Студопедия

Главная страница Случайная страница

КАТЕГОРИИ:

АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника






Означення та скорочення 3 страница






8.3. Організація технічного захисту інформації

Захист інформації здійснюється в порядку, встановленому нормативними документами системи ТЗІ (НД ТЗІ) з розроблення та впровадження заходів ТЗІ на об'єктах інформаційної діяльності з уточненнями, які визначаються особливостями використання технічних засобів:

— у приміщенні не циркулює інша інформація, крім тієї, що опрацьовується засобами КРТ;

— у приміщенні, разом з ІзОД, що опрацьовується КРТ, циркулює також інша інформація.

Якщо в приміщенні не циркулює інша інформація, крім тієї, що опрацьовується засобами КРТ, то в разі використання КРА класу А під час розроблення та впровадження заходів ТЗІ слід виходити з того, що технічні канали витоку інформації (ТКВІ) можуть створювати закладні пристрої з оптичними перетворювачами.

У разі використання КРА класу Б слід виходити з можливості існування ТКВІ шляхом ПЕМВН і закладних пристроїв з оптичними та електромагнітними перетворювачами.

Якщо в приміщенні, разом з ІзОД, що опрацьовується КРТ, циркулює також інша інформація, то необхідно проводити повний обсяг робіт, передбачених загальним порядком розроблення заходів з ТЗІ, що враховує загрози витоку технічними каналами інформації, яка опрацьовується засобами КРТ, визначеними п. 7.1, а також іншої інформації, що циркулює в цьому самому приміщенні.

У разі використання КРА класу Б в процесі розроблення заходів з ТЗІ необхідно враховувати вимоги НД ТЗІ, зокрема ТР ТЗІ-ПЕМВН—95 і ТР EOT—95. При цьому слід передбачати:

— встановлення КЗ, за межами якої виконуються норми захисту;

— вилучення незадіяних (задіяних) допоміжних технічних засобів, застосування яких не обгрунтоване виробничою необхідністю, а також вилучення з КЗ незадіяних (задіяних) кабелів та проводів, що виходять за межі КЗ, на які можливе наведення ЕРС інформативними ПЕМВ;

— застосування захищених засобів КРТ;

— блокування ТКВІ за допомогою засобів ТЗІ (пасивних, активних тощо).

Технічні засоби, що використовуються з метою забезпечення технічного захисту інформації, охорона якої забезпечується державою, повинні мати дозвіл уповноваженого органу і міститися у відповідних переліках.

Контроль ефективності захисту інформації здійснюється згідно з чинними НД ТЗІ.

Заходи з ТЗІ доцільно виконувати одночасно із захистом іншої інформації, що циркулює на об'єкті, де використовуються засоби КРТ.

Опрацювання ІзОД можливе лише після атестації комплексу ТЗІ на відповідність вимогам НД ТЗІ.

8.4. Рекомендації щодо захисту інформації, яка опрацьовується засобами КРТ класу Б

 

З метою ТЗІ від витоку мережами електроживлення трансформаторну підстанцію низької напруги, кабелі електроживлення, усі елементи уземлення та засоби ТЗІ, що підключаються до мережі живлення, рекомендується розміщувати в межах КЗ.

Забороняється підключення до низької сторони трансформаторної підстанції споживачів електроенергії, що розміщуються за межами КЗ. Якщо ця вимога не виконується, то необхідно застосовувати додаткові заходи із захисту (пасивні та активні), які визначаються за результатами обстеження згідно з ДСТУ 3396.1-96 та спецдосліджень.

Кола електроживлення КРТ на ділянці від технічних засобів до розділяючої системи чи захисних мережевих фільтрів рекомендується прокладати в жорстких екранованих конструкціях, кабелі прокладати окремими пакетами, без утворення петель, перетинання здійснювати під прямим кутом без електричного контакту екрануючих оболонок кабелів. У разі неможливості виконання вимог щодо рознесення кабелів, електроживлення засобів КРТ повинно забезпечуватися екранованими кабелями від розділювальних систем або через мережеві фільтри.

Опір контуру уземлення не повинен перевищувати 4 Ом, уземлю-ючі провідники првинні мати перехідний опір з'єднання не більше 600 мкОм та розміщуватися в межах КЗ (можливе використання глибинного уземлювача). Забороняється використовувати для уземлення металеві конструкції водопостачання, опалення, газофікації тощо. Якщо уземлення виконати утруднено, то допускається виконати зану-лення КРТ.

Екрануючі конструкції засобів КРТ та кабелів повинні створювати екранований замкнений об'єм.

У разі недостатності пасивних заходів ТЗІ застосовуються заходи активного захисту — просторове чи лінійне зашумлення.

 

8.5. Класифікатор засобів копіювально-розмножувальної техніки

 

Об'єктом класифікації є технічні засоби оргтехніки, що грунтуються на неполіграфічних методах оперативного копіювання та розмноження документації.

Ознаки, за якими проводиться класифікація засобів КРТ, визначаються загрозами для опрацьовуваної інформації, що спричиняються роботою таких засобів, зокрема фізичними процесами перенесення зображення — методами копіювання.

Загрозою для інформації, що опрацьовується засобом КРТ, є її витік технічними каналами (ДСТУ 3396.2-97) через:

— побічні електромагнітні випромінення (відповідно до ТР EOT—95 та ТР ТЗІ — ПЕМВН-95),

— електромагнітні наводи в мережі живлення, уземлення та інші загрози.

Засоби копіювально-розмножувальної техніки — світлокопіювальні, фотокопіювальні, термокопіювальні та мікрографічні апарати в процесі роботи не створюють інформативні побічні електромагнітні випромінення й наводи (ПЕМВН).

Електрофотографічні копіювальні апарати поділяються на аналогові — з оптичним перенесенням зображення з оригіналу на копію, та цифрові — з оптично-дискретним перенесенням зображення.

Електрофотографічні копіювальні апарати аналогового типу в процесі роботи не створюють інформативні ПЕМВН. Цифрові електрофо-тографічні копіювальні апарати створюють інформативні ПЕМВН, що можуть бути носіями інформації, яка обробляється. Під час роботи таких апаратів можливий витік інформації, що обробляється КРТ, каналами побічних електромагнітних випромінень (ПЕМВ) і наводів у мережі живлення та уземлення, а також інші загрози.

9. Захист інформації в комп'ютерній системі Підприємства

9.1. Загальні положення

Інформаційні ресурси держави або суспільства в цілому, а також окремих організацій і фізичних осіб являють собою певну цінність, мають відповідне матеріальне вираження і вимагають захисту від різноманітних за своєю суттю впливів, які можуть призвести до зниження цінності інформаційних ресурсів.

Впливи, які призводять до зниження цінності інформаційних ресурсів, називаються несприятливими. Потенційно можливий несприятливий вплив називається загрозою.

Захист інформації, що опрацьовується в комп'ютерних системах (КС), полягає в створенні й підтримці в дієздатному стані системи заходів як технічних (інженерних, програмно-апаратних), так і нетехнічних (правових, організаційних), що дозволяють запобігти або ускладнити можливість реалізації загроз, а також знизити потенційні збитки. Іншими словами, захист інформації спрямовано на забезпечення безпеки опрацьовуваної інформації і КС в цілому, тобто такого стану, який забезпечує збереження заданих властивостей інформації і КС, що її опрацьовує. Система зазначених заходів, що забезпечує захист інформації в КС, називається комплексною системою захисту інформації.

Істотна частина проблем забезпечення захисту інформації в КС може бути вирішена організаційними заходами. Проте, з розвитком інформаційних технрлогій спостерігається тенденція зростання потреби застосування технічних заходів і засобів захисту.

Правовою основою забезпечення технічного захисту інформації в Україні є Конституція України, Закони України «Про інформацію», «Про захист інформації в комп'ютерних системах», «Про державну таємницю», «Про науково-технічну інформацію», Концепція (основи державної політики) національної безпеки України, Концепція технічного захисту інформації в Україні, інші нормативно-правові акти, а також міжнародні договори України, що стосуються сфери інформаційних відносин.

До КС Підприємства, згідно зі встановленою НД ТЗІ 2.5—005 класифікацією, належать комп'ютерні системи, створені на базі локалізованого багатомашинного багатокористувачевого комплексу.

До складу КС Підприємства входять обчислювальна система, фізичне середовище, в якому вона перебуває й функціонує, користувачі КС та опрацьовувана інформація, зокрема й технологія її опрацювання. Під час забезпечення захисту інформації необхідно враховувати всі характеристики зазначених складових частин, які мають вплив на реалізацію політики безпеки.

9.2. Основні загрози інформації в КС Підприємства

Інформація в КС існує у вигляді даних, тобто.подається у формалізованому вигляді, придатному для опрацювання. Тут і далі під опрацюванням слід розуміти як власне опрацювання, так і введення, виведення, зберігання, передавання і т.ін. (ДСТУ 2226—93). Далі терміни «інформація» і «дані» використовуються як синоніми.

Інформація для свого існування завжди вимагає наявності носія. Носієм інформації може виступати поле або речовина. В деяких випадках у вигляді носія інформації може розглядатися людина. Втрата інформацією своєї цінності (порушення безпеки інформації) може статися внаслідок переміщення інформації або зміни фізичних властивостей носія.

При аналізі проблеми захисту від НСД інформації, яка може циркулювати в КС, як правило, розглядаються лише інформаційні об'єкти, що служать приймальниками/джерелами інформації, та інформаційні потоки (порції інформації, що пересилаються між об'єктами) безвідносно до фізичних характеристик їх носіїв.

Загрози опрацьовуваній в КС інформації залежать від характеристик ОС, фізичного середовища, персоналу- та опрацьовуваної інформації. Загрози можуть мати або об'єктивну природу, наприклад, зміну умов фізичного середовища (пожежі, повені і т. і.) чи відмову елементів ОС, або суб'єктивну, наприклад, помилки персоналу чи дії зловмисника. Загрози, що мають суб'єктивну природу, можуть бути випадковими або навмисними. Спроба реалізації загрози називається атакою.

З усієї множини способів класифікації загроз найпридатнішою для аналізу є класифікація загроз за результатом їхнього впливу на інформацію, тобто порушення конфіденційності, цілісності й доступності інформації.

Інформація зберігає конфіденційність, якщо дотримуються встановлені правила ознайомлення з нею.

Інформація зберігає цілісність, якщо дотримуються встановлені правила її модифікації (видалення).

Інформація зберігає доступність, якщо зберігається можливість ознайомлення з нею або її модифікації відповідно до встановлених правил протягом будь-якого певного (малого) проміжку часу.

Загрози, реалізація яких призводить до втрати інформацією якої-небудь з названих властивостей, відповідно є загрозами конфїдегіцій-ності, цілісності або доступності інформації.

Загрози можуть впливати на інформацію не безпосередньо, а опосередковано. Наприклад, втрата КС керованості може призвести до нездатності КС забезпечувати захист інформації і як результат до втрати певних властивостей опрацьовуваної інформації.

9.3. Визначення несанкціонованого доступу

Під несанкціонованим доступом (НСД) слід розуміти доступ до інформації з використанням засобів, які входять до складу КС, що порушує встановлені ПРД.

Несанкціонований доступ може здійснюватись як з використанням штатних засобів, тобто сукупності програмно-апаратного забезпечення, включеного до складу КС розробником під час розробки або системним адміністратором в процесі експлуатації, що входять у затверджену конфігурацію КС, так і з використанням програмно-апаратних засобів, включених до складу КС зловмисником.

До основних способів НСД належать:

• безпосереднє звертання до об'єктів з метою одержання певного виду доступу;

• створення програмно-апаратних засобів, що виконують звертання до об'єктів в обхід засобів захисту;

• модифікація засобів захисту, що дозволяє здійснити НСД;

• впровадження в КС програмних або апаратних механізмів, що порушують структуру й функції КС і дозволяють здійснити НСД.

Під захистом від НСД слід розуміти діяльність, спрямовану на забезпечення додержання правил розмежування доступу (ПРД) шляхом створення й підтримки в дієздатному стані системи заходів із захисту інформації.

 

9.4. Основні напрями захисту

 

Комп'ютерна система являє собою організаційно-технічну систему, яка об'єднує обчислювальну систему, фізичне середовище, персонал і опрацьовувану інформацію (рисунок). Прийнято розрізняти два основних напрями ТЗІ в КС — це захист КС і опрацьовуваної інформації від несанкціонованого доступу і захист інформації від витоку технічними каналами (оптичними, акустичними, захист від витоку каналами побічних електромагнітних випромінювань і наведень).

Кінцевою метою всіх заходів щодо захисту інформації, які реалізуються, є забезпечення безпеки інформації під час її опрацювання в АС. Захист інформації повинен забезпечуватись на всіх стадіях життєвого циклу КС, на всіх технологічних етапах опрацювання інформації та в усіх режимах функціонування. Життєвий цикл КС містить розробку, впровадження, експлуатацію та виведення з експлуатації.

Якщо в КС планується опрацювання інформації, порядок опрацювання й захисту якої регламентується законами України або іншими нормативно-правовими актами (наприклад, інформацією, що є державною таємницею), то для опрацювання такої інформації в цій КС необхідно мати дозвіл відповідного уповноваженого державного органу. Підставою для видачі такого дозволу є висновок експертизи КС, тобто перевірки відповідності реалізованої КСЗІ встановленим нормам.

У процесі експертизи оцінюється КСЗІ КС в цілому. Зокрема виконується й оцінка реалізованих в ОС КС засобів захисту. Засоби захисту від НСД, реалізовані в обчислювальній системі, слід розглядати як підсистему захисту від НСД у складі КСЗІ. Характеристики фізичного середовища, персоналу, опрацьовуваної інформації, організаційної підсистеми істотно впливають на вимоги до функцій захисту, що реалізуються ОС.

Обчислювальна система комп'ютерної системи являє собою сукупність апаратних засобів, програмних засобів (в тому числі програм ПЗП), призначених для опрацювання інформації. Кожний з компонентів ОС може розроблятися і надходити на ринок як незалежний продукт.

Кожний з цих компонентів може реалізовувати певні функції захисту інформації, оцінка яких може виконуватися незалежно від процесу експертизи КС і має характер сертифікації. За підсумками сертифікації видаєтся сертифікат відповідності реалізованих засобів захисту певним вимогам (критеріям). Наявність сертифіката на обчислювальну систему КС, або її окремі компоненти, може полегшити процес експертизи КС.

Як в процесі експертизи, так і сертифікації, оцінка реалізованих функцій захисту інформації виконується відповідно до встановлених критеріїв. Ці критерії встановлюються НД ТЗІ 2.5—004—99 «Критерії оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу» (далі — Критерії).

Як КС можуть виступати:

• ЕОМ загального призначення або персональна ЕОМ;

• операційна система; прикладна або інструментальна програма (пакет програм);

• КЗЗ, що окремо поставляється, або підсистема захисту від НСД, наприклад, мережа, яка являє собою надбудову над ОС; локальна обчислювальна мережа як сукупність апаратних засобів, ПЗ, що реалізує протоколи взаємодій, мережевої операційної системи і т. ін.;

• ОС комп'ютерної системи, яка реально функціонує в найбільш загальному випадку — сама КС або її частина.

Якщо для побудови КС використовуються компоненти, кожен або деякі з них мають сертифікат, що підтверджує, що ці компоненти реалізують певні функції захисту інформації. Це, проте не означає, що КС, яка складається з таких компонентів, буде реалізовувати всі ці функції.

Для гарантії останнього має бути виконано проектування КС з метою інтеграції засобів захисту, що надаються кожним компонентом, в єдиний комплекс засобів захисту. Таким чином, наявність сертифіката слід розглядати як потенційну можливість КС реалізовувати певні функції захисту опрацьовуваної інформації від певних загроз.


9.5. Політика безпеки інформації

Під політикою безпеки інформації слід розуміти набір законів, правил, обмежень, рекомендацій і т. ін., які регламентують порядок опрацювання інформації і спрямовані на захист інформації від певних загроз. Термін «політика безпеки» може застосуватися щодо організації; КС; ОС; послуги, що реалізується системою (набору функцій), і т. ін.

Політика безпеки інформації в КС є частиною загальної політики безпеки організації і може успадковувати, зокрема, положення державної політики в галузі захисту інформації.

Для кожної КС політика безпеки інформації може бути індивідуальною і залежати від технології опрацювання інформації, що реалізується; особливостей ОС; фізичного середовища і від багатьох інших чинників.

КС може реалізовувати кілька різноманітних технологій обробки інформації. Тоді й політика безпеки інформації в такій КС буде складеною і її частини, що відповідають різним технологіям, можуть істотно відрізнятися.

Політика безпеки повинна визначати ресурси КС, що вимагають захисту, зокрема встановлювати категорії інформації, опрацьовуваної в КС. Мають бути сформульовані основні загрози для ОС, персоналу, інформації різних категорій і вимоги до захисту від цих загроз.

Як складові частини загальної політики безпеки інформації в КС мають існувати політики забезпечення конфіденційності, цілісності й доступності опрацьовуваної інформації.

Відповідальність персоналу за виконання положень політики безпеки має бути персоніфікована.

9.6. Характеристика обчислювальної підсистеми КС

Метою створення комп'ютерних систем Підприємства є надання будь-якому користувачеві, відповідно із захищеною технологією опрацювання інформації, потенційної можливості доступу до інформаційних ресурсів усіх комп'ютерів, що об'єднані в'обчислювальну мережу.

Узагальнена функціонально-логічна структура обчислювальної системи КС Підприємства включає:

— підсистему опрацювання інформації;

— підсистему взаємодії користувачів з КС;

— підсистему обміну даними.

Підсистема опрацювання інформації реалізує головну цільову функцію КС і складається із засобів опрацювання інформації, які утворюють основу інформаційно-обчислювальних ресурсів КС, що надаються користувачам (обчислення, пошук, зберігання та опрацювання інформації). Принциповими її особливостями є багатофункціональність і можливість доступу до неї для будь-яких робочих станцій КС. Можливі обмеження визначаються тільки специфікою технологій, технічними й організаційними особливостями функціонування КС.

Як компоненти підсистеми можуть використовуватися універсальні високопродуктивні ЕОМ (зокрема й ПЕОМ), спеціалізовані сервери опрацювання даних або надання послуг (сервери баз даних, друку тощо). Підсистема взаємодії користувачів з КС забезпечує користувачам доступ до засобів підсистеми опрацювання інформації і подання отриманого від них ресурсу у вигляді результату обчислення, інформаційного масиву або графічного зображення у зручній та зрозумілій для користувача формі.

Компоненти підсистеми у функціональному відношенні е автономно замкненими та, як правило, не передбачається доступ до їхніх внутрішніх обчислювальних ресурсів зі сторони інших компонентів КС.

Як компоненти підсистеми можуть використовуватися ПЕОМ, що укомплектовані засобами введення та відображення інформації (робочі станції), дисплейні станції.

Підсистема обміну даними забезпечує взаємодію робочих станцій із засобами підсистеми опрацювання інформації, а також робочих станцій між собою на основі визначених правил, процедур обміну даними з реалізацією фаз встановлення, підтримання та завершення з'єднання. Підсистема забезпечує інформаційну взаємодію різних компонентів КС і об'єднує їх в єдине ціле як у структурному, так і у функціональному відношенні.

Підсистема обміну даними складається з пасивної мережі для обміну даними (кабельна мережа), активного мережевого обладнання (комутаторів, концентраторів, маршрутизаторів, шлюзів тощо), що об'єднує в єдине ціле пасивну мережу з обладнанням інших підсистем для забезпечення інформаційної взаємодії.

Як різновид підсистеми обміну даними можна розглядати структу-ровану кабельну систему — набір стандартних комутаційних елементів (кабелів, з'єднувачів, коннекторів, кросових панелей і спеціальних шаф та ін.), які.дають змогу створювати регулярні структури передачі даних, що відносно легко розширюються.

Обчислювальні системи, за допомогою яких реалізуються підсистема опрацювання інформації та підсистема взаємодії користувачів з КС, укомплектовані:

• засобами обчислювальної техніки;

• периферійним обладнанням — пристроями друку, зберігання інформації тощо;

• комплексом програмного забезпечення обчислювальної системи;

• комплексом програмно-апаратних засобів захисту інформації.

У разі необхідності засоби обчислювальної техніки додатково можуть комплектуватися сумісними периферійними пристроями і відповідними модулями системного програмного забезпечення.

Комплекс програмного забезпечення обчислювальної системи складають:

— операційні системи серверів;

— операційні системи універсальних високопродуктивних ЕОМ;

— операційні системи робочих станцій;

— операційні системи, що забезпечують виконання мережевих функцій;

— програмні засоби, що підтримують реалізацію протоколів передачі даних обчислювальної мережі;

— програмні засоби активних компонентів мережі, що реалізують спеціальні алгоритми управління мережею;

— системи керування базами даних серверів, високопродуктивних універсальних ЕОМ, робочих станцій;

— програмні засоби забезпечення КЗЗ;

— функціональне програмне забезпечення.

Наведена функціонально-логічна структура КС може розглядатися як універсальна, тоді як фізична структура комп'ютерної системи може мати значно більшу кількість модифікацій залежно від цілей та завдань, які вона повинна вирішувати; способу розподілу функцій між окремими технічними засобами; видів та можливостей технічних засобів, що застосовуються; інших специфічних особливостей, які враховуються під час проектування конкретної обчислювальної мережі.

 

9.7. Типові адміністративні та організаційні вимоги до КС Підприємства стосовно питань ТЗІ

Типові адміністративні та організаційні вимоги до обчислювальної системи КС, умов її функціонування й забезпечення захисту інформації визначаються наступним.

Для КС в цілому та (або) для окремих (усіх) її компонентів відповідно до вимог із захисту інформації від НСД повинен бути сформований перелік необхідних функціональних послуг захисту і визначено рівень гарантій реалізації їх.

Сервери, робочі станції, периферійні пристрої, інші технічні засоби опрацювання конфіденційної інформації повинні бути категорійовані згідно з вимогами нормативних документів із технічного захисту інформації, якщо це вимагається цими документами.

Засоби захисту інформації, інші технічні засоби та програмне забезпечення КС, що задіяні в КСЗІ, повинні мати підтвердження їхньої відповідності нормативним документам із захисту інформації (атестат, сертифікат відповідності, експертний висновок) і використовуватись згідно з вимогами, визначеними цими документами. Інших обмежень щодо типів технічних засобів опрацювання інформації та обладнання, видів програмного забезпечення не запроваджується.

Технічна та експлуатаційна документація на засоби захисту та опрацювання інформації, системне та функціональне програмне забезпечення належним чином класифіковані, і для кожної категорії користувачів визначено перелік документації, до якої вони можуть отримати доступ. Доступ до документації фіксується у відповідних реєстрах. Порядок ведення реєстрів визначає СЗІ.

Сервери і робочі станції, що зберігають та опрацьовують конфіденційну інформацію, повинні розташовуватися в приміщеннях, доступ до яких обслуговуючого персоналу та користувачів різних категорій здійснюється в порядку, визначеному СЗІ та затвердженому керівником установи (організації).

Повинен здійснюватися контроль за доступом користувачів та обслуговуючого персоналу до робочих станцій, серверів КС і компонентів підсистеми обміну даними на всіх етапах життєвого циклу КС, а також періодичний контроль за цілісністю компонентів підсистеми обміну даними (з метою виявлення несанкціонованих відводів від компонентів підсистеми).

З метою забезпечення безперервного функціонування під час опрацювання, зберігання та передачі конфіденційної інформації КС повинна мати можливість оперативного, без припинення її функціонування, проведення регламентного обслуговування, модернізації обчислювальної системи в цілому або окремих її компонентів. Порядок введення в експлуатацію нових компонентів, якщо це впливає на захист інформації в КС, визначається СЗІ.

Програмно-апаратні засоби захисту, що входять до складу КЗЗ, разом з організаційними заходами повинні забезпечувати СЗІ інформацією про користувачів, які працюють в системі, з локалізацією точки їхнього входу в систему і переліком технічних засобів і процесів, до яких вони отримали доступ.

Має бути визначено порядок організації та проведення СЗІ процедур періодичного та/або динамічного тестування комплексу засобів захисту інформації під час функціонування КС.

 

9.8. Характеристика фізичного середовища ХС

У загальному випадку КС є територіальне розосередженою системою, фізичне розташування компонентів якої можна подати як ієрархію, що включає:

— територію, на якій вона знаходиться;

— будівлю, яка знаходиться на території;

— окреме приміщення в межах будівлі.

КС комплектується необхідними засобами енергозабезпечення, сигналізації, зв'язку, допоміжними технічними засобами, іншими системами життєзабезпечення.

Типові адміністративні та організаційні вимоги щодо умов розміщення компонентів КС наступні.

Усі будівлі повинні бути розміщені в межах контрольованої території, що має пропускний та внутрішній режими, які відповідають режимним вимогам, що визначено чинними в організації нормативними та розпорядчими документами.

Контроль за доступом до приміщень, де знаходяться критичні з точки зору безпеки інформації компоненти КС, повинен забезпечуватися на всіх етапах її життєвого циклу. Порядок доступу до приміщень

з визначенням категорій користувачів, які мають право це здійснювати, визначається СЗІ і затверджується керівником організації.

Для приміщень, в яких розташовані категорійовані компоненти КС, повинні бути вжиті відповідні заходи щодо захисту інформації від витоку технічними каналами, достатність і ефективність яких засвідчується актами атестації комплексів технічного захисту інформації для кожного такого приміщення.

 

9.9. Характеристика користувачів КС

За рівнем повноважень щодо доступу до інформації, характером та складом робіт, які виконуються в процесі функціонування комп'ютерних систем, особи, що мають доступ до КС, поділяються на наступні категорії:

• користувачі, яким надано повноваження розробляти й супроводжувати КСЗІ (адміністратор безпеки, співробітники ПЗІ);

• користувачі, яким надано повноваження забезпечувати управління КС (адміністратори операційних систем, СКБД, мережевого обладнання, сервісів та ін.);

• користувачі, яким надано право доступу до конфіденційної інформації одного або кількох класифікаційних рівнів;

• користувачі, яким надано право доступу тільки до відкритої інформації;

• технічний обслуговуючий персонал, який забезпечує належні умови функціонування КС;

• розробники та проектувальники апаратних засобів КС, які забезпечують її модернізацію та розвиток;

• розробники програмного забезпечення, які здійснюють розробку та впровадження нових функціональних процесів, а також супроводження вже діючих;

• постачальники обладнання і технічних засобів КС та фахівці, що здійснюють його монтаж, поточне гарантійне й післягарантійне обслуговування;

• технічний персонал, які здійснює повсякденне підтримання життєдіяльності фізичного середовища КС (електрики, технічний персонал з обслуговування будівель, ліній зв'язку тощо).

Усі користувачі та персонал КС повинні пройти підготовку щодо умов та правил використання технічних і програмних засобів, які застосовуються ними під час виконання своїх службових та функціональних обов'язків.

Доступ осіб усіх категорій до конфіденційної інформації та її носіїв здійснюється на підставі дозволу, що надається наказом (розпорядженням) керівника організації. Дозвіл надається лише для виконання ними службових та функціональних обов'язків і на термін не більший, ніж той, що цими обов'язками передбачений.

Якщо в КС встановлено кілька класифікаційних рівнів конфіденційної інформації, то кожній особі з допущених до роботи в КС мають бути визначені її повноваження щодо доступу до інформації певного класифікаційного рівня.

Дозвіл на доступ до конфіденційної інформації, що опрацьовується в КС, може надаватися лише користувачам. Як виключення в окремих випадках (наприклад, аварії або інші непередбачені ситуації) дозвіл може надаватися іншим категоріям осіб на час ліквідації негативних наслідків і поновлення працездатності КС.

Персонал КС, розробники програмного забезпечення, розробники та проектувальники апаратних засобів, постачальники обладнання та фахівці, що здійснюють монтаж і обслуговування технічних засобів КС, і не мають дозволу на доступ до конфіденційної інформації, можуть мати доступ до програмних та апаратних засобів КС лише під час робіт із тестування й інсталяції програмного забезпечення, встановлення і регламентного обслуговування обладнання тощо, за умови обмеження доступу їх до даних конфіденційного характеру.


Поделиться с друзьями:

mylektsii.su - Мои Лекции - 2015-2024 год. (0.021 сек.)Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав Пожаловаться на материал