Bilgi koruma alanındaki işlerin durumunun bir analizi, iyi oluşturulmuş bir koruma kavramının ve yapısının halihazırda geliştiğini ve bunun temeli:

1. Oldukça gelişmiş bir cephanelik teknik araçlar endüstriyel bazda üretilen bilgilerin korunması.

2. Bilgi güvenliği konularını ele alma konusunda uzmanlaşmış önemli sayıda firma.

3. Bu sorun hakkında oldukça iyi tanımlanmış bir görüş sistemi.

4. önemli varlığı pratik tecrübe ve diğeri.

Bununla birlikte, yerli ve yabancı basının kanıtladığı gibi, bilgi üzerindeki kötü niyetli eylemler sadece azalmakla kalmaz, aynı zamanda sürekli bir yükseliş eğilimi gösterir.

Deneyimler, bu eğilimle mücadele etmek için bilgi kaynaklarını koruma sürecinin düzenli ve amaçlı bir organizasyonunun gerekli olduğunu göstermektedir.

Ayrıca, aşağıdakiler buna aktif olarak katılmalıdır:

· profesyonel uzmanlar;

· Yönetim;

· çalışanlar;

· Kullanıcılar.

Bunu takip eder:

1. Bilgi güvenliğinin sağlanması tek seferlik bir işlem olamaz. Bu, koruma sistemini iyileştirme ve geliştirmenin en rasyonel yöntemlerinin, yöntemlerinin ve yollarının doğrulanması ve uygulanmasından, durumunun sürekli izlenmesinden, dar ve zayıf noktalar ve yasa dışı eylemler.

2. Bilgi güvenliği, yalnızca üretim sisteminin tüm yapısal elemanlarında ve teknolojik bilgi işleme döngüsünün tüm aşamalarında mevcut koruma araçlarının tüm cephaneliğinin entegre kullanımı ile sağlanabilir. En büyük etki, kullanılan tüm araçlar, yöntemler ve önlemler tek bir bütünsel mekanizmada birleştirildiğinde elde edilir - bilgi güvenlik sistemi. Aynı zamanda sistemin işleyişi izlenmeli, güncellenmeli ve dış ve iç koşullardaki değişikliklere bağlı olarak takviye edilmelidir.

3. Hiçbir bilgi güvenliği sistemi, kullanıcıların uygun eğitimi ve tüm kurallara uyması olmadan gerekli düzeyde bilgi güvenliği sağlayamaz. yerleşik haklar silt onu korumayı amaçlıyordu.

Birikmiş deneyimler dikkate alındığında, bir bilgi koruma sistemini, iç ve dış tehditlere karşı koruma sağlayan organize bir dizi özel organ, araç, yöntem ve önlem olarak tanımlamak mümkündür.

Bu nedenle, güvenlik sistemi altında, bireyin, işletmenin ve devletin hayati çıkarlarının iç ve dış tehditlerden korunmasını sağlayan organize bir dizi özel organ, hizmet, araç, yöntem ve önlemi kastediyoruz.

Her sistem gibi, sistem bilgi Güvenliği koşullara bağlı olarak, yer ve zamanda koordine edilen kendi amaçları, amaçları, yöntemleri ve faaliyet araçları vardır.

Bilgi korumasına sistematik bir yaklaşım açısından, belirli gereklilikler uygulanır. Bilgi koruması şöyle olmalıdır:

1. Sürekli. Bu gereklilik, saldırganların yalnızca ilgilendikleri bilgilerin korumasını atlamak için bir fırsat aramalarından kaynaklanmaktadır.

2. Planlandı. Planlama, işletmenin (kuruluşun) genel amacını dikkate alarak, kendi yeterlilik alanındaki bilgilerin korunması için her hizmet tarafından ayrıntılı planlar geliştirilerek gerçekleştirilir.

3. Odaklanmış. Korunan, her şey değil, belirli bir hedefin çıkarları için korunması gereken şeydir.

4. Makul.Çözülmesi gereken görevlerin karmaşıklığı, büyük miktarda iş ve sınırlı kaynaklar, bilgiyi korumak için alınan kararların derin bir bilimsel doğrulamasını gerekli kılmaktadır. Koruma ihtiyacını haklı çıkarırken, sorunların çözümünde ileri bilimsel ve teknik fikirleri ve başarıları ortaya koyarak, devletin dış politikasından, savunmasından ve ekonomik çıkarlarından hareket etmek gerekir.

5. Yeterli. Gereksiz maliyetlerden kaçınarak güvenilir koruma önlemleri arama ihtiyacı anlamına gelir. En gelişmiş yöntemler ve koruma araçları kullanılarak sağlanır. Devletin ve bireysel kuruluşların (işletmelerin), vatandaşların çıkar dengesini teşvik eder.

6. Yönetimde esnek.Çok sayıda korunan nesne ve bilgi, istihbarat ortamında olası bir keskin değişiklik, koruma koşulları ve korunan bilgilerin önemi göz önüne alındığında, tehditleri tahmin etme ve bunların proaktif olarak etkisiz hale getirilmesi, hızlı ve hızlı bir şekilde etkisiz hale getirilmesini sağlayan esnek bir yapıya ihtiyaç vardır. tehdidin sonuçlarının etkili bir şekilde ortadan kaldırılması. Esas olarak, koruma araçlarının ve sistemlerinin yüksek derecede otomasyonu ve yüksek hızlı geri bildirimin varlığı ile sağlanır.

7. Spesifik . Belirli veriler korumaya tabidir, nesnel olarak korumaya tabidir ve bunların kaybı kuruluşa belirli zararlar verebilir.

8. Aktif . Bilgileri yeterli derecede ısrarla korumak gerekir

9. Güvenilir. Koruma yöntemleri ve biçimleri güvenilir bir şekilde şunları kapsamalıdır: olası yollar sunum biçimleri, ifade dili ve sabitlendikleri fiziksel ortamın türü ne olursa olsun, korunan sırlara yasadışı erişim.

10. Zamanında. Zamanındalık, ihtiyacın başlangıcından önce, önceden belirlenir. gizli işler, koruma ve kontrol önlemlerinin geliştirilmesi. Koruma önlemlerinin zamansız uygulanması, yalnızca etkinliğini azaltmakla kalmaz, aynı zamanda tam tersi sonuçlara da yol açar.

11. Evrensel. Sızan kanalın türüne veya yetkisiz erişim yöntemine bağlı olarak, bilginin niteliği, şekli ve türü ne olursa olsun, göründüğü her yerde makul ve yeterli yollarla engellenmesi gerektiğine inanılmaktadır.

12. Birleşik. Bilgileri tüm çeşitliliğiyle korumak yapısal elemanlar tüm koruma türleri ve biçimleri eksiksiz olarak uygulanmalıdır. Yalnızca belirli biçimlerin veya teknik araçların kullanılması kabul edilemez. Korumanın karmaşık doğası, korumanın belirli bir olgu olması gerçeğinden kaynaklanmaktadır. Kompleks sistem ayrılmaz bir şekilde birbirine bağlı ve birbirine bağımlı süreçler, her biri sırayla birçok farklı karşılıklı koşullayıcı taraf, özellik, eğilime sahiptir.

Yurt dışı ve yurt içi deneyimler, bu tür çok yönlü güvenlik gereksinimlerinin yerine getirilmesini sağlamak için bilgi koruma sisteminin belirli koşulları karşılayın:

1. Bilgi faaliyetlerinin tüm teknolojik kompleksini kapsar.

2. Kullanılan araçlar açısından çeşitlilik, hiyerarşik bir erişim dizisi ile çok düzeyli olun.

3. Bilgi güvenliği önlemlerinde değişiklik ve eklemelere açık olun.

4. Standart dışı ve çeşitli olun. Koruma araçlarını seçerken, davetsiz misafirlerin yetenekleriyle ilgili cehaletine güvenemezsiniz.

5. Basit olun Bakım onarım ve kullanıcı dostu.

6. Güvenilir olun. Teknik araçların herhangi bir arızası, kontrolsüz bilgi sızıntısı kanallarının ortaya çıkmasının nedenidir.

7. Kapsamlı olmak, bütünlüğe sahip olmak, yani sistemin tamamına halel getirmeksizin hiçbir parçasının çıkarılamayacağı.

Bilgi güvenliği sistemine de bazı gereklilikler getirilmektedir. :

· Kullanıcıların belirli bilgi türlerine erişim yetki ve haklarının tanımının netliği;

· Kullanıcıya, kendisine verilen işi yapması için gereken minimum yetkiyi vermek;

· Birkaç kullanıcı için ortak koruma araçlarının sayısının en aza indirilmesi;

· Gizli bilgilere yetkisiz erişim vakalarının ve girişimlerinin kaydı;

· Gizli bilgilerin derecesinin bir değerlendirmesini sağlamak;

· Koruyucu ekipmanın bütünlüğü üzerinde kontrolün sağlanması ve arızalarına anında müdahale edilmesi.

Devlet bilgilerinin (verilerinin) güvenliği için gereklilik seviyelerine göre sınıflandırılmasına yönelik tarihsel olarak oluşturulmuş yaklaşım, yalnızca bir bilgi özelliğinin - gizliliğinin (gizlilik) dikkate alınmasına ve sağlanmasına dayanır. Bilginin bütünlüğünü ve kullanılabilirliğini sağlama gereksinimleri, kural olarak, bu verilerin işlenmesi için sistemler için genel gereksinimler arasında yalnızca dolaylı olarak ortaya çıkar. Sadece dar bir güvenilir kişiler çevresinin bilgiye erişimi olduğu için, bilginin bozulma (yetkisiz imha) olasılığının ihmal edilebilir olduğuna inanılmaktadır. Düşük seviye AS'ye duyulan güven ve kağıt tabanlı bilgi teknolojisinin tercih edilmesi, bu yaklaşımın sınırlarını daha da artırmaktadır.

Böyle bir yaklaşım, önemli devlet bilgilerinin güvenlik özelliklerinin mevcut önceliği nedeniyle bir dereceye kadar haklı çıkarsa, bu, başka bir konu alanına (diğer konular ve çıkarlarıyla birlikte) mekanik aktarımının başarılı olacağı anlamına gelmez.

Birçok faaliyet alanında (konu alanları), pay kesin bilgi nispeten küçük. Ticari ve kişisel bilgiler ile sınıflandırmaya tabi olmayan devlet bilgileri için bilgi güvenliği özelliklerinin önceliği farklı olabilir. İçin açık bilgi ifşa edilmesinden kaynaklanan zararın önemsiz olduğu durumlarda, en önemli nitelikler erişilebilirlik, bütünlük veya yasa dışı çoğaltmaya karşı koruma olabilir. Örneğin, ödeme (finansal) belgeleri için en önemlisi, bütünlüklerinin (güvenilirlik, bozulmamış) özelliğidir. Ardından, önem sırasına göre uygunluk özelliği gelir (ödeme belgesinin kaybı veya ödemelerdeki gecikme çok pahalı olabilir). Bireysel ödeme belgelerinin gizliliğini sağlamak için hiçbir gereklilik olmayabilir.

Bu tür bilgilerin korunması sorunlarının çözümüne geleneksel gizliliğin sağlanması açısından yaklaşma girişimleri ancak başarısız olur. Kanaatimizce bunun temel nedenleri, bilgi koruma konusundaki mevcut yaklaşımın darlığı, gizli olmayan bilginin bütünlüğünün ve erişilebilirliğinin sağlanması açısından deneyim eksikliği ve uygun detaylandırmadır.

Bilgiyi güvenliği için gereklilik seviyelerine göre sınıflandırmak için bir sistemin geliştirilmesi, bilgi güvenliğinin özelliklerinin her birini sağlamak için bir dizi gereklilik derecesinin (derecelendirmesinin) getirilmesini içerir: kullanılabilirlik, bütünlük, gizlilik ve tekrardan koruma. Güvenlik gereksinimlerinin derecelendirilmesine bir örnek:

· Gereklilik yok;

· Düşük;

· Orta;

· Yüksek;

· çok yüksek.

Ayrık derecelerin sayısı ve bunlara atfedilen anlam farklılık gösterebilir. Ana şey, çeşitli bilgi özelliklerinin güvenlik gereksinimlerinin ayrı ayrı ve daha spesifik olarak belirtilmesidir (bilgi güvenliği özelliklerinin her birinin ihlali nedeniyle bilgi ilişkileri konularına olası zararın ciddiyetine bağlı olarak).

Gelecekte, bulunduğu ortamın türünden bağımsız olarak, belirli bilgileri içeren işlevsel olarak eksiksiz herhangi bir ayrı belge (bazı karakter kümesi) olarak adlandırılacaktır. bilgi paketi.

Bazı özelliklerde (yapı, işleme teknolojisi, bilgi türü, vb.) benzer olan paketler (standart belgeler) olarak bir tür bilgi paketine atıfta bulunacağız.

Görev, AU'da dolaşan çeşitli bilgi paketi türlerinin her bir özelliği için güvenlik gereksinimlerinin sağlanmasında deneklerin gerçek ilgi düzeylerini (yüksek, orta, düşük, yok) belirlemektir.

NPP koruma sisteminin bir bütün olarak gereksinimleri (koruma yöntemleri ve araçları), NPP'de işlenen çeşitli bilgi paketlerinin güvenlik gereksinimlerine dayalı olarak ve bunların işlenmesi ve iletimi için belirli teknolojilerin özellikleri dikkate alınarak belirlenmelidir. (güvenlik açığı).

Eşit önceliklere ve güvenlik gereksinimleri seviyelerine sahip bilgi paketi türleri (güvenlik özelliklerinin sağlanmasının önem derecesi: kullanılabilirlik, bütünlük ve gizlilik) tek bir kategoride birleştirilir.

Sistemde dolaşan bilgilerin güvenliği için gereksinimlerin belirlenmesi için önerilen prosedür aşağıda sunulmuştur:

1. Sistemde dolaşan bilgi paketi türlerinin (belgeler, tablolar) genel bir listesi derlenir. Bunun için sistemin konu alanı dikkate alınarak bilgi paketleri konusuna, işlevsel amacına, işleme teknolojisinin benzerliğine vb. göre türlere ayrılır. özellikli.

2. Sonraki aşamalarda, bilgilerin (verilerin) paket türlerine ilk bölünmesi, güvenlik gereksinimleri dikkate alınarak iyileştirilebilir.

Daha sonra, ilk paragrafta vurgulanan her paket türü için ve bilginin her kritik özelliği (kullanılabilirlik, bütünlük, gizlilik) belirlenir (örneğin, uzman değerlendirmesi yöntemiyle):

· Bu bilgi özelliğinin ihlalinden çıkarları etkilenen konuların listesi ve önemi (ayrı bir ölçekte önemi);

· Onlara verilen hasarın seviyesi (önemsiz, küçük, orta, büyük, çok büyük, vb.) ve ilgili güvenlik gereksinimleri seviyesi.

Neden olunan hasarın seviyesini belirlerken, aşağıdakileri dikkate almak gerekir:

· Bir rakip tarafından bilgi edinmede olası kayıpların maliyeti;

· Kaybolması durumunda bilgilerin geri yüklenmesinin maliyeti;

· Nükleer santralin normal işleyişini geri getirme maliyetleri vb.

Bir tür paketin farklı bilgi parçaları için büyük tahmin dağılımı nedeniyle zorluklar ortaya çıkarsa, bilgilerin paket türlerine bölünmesi yeniden gözden geçirilmeli ve geri dönülmelidir. önceki paragraf teknikler.

3. Her bir bilgi paketi türü için, konuların önemi ve bunlara verilen zararın seviyeleri dikkate alınarak, bilgilerin her biri için gerekli güvenlik derecesi belirlenir (konuların önemi eşitse). , seviyenin maksimum değeri seçilir).

Belirli bir tür bilgi paketi için güvenlik gereksinimlerinin değerlendirilmesine ilişkin bir örnek Tablo 1'de verilmiştir.

tablo 1

Bilgi paketleri için güvenlik gereksinimlerinin değerlendirilmesi

konular	Bilgi özelliklerine göre hasar seviyesi
	Gizlilik	Bütünlük	kullanılabilirlik	çoğaltma koruması
1	Numara	Ortalama	Ortalama	Numara
N2	Yüksek	Ortalama	Ortalama	Numara
N3	Düşük	Düşük	Düşük	Numara
Sonuçta	Yüksek	Ortalama	Ortalama	Numara

Herhangi bir sistem gibi bir bilgi koruma sistemi, hedef işlevini yerine getireceğine bağlı olarak belirli türde kendi desteğine sahip olmalıdır.

Bunu akılda tutarak, bilgi koruma sistemi şunları içerebilir:

1. Yasal destek. Kapsamları dahilinde gereklilikleri zorunlu olan yönetmelik, yönetmelik, talimat, yönergeler buna dahildir.

2. Kurumsal destek. Bu, bilgi güvenliğinin uygulanmasının aşağıdakiler gibi belirli yapısal birimler tarafından gerçekleştirildiği anlamına gelir: belge güvenlik hizmeti; rejimin hizmeti, kabul, koruma; teknik yollarla bilgi güvenliği hizmeti; bilgi ve analitik faaliyetler ve diğerleri.

3. Donanım. Sözde geniş kullanım hem bilgiyi korumak hem de bilgi güvenliği sisteminin kendisinin çalışmasını sağlamak için teknik araçlar.

4. Bilgi Desteği. Sistemin işleyişini sağlayan sorunların çözümünün altında yatan bilgileri, verileri, göstergeleri, parametreleri içerir. Bu, erişim, muhasebe, depolama ve sistem göstergelerini içerebilir. bilgi desteği güvenlik hizmetinin faaliyetleri ile ilgili farklı nitelikteki hesaplama görevleri.

5. Yazılım. Varlığın ve tehlikenin değerlendirilmesini sağlayan çeşitli bilgi, muhasebe, istatistik ve hesaplama programlarını içerir. farklı kanallar sızıntılar ve gizli bilgi kaynaklarına yetkisiz giriş yolları.

6. Matematiksel yazılım. kullanıldığını varsayar matematiksel yöntemler davetsiz misafirler, bölgeler ve gerekli koruma standartlarının teknik araçlarının tehlikesinin değerlendirilmesi ile ilgili çeşitli hesaplamalar için.

7. Dil desteği. Bir dizi özel dilsel araçlar bilgi güvenliği alanında uzmanların ve kullanıcıların iletişimi.

8. Düzenleyici ve metodolojik destek. Bu, kuruluşların, hizmetlerin faaliyetlerinin normlarını ve düzenlemelerini, bilgi koruma işlevlerini uygulayan araçları, bilgilerin korunması için katı gereksinimler koşullarında çalışmalarını yaparken kullanıcıların faaliyetlerini sağlayan çeşitli teknikleri içerir.

Modern bilgi güvenliği sistemleri için gereksinimler, yerel bilgi güvenliği standartları ve yönergelerinden (RD) alınan materyallere dayanmaktadır. teknik koruma Rusya Devlet Teknik Komisyonu'nun (SCC) bilgileri.

Çeşitli düzeylerde ve amaçlarla otomatik sistemlerde işlenen bilgileri korumaya yönelik sistem (alt sistem), otomatik işleme, depolama ve iletişim yoluyla iletimi sırasında bilgileri korumak için bir dizi organizasyonel, yazılım, teknik ve gerekirse kriptografik araçlar ve önlemler sağlamalıdır. kanallar.

Bilgi korumanın ana alanları şunlardır:

• bilgilerin hırsızlık, kayıp, sızıntı, imha, bozulma ve sonuç olarak sahteciliğe karşı korunmasının sağlanması Yetkisiz Erişim(NSD) ve özel etkiler;
• bilgilerin işlenmesi, saklanması ve iletişim kanalları aracılığıyla iletilmesi sırasında teknik kanallardan sızıntıdan korunmasını sağlamak.

Bilgilerin korunmasına yönelik ana önlemler olarak aşağıdakiler önerilir:

• bu bilgilerin departman ve sektör özelliklerini dikkate alarak gizli bilgilerin listesini belgelemek;
• icracıların (kullanıcılar, hizmet personeli) bilgi, çalışma ve kullanımıyla ilgili belgelere erişimi için izin verilen bir sistemin uygulanması;
• personelin ve yetkisiz kişilerin bilgi ve iletişim araçlarının bulunduğu ve bilgi taşıyıcılarının saklandığı korunan bina ve tesislere erişiminin kısıtlanması;
• kullanıcıların ve hizmet personelinin bilgi kaynaklarına erişiminin farklılaşması, bilgilerin işlenmesi (iletim) ve korunması için yazılım;
• kullanıcı eylemlerinin kaydı otomatik sistem(AS) ve servis personeli, yetkisiz servis ve kullanıcıların, servis personelinin ve yetkisiz kişilerin eylemleri üzerinde kontrol;
• muhasebe ve güvenli depolama kağıt ve makine veri taşıyıcıları, anahtarlar (anahtar belgeler) ve bunların çalınması, değiştirilmesi ve imha edilmesi hariç dolaşımları;
• kullanım özel koruyucu işaretler(SPZ), koruma nesnelerine erişimi kontrol etmek ve belgeleri sahteciliğe karşı korumak için fiziksel ve kimyasal teknolojiler temelinde oluşturulan;
• teknik araçların gerekli rezervasyonu ve dizilerin ve bilgi taşıyıcılarının çoğaltılması;
• bilgilerin işlenmesi, aktarılması ve saklanması için korumalı bir tasarım teknik araçlarında seri olarak üretilmiş sertifikalı kullanımı;
• elektromanyetik uyumluluk standartlarının gerekliliklerini karşılayan teknik araçların kullanımı;
• sertifikalı bilgi güvenliği araçlarının kullanımı;
• koruma nesnelerinin sınıra göre mümkün olan maksimum mesafeye yerleştirilmesi kontrollü alan(KZ);
• güç kaynağının düşürücü transformatör trafo merkezlerinin ve kısa devre içindeki korunan nesnelerin toprak döngülerinin yerleştirilmesi;
• bilgi sinyalini engelleyen (bastıran) koruyucu filtreler kullanarak koruma nesnelerinin güç kaynağı devrelerinin ayrılması;

Başvuru. Modern koruma sistemleri için gereklilikler 399

• iletişim hatları ve diğer devreler arasındaki elektromanyetik izolasyon yardımcı teknik araçlar ve sistemler(VTSS), kısa devrenin ötesine geçen ve korunan bilginin dolaştığı bilgi devreleri;
• güvenli iletişim kanallarının kullanımı ve kriptografik bilgi koruma araçları(SZI);
• bilgilerin yetkisiz olarak görüntülenmesi hariç olmak üzere, ekranların ve diğer bilgi görüntüleme araçlarının yerleştirilmesi;
• Güvenlik güçleri ve yetkisiz kişilerin binaya girmesini önleyen veya önemli ölçüde engelleyen teknik araçlar, belgelerin ve belgelerin çalınmasını önleyen veya önemli ölçüde engelleyen teknik araçların yardımıyla binaların fiziksel korumasının ve fiili teknik araçların organizasyonu. bilgi taşıyıcıları kontrollü bölge içinde teknik keşif veya endüstriyel casusluk araçlarının varlığı hariç, bilgi edinme araçlarının kendileri;
• bilgisayar teknolojisi ve iletişim tarafından işlenen ve iletilen bilgilerin kriptografik dönüşümü;
• AS'ye virüs programlarının ve yazılım yer imlerinin girmesini önleme.

AU'da işlenen bilgilerin korunmasına yönelik farklı düzeylerde ve amaçlarla farklı bir yaklaşım amacıyla, AU sınıflandırması gerçekleştirilir. NPP sınıflandırması, Rusya RD Devlet Gümrük Komitesi “Otomatik sistemler” gereksinimleri temelinde gerçekleştirilir. Bilgiye yetkisiz erişime karşı koruma. Otomatik Sistemlerin Sınıflandırılması ve Bilgi Koruma Gereksinimleri ".

Bilgilerin korunması için özel gereksinimler ve bunların uygulanması için önlemler, AU için oluşturulan güvenlik sınıfına bağlı olarak belirlenir. AU, SPZ'nin önerilen güvenlik sınıfları, bildirilmemiş yeteneklerin yokluğunun kontrol düzeyine göre bilgi güvenliği araçları ve ayrıca SVT ve ME'nin NSD'den bilgilere güvenlik sınıfları için göstergeler tabloda verilmiştir.

Gizli bilgilerin otomatik olarak işlenmesine kabul edilen kişiler, bu bilgilerin korunmasını sağlamak için kurumda (işletmede) oluşturulan prosedürü izlemekle yükümlüdür.

Bilgileri kurcalamaya karşı güvenlik sınıfları

yönetim belge

Güvenlik sınıfları

otomatik

1. grup

Para kaynağı bilgi işlem

3. grup

güvenlik duvarları

Özel koruyucu işaretler

Açıklanmayan fırsatlar

Modern bilgi güvenliği sistemleri için özel gereksinimler, Rusya Devlet Teknik Komisyonu'nun aşağıdaki kılavuz belgelerinde ve Rusya Federasyonu devlet standartlarında verilmiştir:

• 1. Otomatik sistemler. Bilgileri kurcalamaya karşı koruma. AU'nun sınıflandırılması ve bilgi koruması gereksinimleri. Rusya RD Devlet Gümrük Komitesi. M., 1992.
• 2. Bilgisayar tesisleri. Bilgileri kurcalamaya karşı koruma. NSD'den bilgiye güvenlik göstergeleri. Rusya RD Devlet Gümrük Komitesi. M., 1992.
• 3. Bilgisayar tesisleri. BEN Mİ. Bilgileri kurcalamaya karşı koruma. NSD'den bilgiye güvenlik göstergeleri. Rusya RD Devlet Gümrük Komitesi. M., 1997.
• 4. Bilginin korunması. Özel koruyucu işaretler. sınıflandırma ve Genel Gereksinimler... Rusya RD Devlet Gümrük Komitesi. M., 1992.
• 5. Bilgileri kurcalamaya karşı koruma. Bölüm 1. Bilgi güvenliği için yazılım. Beyan edilmemiş fırsatların yokluğunun kontrol düzeyine göre sınıflandırma. Rusya RD Devlet Gümrük Komitesi. M., 1999.
• 6. Gizli bilgilerin teknik olarak korunması için özel gereksinimler ve tavsiyeler (STR-K). Rusya RD Devlet Gümrük Komitesi. M., 2001.
• 7. GOST R 50739-95. Bilgisayar tesisleri. Bilgiye yetkisiz erişime karşı koruma. Genel teknik gereksinimler.
• 8.GOST R 51583-2000. Bilginin korunması. Korumalı bir tasarımda sistemler oluşturma prosedürü.

"GİZLİ BİLGİLERİN TEKNİK KORUNMASI İÇİN ÖZEL GEREKLİLİKLER VE TAVSİYELER (STR-K) Moskova 2001 İÇİNDEKİLER 2. GENEL HÜKÜMLER 3. ..."

-- [ Sayfa 1 ] --

RUSYA FEDERASYONU BAŞKANLIĞINDA DEVLET TEKNİK KOMİSYONU

Rusya Devlet Teknik Komisyonu Kurulu Kararı No. 7.2 / 02.03.01.

282 sayılı Rusya Devlet Teknik Komisyonu Başkanı'nın emriyle 30.08.2002 tarihinde onaylanmıştır.

KESİN BİLGİ

Moskova 2001

1. TERİMLER, TANIMLAR VE KISALTMALAR

2. GENEL HÜKÜMLER

4.1. Genel Hükümler

4.3. Ses güçlendirme sistemlerinde dolaşan bilgilerin ve filmlerin film müziğinin korunması

4.4. Ses kaydı sırasında bilgi koruması.

4.5. İletişim kanalları üzerinden iletimi sırasında konuşma bilgilerinin korunması

5. ARAÇLARLA İŞLENEN BİLGİLERİN KORUNMASI İÇİN GEREKLİLİKLER VE TAVSİYELER

BİLGİSAYAR TEKNOLOJİSİ

5.4. NPP işletimi sırasında gizli bilgilerin korunmasını sağlama prosedürü

5.5. Otonom PC'lere dayalı otomatik iş istasyonlarında gizli bilgilerin korunması

5.6. Kullanım sırasında bilgi koruması çıkarılabilir depolama otonom bilgisayarlara dayalı otomatik iş istasyonları için büyük kapasite

5.7. Yerel alan ağlarında bilgi koruması

5.8. Ara bağlantı sırasında bilgi koruması

5.9. Veritabanı yönetim sistemleriyle çalışırken bilgi koruması

6. ABONELERLE ETKİLEŞİMDE DEVLET DIŞI BİLGİ KAYNAKLARINDAKİ BİLGİLERİN KORUNMASI İÇİN TAVSİYELER

KAMU BİLGİ AĞLARI

6.1. Genel Hükümler

6.2. Aboneleri Ağa bağlama koşulları

6.3. Abone noktalarının Ağ ile bağlanması ve etkileşimi için prosedür, bilgi güvenliğini sağlamak için gereksinimler ve öneriler

7. EKLER:

1. Otomatik bilgi işleme sisteminin sınıflandırılması eylemi

2. Otomatikleştirilmiş sistemin bilgi güvenliği gereksinimlerine uygunluk belgesi

3. Korunan tesislerin bilgi güvenliği gerekliliklerine uygunluk belgesi

4. Korunan tesisler için teknik pasaport formu

5. Otomatik sistem için teknik pasaport formu

6. Gizli bilgi listesinin belgelenmesine bir örnek

7. Bilgiye yetkisiz erişime karşı güvenlik sınıfları

8. Gizli bilgilerin korunması için temel düzenleyici yasal düzenlemeler ve metodolojik belgeler

1. TERİMLER, TANIMLAR VE KISALTMALAR

Bu belgede aşağıdaki temel terimler, tanımlar ve kısaltmalar benimsenmiştir:

1.1. Ağ Abonesi (ayrıca madde 1.14'e bakınız) - uygun şekilde verilmiş bir izne sahip bir kurumun (işletmenin) çalışanı olan ve Tekniksel kabiliyetler Ağlara bağlanmak ve etkileşim kurmak için.

1.2. Abone noktası (AP) - iletişim ekipmanı kullanarak Ağlara bağlı bir kurumun (kuruluşun) bilgisayar tesisleri.

AP, modemli otonom kişisel elektronik bilgisayarlar (PC) şeklinde olabilir ve işletmenin diğer bilgisayar ekipmanı (SVT) ile fiziksel iletişim kanallarına sahip olmayabilir ve ayrıca bir veya daha fazla entegre yerel alan ağı (LAN) şeklinde olabilir. ) aracılığıyla Ağlara bağlı iş istasyonları ve sunucular ile iletişim aracı(modemler, köprüler, ağ geçitleri, yönlendiriciler, çoklayıcılar, iletişim sunucuları vb.).

1.3. Otomatik sistem (AS), yerleşik işlevleri yerine getirmek için bilgi teknolojisini uygulayan, personel ve faaliyetlerini otomatikleştirmek için bir dizi araçtan oluşan bir sistemdir.

1.4. AS Yönetici - kurulan normal çalışma modunda otomatik sistemin işleyişinden sorumlu kişi.

1.5. Bilgi güvenliği (güvenlik) yöneticisi - otomatik sistemi bilgilere yetkisiz erişimden korumaktan sorumlu kişi.

1.6. Bilgi güvenliği - personelin yeteneği, teknik araçlar ve Bilişim Teknolojileri teknik yollarla işlenmesi sırasında bilgilerin gizliliğini (yani onu tanıma yetkisine sahip olmayan konulardan sır saklama), bütünlüğünü ve kullanılabilirliğini sağlamak.

1.7. Yardımcı teknik araçlar ve sistemler (VTSS) - gizli bilgilerin iletilmesi, işlenmesi ve depolanması için amaçlanmayan, ana teknik araçlar ve sistemlerle birlikte veya korunan tesislerde kurulan teknik araçlar ve sistemler.

Bunlar şunları içerir:

çeşitli telefon tesisleri ve sistemleri;

bir radyo iletişim sisteminde veri iletimi için araçlar ve sistemler;

güvenlik ve yangın alarmı ekipman ve sistemleri;

uyarı ve sinyalizasyon araçları ve sistemleri;

kontrol ve ölçüm ekipmanı;

klima araçları ve sistemleri;

kablolu bir radyo yayın ağının araç ve sistemleri ve radyo yayını ve televizyon programlarının alınması (abone hoparlörleri, radyo yayın sistemleri, televizyonlar ve radyo alıcıları, vb.);

elektronik ofis ekipmanları;

elektrikli saat araçları ve sistemleri;

diğer teknik araçlar ve sistemler.

1.8. Bilgiye erişim (erişim) - bilgiye aşinalık, işlenmesi, özellikle bilgilerin kopyalanması, değiştirilmesi veya imha edilmesi.

1.9. Bilginin mevcudiyeti (yetkili erişilebilirlik) - teknik araçların ve bilgi teknolojilerinin, bunu yapma yetkisine sahip öznelerin bilgilerine engelsiz erişim sağlama yeteneği ile karakterize edilen bilgi durumu.

1.10. Bilginin yetkisiz erişimden korunması (kurcalamaya karşı koruma) veya açığa çıkma - ilgili bir özne tarafından bilgilerin alınmasını (veya bilgi üzerindeki etkisi) yerleşik hakları veya kuralları ihlal ederek önlemeyi amaçlayan faaliyetler.

1.11. Özel koruyucu işaret (SPZ) - sertifikalı ve tescilli yerleşik düzen SPZ'nin orijinalliğini ve bütünlüğünü belirleyerek, işaretin kendisini veya "SPZ - substrat" ​​bileşimini uygunluk kriterlerine göre karşılaştırarak korunan nesnelere yetkisiz erişimi kontrol etmek için tasarlanmış bir ürün karakteristik özellikler görsel, enstrümantal ve diğer yöntemler.

1.12. Korunan tesisler (ZP) - özel olarak gizli etkinlikler (toplantılar, tartışmalar, konferanslar, müzakereler, vb.) için tasarlanmış tesisler (ofisler, toplantı odaları, konferans salonları vb.).

1.13. Bilgilendirici sinyal - elektrik sinyalleri, akustik, elektromanyetik ve diğer fiziksel alanlar, gizli bilgilerin ana teknik araçlarda ve sistemlerde iletildiği, saklandığı veya işlendiği ve RFP'de tartışıldığı parametrelere göre açıklanabilir.

1.14. Bilgi kaynakları - bilgi sistemlerindeki (kütüphaneler, arşivler, fonlar, veri bankaları, diğer bilgi sistemleri) bireysel belgeler ve ayrı belge dizileri, belgeler ve belge dizileri.

1.15. Kamu bilgi ağları (bundan böyle Ağlar olarak anılacaktır), tüm fiziksel ve tüzel kişiler, hizmetlerinde bu kişilerin reddedilemeyeceği.

1.16. Kontrollü bölge (CZ), sürekli veya bir kerelik erişime sahip olmayan kişilerin ve yetkisiz araçların kontrolsüz kalışlarının hariç tutulduğu bir alandır (bölge, bina, binanın bir parçası).

Kısa devrenin sınırı şunlar olabilir:

kurumun (işletmenin) korunan alanının çevresi;

Korunmayan bir alanda bulunuyorsa, korunan bir binanın veya bir binanın korunan bir bölümünün kapalı yapıları.

Bazı durumlarda, gizli bilgilerin teknik yollarla işlenmesi süresince, kısa devre, işletmenin korunan alanından daha büyük geçici olarak kurulabilir. Aynı zamanda, örgütsel-rejim ve teknik önlemler bu alandaki bilgileri ele geçirme olasılığını dışlayan veya önemli ölçüde karmaşıklaştıran.

1.17. Gizli bilgiler - erişimi Rusya Federasyonu mevzuatına göre sınırlı olan belgelenmiş bilgiler.

1.18. Yerel bilgisayar ağı- sınırlı bir alanda bir veya daha fazla yüksek hızlı iletim kanalını destekleyen bir bilgisayar ağı dijital bilgi kısa süreli özel kullanım için bağlı cihazlara sağlanır.

1.19. Güvenlik Duvarı (FW), AS'ye giren ve/veya AS'den çıkan bilgileri izleyen yerel (tek bileşenli) veya işlevsel olarak dağıtılmış bir yazılım (donanım ve yazılım) aracıdır (karmaşık).

1.20. Yetkisiz erişim (yetkisiz eylemler) (yetkisiz eylemler) - bilgisayar teknolojisi veya otomatik sistemler tarafından sağlanan standart araçları kullanarak farklı erişim kurallarını ihlal eden bilgilere veya bilgilere sahip eylemlere erişim.

1.21. Temel teknik araçlar ve sistemler (OTSS) - gizli bilgilerin işlenmesi, depolanması ve iletilmesi için kullanılan teknik araçlar ve sistemler ile bunların iletişimleri. Bu belge bağlamında, bunlar, bilgisayar teknolojisine dayalı çeşitli düzey ve amaçlara sahip otomatik sistemlerin teknik araçlarını ve sistemlerini, iletişim araçlarını ve sistemlerini ve gizli bilgileri işlemek için kullanılan veri iletimini içerir.

1.22. Şebeke Sağlayıcı, bir abone istasyonu ve doğrudan Şebeke aboneleri için bir Şebeke servis sağlayıcısının işlevlerini yerine getiren yetkili bir kuruluştur.

1.23. Bilgiyi bilgiye yetkisiz erişimden koruma sistemi (SZI yetkisiz hizmet), otomatik bir sistemde bilgilere yetkisiz erişime (bununla yetkisiz eylemler) karşı bir organizasyonel önlemler ve yazılım ve donanım (gerekirse kriptografik) koruma araçları kompleksidir.

1.24. Servis bilgileri SZI NSD - bilgi tabanı AS, DSS NSD'nin çalışması için gerekli (AS'nin işletim personelinin yetki düzeyi, erişim matrisi, anahtarlar, şifreler vb.).

1.25. Teknik bilgi sızıntısı kanalı - teknik istihbarat nesnesinin bütünlüğü, fiziki çevre ve istihbarat üreten teknik istihbarat ekipmanları.

1.26. Ağ Hizmetleri - uygulama protokollerini (protokoller) kullanan ağ abonelerine sağlanan bir dizi işlevsel yetenek E-posta, FTP - Dosya Aktarım Protokolü - dosya alma / aktarma, HTTP Hiper Metin Aktarım Protokolü - Web sunucularına erişim, IRC - İnternet Aktarım Sohbeti - gerçek zamanlı diyalog, Telnet terminal erişimi ağda, WAIS - Geniş Alan Bilgi Sunucuları - ağdaki belgeleri depolamak ve aramak için bir sistem vb.).

1.27. Bilginin bütünlüğü - bilginin, teknik yollarla işlenmesi sırasında yetkisiz veya tesadüfi etkilere karşı kararlılığı, sonucu bilginin imhası ve çarpıtılması olabilir.

1.28. Web sunucusu - web'de herkese açık bilgi sunucusu hipermetin teknolojisini kullanır.

2. GENEL HÜKÜMLER

2.1. Bu belge, Rusya Federasyonu topraklarında gizli bilgilerin teknik olarak korunmasını sağlamak için çalışma, gereksinim ve tavsiyelerin düzenlenmesi prosedürünü belirler ve federal hükümet organları, Rusya'nın kurucu kuruluşlarının devlet organları için bu alandaki ana rehber belgedir. Federasyon ve yerel yönetim organları, işletmeleri, kurum ve kuruluşları (bundan böyle kurum ve kuruluşlar olarak anılacaktır), örgütsel ve yasal biçimlerine ve mülkiyet biçimlerine bakılmaksızın, Rusya Federasyonu'nun yükümlülükler üstlenen veya statü gereği yükümlü olan yetkilileri ve vatandaşları Rusya Federasyonu'nun bilgilerin korunmasına ilişkin yasal belgelerinin gerekliliklerine uymak.

gizli bilgi - gelen bilgi Sınırlı erişim devlet sırrı olarak sınıflandırılan bilgiler ve devlet (belediye) bilgi kaynaklarında yer alan, devlet (belediye) bütçesi pahasına biriken ve devletin malı olan kişisel veriler (oluşturan bilgiler) hariç. devlet sırrı ve Rusya Federasyonu mevzuatı uyarınca diğer sır türleri ile Rusya Federasyonu Cumhurbaşkanının 06.03.97 tarihli Kararı ile onaylanan "Gizli nitelikteki bilgi listesi" uyarınca gizli nitelikteki bilgiler No. 188), korunması devletin çıkarları doğrultusunda yürütülen (bundan sonra - resmi sırlar);

Bir vatandaşın kişiliğini (kişisel verileri) tanımlamayı mümkün kılan özel hayatının gerçekleri, olayları ve koşulları hakkında bilgi, bu tür bilgiler için bir koruma rejiminin oluşturulması, bilgi konusu hariç, bu belge tarafından yönlendirilmelidir. federal yasalarla belirlenen durumlarda medyada yaymak için.)

2.3. Devlet dışı bilgi kaynaklarında yer alan ve koruma şekli bu kaynakların sahibi tarafından belirlenen gizli bilgileri (örneğin ticari, bankacılık sırları vb.) (bundan sonra - ticari sırlar olarak anılacaktır) korumak için bu belge tavsiye niteliğindedir. doğada.

2.4. Belge temel alınarak geliştirildi Federal yasalar"Bilgi, bilgilendirme ve bilgilerin korunması hakkında", "Uluslararası bilgi alışverişine katılım hakkında", Rusya Federasyonu Cumhurbaşkanı'nın 06.03.97 tarihli Kararı. 188 "Gizli bilgi listesi", "Rusya Federasyonu bilgi güvenliği Doktrini", Rusya Federasyonu Başkanı tarafından 09.09.2000 tarihinde onaylanmıştır. No. Pr.-1895, "Federal yürütme organlarında sınırlı dağıtımın resmi bilgilerinin ele alınması prosedürüne ilişkin düzenlemeler", Rusya Federasyonu Hükümeti'nin 03.11.94 tarihli kararnamesi ile onaylanmıştır. No. 1233, bilgilerin korunmasına ilişkin diğer düzenleyici yasal düzenlemeler (Ek No. 8) ve ayrıca bakanlıklarda ve departmanlarda, kurumlarda ve işletmelerde bilgi koruma önlemlerinin uygulanmasında deneyim.

2.5. Belge, bilgi güvenliğinin aşağıdaki ana konularını tanımlar:

bilişim nesnelerinin ve bunların bilgi koruma sistemlerinin geliştirilmesi ve modernizasyonu dahil olmak üzere bilginin korunmasına ilişkin çalışmaların organizasyonu;

bilgilerin korunması için organizasyonel, idari, tasarım, operasyonel ve diğer belgelerin bileşimi ve ana içeriği;

bilişim nesnelerinin çalışması sırasında bilgilerin korunmasını sağlama prosedürü;

çeşitli bilgisayar teknolojisi ve bilgi teknolojisi kullanan otomatik sistemlerin geliştirilmesi ve işletilmesinde bilgi korumanın özellikleri;

abonelerin kamu bilgi ağlarıyla etkileşimi sırasında bilgilerin korunmasını sağlama prosedürü.

Bilgilerin kriptografik koruma araçlarının geliştirilmesi, üretilmesi, satışı ve kullanılmasına ilişkin prosedür, “Sınırlı olarak kriptografik koruma araçlarının geliştirilmesi, üretimi (imalat), satışı, satın alınması ve kullanılması prosedürüne ilişkin Yönetmelik” ile belirlenir. oluşturan bilgileri içermeyen erişim, devlet sırrı"(Yönetmelik PKZ-99) ve" FAPSI tarafından onaylanmış kriptografik araçlar kullanılarak Rusya Federasyonu'ndaki teknik iletişim kanalları aracılığıyla gizli bilgilerin depolanması, işlenmesi ve iletilmesinin organizasyonu ve güvenliği hakkında talimatlar ".

2.6. Teknik araçlar kullanılarak işlenen bilgilerin korunması, bilişim nesnelerinin oluşturulması ve işletilmesine ilişkin çalışmanın ayrılmaz bir parçasıdır. çeşitli amaçlar için ve bilgileri korumak için diğer önlemlerle birlikte bir bilgi koruma sistemi (alt sistem) şeklinde bu belge tarafından oluşturulan prosedüre uygun olarak gerçekleştirilmelidir.

2.7. Bilgi, hem konuşma hem de teknik yollarla korunmaya tabidir ve ayrıca bilgilendirici elektrik sinyalleri, fiziksel alanlar, kağıt üzerindeki ortamlar, manyetik, optik ve diğer temeller şeklinde, bilgi dizileri ve veri tabanları şeklinde sunulur. A.B.D.

Korunan bilgi nesneleri şunlardır:

bilişim araçları ve sistemleri (bilgisayar teknolojisi araçları, bilgi ve bilgi işlem kompleksleri, ağlar ve sistemler, iletişim ve veri iletimi araçları ve sistemleri, teknik alma, iletme ve işleme dahil olmak üzere bilgisayar teknolojisine dayalı çeşitli düzey ve amaçlardaki otomatik sistemler (telefon, ses kaydı, ses güçlendirme, ses üretimi, toplantı odaları ve televizyon cihazları, üretim araçları, belgelerin çoğaltılması ve konuşma, grafik, video ve alfanümerik bilgileri işlemek için diğer teknik araçlar), gizli bilgileri işlemek için kullanılan yazılımlar (işletim sistemleri, veri tabanı yönetim sistemleri, sistem genelindeki diğer ve uygulama yazılımları);

gizli bilgileri doğrudan işlemeyen, ancak işlendiği (dolaştırıldığı) tesislerde bulunan teknik araçlar ve sistemler;

korunan tesisler.

2.8. Bilginin korunması, yetkisiz erişim nedeniyle teknik kanallar aracılığıyla bilgi sızıntısını veya bilgi üzerindeki etkiyi önlemek, kasıtlı yazılım ve donanım eylemlerini önlemek için bir dizi önlemin gerçekleştirilmesi ve (gerekirse) bilgi güvenliği araçlarının kullanılmasıyla gerçekleştirilmelidir. işlenmesi, iletilmesi ve depolanması sırasında bütünlük (imha, bozulma ) bilgilerinin ihlali, kullanılabilirliğinin ihlali ve teknik araçların performansı.

2.9. Bilgilerin işlenmesi ve iletilmesi için müzakere edilirken ve teknik araçlar kullanılırken, aşağıdaki sızıntı kanalları ve bilgi güvenliğine yönelik tehdit kaynakları mümkündür:

bilgilendirici bir konuşma sinyalinin akustik radyasyonu;

Mikrofon etkisi nedeniyle bilgilendirici bir sinyali akustikten elektriğe dönüştürerek ve kısa devrenin ötesine geçen teller ve hatlar boyunca yayılarak ortaya çıkan elektrik sinyalleri;

korunan binaların bina yapılarına ve mühendislik iletişimlerine maruz kaldığında bilgilendirici bir akustik sinyalin dönüştürülmesinden kaynaklanan vibroakustik sinyaller;

Yetkisiz Erişim ve kamuya açık bilgi ağlarının kullanılması da dahil olmak üzere otomatik sistemlerdeki bilgilerle ilgili yetkisiz eylemler;

Bilginin gizliliğini, bütünlüğünü ve kullanılabilirliğini, teknik araçların işlerliğini, bilgi koruma araçlarını özel olarak uygulanarak ihlal etmek amacıyla bilgi sistemlerinin donanım veya yazılımları üzerindeki etkisi yazılım araçları;

gizli bilgileri işleyen teknik araçlardan ve bu bilgilerin iletim hatlarından bilgilendirici bir sinyalin yan elektromanyetik radyasyonu;

güç kaynağı devresi ve kısa devrenin ötesine geçen iletişim hatları üzerinde teknik yollarla işlenen bilgilendirici bir sinyalin indüksiyonu;

teknik araçlara ve korunan tesislere tanıtılan, bilgilendirici bir sinyalle modüle edilen konuşma bilgisi "sekmelerini" yakalamak için özel elektronik cihazlardan gelen radyo emisyonları veya elektrik sinyalleri;

iletişim kanallarına veya teknik bilgi işleme araçlarına bağlı bilgileri yakalamak için elektronik cihazlardan radyo emisyonu veya elektrik sinyalleri;

devam eden telefon ve radyo iletişiminin dinlenmesi;

optik araçlar da dahil olmak üzere, görüntüleme ekranlarından ve diğer görüntüleme araçlarından, kağıttan ve diğer ortamlardan bilgileri görüntüleme;

içlerinde veya bireysel bilgi taşıyıcılarında saklanan bilgilerle teknik araçların çalınması.

2.10. Bilginin ele geçirilmesi veya teknik araçlar kullanılarak bunun üzerindeki etkisi gerçekleştirilebilir:

yurt dışından, yakındaki bina ve araçlardan KZ;

diğer kurumlara (işletmelere) ait olan ve koruma nesnesi olarak aynı binada bulunan bitişik binalardan;

yetkisiz kişiler tarafından bir kurumu (işletmeyi) ziyaret ederken;

Hem AU teknik araçlarının yardımıyla hem de AU'da dolaşan bilgilere yetkisiz erişim (yetkisiz eylemler) nedeniyle bilgi ağları Genel kullanım.

2.11. Korunan nesnenin yanına yerleştirilmiş veya iletişim kanallarına veya teknik bilgi işleme araçlarına bağlı taşınabilir ve taşınabilir cihazlar ve ayrıca bilgileri ele geçirmek için elektronik cihazlar korunan binaların içine veya dışına yerleştirilen "yer imleri", bilgileri ele geçirmek veya etkilemek için ekipman olarak kullanılabilir ve teknik araçlar....

2.12. Bilgilerin teknik yollarla ele geçirilmesine ek olarak, korunan bilgilerin kendisine kabul edilmeyen ancak kısa devre içinde olan kişilere yanlışlıkla ulaşması mümkündür. Bu, örneğin aşağıdakilerden dolayı mümkündür:

korunan binaların kapalı yapılarının ve mühendislik sistemlerinin yetersiz ses yalıtımı nedeniyle gizli konuşmaların teknik araçları kullanılmadan kasıtsız dinleme;

telefon ağlarında önleyici bakım sırasında yanlışlıkla telefon dinleme;

bilgisayar ağlarının çalışması sırasında AU kullanıcılarının ve yöneticilerinin yetersiz veya hatalı eylemleri;

bilgileri görüntüleme ekranlarından ve diğer görüntüleme yollarından görüntüleme.

2.13. GOST R 51275-99 uyarınca belirli koşullarda korunan bilgileri etkileyen veya etkileyebilecek faktörlerin (bilgi güvenliği tehditleri) belirlenmesi ve muhasebeleştirilmesi, bir bilişim tesisinde bilgilerin korunmasına yönelik önlemlerin planlanması ve uygulanması için temel oluşturur.

Taslak gerekli tedbirler bilgi koruması, bilgi koruma maliyetlerinin açıklanması, kaybolması, imha edilmesi, bozulması, bilgilerin yetkili erişilebilirliğinin ihlali ve çalışabilirliğinin ihlali ile ilgili olası zararlar ile bilgi koruma maliyetlerinin oranı dikkate alınarak, bir bilgi nesnesi araştırmasının sonuçlarına göre belirlenir. teknik, bu bilgilerin işlenmesinin yanı sıra, içeriğinin ele geçirilmesi ve ifşa edilmesinin gerçek olasılıklarını dikkate alarak anlamına gelir.

2.14. Bilgiyi ele geçirmek için karmaşık teknik araçlar kullanılmadan bilgi güvenliği tehditlerinin uygulandığı bilgilerin korunmasına ana dikkat gösterilmelidir:

korunan tesislerde dolaşan konuşma bilgileri;

yetkisiz erişim ve yetkisiz eylemlerden bilgisayar teknolojisi tarafından işlenen bilgiler;

video monitörlerinin ekranlarında görüntülenen bilgiler;

kısa devrenin ötesine geçen iletişim kanalları aracılığıyla iletilen bilgiler.

2.15. Tedbirlerin geliştirilmesi ve bilgilerin korunmasının sağlanması, bilgi koruma birimleri (güvenlik hizmetleri) veya bu tür çalışmaları yürütmek üzere işletmenin (kurumun) yönetimi tarafından atanan bireysel uzmanlar tarafından gerçekleştirilir. Bilgi koruma önlemlerinin geliştirilmesi, Rusya Devlet Teknik Komisyonu ve / veya FAPSI'nin bilgi koruma alanında hizmet sağlama hakkı için uygun lisanslarına sahip üçüncü taraf işletmeler tarafından da gerçekleştirilebilir.

Rusya Federasyonu devlet makamlarında ve Rusya Federasyonu'nun kurucu kuruluşlarının devlet makamlarında bilgi edinme nesnelerinde belgelenmiş gizli bilgileri işlerken, diğer devlet organları, işletmeler ve kurumlar, bilgi sistemlerini koruma araçları zorunlu belgelendirmeye tabidir.

2.17. Bilgilendirme nesneleri, bilgi koruma gerekliliklerine uygunluk için sertifikalandırılmalıdır (Bundan sonra, sertifikalandırma, bir bilgi güvenliği uzmanının zorunlu katılımıyla işletme güçleri tarafından bilgilendirme nesnesinin komisyon tarafından kabulü olarak anlaşılır.)

2.18. Gizli bilgilerin teknik olarak korunmasına ilişkin gereklilikleri sağlama sorumluluğu, bilişim nesnelerini işleten kurum ve kuruluşların başkanlarına aittir.

3. BİLGİ KORUMA ÇALIŞMALARININ ORGANİZASYONU

3.1. Devlet sırrını oluşturan bilgileri içermeyen, sınırlı erişime sahip bilgilerin teknik yollarla işlenmesi sırasında teknik olarak korunmasına ilişkin çalışmaların organizasyonu ve performansı, bu belge, mevcut devlet standartları ve diğer düzenleyici ve metodolojik belgeler ile belirlenir. Rusya Devlet Teknik Komisyonu.

3.2. Bilginin korunmasına ilişkin çalışmaların organizasyonu, kurumların ve işletmelerin başkanlarına, bilişim nesnelerinin projelerinin geliştirilmesinde yer alan bölüm başkanlarına ve bunların işleyişine ve sağlanan bilgi koruma önlemlerinin etkinliği üzerinde metodolojik rehberlik ve kontrole emanet edilir. kurumun (işletmenin) bilgilerinin (güvenlik hizmetleri) korunması için daire başkanlarına atanır.

3.3. Bilimsel ve teknik liderlik ve bilişim nesnesinin bilgi güvenliği tesisinin oluşturulması (modernizasyonu) ile ilgili çalışmaların doğrudan organizasyonu, kendisi tarafından gerçekleştirilir. baş tasarımcı veya bir bilgilendirme nesnesinin oluşturulması için bilimsel ve teknik rehberlik sağlayan başka bir yetkili.

3.4. Bir bilgi güvenliği sisteminin geliştirilmesi, hem bir kurumun bir bölümü (işletme) tarafından hem de Rusya Devlet Teknik Komisyonu ve / veya FAPSI tarafından bilgi alanındaki ilgili faaliyet türü için lisanslanmış uzman bir kuruluş tarafından gerçekleştirilebilir. güvenlik.

Uzman bir kuruluş tarafından bir bilgi güvenliği sisteminin veya bireysel bileşenlerinin geliştirilmesi durumunda, geliştirmenin gerçekleştirildiği kurumda (işletme), organize etmekten ve yürütmekten sorumlu departmanlarda (veya bireysel uzmanlarda) ( Bilgi koruma önlemlerinin uygulanması ve işletilmesi), gizli bilgiler kullanılarak çalışma sırasında belirlenir.

Bilgi güvenliği sistemlerinin geliştirilmesi ve uygulanması, metodolojik rehberlik sağlayan ve bilgi koruması için özel gereksinimlerin geliştirilmesine, bir bilgi güvenliği sistemi oluşturma ihtiyacının analitik olarak doğrulanmasına katılan geliştirici ile müşterinin kurumsal güvenlik hizmeti arasındaki işbirliği içinde gerçekleştirilir. , bilgisayar teknolojisi ve iletişim, donanım ve yazılım koruma araçlarının seçimi konusunda anlaşmaya varmak, fırsatların belirlenmesi ve sızıntının önlenmesi ve korunan bilgilerin bütünlüğünün ihlali, bilgi nesnelerinin tasdik edilmesi için çalışmaların düzenlenmesi.

3.5. Bilgilendirme nesnelerinin oluşturulması ve işletilmesi ve bunların bilgi güvenliği sistemi ile ilgili çalışmaların organizasyonu, işletmede geliştirilen "Bilginin korunmasına ilişkin yönergeler" veya özel bir "İş düzenleme ve yürütme prosedürü hakkında Yönetmelik" ile belirlenir. Bilginin korunmasına ilişkin" ve şunları sağlamalıdır:

korunan bilgileri belirleme prosedürü;

bilişim ve bilgi güvenliği nesnelerinin geliştirilmesi ve işletilmesi, bunların görevleri ve işlevleri, bir bilişim nesnesinin oluşturulması ve işletilmesinin çeşitli aşamalarında işletmenin bölümlerini, uzmanlaşmış üçüncü taraf kuruluşlarını dahil etme prosedürü;

bu işe dahil olan tüm organizasyonların, departmanların ve uzmanların etkileşim sırası;

bilişim nesnelerinin geliştirilmesi, devreye alınması ve işletilmesi prosedürü;

bilgilerin teknik korunması için gereksinimlerin oluşumunun zamanında ve kalitesinden, bilgi güvenliği sistemlerinin geliştirilmesinin kalitesi ve bilimsel ve teknik düzeyi için yetkililerin sorumluluğu.

3.6. Kurum (işletme), düzenleyici yasal düzenlemeler uyarınca korumaya tabi olan belgelenmiş bir gizli bilgi listesine (Ek No. 6) sahip olmalı ve personelin bu tür bilgilere erişimi için uygun bir izin veren sistem geliştirilmelidir.

3.7. Bir bilgi güvenliği sistemi oluşturmanın aşağıdaki aşamaları kurulur:

Bilgilendirme nesnesinin tasarım öncesi incelemesi, bir bilgi güvenliği sistemi oluşturma ihtiyacı için analitik bir gerekçenin geliştirilmesi ve oluşturulması için teknik (özel teknik) bir görev de dahil olmak üzere ön tasarım aşaması;

bir bilişim nesnesinin parçası olarak bir bilgi güvenlik sisteminin geliştirilmesi de dahil olmak üzere bir bilişim nesnesinin tasarım aşaması (projelerin geliştirilmesi) ve uygulanması;

Bilgi güvenliği araçlarının deneme işletimi ve kabul testlerinin yanı sıra bilgi güvenliği gereksinimlerine uygunluk için bilgi nesnesinin sertifikalandırılması da dahil olmak üzere bilgi güvenliği sisteminin devreye alınması aşaması.

3.8. Bilgilendirme nesnesinin araştırılması için ön tasarım aşamasında:

hakkında gizli bilgileri işleme (tartışma) ihtiyacı bu nesne bilgilendirme;

teknik kanallardan sızıntıya karşı korunacak bir gizli bilgi listesi belirlenir;

belirli çalışma koşullarıyla ilgili olarak bilgi güvenliğine yönelik tehditleri ve olası bir ihlalcinin modelini tanımlar (belirtir);

SC sınırlarına göre bilişim nesnelerinin konumu için koşullar belirlenir;

otomatik sistemlerin ve iletişim sistemlerinin bir bütün olarak konfigürasyonu ve topolojisi ve bunların bireysel bileşenleri, hem bu sistemler içinde hem de çeşitli düzey ve amaçlardaki diğer sistemlerle fiziksel, işlevsel ve teknolojik bağlantıları belirlenir;

geliştirilen AU ve iletişim sistemlerinde kullanılması amaçlanan teknik araçlar ve sistemler, bunların yeri için koşullar, piyasada mevcut olan ve geliştirilmesi önerilen genel sistem ve uygulama yazılımları belirlenir;

AU'da bir bütün olarak ve bireysel bileşenlerde bilgi işleme modları belirlenir;

AU'nun güvenlik sınıfı belirlenir;

personelin bilgilerin işlenmesine (tartışma, aktarım, depolama) katılım derecesi, birbirleriyle ve güvenlik hizmetiyle etkileşimlerinin niteliği belirlenir;

bir bilişim nesnesi tasarlama sürecinde bilgilerin gizliliğini sağlamak için önlemler belirlenir.

3.9. Proje öncesi anketin sonuçlarına dayanarak, bir bilgi güvenliği sistemi oluşturma ihtiyacı için analitik bir gerekçe geliştirilmektedir.

Mevcut düzenleyici yasal düzenlemelere ve metodolojik belgeler dahil olmak üzere gizli bilgileri korumak için. Bu belgenin, AU'nun yerleşik güvenlik sınıfı dikkate alınarak, bilgi güvenliği sisteminin geliştirilmesi için teknik (özel teknik) görevde yer alan bilgilerin korunması için özel gereksinimler belirlenir.

3.10. Korunan bilgilerin belirlenmesi açısından ön tasarım araştırması, belgelenmiş gizli bilgi listelerine dayanmalıdır.

Gizli bilgi listesi, bilgilendirme nesnesinin müşterisi tarafından derlenir ve ilgili yöneticinin imzası ile düzenlenir.

3.11. Uygun bir lisansa sahip uzman bir kuruluşa bir proje öncesi araştırma emanet edilebilir, ancak bu durumda, bilgi desteğinin korunan bilgiler açısından analizinin müşteri girişiminin temsilcileri tarafından aşağıdakilerin metodolojik yardımı ile gerçekleştirilmesi tavsiye edilir. uzmanlaşmış bir işletme.

Bu işletmenin uzmanlarının korunan bilgilerle tanışması, müşteri işletmesinde oluşturulan prosedüre uygun olarak gerçekleştirilir.

3.12. Bir bilgi güvenliği sistemi oluşturma ihtiyacının analitik gerekçesi şunları içermelidir:

bilişim nesnesinin bilgi özellikleri ve organizasyon yapısı;

temel ve yardımcı teknik araçlar kompleksinin özellikleri, yazılım, çalışma modları, teknolojik süreç bilgi işlem;

olası bilgi sızıntısı kanalları ve bunları ortadan kaldırmak ve kısıtlamak için bir dizi önlem;

kullanıma sunulan sertifikalı bilgi güvenliği araçlarının bir listesi;

bilgiyi korumak için çalışma yapma hakkı için gerekli lisanslara sahip uzman kuruluşları çekme ihtiyacının gerekçesi;

malzeme, işçilik ve Finansal maliyetler bilgi güvenliği sistemlerinin geliştirilmesi ve uygulanması için;

bilgi güvenliği sistemlerinin yaklaşık geliştirme ve uygulama koşulları;

bir bilgilendirme nesnesinin tasarım aşamasında bilgilerin gizliliğini sağlamaya yönelik önlemlerin bir listesi.

Analitik gerekçe, ön tasarım araştırması başkanı tarafından imzalanır, baş tasarımcı (bilgilendirme nesnesinin oluşturulması için bilimsel ve teknik rehberlik sağlayan bir yetkili), güvenlik servisi başkanı ile kararlaştırılır ve güvenlik servisi başkanı tarafından onaylanır. müşteri işletmesi.

3.13. Bir bilgi güvenliği sisteminin geliştirilmesi için teknik (özel teknik) görev şunları içermelidir:

geliştirme gerekçesi;

teknik, yazılım, bilgi ve organizasyon açısından oluşturulan (modernize edilmiş) bilişim nesnesinin ilk verileri;

mevcut düzenleyici ve metodolojik belgelere ve nükleer santralin yerleşik güvenlik sınıfına dayalı bilgi güvenliği sistemleri gereksinimlerinin belirlenmesi;

kullanılması amaçlanan sertifikalı bilgi güvenliği araçlarının bir listesi;

kendi bilgi güvenliği araçlarının geliştirildiğinin kanıtlanması, piyasada bulunan sertifikalı bilgi güvenliği araçlarının kullanılmasının imkansızlığı veya uygunsuzluğu;

iş türlerini gerçekleştiren müteahhitlerin bir listesi;

Müşteriye sunulan bilimsel ve teknik ürün ve belgelerin bir listesi.

3.14. Bilgi güvenliği sisteminin geliştirilmesi için teknik (özel teknik) görev, geliştirici tarafından imzalanır, müşteri girişiminin güvenlik hizmeti, yükleniciler ile kararlaştırılır ve müşteri tarafından onaylanır.

3.15. Bilgi korumasına farklılaştırılmış bir yaklaşım amacıyla, AS, bilgiye yetkisiz erişime karşı güvenlik gereksinimlerine göre sınıflandırılır.

AS'nin NSD'den bilgiye güvenlik sınıfı, müşteri ve AS geliştiricisi tarafından, Rusya Devlet Teknik Komisyonu "Otomatik Sistemler" kılavuz belgesinin (RD) gereksinimlerine uygun olarak bilgi güvenliği uzmanlarının katılımıyla ortaklaşa oluşturulur. Bilgiye yetkisiz erişime karşı koruma.

Otomatik Sistemlerin Sınıflandırılması ve Bilgi Koruma Gereksinimleri "ve bu belgenin 5. Bölümü ve bir kanunla resmileştirilmiştir.

AU'nun güvenlik sınıfının revizyonu, temel aldığı kriterlerden en az birinin değişmesi durumunda hatasız yapılır.

3.16. Kompozisyonunda bir bilgi nesnesi ve bilgi güvenliği sisteminin tasarımı ve oluşturulması aşamasında, müşteri tarafından finansal, malzeme, emek ve zaman kaynakları üzerinde belirlenen gereksinimler ve kısıtlamalar temelinde, aşağıdakiler gerçekleştirilir:

bir bilgi güvenliği sisteminin geliştirilmesi için teknik (özel teknik) bir görevin gerekliliklerine uygun olarak bir bilişim nesnesinin inşası, inşası ve montajı (veya yeniden inşası) için bir görev ve proje geliştirilmesi;

bölüm geliştirme teknik proje bilgi koruması açısından bilgilendirme nesnesine;

müşteri tarafından onaylanan proje dokümantasyonuna uygun inşaat ve montaj işleri, teknik araç ve sistemlerin yerleştirilmesi ve montajı;

gerekliliklere uygun olarak bilgileri korumak için organizasyonel ve teknik önlemlerin geliştirilmesi;

sertifikalı numunelerin satın alınması ve bilgilerin işlenmesi, iletilmesi ve saklanması veya bunların sertifikasyonu için teknik araçların korumalı bir versiyonunda seri olarak üretilir;

sertifikalı donanım, yazılım ve yazılım ve donanım (kriptografik dahil) bilgi güvenliği araçlarının satın alınması ve bunların kurulumu;

gerekli sertifikalı yazılımın piyasada bulunmaması durumunda bilgi güvenliği için bilgi güvenliği yazılımının geliştirilmesi (revizyonu) veya satın alınması ve ardından sertifikalandırılması;

bilgi işleme, depolama ve iletme teknik araçlarına yetkisiz erişim, bunların çalınması ve performansın bozulması, bilgi taşıyıcılarının çalınması hariç olmak üzere, bilgi nesnesinin tesislerinin güvenlik ve fiziksel korunmasının organizasyonu;

Kullanıcıların ve işletme personelinin bilişim tesisinde işlenen (tartışılan) bilgilere erişimi için bir izin sisteminin geliştirilmesi ve uygulanması;

müşteri tarafından bilgilerin korunması için araç ve önlemlerin çalışmasından sorumlu birimlerin ve kişilerin belirlenmesi, belirlenmiş kişileri bir bilişim nesnesinin çalışması aşamasında bilgilerin korunmasına ilişkin çalışma özellikleri konusunda eğitmek;

toplu üretim gerçekleştirme Uygulama programları bilgi güvenliği yazılımı ile birlikte;

bilgi ve bilgi koruma araçları nesnesi için operasyonel belgelerin geliştirilmesi ve ayrıca bilgilerin korunması için örgütsel ve idari belgeler (siparişler, talimatlar ve diğer belgeler);

belirli bilgilendirme nesnelerine ve bilgi koruma alanlarına özgü diğer faaliyetlerin uygulanması.

3.17. Tasarım görevi, bilgilerin teknik korunması için önlemlerin yeterliliği açısından tasarım organizasyonu, müşteri girişiminin güvenlik hizmeti (uzmanı) ile kararlaştırılan ve müşteri tarafından onaylanan ayrı bir belge olarak düzenlenir.

Bilgiyi teknik kanallardan sızıntıdan korumaya yönelik önlemler, projenin ilgili bölümlerinde yer alan tasarım çözümlerinin ana unsurudur ve bunlarla eş zamanlı olarak geliştirilmektedir.

3.18. Bir bilgilendirme nesnesinin tasarımı ve oluşturulması aşamasında, aşağıdakilerden oluşan teknik (teknik) bir proje ve bilgi güvenliği sisteminin operasyonel belgeleri de hazırlanır:

bilgi güvenliğini sağlamak için bir dizi kurumsal önlem ve yazılım ve donanım (kriptografik dahil) araçları, bilgi güvenliği araçlarının bileşimi, TK gerekliliklerine uygunluklarını gösteren kararları özetleyen açıklayıcı bir not;

donanım, yazılım, bilgi desteği ve bilgi işleme (iletim) teknolojisinin açıklamaları;

bilgi koruma araçlarının ve önlemlerinin uygulanması için bir bilgilendirme nesnesi hazırlamak için bir organizasyonel ve teknik önlemler planı;

bilgilendirme nesnesinin teknik pasaportu (NPP için teknik pasaport formu Ek No. 5'te verilmiştir);

Kullanıcılar, sistem yöneticileri ve ayrıca bilgi güvenliği hizmeti çalışanları için teknik ve yazılım güvenlik araçlarının çalıştırılmasına yönelik talimatlar ve kılavuzlar.

3.19. Bilgilendirme ve bilgi güvenliği nesnesinin devreye alınması aşamasında aşağıdakiler gerçekleştirilir:

bir bilişim nesnesinin parçası olarak performanslarını test etmek ve teknolojik bilgi işleme (iletim) sürecini çözmek için bilgi güvenliği araçlarının diğer teknik ve yazılım araçlarıyla birlikte denenmesi;

geliştirici (tedarikçi) ve müşteri tarafından imzalanmış bir kabul sertifikasının kaydı ile deneme işleminin sonuçlarına dayalı bilgi güvenliği araçlarının kabul testleri;

bilgi güvenliği gereksinimlerine göre bilgi nesnesinin belgelendirilmesi.

3.20. Bu aşamada:

kabul testlerinin sonuçlarına dayalı olarak bilgi güvenliği araçlarının uygulama eylemleri;

sertifika testleri için hamiline sertifika;

sertifikasyon testlerinin sonuçları hakkında sonuç.

NS pozitif sonuçlar bilgilendirme nesnesi için sertifika bilgi güvenliği gereksinimlerine "Uygunluk Sertifikası" verilir (NPP için "Uygunluk Sertifikası" formu Ek 2'de, RFP için Ek No. 3'te verilmiştir)

3.21. Yukarıdaki belgelere ek olarak, kurum (işletmede) siparişler, talimatlar ve kararlar hazırlar:

bilgilendirme nesnesinin tasarımı, uygun geliştirme departmanlarının oluşturulması ve sorumlu uygulayıcıların atanması hakkında;

bir anket grubunun oluşumu ve liderinin atanması hakkında;

işin performansı için ilgili sözleşmelerin imzalanması üzerine;

bilgilendirme nesnesinin işleyişinden sorumlu kişilerin atanması hakkında;

gizli bilgilerin AS'de (korumalı odadaki tartışma) işlenmesinin başlangıcında.

3.22. Bu belgenin yürürlüğe girmesinden önce faaliyette olan bilgilendirme nesneleri için, revizyonlarının basitleştirilmiş bir versiyonu (modernizasyon), organizasyonel, idari, teknolojik ve operasyonel belgelerin yeniden kaydı, müşterilerinin (sahibinin) kararı ile sağlanabilir. ).

Bu tür bilgilendirme nesnelerinin sertifika testleri programı, sertifika komisyonu tarafından belirlenir.

Bir ön koşul, geçerli veri koruma gereksinimlerine uygunluklarıdır.

3.23. Bilgilendirme nesnesinin çalışması, bu belgenin 4-6 bölümlerinde belirtilen gereklilikler ve hükümler dikkate alınarak, onaylanmış organizasyonel, idari ve operasyonel belgelere tam olarak uygun olarak gerçekleştirilir.

3.24. Teknik kanallardan bilgi sızıntısını zamanında tespit etmek ve önlemek, yetkisiz erişimi hariç tutmak veya önemli ölçüde engellemek ve bir kurumda (bir işletmede) bilgi bütünlüğünün veya teknik araçların işlerliğinin ihlaline neden olan özel yazılım ve donanım eylemlerini önlemek için, bilgi koruma durumunun periyodik olarak (en az yılda bir kez) kontrolü yapılır.

Kontrol, kurumun (işletmenin) güvenlik hizmetinin yanı sıra endüstri ve federal kontrol organları (koruma rejimi devlet tarafından belirlenen bilgi için) tarafından gerçekleştirilir ve aşağıdakilerin değerlendirilmesinden oluşur:

Rusya Devlet Teknik Komisyonunun düzenleyici ve metodolojik belgelerine uygunluk;

uygulanan bilgi koruma araçlarının operasyonel belgelerine uygun olarak çalışabilirliği;

personeli tarafından bilgi ve performans fonksiyonel sorumluluklar bilgi koruması açısından.

3.25. Gizli bilgilerin sahibi veya sahibi, bilgilerinin bilgi sistemlerinde korunmasına ilişkin kural ve gereksinimlere uygunluğunun doğruluğunu değerlendirmek için devlet makamlarına başvurma hakkına sahiptir.

3.26. Gerekirse, RFP'de ve bilgi işleme tesislerinin bulunduğu yerlerde işletme başkanının kararı ile, korunan bilgilerin gizli olarak ele geçirilmesine yönelik "sekmeleri" tespit etmek ve kaldırmak için çalışmalar yapılabilir.

3.27. Bu tür çalışmalar, FAPSI veya Rusya FSB'sinin uygun lisanslarına sahip kuruluşlar tarafından gerçekleştirilebilir. verilen görünüm faaliyetler.

4.1. Genel hükümler 4.1.1. Bu bölümün gereklilikleri ve tavsiyeleri, manyetik ses kaydı ve iletimi söz konusu olduğunda, RFP'de, ses güçlendirme sistemlerinde (SZU) ve film film müziklerinde (SZSK) dolaşan gizli konuşma bilgilerinin ele geçirilmesi olasılığını (önemli zorluk) ortadan kaldırmayı amaçlamaktadır. iletişim kanalları aracılığıyla.

4.1.2. Bu bölümün gereklilikleri, aksi belirtilmedikçe, SZU ve SZSK sistemleri için RFP'lerin ve bunların içinde bulunan OTSS ve VTSS'nin tasarım, yapım, donatma, işletiminin tüm aşamalarında zorunludur.

4.1.3. Gizli konuşma bilgilerini ve işlenmesinin teknik araçlarını kullanarak etkinlikler düzenlerken, aşağıdakilerden dolayı bilgi sızıntısı mümkündür:

bilgilendirici bir konuşma sinyalinin akustik radyasyonu;

RFP'nin bina yapılarına ve mühendislik sistemlerine maruz kaldığında bilgilendirici bir akustik sinyalin dönüştürülmesinden kaynaklanan vibroakustik sinyaller;

Bu tür iletişimlerin terminal cihazlarının gizli bağlantısı nedeniyle kamuya açık bilgi kanalları (şehir telefon ağı, cep telefonu, ana hat ve çağrı iletişimleri, telsiz telefonlar) aracılığıyla RFP'deki konuşmaların dinlenmesi;

mikrofon etkisi nedeniyle bir bilgi sinyalinin akustikten elektriğe dönüştürülmesinden kaynaklanan ve kısa devrenin ötesine geçen teller ve bilgi iletim hatları boyunca yayılan elektrik sinyalleri;

gizli bilgileri işleyen teknik araçlardan kaynaklanan elektrik sinyalleri ve kısa devrenin ötesine geçen kablolara ve hatlara iletim hatları;

RFP'de uygulanan ve teknik araçlara monte edilen konuşma bilgisi "sekmelerini" yakalamak için özel elektronik cihazlardan bilgilendirici bir sinyalle modüle edilen radyo emisyonları, elektrik veya kızılötesi sinyaller.

Ayrıca, içlerinde veya bireysel bilgi taşıyıcılarında saklanan bilgilerle teknik araçların çalınma olasılığını da dikkate almalısınız.

4.2. Korunan tesislerde dolaşan bilgilerin korunması için temel gereksinimler ve öneriler 4.2.1. Kurum (işletme), bilgilerin korunması için belirlenmiş gerekliliklere uygun olarak maaşların ve faaliyetlerinden sorumlu kişilerin listesini belgelemeli ve ayrıca maaş için teknik bir pasaport hazırlamalıdır (teknik pasaport formu Ek'te verilmiştir). 4 numara).

4.2.2. Korunan tesisler kısa devre içinde bulunmalıdır. Aynı zamanda, onları kısa devre sınırlarından uzağa yerleştirmek, etkili koruma sağlamak, çevreleyen yapıların (duvarlar, zeminler, tavanlar) diğer kurumların (işletmelerin) binalarına bitişik olmaması önerilir.

Odanın pencerelerinden metin ve grafik gizli bilgilerin görüntülenmesini engellemek için, bunları perdelerle (panjurlarla) donatmanız önerilir.

OTSS, VTSS'nin çalışması, onlar için reçetelere ve işletim belgelerine tam olarak uygun olarak yapılmalıdır.

4.2.4. özel kontrol RFP ve içine yerleştirilmiş ekipman, muhtemelen bunlara gömülü bilgileri ele geçirmek için elektronik cihazları "yer imleri" olarak tanımlamak için gerekirse, işletme başkanının kararı ile gerçekleştirilir.

4.2.5. Gizli olaylar sırasında, telsiz telefonların, hücresel, çağrı ve ana hat iletişimi için terminal cihazlarının, taşınabilir teyp kayıt cihazlarının ve diğer ses ve video kayıt araçlarının kullanılması yasaktır. Telesekreterli veya hoparlörlü telefonlar ve faks makinelerinin yanı sıra RFP'de otomatik arayan kimliği olan makineleri kurarken, bu olaylar sırasında bunların ağ bağlantıları kesilmelidir.

Benzer işler:

"Technical University" (USTU) YARI İLETKEN LAZERİN POLARIZE IŞIĞININ ÇALIŞMASI Laboratuvar çalışmaları Metodik talimatlar Ukhta, USTU, 2014 UDC 53 (075) BBK 22.3 y7 Sh Shambulina, VN Sh 19 Bir yarı iletken lazerin polarize ışığının incelenmesi. Laboratuvar çalışmaları [Metin]: yöntem. talimatlar / V. N. Shambulina, V. O. Nekuchaev. - Ukhta: ... "

"Teknolojik sistemler Hizmet Departmanı ve ulaşım ve teknolojik makinelerin işletimi. Onaylandı: Onaylayan: SETTM Departmanı IATTS Protokol No. 2015 _E.E." Bazhenov Bölüm Başkanı A.P. Panychev "" 2015 IATTS Metodik Komisyonu Tutanakları No. 2015 MK_ D.V. Başkanı Demidov ÜRETİM PROGRAMI ÖNLEM UYGULAMASI ... "

« mesleki Eğitim Altay Devlet Teknik Üniversitesi adını aldı I.I. Polzunov "A.I. Sidorenko, E.V. BİR WINDOWS ORTAMINDA C++ İLE Sypin PROGRAMLAMASI Uygulama için metodolojik öneriler laboratuvar işi eğitim yönü öğrencileri için 09.03.02 (230400.62) "Bilgi sistemleri ve teknolojileri" Biysk Yayınevi ... "

Rusya Federasyonu UDC 678.747.2: 620.179 Generalov Aleksandr Sergeevich KARBON PLASTİKLERİN DAYANIKLILIK ÖZELLİKLERİNİN ULTRASONİK YANSITMA YÖNTEMİYLE BELİRLENMESİ Teknik bilimler adayı derecesi için tez Uzmanlık: 05.11.13 - Malzemelerin kontrol cihazları ve yöntemleri doğal ortam.."

EĞİTİM VE BİLİM ALANINDA FEDERAL DENETİM HİZMETİ eğitim kurumları uygulamak Eğitim programları Ortaöğretim Genel Eğitim Moskova İÇİNDEKİLER 1. NİHAİ KOMPOZİSYONUN HAZIRLANMASI VE GERÇEKLEŞTİRİLMESİ İÇİN GENEL PROSEDÜR (BEYANI) 2. EĞİTİM KURULUŞU BAŞKANI İÇİN TALİMATLAR 9 3. SON İŞLEMLERİ YAPARKEN TEKNİK UZMAN İÇİN TALİMATLAR 14 "

"Rusya Federasyonu Eğitim ve Bilim Bakanlığı Federal Devlet Bütçe Yüksek Mesleki Eğitim Eğitim Kurumu" Samara Devlet Teknik Üniversitesi "UYGULAMA ÇALIŞMA PROGRAMI B2.P.2 Teknolojik uygulama 18.04.02 (241000.68)" Enerji ve kaynak tasarrufu süreçleri kimya teknolojisi, petrokimya ve biyoteknolojinin hazırlanma yönü »Yüksek Lisans Mezuniyet Nitelikleri Endüstriyel Ekoloji ve rasyonel kullanım Profil..."

"Yüksek mesleki eğitim kurumu" ULUSAL MADEN ÜNİVERSİTESİ "MADENCİLİK" Onaylandı FKÖ Başkanı tarafından Onaylandı. 15.04.01 prof. V.V. Maksarov Prof. V.V. Maksarov İLK BİLİMSEL ÜRETİM UYGULAMASI çalışma programı Hazırlama Yönü: 04/15/01 (150700) - "Makine mühendisliği" ... "

"RUSYA ŞUBELERİ BAKANLIĞI Federal Devlet Bütçe Yüksek Mesleki Eğitim Eğitim Kurumu" Ukhta Devlet Teknik Üniversitesi "(USTU) METROLOJİK DESTEK EKONOMİSİ Kontrol işleri Metodik talimatlar Ukhta, USTU, 2015 UDC 330: 006.91 (075.8) BBK 65 y7 + 30.10 yin N. P 18 Metrolojik desteğin ekonomisi. Test kağıtları [Metin]: yöntem. talimatlar / PN Parmuzin. - Ukhta: USTU, 2015 .-- 24 s. Metodik olarak ... "

"RUSYA MINIBRANAUKI Federal Devlet Bütçe Eğitim Yüksek Mesleki Eğitim Kurumu" Ukhta Devlet Teknik Üniversitesi "(USTU) Ağaçlandırma için teknoloji ve makineler Bölüm 1. Orman tohum işinin temelleri Metodik talimatlar Ukhta, USTU, 2015 UDC 630 * 23 (075.8) LBC 43.4 y7 K 61 Kolominova, M. V. K 61 Ağaçlandırma işlerinin teknolojisi ve makineleri. Bölüm 1. Orman tohumu işinin temelleri [Metin]: yöntem. talimatlar / M. V. Kolominova .... "

«II. Uluslararası Bilimsel Konferans Ölçme ve Teknoloji Sonference işlemlerinde Referans Malzemeler Federal Teknik Düzenleme ve Metroloji Ajansı FSUE" Ural Metroloji Araştırma Enstitüsü "bilimsel ve metodolojik MERKEZ KAMU HİZMETİ madde ve malzemelerin yapı ve özelliklerinin standart örnekleri II-th Uluslararası Bilimsel Konferansı ÖLÇÜMLER VE TEKNOLOJİLERDE REFERANS Rusya Federasyonu Yekaterinburg 14-18 Bildiriler ... "

"ŞUBAT-HAZİRAN 2015 İÇİN KÜTÜPHANEDEKİ KİTAPLARIN KAYNAKÇA DİZİNİ KAYNAKÇA (016) 1. 016: 1 F 91 Ivan Timofeevich Frolov, 1929-1999: bilimsel yayın / RAS; comp.: G.L. Belkina, S.N. Korsakov; ed. giriş Sanat. S.N. Korsakov. - 2. baskı, Ekle. - E.: Nauka, 2014 .-- 214 s. - (Bilim adamlarının biyobibliyografyası için malzemeler; Sayı 13) Kopya sayısı: toplam: 1 koleksiyon (1) DOĞAL BİLİMSEL LİTERATÜR BİBLİYOGRAFİSİ 2. 016: 5 Ш 51 Sergey Vasilyevich Shestakov: bilimsel yayın / komp. E. A. Karbysheva, V. V .... "

"YÜKSEK PROFESYONEL EĞİTİM KURUMLARI" ST. PETERSBURG DEVLET ORMAN ÜNİVERSİTESİ ADI S.M. KIROV " "

"MINIBRANAUKI RUSYA Federal Devlet Bütçe Eğitim Yüksek Mesleki Eğitim Kurumu" Ukhta Devlet Teknik Üniversitesi "(USTU) Rusya Federasyonu'nun kurucu kuruluşunda devlet gayrimenkul kadastrosunun sürdürülmesi Metodik talimatlar Ukhta, USTU, 2015 UDC 347.235.11 (075.8) BBK 65.32-5 y7 S 32 Seratirova , V. V. S 32 Rusya Federasyonu'nun kurucu kuruluşunda devlet gayrimenkul kadastrosunun sürdürülmesi [Metin]: yöntem. talimatlar / V.V.Seratirova. - Ukhta: ... "

"RUSYA'NIN İLK YÜKSEK TEKNİK EĞİTİM KURUMU. RUSYA FEDERASYONU EĞİTİM VE BİLİM BAKANLIĞI Federal Devlet Bütçeli Yüksek Mesleki Eğitim Kurumu" ULUSAL MADEN VE HAMMADDE ÜNİVERSİTESİ SOVLADYU GOROZHODAN ZAVOR. SGP ve PS Bölümü eğitimi doğrultusunda 03/08/01 prof. AG Protosenya prof. AG Protosenya "" _ 2015 "" _ 2015 EĞİTİM DİSİPLİN ÇALIŞMA PROGRAMI "MUAYENE VE TEST ..."

"Eğitim Nadym bölgesi 03.02.2102, No. 91" Nadym bölgesinin belediye eğitim sisteminde federal devlet temel genel eğitim eğitim standardının getirilmesine ilişkin çalışmaların organizasyonu hakkında "; Belediye Eğitim Kurumu "Pangody'deki 2 Nolu Ortaokul" Tüzüğü; Belediye Eğitim Kurumu'nun 18.02.2012 tarihli "Pangody köyünün 2 Nolu Ortaokulu" emri. 117 "Giriş çalışmalarının organizasyonu hakkında ..."

"- RUSYA FEDERASYONU EĞİTİM VE BİLİM BAKANLIĞI Federal Devlet Bütçeli Yüksek Mesleki Eğitim Eğitim Kurumu" ULUSAL ARAŞTIRMA TOMSK POLİTEKNİK ÜNİVERSİTESİ "ONAYLANDI ::: Çaykovski _ 201 Bilimsel çalışmaların dergilerde hazırlanma ve yayımlanma sürecinin organizasyonu uluslararası sistemler alıntı Scopus, Web of Science ve RSCI Bilimsel makaleler yazmak için metodolojik yönergeler daha fazla ... "

"RUSYA ŞUBE BAKANLIĞI Federal Devlet Bütçe Yüksek Mesleki Eğitim Eğitim Kurumu" Ukhta Devlet Teknik Üniversitesi "(USTU) Podorova-Anikina SİYASİ REKLAMCILIK ÜZERİNE Ders Kitabı Ukhta, USTU, 201 , S 44 Siyasi reklamcılık [Metin]: ders kitabı. ödenek / O. N. Podorova Anikina. - Ukhta: USTU, 2015 .-- 112 s. ISBN 978-5-88179-866-6 Çalışma kılavuzu, sorunların araştırılmasına ve analizine ayrılmıştır ... "

“Rusya Federasyonu Eğitim ve Bilim Bakanlığı, Angarsk Devlet Teknik Akademisi _ I.G. Golovanov ENERJİ SANTRALLERİ VE TRAFO İSTASYONLARI uygulamalı eğitim ve bağımsız işöğrenciler "Güç ve Elektrik Mühendisliği" eğitimi doğrultusunda her türlü eğitim öğrencileri için Angarsk 2014 Golovanov I.G. Güç istasyonları ve trafo merkezleri. Pratik eğitim ve bağımsız çalışma için metodik talimatlar / Golovanov I.G. - Angarsk: AGTA yayınevi, ... "

"Belediye bütçe eğitim kurumu" Bireysel konuların derinlemesine çalışıldığı 9 numaralı ortaokul "İçindekiler Açıklayıcı not .. 3 Genel özellikler akademik konu.. 4 Konunun müfredattaki yeri .. 5 Akademik konuya hakim olmanın kişisel, metakonu ve konu sonuçları .. 5 Akademik konunun içeriği .. 15 Ana türlerin tanımı ile tematik planlama Öğrenme aktiviteleri.. 21 Eğitim-yöntemsel ve malzeme-teknik destek ... "
Bu sitedeki materyaller inceleme için yayınlanmıştır, tüm hakları yazarlarına aittir.
Materyalinizin bu sitede yayınlanmasını kabul etmiyorsanız, lütfen bize yazın, 1-2 iş günü içinde sileceğiz.

V Genel dava Gizli bilgilerin korunması gereksinimleri, gizli bilgilerin korunması gereksinimlerine benzer, ancak temel farklılıklar vardır. Gizli bilgi en yüksek dereceye sahip olduğundan, bunun için gereksinimler bir kat daha yüksektir. Bu nedenle, bu iki bilgi kategorisinin gereksinimlerindeki benzerlik nedeniyle, yalnızca doğrudan sınıflandırılmış bilgilerin korunmasıyla ilgili noktaları not ediyoruz.

Erişim denetimi alt sistemi şunları yapmalıdır:

Gizlilik etiketleriyle bilgi akışlarını yönetin. Bu durumda diskin gizlilik seviyesi, üzerine kaydedilen bilgilerin gizlilik seviyesinden düşük olmamalıdır;

Kayıt ve muhasebe alt sistemi şunları yapmalıdır:

"Basılı" bir kopya için basılı (grafik) belgelerin düzenlenmesini kaydedin. Bu hareket verilen belgenin gerçek hacmini (sayfa, sayfa, kopya sayısı) ve düzenleme sonucunu (başarılı - tüm cilt, başarısız) belirtmelidir;

Korumalı dosyalara yazılım araçlarına (programlar, işlemler, görevler, görevler) erişme girişimlerini kaydedin. Kayıt parametreleri şunları gösterir:

2) istenen işlemin türü (okuma, yazma, silme, yürütme, genişletme vb.);

Kayıt, yazılım araçlarına aşağıdaki ek korumalı erişim nesnelerine erişme girişimleri: terminaller, bilgisayarlar, bilgisayar ağı düğümleri, iletişim hatları (kanallar), harici bilgisayar cihazları, programlar, birimler, dizinler, dosyalar, kayıtlar, kayıt alanları. Kayıt parametreleri şunları gösterir:

1) dosyalara erişen programın adı (işlem, görev, görev);

2) istenen işlemin türü (okuma, yazma, bağlama, yakalama vb.);

Erişim nesnelerinin durumlarının yanı sıra erişim nesnelerinin yetkilerindeki değişiklikleri kaydedin. Kayıt parametreleri şunları gösterir:

1) yetki değişikliğinin tarihi ve saati;

2) değişiklikleri yapan erişim konusunun (yönetici) tanımlayıcısı;

Erişim kontrolü alt sisteminde kullanılan ek işaretlerini kullanarak oluşturulan korumalı dosyaların otomatik muhasebesini gerçekleştirin. İşaretleme, nesnenin gizlilik düzeyini yansıtmalıdır;

Özel bir dergide (kart dosyası) yayınlanmasının (resepsiyonunun) kaydı ile korunan medyanın kayıtlarını tutun;

Birkaç türde muhasebe (yinelenen) korumalı ortam yürütün;

Korumayı ihlal etme girişimleri hakkında sinyal;

Bütünlük güvencesi alt sistemi şunları yapmalıdır:

SVT'nin (cihazlar ve ortam) fiziksel korumasını gerçekleştirin. Bu durumda, NGS'nin bulunduğu bina ve tesislerde sürekli güvenlik varlığı sağlanmalıdır. Koruma, teknik koruma araçları ve özel personel yardımıyla ve ayrıca sıkı bir erişim kontrolü kullanılarak yapılmalıdır ve özel ekipman klima odasında;

Yetkisiz sistemin bilgi güvenliği sisteminin korunmasından, normal işleyişinden ve çalışmasının izlenmesinden sorumlu bir yöneticinin veya tüm bilgi güvenliği hizmetinin bulunmasını sağlayın. Yöneticinin kendi terminali ve gerekli operasyonel kontrol araçları ve NPP güvenliği üzerinde etkisi olmalıdır;

NSD'nin bilgi güvenliği sisteminin işlevlerini değiştirirken periyodik olarak test edin yazılım ortamı ve NPP personelinin yılda en az bir kez özel yazılım kullanması;

Sadece kullan sertifikalı fonlar koruma. Sertifikalandırmaları, NSD bilgi güvenliği sistemlerinin korunması araçlarının sertifikalandırılması için lisanslı özel sertifika merkezleri veya uzman kuruluşlar tarafından gerçekleştirilir;

Yukarıda tartışılan iki gereksinim grubunu ve bunların çeşitli kategorilerdeki (gizli ve gizli) bilgileri korumaya yönelik özelliklerini karşılaştıralım. Kurcalamaya karşı koruma mekanizmalarının ("Erişim Kontrol Alt Sistemi") ana grubunu oluşturan temel koruma mekanizmalarının şunlar olduğu açıktır:

Tanımlayıcı (kod) ve koşullu kalıcı şifre ile sisteme girerken erişim konularının tanımlanması ve doğrulanması;

Erişim matrisine göre öznelerin korunan kaynaklara erişiminin kontrol edilmesi.

Gizli bilgilerin korunmasındaki ek bir gereklilik ve temel farklılık, koruma mekanizmasının gizlilik etiketleri kullanarak bilgi akışını kontrol etmesi gerektiğidir. Bu durumda diskin gizlilik seviyesi, üzerine kaydedilen bilgilerin gizlilik seviyesinden düşük olmamalıdır.

Bu mekanizmaların üçü de temeldir. onlar bağlı Aşağıdaki şekilde: kaynaklara tüm erişim hakları (sınırlayıcı kaynak erişim politikası) belirli bir erişim konusu (kullanıcı) için ayarlanır. Bu nedenle, sisteme giriş yapılırken erişim konusu (kullanıcı) sırasıyla tanımlanmalı, gerçekliği kontrol edilmelidir. Bu genellikle gizli bir sözcük kullanılarak yapılır - bir parola.