Слайд 1Классификация автоматизированных систем в составе объектов вычислительной техники.
Слайд 2Информация
Федеральный закон “Об информации, информационных технологиях и о защите информации”
от 27 июля 2006 года регулирует отношения, возникающие при: осуществлении
права на поиск, получение, передачу, производство и распространение информации; применении информационных технологий и обеспечении защиты информации.
При этом под информацией – понимаются сведения (сообщения, данные) независимо от формы их представления.
Информация в зависимости от порядка её предоставления или распространения подразделяется на: свободно распространяемую; предоставляемую по соглашению лиц, участвующих в соответствующих отношениях; которая в соответствии с федеральными законами подлежит предоставлению или распространению и информацию распространение которой в РФ ограничивается или запрещается.
Условно её можно разделить на конфиденциальную и информацию составляющую государственную тайну.
Слайд 3Конфиденциальная информация
В качестве конфиденциальной рассматривается документированная информация, с
ограниченным доступом, за исключением сведений, отнесенных к государственной тайне и
персональным данным, содержащихся в государственных (муниципальных) информационных ресурсах, накопленных за счет государственного (муниципального) бюджета и являющихся собственностью государства (к ней может быть отнесена информация, составляющая служебную тайну и другие виды тайн в соответствии с законодательством Российской Федерации, а также сведения конфиденциального характера в соответствии с "Перечнем сведений конфиденциального характера", утвержденного Указом Президента Российской Федерации от 06.03.97 № 188), защита которой осуществляется в интересах государства (далее - служебная тайна).
Слайд 4Государственная тайна
Закон РФ от 21 июля 1993 г. N 5485-1
"О государственной тайне" (с изменениями от 6 октября 1997 г.,
30 июня 2003 г., 11 ноября 2003 г.) регулирует отношения, возникающие в связи с отнесением сведений к государственной тайне, их засекречиванием или рассекречиванием и защитой в интересах обеспечения безопасности Российской Федерации.
государственная тайна - защищаемые государством сведения в области его военной, внешнеполитической, экономической, научной, оперативно-розыскной разведывательной и контрразведывательной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.
Слайд 5В целях дифференцированного подхода к защите информации на предпроектной стадии
обследования ОИ производится:
категорирование помещений, в которых проводятся обсуждения или ведутся
переговоры по секретным, конфиденциальным вопросам (выделенные, защищаемые помещения);
категорирование основных технических систем и средств, предназначенных для обработки, передачи и хранения секретной и конфиденциальной информации;
классификация защищённости АС от несанкционированного доступа к информации, предназначенных для обработки секретной и конфиденциальной информации.
Слайд 6Основные руководящие документы ФСТЭК по категорированию и классификации объектов информатизации
ФЗ
«Об информации, информационных технологиях и о защите информации» от 27
июля 2006 г. N 149-ФЗ;
Федеральный закон РФ "О государственной тайне» от 21 июля 1993 г.;
Положение по аттестации объектов информатизации по требованиям безопасности информации, утверждено Председателем Гостехкомиссии России 25.11.94 г.;
«Специальные требования и рекомендации по защите информации от утечки по техническим каналам» от 1997 года
«Специальные требования и рекомендации по технической защите конфиденциальной информации» утверждены решением Коллегии Гостехкомиссии России от 02.03.01 г. № 7.2;
Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации РД Гостехкомиссии России, утвержден решением председателя Гостехкомиссии России от 30 марта 1992 г
Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. РД Гостехкомиссии России, утвержден решением председателя Гостехкомиссии России от 30 марта 1992 г
Слайд 7Защищаемые объекты информатизации:
средства и системы информатизации (средства вычислительной техники, автоматизированные
системы различного уровня и назначения на базе средств вычислительной техники,
в том числе информационно-вычислительные комплексы сети и системы связи и передачи данных)
технические средства приема, передачи и обработки информации (телефонии, звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео-, смысловой и буквенно-цифровой информации)
программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), используемые для обработки секретной информации
технические средства и системы, не обрабатывающие непосредственно секретную информацию, но размещенные в помещениях, где обрабатывается (циркулирует) секретная информация;
выделенные помещения, предназначенные для ведения секретных переговоров или в которых размещены средства закрытой телефонной связи.
Слайд 8Основные технические средства и системы (ОТСС) защищаемого объекта информатизации
Технические средства и системы, а также их коммуникации, используемые
для обработки, хранения и передачи секретной информации.
К ним могут относиться средства и системы информатизации (средства вычислительной техники, автоматизированные системы различного уровня и назначения на базе средств вычислительной техники, в том числе информационно-вычислительные комплексы, сети и системы, средства и системы связи и передачи данных), технические средства приема, передачи и обработки информации телефонии, звуковоспроизведения, звукоусиления, звукозаписи, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео-, смысловой и буквенно-цифровой информации), используемые для обработки секретной информации.
Слайд 9Вспомогательные технические средства и системы (ВТСС) защищаемого объекта информатизации
Технические средства и системы, не предназначенные для передачи обработки и
хранения секретной информации, устанавливаемые совместно с ОТСС или в выделенных помещениях.
К ним относятся:
различного рода телефонные средства и системы;
средства вычислительной техники;
средства и системы передачи данных в системе радиосвязи:
средства и системы охранной и пожарной сигнализации:
средства и системы оповещения и сигнализации:
контрольно-измерительная аппаратура;
средства и системы кондиционирования;
средства и системы проводной радиотрансляционной сети и приема программ радиовещания и телевидения (абонентские громкоговорители, системы радиовещания; телевизоры и радиоприемники и т.д.);
средства электронной оргтехники;
Слайд 10Контролируемая зона
Пространство, в котором исключено неконтролируемое пребывание лиц,
не имеющих постоянного или разового допуска, и посторонних транспортных средств.
Границей КЗ могут являться:
периметр охраняемой территории предприятия (учреждения);
ограждающие конструкции охраняемого здания, охраняемой части здания, выделенного помещения.
В отдельных случаях на период обработки техническими средствами секретной информации (проведения закрытого мероприятия) КЗ временно может устанавливаться большей, чем охраняемая территория предприятия. При этом должны приниматься организационно-режимные и технические меры, исключающие или существенно затрудняющие возможность ведения перехвата информации в этой зоне.
Слайд 11Классификация автоматизированных систем в составе объектов вычислительной техники
Класс защищенности автоматизированной
системы от НСД к информации устанавливается заказчиком и разработчиком автоматизированной
системы с привлечением специалистов по защите информации в соответствии с требованиями руководящих документов Гостехкомиссии России по этому направлению работ.
Классификация необходима для более детальной, дифференцированной разработки требований по защите от НСД с учетом специфических особенностей этих систем.
Слайд 12Характеристики объектов и субъектов защиты, положенные в основу системы классификации
АС
информационные - определяющие ценность информации, ее объем и степень (гриф)
конфиденциальности, а также возможные последствия неправильного функционирования АС из-за искажения (потери) информации;
организационные - определяющие полномочия пользователей;
технологические - определяющие условия обработки информации, например, способ обработки (автономный, мультипрограммный и т.д.), время циркуляции (транзит, хранение и т.д.), вид АС (автономная, сеть, стационарная, подвижная и т.д.).
Слайд 13Основные этапы классификации АС
Разработка и анализ исходных данных.
Выявление основных признаков
АС, необходимых для классификации.
Сравнение выявленных признаков АС с классифицируемыми.
Присвоение АС
соответствующего класса защиты информации от НСД.
Слайд 14Исходные данные необходимые для проведения классификации конкретной АС
перечень защищаемых информационных
ресурсов АС и их уровень конфиденциальности;
перечень лиц, имеющих доступ к
штатным средствам АС, с указанием их уровня полномочий;
матрица доступа или полномочий субъектов доступа по отношению к защищаемым информационным ресурсам АС;
режим обработки данных в АС.
Слайд 20Определяющие признаки
при классификации АС
Слайд 21Классы АС
Классификация АС приведена в Руководящем документе
"Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных
систем и требований по защите информации", (Гостехкомиссия РФ, 1992 г., далее - РД к АС).
Данный РД устанавливается девять классов защищенности АС от несанкционированного доступа к информации. Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС. В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности АС. Класс, соответствующий высшей степени защищенности для данной группы, обозначается индексом № A, где № - номер группы от 1 до 3. Следующий класс обозначается Б и т.д.
Слайд 23Вариант организации доступа персонала к ресурсам АС при классе защищённости
3 А
Слайд 24Вариант организации доступа персонала к ресурсам АС при классе защищённости
2 А
Слайд 25Вариант организации доступа персонала к ресурсам АС при классах защищённости
1 А, 1 Б, 1 В
Слайд 26Классификация СВТ по уровню защищенности от НСД
Классификация
АС приведена в Руководящем документе «Средства вычислительной техники. Защита от
несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации». утвержден решением председателя Гостехкомиссии России от 30 марта 1992 г
Данный РД устанавливает семь классов защищенности СВТ от НСД к информации. Самый низкий класс – седьмой, самый высокий – первый. Классы подразделяются на четыре группы, отличающиеся качественным уровнем защиты. Выбор класса защищенности СВТ для автоматизированных систем, создаваемых на базе защищенных СВТ, зависит от грифа секретности обрабатываемой в АС информации, условий эксплуатации и расположения объектов системы.
