов.
Заключение по результатам аттестации подписывается членами аттестационной комиссии, утверждается руководителем органа аттестации и представляется заявителю. Заключение и протоколы испытаний подлежат утверждению органом по аттестации.
Аттестат соответствия должен содержать:
Аттестат соответствия подписывается руководителем аттестационной комиссии и утверждается руководителем органа по аттестации.
Аттестат соответствия выдается на период, в течение которого обеспечивается неизменность условий функционирования объекта информатизации и технологии обработки защищаемой информации, могущих повлиять на характеристики, определяющие безопасность информации (состав и структура технических средств, условия размещения, используемое программное обеспечение, режимы обработки информации, средства и меры защиты), но не более чем на 3 года.
2. Основные требования, предъявляемые к межсетевым экранам. Основные функции МЭ. Основные компоненты МЭ.
Межсетевой экран (firewall) - это устройство контроля доступа в сеть, предназначенное для блокировки всего трафика, за исключением разрешенных данных. Прохождение трафика на межсетевом экране можно настраивать по службам, IP-адресам отправителя и получателя, по идентификаторам пользователей, запрашивающих службу. Межсетевые экраны позволяют осуществлять централизованное управление безопасностью. В одной конфигурации администратор может настроить разрешенный входящий трафик для всех внутренних систем организации. Этим оно отличается от маршрутизатора, функцией которого является доставка трафика в пункт назначения в максимально короткие сроки.
Рассмотрим требования к реальной системе, осуществляющей межсетевое экранирование. В большинстве случаев экранирующая система должна:
• Обеспечивать безопасность внутренней (защищаемой) сети и полный контроль над внешними подключениями и сеансами связи;
• Обладать мощными и гибкими средствами управления для полного и, насколько возможно, простого воплощения в жизнь политики безопасности организации. Кроме того, экранирующая система должна обеспечивать простую реконфигурацию системы при изменении структуры сети;
• Работать незаметно для пользователей локальной сети и не затруднять выполнение ими легальных действий;
• Работать достаточно эффективно и успевать обрабатывать весь входящий и исходящий трафик в «пиковых» режимах. Это необходимо для того, чтобы МЭ нельзя было, образно говоря, «забросать» большим количеством вызовов, которые привели бык нарушению работы;
• Обладать свойствами самозащиты от любых несанкционированных воздействий, поскольку межсетевой экран является ключом к конфиденциальной информации в организации.
КЛАССИФИКАЦИЯ МЕЖСЕТЕВЫХ ЭКРАНОВ
Существует несколько схем классификации МЭ, отличающихся типом критерия, положенного в основу классификации.
По способу реализации различают
• программные и
• аппаратно-программные МЭ.
По типу защищаемого объекта различают:
• сегментные МЭ, устанавливаемые на границе двух или более сетей (или фрагментов сетей),
• встраиваемые МЭ, функционирующие на одной платформе с защищаемыми серверами и
• персональные МЭ. предназначенные для защиты отдельных рабочих станций.
Часто в качестве критерия принимается уровень эталонной модели взаимодействия
ISO/OSI, на котором функционирует конкретный тип МЭ. Такая классификация достаточно условна, поскольку современные МЭ работают сразу на нескольких уровнях. Тем не менее в литературе часто различают следующие типы МЭ:
• управляемые коммутаторы,
• пакетные фильтры,
• инспекторы состояния,
• МЭ сеансового уровня,
• МЭ прикладного уровня,
• МЭ экспертного уровня.
Управляемые коммутаторы функционируют на канальном уровне модели ISO/OSI.
Пакетные фильтры контролируют заголовки сетевого и транспортного уровня.
Причем каждый пакет проверяется независимо от предыдущих. Пакетные фильтры являются неотъемлемой частью более сложных МЭ.
Инспекторы состояния (МЭ сеансового уровня - StateFull-Inspection FW) осуществляют фильтрацию пакетов с учетом информации о текущей фазе виртуального соединения (ТCP-соединения или искусственного UDP- и/или ICMP-соединения). Для этого при фильтрации каждого пакета учитываются результаты обработки предыдущих пакетов данного соединения.
МЭ прикладного уровня осуществляют фильтрацию на основе контроля заголовков и/или данных прикладного уровня.
МЭ экспертного уровня реализуют все или большинство перечисленных технологий МЭ. В дополнение к ним МЭ этого типа реализуют дополнительные функции защиты информации: имеют встроенные механизмы обнаружения вторжений, системы поддержки VPN, усиленные системы аутентификации и др.
Отдельно выделяют особую группу межсетевых экранов посредников. В отличие от рассмотренных выше МЭ, МЭ-посредники вместо прямого соединения клиента с сервером формируют два соединения «клиентпосредник» и «посредник-сервер». При запросе соединения с каким-либо сервером посредник сначала проверяет права клиента на доступ к указанному сервису и (только при положительном результате) устанавливает соединение с запрашиваемым узлом.
Обычно различают МЭ-посредники следующих типов
• посредники сеансового уровня,
• посредники прикладного уровня.
Основные функции аппаратных и программно-аппаратных МЭ:
• Режим «stealth» для выполнения скрытной фильтрации,
• Пакетная фильтрация,
• Фильтрация протоколов с учетом состояния виртуального соединения,
• Трансляция адресов NAT,
• Поддержка VLAN,
• Поддержка VPN,
• Возможность регистрации и зеркалирования трафика,
• Мониторинг трафика и анализ файлов регистрации событий,
• Поддержка горячего резервирования.
3. Организационная компонента КСЗИ.
В рамках организационного направления работ создается организационная компонента КСЗИ - совокупность правил (руководящих документов) и технических средств, регламентирующих деятельность сотрудников при обращении с информацией независимо от форм ее представления.
Организационная компонента КСЗИ включает в себя разработку регламента обеспечения безопасности, применение методологии при работе с персоналом Заказчика, при создании подразделения, ответственного за обеспечение безопасности информации, обучение и консультации сотрудников подразделения, работы по уточнению требований к характеристикам защищенности системы, анализ информационной структуры Заказчика, разнесение субъектов и объектов информационных отношений по категориям конфиденциальности, определение допустимых формы их взаимодействий и т.д.
Определение 1. Регламент обеспечения безопасности - комплект документов, регламентирующий правила обращения с конфиденциальной информацией в зависимости от фазы ее обработки и категории конфиденциальности.
В регламенте должен быть определен комплекс методических, административных и технических мер, включающих в себя:
Организационные мероприятия играют существенную роль в создании надежного механизма защиты информации, так как возможности несанкционированного использования конфиденциальных сведений в значительной мере обусловливаются не техническими аспектами, а злоумышленными действиями, нерадивостью, небрежностью и халатностью пользователей или персонала защиты.
К основным организационным мероприятиям можно отнести:
В каждом конкретном случае организационные мероприятия носят специфическую для данной организации форму и содержание, направленные на обеспечение безопасности информации в конкретных условиях.
Одним из важнейших организационных мероприятий является создание специальных штатных служб защиты информации в закрытых информационных системах в виде администратора безопасности сети и администратора распределенных баз и банков данных, содержащих сведения конфиденциального характера.
Очевидно, что организационные мероприятия должны четко планироваться, направляться и осуществляться какой-то организационной структурой, каким то специально созданным для этих целей структурным подразделением, укомплектованным соответствующими специалистами по безопасности предпринимательской деятельности и защите информации.
Зачастую таким структурным подразделением является служба безопасности предприятия (фирмы, организации), на которую возлагаются следующие общие функции:
Организационно служба безопасности состоит из следующих структурных единиц:
В таком составе служба безопасности способна обеспечить защиту конфиденциальной информации от любых угроз. .
Организационные меры являются решающим звеном формирования и реализации комплексной защиты информации и создания системы безопасности предприятия.
А также другие работы, которые могут Вас заинтересовать | |||
8737. | Политические партии. Многопартийность | 58.5 KB | |
Вариант 1 Политические партии. Многопартийность Политическая партия - это специализированная, организационно упорядоченная группа, объединяющая активных приверженцев тех или иных целей, идей, лидеров, служащая для борьбы за политическую власть.... | |||
8738. | Общественный прогресс. Критерии прогресса | 46.5 KB | |
Общественный прогресс. Критерии прогресса 1 вариант. Прогресс - направление развития, для которого характерно поступательное движение общества от низших и простых форм общественной организации к более высоким и сложным. Регресс - обратное движение... | |||
8739. | Общество и научно-технический прогресс | 37.5 KB | |
Общество и научно-технический прогресс Вариант 1 Современное состояние научно - технического прогресса определяется понятием научно-технической революции. Научно-техническая революция (НТР)- это качественный скачок в развитии производительных с... | |||
8740. | Развитие знаний об обществе. Общественные науки | 32 KB | |
Развитие знаний об обществе. Общественные науки (социология, политология, культурология, история, религиоведение, экономика, обществознание и др.) Вариант 1 Этапы развития знаний об обществе. Познание общества в форме мифологического сознания ... | |||
8741. | Обществознание в средние века и в новое время | 29 KB | |
Обществознание в средние века и в новое время Вариант К анализу тенденций общественного развития, а также критике негативных сторон государственности обращается в своем теологическом трактате О граде божьем средневековый богослов Августин Блаженн... | |||
8742. | Обществознание XX века | 39.5 KB | |
Вариант 1 Обществознание XX века: Теория ценностей Макса Вебера (в происхождении капитализма решающая роль протестантизма) Технократизм Уолта Ростоу (теория стадий экономического развития: традиционная переходящая стадия сдвига... | |||
8743. | Цивилизации и формации | 32.5 KB | |
Вариант 1 Цивилизации и формации Наиболее разработанные в исторической и философской науках подходы к объяснению сущности исторического процесса - формационный и цивилизационный подходы. Первый из них принадлежит к марксистской (коммунистическо... | |||
8744. | Традиционное и индустриальное общества | 39 KB | |
Вариант 1 Традиционное и индустриальное общества Традиционное общество (Восток) Индустриальное общество (Запад). Непрерывность исторического процесса, отсутствие явных граней между эпохами, резких сдвигов и скачков. История движется неравном... | |||
8745. | Цивилизации Древнего Востока (речные) | 46 KB | |
Цивилизации Древнего Востока (речные) Египет - IV тыс. до н.э. (империя - 3200-525г. до н.э.) Месопотамия - III тыс. до н.э. (Вавилонская империя - 3000 – 538 г. до н.э.) Индия - III - II тыс. до н.э. (XVIII век д... | |||