В связи с тем, что меры контроля / анализа защищённости персональных данных входят в базовые наборы мер защиты начиная с УЗ4 – УЗ3, большинство операторов персональных данных обзавелось сканерами защищенности. Иногда сталкиваюсь со следующими вопросом: а нужно ли вообще запускать этот сканер, и если да, то с какой периодичностью и что именно проверять.
Давайте попробуем разобраться:
· сканеры используется для реализации группы мер по контролю (анализу) защищенности персональных данных (АНЗ) обязательных в соответствии с приказом ФСТЭК России №21 от 18 февраля 2013 г.
· посмотрим, имеется ли в нормативно-правовых актах РФ какие-то обязательные требования к порядку или периодичности проведения сканирования защищенности:
Приказ ФСТЭК России №21
“8.8. Меры по контролю (анализу) защищенности персональных данных должны обеспечивать контроль уровня защищенности персональных данных, обрабатываемых в информационной системе, путем проведения систематических мероприятий по анализу защищенности информационной системы и тестированию работоспособности системы защиты персональных данных.
АНЗ.1 Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей
АНЗ.2 Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации
АНЗ.3 Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации
АНЗ.4 Контроль состава технических средств, программного обеспечения и средств защиты информации”
ГОСТ Р 51583-2014 порядок создания АС в защищенном исполнении
Больше НПА, содержащих требования к анализу защищенности найти не удалось
Значит в нормативно-правовых актах РФ не содержится требований к порядку и периодичности
проведения сканирований защищенности, соответственно параметры настройки профилей сканирования, периодичности анализа уязвимостей определяется оператором самостоятельно
· как же ему определить этот порядок и периодичность?
· скорее всего нужно исходить из особенностей и критичности информационной системы, состава используемого программного обеспечения и внутренних правил обновления программного обеспечения;
· также необходимо понимать, что по результатам сканирования формирует отчет по уязвимостям, который ещё необходимо отработать – устранить уязвимости и установить недостающие обновления. Нет никакого смысла проводить сканирование чаще, чем ответственные лица успевают обработать отчет и устранить уязвимости. Периодичность сканирования > среднего времени на обработку отчета по уязвимостям
· при определении порядка и периодичности сканирования оператор информационной системы может руководствоваться собственной экспертизой в области информационной безопасности, опытом проведения мероприятий по анализу защищенности, рекомендациями внешних экспертов и лицензиатов ФСТЭК, а также документами, носящими статус “рекомендованных” или “лучших практик”
· при этом необходимо учитывать, что меры по анализу защищенности должен быть систематическими (пункт 8.8 приказ ФСТЭК №21) и должны быть достаточными для нейтрализации актуальных угроз (пункт 2 Постановление правительства №1119)
· посмотрим, что есть в лучших методических документах и лучших практиках:
ГОСТ Р ИСО/МЭК 27002-2012
“12.6 Менеджмент технических уязвимостей
Цель: Снизить риски, являющиеся результатом использования опубликованных технических уязвимостей.
Менеджмент технических уязвимостей следует осуществлять эффективным, систематическим и повторяемым способом, с проведением измерений с целью подтверждения его эффективности. Эти соображения должны касаться эксплуатируемых систем и любых других используемых прикладных программ.
12.6.1 Управление техническими уязвимостями
Мера и средство контроля и управления
Необходимо получать своевременную информацию о технических уязвимостях используемых информационных систем, оценивать незащищенность организации в отношении таких уязвимостей и принимать соответствующие меры для рассмотрения связанного с ними риска.
Постоянно обновляемая и полная опись активов (см. 7.1) является предпосылкой эффективного менеджмента технических уязвимостей. Специальная информация, необходимая для поддержки менеджмента технических уязвимостей, включает в себя информацию о поставщике программного обеспечения, номерах версий, текущем состоянии развертывания (например, какое программное обеспечение установлено на каких системах) и специалисте(ах), отвечающем(их) в организации за программное обеспечение.
Аналогично, своевременное действие должно предприниматься в ответ на выявление потенциальных технических уязвимостей. Для создания эффективного процесса менеджмента в отношении технических уязвимостей необходимо выполнять следующие рекомендации:
a) в организации необходимо определять и устанавливать роли и обязанности, связанные с менеджментом технических уязвимостей, включая мониторинг уязвимостей, оценку риска проявления уязвимостей, исправление программ (патчинг), слежение за активами и любые другие координирующие функции;
b) информационные ресурсы, которые будут использоваться для выявления значимых технических уязвимостей и обеспечения осведомленности о них, следует определять для программного обеспечения и другой технологии на основе списка инвентаризации активов (см. 7.1.1); эти информационные ресурсы должны обновляться вслед за изменениями, вносимыми в опись, или когда найдены другие новые или полезные ресурсы;
c) необходимо определить временные параметры реагирования на уведомления о потенциально значимых технических уязвимостях;
d) после выявления потенциальной технической уязвимости организация должна определить связанные с ней риски и действия, которые необходимо предпринять; такие действия могут включать внесение исправлений в уязвимые системы и (или) применение других мер и средств контроля и управления;
e) в зависимости от того, насколько срочно необходимо рассмотреть техническую уязвимость, предпринимаемое действие следует осуществлять в соответствии с мерами и средствами контроля и управления, связанными с менеджментом изменений (см. 12.5.1), или следуя процедурам реагирования на инциденты информационной безопасности (см. 13.2);
f) если имеется возможность установки патча, следует оценить риски, связанные с его установкой (риски, создаваемые уязвимостью, необходимо сравнить с риском установки патча);
g) перед установкой патчи следует тестировать и оценивать для обеспечения уверенности в том, что они являются эффективными и не приводят к побочным эффектам, которые нельзя допускать; если нет возможности установить патч, следует рассмотреть другие меры и средства контроля и управления, например:
1) отключение сервисов, связанных с уязвимостью;
2) адаптацию или добавление средств управления доступом, например, межсетевых экранов на сетевых границах (см. 11.4.5);
3) усиленный мониторинг для обнаружения или предотвращения реальных атак;
4) повышение осведомленности об уязвимостях;
h) в контрольный журнал следует вносить информацию о всех предпринятых процедурах;
i) следует регулярно проводить мониторинг и оценку процесса менеджмента технических уязвимостей в целях обеспечения уверенности в его эффективности и действенности;
j) в первую очередь следует обращать внимание на системы с высоким уровнем риска.
Дополнительная информация
Правильное функционирование процесса менеджмента технических уязвимостей играет важную роль для многих организаций, поэтому процесс должен подвергаться регулярному мониторингу. Для обеспечения уверенности в том, что потенциально значимые технические уязвимости выявлены, важна точная инвентаризация.
Менеджмент технических уязвимостей может рассматриваться как подфункция менеджмента изменений и в качестве таковой может воспользоваться процессами и процедурами менеджмента изменений (см. 10.1.2 и 12.5.1).
Поставщики часто испытывают на себе значительное давление, заключающееся в требовании выпускать патчи в кратчайшие сроки. Поэтому патч не может решить проблему адекватно и может иметь побочные эффекты. К тому же, в некоторых случаях, если патч был однажды применен, деинсталлировать его может быть нелегко.
Если адекватное тестирование патчей провести не удается, например по причине затрат или отсутствия ресурсов, можно рассмотреть задержку в осуществлении внесения изменений, чтобы оценить связанные с этим риски, основанные на опыте других пользователей.”
РС БР ИББС-2.6-2014
“10. Стадия эксплуатации
10.1. Основными задачами на стадии эксплуатации в части обеспечения ИБ являются:
- периодическая оценка защищенности АБС (проведение мероприятий по выявлению типичных уязвимостей программных компонентов АБС, тестирование на проникновение);
10.2. Периодичность проведения работ по оценке защищенности определяется решении
ем организации БС РФ. Для АБС, используемых для реализации банковского платежного тех-
нелогического процесса, рекомендуется проведение комплексной оценки защищенности не
реже одного раза в год”
методический документ ФСТЭК России “Меры защиты информации в государственных информационных системах”
, который может применяться и для обеспечения безопасности персональных данных по решению оператора
“АНЗ.1 ВЫЯВЛЕНИЕ, АНАЛИЗ И УСТРАНЕНИЕ УЯЗВИМОСТЕЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ
Выявление (поиск), анализ и устранение уязвимостей должны проводиться на этапах создания и эксплуатации информационной системы. На этапе эксплуатации поиск и анализ уязвимостей проводится с периодичностью, установленной оператором. При этом в обязательном порядке для критических уязвимостей
проводится поиск и анализ уязвимостей в случае опубликования в общедоступных источниках
информации о новых уязвимостях в средствах защиты информации, технических средствах и программном обеспечении, применяемом в информационной системе.
Требования к усилению АНЗ.1:
2) оператор должен уточнять перечень сканируемых в информационной системе уязвимостей с установленной им периодичностью, а также после появления информации о новых уязвимостях;”
· руководствуясь методическим документом ФСТЭК - анализ защищенности необходимо проводить в обязательном порядке после опубликования информации о критической уязвимости или обновлении;
· для ОС Windows такие уязвимости появляются в среднем ежемесячно ;
· по моему мнению для обеспечения нейтрализации актуальных угроз анализ защищенности с использованием сканеров необходимо проводить не реже чем ежеквартально
· в качестве старта при определении что и как проверять, можно использовать приложение 3 Рекомендации к проведению оценки защищенности к РС БР ИББС-2.6-2014 – раздел 2 “Выявление известных уязвимостей”
1. Организация работ по технической защите информации:
1.1.Организация технической защиты информации, отнесенной к государственной и служебной тайне, от ИТР и от утечки по техническим каналам:
- наличие руководящих и нормативно-технических документов по вопросам технической защиты информации;
- наличие документов, регламентирующих деятельность структурных подразделений по технической защите информации (задачи, функциональные обязанности и т.д.);
- проведение анализа и оценки реальной опасности утечки информации по техническим каналам, полнота и правильность выявления возможных технических каналов утечки информации, подлежащей защите;
- полнота, качество и обоснованность разработки организационно-технических мероприятий по защите информации, порядок их реализации;
- порядок организации и проведения контроля состояния технической защиты информации, его эффективность;
- своевременность и полнота выполнения требований руководящих документов, решений Гостехкомиссии России, нормативно-технических и методических документов по технической защите информации.
1.2. Изучение и анализ деятельности структурных подразделений (ответственных должностных лиц), по обеспечению безопасности информации, подлежащей защите, решаемые ими задачи и функциональные обязанности.
1.3. Анализ материалов, характеризующих разведдоступность к информации, циркулирующей в структурных подразделениях. Выявление наличия в 1000-метровой зоне иностранных представительств, пользующихся правом экстерриториальности, мест пребывания иностранных специалистов.
1.4 Изучение и анализ перечня сведений, подлежащих защите:
- наличие перечня сведений, подлежащих защите от технических средств разведки и от утечки по техническим каналам:
- полнота и правильность определения демаскирующих признаков, раскрывающих эти сведения;
1.5 Наличие системы защиты информации:
- наличие задач по технической защите информации в организационно-распорядительных документах, регламентирующих деятельность организаций и ведомств, входящих в единую систему органов государственного управления в Российской Федерации;
- организация и осуществление работ по технической защите информации в центральном аппарате министерства (ведомства) и в подведомственных ему предприятиях, организациях и учреждениях;
- взаимодействие по вопросам технической защиты информации с другими министерствами (ведомствами) и другими сторонними организациями;
- обеспечение контроля эффективности защиты сведений, составляющих государственную и служебную тайну, во всех подчиненных и подведомственных министерству (ведомству) предприятиях, учреждениях и организациях, осуществляющих работу с ними.
1.6 Анализ возможных технических каналов утечки информации о сведениях, отнесенных к государственной тайне, в процессе деятельности министерства (ведомства) и подведомственных им предприятий, организаций и учреждений.
1.7 Анализ информационных потоков при функционировании структурных подразделений.
1.8 Анализ состава технических и программных средств, участвующих в обработке информации, их дислокации, технологии обработки информации и состояния ее защиты:
- состояние учета всех технических и программных средств отечественного и импортного производства, участвующих в обработке информации, подлежащей защите;
- размещение средств ЭВТ, ТСПИ (с привязкой к помещениям, в которых они установлены), трасс прокладки информационных и неинформационных цепей, выходящих за пределы контролируемой территории.
1.9 Проведение анализа доступности информации, обрабатываемой в АСУ, ЭВТ и другими техническими средствами.
1.10 Изучение организации и фактического состояния доступа обслуживающего и эксплуатирующего персонала к информационным ресурсам.
2. Контроль состояния защиты информации:
Организация защиты информации в системах и средствах информатизации и связи:
- проведение аттестования систем и средств автоматизации и связи, которые участвуют в обработке информации, отнесенной к государственной и служебной тайне;
- проведение спецпроверок по выявлению закладных устройств;
- деятельность структурных подразделений, отвечающих за проведение автоматизации процессов обработки информации, учет, хранение, доступ к ее магнитным носителям, обязанности лиц, ответственных за безопасность информации;
- своевременность и правильность внедрения системы защиты информации, оформления разрешения на обработку конфиденциальной информации;
- правильность размещения и использования технических средств, их отдельных элементов;
- применяемые меры защиты информации oт утечки за счет побочных электромагнитных излучений и наводок, электроакустических преобразований;
- применяемые меры по предотвращению несанкционированного доступа к информации, а также перехвата техническими средствами речевой информации из помещений и объектов защиты.
2.1 От несанкционированного доступа (НСД)
При проверке состояния защиты программно-информационных ресурсов от НСД целесообразно выполнить следующие мероприятия:
2.1.1 Определить класс автоматизированной системы, применяемой операционной системы, системы защиты от НСД и другого математического обеспечения. 2.1.2 Проверить выполнение организационных и технических мер по технической защите информации, циркулирующей в АС или СВТ. 2.1.3 Проверить наличие, качество установки и порядка эксплуатации программно-аппаратных средств защиты. 2.1.4 Подготовить и выполнить контрольное тестирование средств защиты информации, обрабатываемой АС и СВТ, сформировать машинные протоколы испытаний и их анализ. 2.1.5 Проанализировать результаты тестирования и установить фактические характеристики средств защиты, их соответствие показателям защищенности автоматизированной системы. 2.1.6 Провести обследование программно-информационного обеспечения одной или нескольких ПЭВМ (отдельных или из состава локальных вычислительных сетей) на отсутствие специального программного воздействия:
- анализ информации о косвенных и прямых признаках заражения программно-информационного обеспечения ЭВМ компьютерными “вирусами”;
- анализ схемно-технических, программно-аппаратных, организационных и других решений по организации защиты информации от специального программного воздействия, путей получения программного продукта и порядка его применения с целью выявления каналов проникновения “вирусов” или внедрения злоумышленниками специальных программ в АС или СВТ;
- контроль целостности программно-информационного обеспечения, общесистемного и прикладного программного обеспечения и поиск скрытых программных механизмов искажения (уничтожения) информации.
2.2 От утечки информации за счет побочных электромагнитных излучений и наводок (ПЭМИН)
2.2.1 Проанализировать применимость имеющихся тест-программ или разработать новые для данного проверяемого технического средства.
2.2.2 На основании исходной информации выбрать для инструментального контроля технические средства передачи, хранения и обработки информации.
2.2.3 Провести инструментальный контроль эффективности защиты от утечки ПЭМИН защищаемых технических средств.
2.3 От утечки речевой информации, циркулирующей в выделенных помещениях, за счет наводок и акустического поля
При проведении проверок состояния защиты речевой информации, циркулирующей в выделенных помещениях, целесообразно:
2.3.1 Проанализировать доступность речевой информации, циркулирующей в служебных помещениях руководящего состава, а также помещениях, где ведутся конфиденциальные переговоры или установлены технические средства обработки конфиденциальной информации.
- изучить условия размещения выделенных помещений и установленных в них основных (ОТСС) и вспомогательных технических систем и средств (ВТСС), схем их размещения и трасс прокладки соединительных линий;
- выявить линии, имеющие выход за границу контролируемой зоны (ГКЗ);
- уточнить разведобстановку, определить разведопасные направления и места возможного размещения средств акустической разведки;
- проверить наличие и качество рабочих документов по защите речевой информации;
2.3.2 Проверить выполнение организационных и технических мер защиты речевой информации, циркулирующей в выделенных помещениях. При этом целесообразно выполнить следующий комплекс мероприятий:
- проверку выполнения требований предписаний на эксплуатацию и порядка эксплуатации технических средств передачи, хранения и обработки информации ТСПИ (обход всех выделенных помещений);
- проверку своевременности и правильности категорирования выделенных помещений, порядка их аттестации при вводе в эксплуатацию и оформления разрешения на право проведения мероприятий конфиденциального характера и ведения конфиденциальных переговоров;
- проверку наличия, качества установки и порядка эксплуатации средств защиты речевой информации от утечки по техническим каналам;
- проверку выполнения требований по проведению спецпроверок технических средств (на отсутствие специальных излучающих устройств);
2.3.3 Провести инструментальный контроль защищенности речевой информации, циркулирующей в выделенных помещениях, обрабатываемой и передаваемой ТСПИ, с целью выявления возможных технических каналов утечки:
. Контроль за выполнением требовании закона Российской Федерации “О государственной тайне”Порядок приема иностранных граждан и его соответствие требованиям нормативных документов. Оценка применяемых мер защиты информации при посещении организаций (предприятий) иностранными представителями. Участие специалистов по противодействию разведкам в анализе возможных каналов утечки информации, аттестации и специальных проверках помещений до и после приема иностранных специалистов. Наличие Программ приема, согласование с органами ФСБ. Разработка и осуществление (при необходимости) дополнительных мероприятий по технической защите информации.
3.1 Проверка наличия структурных подразделений, сотрудников, уровня их подготовки, квалификации, обеспечивающих решение вопросов, связанных с гостайной. 3.2 Проверка наличия лицензии на право проведения работ, связанных с выполнением закона РФ “О государственной тайне”, как в штатных структурных подразделениях, так и во внешних организациях, выполняющих работы (оказывающих услуги) по технической защите информации в интересах министерства (ведомства) и подведомственных им предприятиях, организациях и учреждениях. 3.3 Проверка наличия руководящих документов и их содержания по вопросу технической защиты информации (закона РФ “О государственной тайне”, Перечня сведений, подлежащих защите... и др.). 3.4 Проверка состояния режима конфиденциальности в подразделениях и степени его соответствия руководящим документам по ведению делопроизводства (оборудование помещений, учет и хранение конфиденциальных документов, допуск к ведению делопроизводства и конфиденциальным документам). 3.5 Проверка своевременности и правильности доведения требований руководящих документов по технической защите информации до сотрудников подразделений, знание их сотрудниками. 3.6 Проверка правильности категорирования информации по степени конфиденциальности, порядка ее учета и хранения при использовании технических средств (ЭВТ, ТСПИ, оргтехники и т.п.). 3.7 Проверка правильности распечатки (размножения) конфиденциальных документов, их учета и порядка доведения до исполнителей. 3.8 Проверка порядка допуска сотрудников к работам с грифованной информацией. 3.9 Проверка организации работ по снижению степени конфиденциальности (рассекречиванию) документов и доведения информации до исполнителей. 3.10 Проверка наличия “Аттестатов соответствия” на выделенные помещения и технические средства, участвующие в обработке информации, подлежащей защите, и сертификационных документов на средства технической защиты информации и контроля ее эффективности.4. Вопросы, подлежащие рассмотрению при проверке лицензиатов
4.1 Проверяется:
- наличие лицензии (разрешения) на право проведения работ по технической защите информации, проверка действительности лицензии установленным срокам и соответствия практически выполняемым лицензиатом работ (1.5)*;
- наличие у лицензиата документов о государственной регистрации предпринимательской деятельности и устава предприятия (1.7)*;
- состояние производственной и испытательной базы, наличие нормативной и методической документации для проведения работ по заявленным видам деятельности (1.6)*;
- укомплектованность научным и инженерно-техническим персоналом для проведения работ по заявленным видам деятельности. Уровень подготовленности специалистов для проведения работ (1.6)*;
- профессиональная подготовка руководителя предприятия-лицензиата и (или) лиц, уполномоченных им для руководства лицензионной деятельностью (1.7)*;
- соблюдение договорных обязательств по обеспечению сохранности конфиденциальных и материальных ценностей физических и юридических лиц, воспользовавшихся услугами лицензиата (2.4)*;
- своевременность и полнота представления в государственный орган по лицензированию или в лицензионный центр сведений о выполненных работах по конкретным видам указанной в лицензии деятельности в соответствии с требованиями Гостехкомиссии России (2.4)*;
- качество оказанных лицензиатом услуг (оценка эффективности проведенных лицензиатами мероприятий по технической защите информации на 1-3 предприятиях-потребителях, воспользовавшихся услугами лицензиата (3.2)*.
4.2 Результаты проверки лицензиатов отражаются в виде отдельного раздела акта или справки, оформляемых по итогам плановой проверки министерств (ведомств) и подведомственных им предприятий, организаций и учреждений. На основании полученных результатов делается заключение о соответствии лицензиата установленным требованиям и возможности дальнейшего проведения им работ по заявленным направлениям.
Примечание: *) В скобках указаны разделы “Положения о государственном лицензировании деятельности в области защиты информации”.
Проверка защищенности информации от НСД заключается в проверке соответствия эффективности мероприятий по защите информации установленным требованиям или нормам по безопасности информации. Тестируются все группы средств защиты от НСД, рассмотренные нами в предыдущих лекциях.
Проверяется соответствие описания технологического процесса обработки и хранения защищаемой информации реальному процессу.
Оценивается возможность переноса информации большего уровня конфиденциальности на информационный носитель меньшего уровня.
Проводится анализ разрешенных и запрещенных связей между субъектами и объектами доступа с привязкой к конкретным ОТСС и штатному персоналу.
Оценивается соответствие разрешенных и запрещенных связей разрешительной системе доступа персонала к защищаемым ресурсам на всех этапах обработки.
Проверка, как правило, осуществляется с использованием программных и программно-аппаратных средств контроля защищенности. В качестве примера рассмотрим продукты одной фирмы-ООО "Центр безопасности информации".
Средство контроля защищенности от НСД "Ревизор 2 ХР" предназначено для контроля полномочий доступа к информационным ресурсам.
- отображение всей информации, содержащейся в ПРД (возможен только просмотр);
- сравнение структуры ресурсов АРМ, описанной в ПРД, с реальной структурой ресурсов;
- создание отчета по результатам сравнения;
- построение плана тестирования объектов АРМ;
- проверка реальных прав доступа пользователей к объектам доступа;
- создание отчета по результатам тестирования.
Сетевой сканер "Ревизор сети" версия 3.0 предназначен для обнаружения уязвимостей установленного сетевого программного и аппаратного обеспечения, использующего протоколы стека TCP/IP . Система имеет широкие возможности, одной из которых является поиск уязвимостей, содержащихся в базе данных угроз и уязвимостей ФСТЭК, рассмотренных нами ранее. Кроме того программа проводит поиск уязвимостей, содержащихся в cve.mitre. org , ovaldb.altx-soft.ru, microsoft . com и некоторых других источниках.
Средство фиксации и контроля исходного состояния программного комплекса "ФИКС" предназначено для контроля подсистемы обеспечения целостности. Основные возможности программы:
- фиксация исходного состояния программного комплекса;
- контроль исходного состояния программного комплекса;
- фиксация и контроль каталогов;
- контроль различий в заданных файлах (каталогах);
- возможность работы с длинными именами файлов и именами, содержащими символы кириллицы.
Программа поиска и гарантированного уничтожения информации на дисках "TERRIER" позволяет осуществить контроль уничтожения информации. Для проверки необходимо создать на конфиденциальном логическом диске файл с контрольной комбинацией символов, определить местонахождение секторов с помощью "TERRIER", удалить файл с помощью штатных средств и проконтролировать его удаление с помощью TERRIER.
18.4. Документирование результатов контроля. Требования к средствам контроля защищенности информации
Следует отметить, что к средствам контроля эффективности мер защиты информации, как и к производителям таких средств, предъявляются достаточно жесткие требования. В соответствии с "Положением о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации", утвержденным Постановлением Правительства 3 марта 2012 №171, разработка и производство технических средств контроля эффективности мер защиты информации подлежит лицензированию. А сами разрабатываемые и производимые средства контроля эффективности мер защиты должны иметь сертификат соответствия ФСТЭК по требованиям Постановления Правительства РФ от 26 июня 1995 г. N 608 "О сертификации средств защиты информации".
Контроль эффективности защиты завершается оформлением Заключения с краткой оценкой соответствия объекта информатизации по безопасности информации, конкретными рекомендациями по устранению допущенных нарушений, приведению системы защиты объекта информатизации в соответствие с установленными требованиями, совершенствованию этой системы, рекомендациями по контролю функционирования объекта информатизации. К Заключению прилагаются протоколы испытаний, подтверждающие полученные при испытаниях результаты и обосновывающие приведенный в заключении вывод .
Контроль эффективности ТЗИ заключается в проверке соответствия качественных и количественных показателей эффективности мероприятий по ТЗИ требованиям или нормам эффективности ТЗИ.
Контроль эффективности ТЗИ включает:
Технический контроль эффективности ТЗИ – контроль эффективности ТЗИ, проводимый с использованием технических средств контроля.
Организационный контроль эффективности ТЗИ – проверка соответствия полноты и обоснованности мероприятий по ТЗИ требованиям руководящих и нормативно-методических документов в области ТЗИ;
Технический контроль эффективности ТЗИ (который рассматриваем) – контроль эффективности ТЗИ, проводимый с использованием технических средств контроля.
В зависимости от целей и задач контроля, а также особенностей проверяемых объектов технический контроль эффективности ТЗИ может быть:
Комплексным, когда проводится проверка организации и состояния ТЗИ от утечки по всем возможным техническим каналам, характерным для контролируемого технического средства (объекта информатизации), от несанкционированного доступа к информации или специальных воздействий на нее;
Целевым, когда проверка проводится по одному из возможных технических каналов утечки информации, характерному для контролируемого технического средства, которое имеет защищаемые параметры или в котором циркулирует защищаемая информация;
Выборочным, когда из всего состава технических средств на объекте выбираются те из них, которые по результатам предварительной оценки с наибольшей вероятностью имеют технические каналы утечки защищаемой информации.
В зависимости от конкретных условий проведения технического контроля контроль эффективности может осуществляться следующими методами:
Инструментальным методом, когда в ходе контроля используются технические измерительные средства и моделируются реальные условия работы технического средства разведки;
Инструментально-расчетным методом, когда измерения проводятся в непосредственной близости от объекта контроля, а затем результаты измерений пересчитываются к месту (условиям) предполагаемого места нахождения технического средства разведки;
Расчетным методом, когда эффективность ТЗИ оценивается путем расчета, исходя из реальных условий размещения и возможностей технического средства разведки и известных характеристик объекта контроля.
Существо мероприятий технического контроля состоит в осуществлении инструментальных (инструментально-расчетных) проверок эффективности защиты информации от утечки по техническим каналам, возникающим за счет:
1) побочных электромагнитных излучений (ПЭМИ) при работе основных технических средств и систем (ОТСС) объекта информатизации;
3) наводок информационного сигнала на соединительных линиях ВТСС, расположенных в зоне действия ПЭМИ ОТСС;
4) неравномерности потребления тока в сети электропитания ОТСС;
5) линейного высокочастотного навязывания и электроакустических преобразований как способов перехвата речевой информации через ВТСС, установленные в выделенных помещениях.
Инструментальный контроль осуществляется по типовым программам и типовым методикам, утвержденным органами по аттестации и сертификации. Вся измерительная аппаратура аттестуется метрологическими органами в установленном порядке.
Основными нормативно-методическими документами, регламентирующими деятельность по техническому контролю рассматриваемых объектов, являются:
2. ГОСТ 29339-92. Информационная технология. Защита информации от утечки за счет побочных электромагнитных излучений и наводок при ее обработке средствами вычислительной техники. Общие технические требования;
3. Сборник методических документов по контролю защищаемой информации, обрабатываемой средствами вычислительной техники, от утечки за счет электромагнитных излучений и наводок (ПЭМИН). Утв. приказом Гостехкомиссии России от 19.11.02 г. №391.
4. Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 11 февраля 2013 г. N 17 г. Москва
5. Приказ ФСТЭК России от 18.02.2013г. №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
Акт проверки состояния ТЗИ должен содержать следующие разделы:
1. Общие сведения об объекте контроля;
2. Общие вопросы организации ТЗИ на объекте;
3. Организация и состояние защиты объектов информатизации;
4. Полнота и качество проведения лицензиатами ФСТЭК России работ по защите и аттестации объектов информатизации;
Скрытие информации о средствах, комплексах, объектах и системах обработки информации. Эти задачи могут подразделяться на технические и организационные.
Организационные задачи по скрытию информации об объектах направлены на недопущение разглашения этих сведений сотрудниками и утечки их по агентурным каналам.
Технические задачи направлены на устранение или ослабление технических демаскирующих признаков объектов защиты и технических каналов утечки сведений о них. При этом скрытие осуществляется уменьшением электромагнитной, временной, структурной и признаковой доступности, а также ослаблением адекватности между структурой, топологией и характером функционирования средств, комплексов, объектов, систем обработки информации и управления.
Решение этой задачи представляет реализацию комплекса организационно-технических мероприятий и мер, обеспечивающих выполнение основного требования к средствам, комплексам и системам обработки информации - разведзащищенности и направлено на достижение одной из главных целей - исключение или существенное затруднение технической разведке поиска, определения местоположения, радионаблюдения источников радиоизлучения, классификации и идентификации объектов технической разведкой по выявленным демаскирующим признакам.
Решение задачи по снижению электромагнитной доступности затрудняет как энергетическое обнаружение, так и определение координат района расположения источников радиоизлучения, а также увеличивает время выявления демаскирующих признаков, уменьшает точность измерения параметров и сигналов средств радиоизлучения.
Снижение временной доступности радиоизлучающих средств предполагает сокращение времени их работы на излучение при передаче информации и увеличение длительности паузы между сеансами обработки информации. Для уменьшения структурной и признаковой доступности средств, комплексов и систем обработки информации реализуются организационно-технические мероприятия, ослабляющие демаскирующие признаки и создающие так называемый "серый фон".
Класс 1.2. Дезинформация противника.
К этому классу относятся задачи, заключающиеся в распространении заведомо ложных сведений относительно истинного назначения каких-то объектов и изделий, действительного состояния какой-то области государственной деятельности, положении дел на предприятии и т.д.
Дезинформация обычно проводится путем распространения ложной информации по различным каналам, имитацией или искажением признаков и свойств отдельных элементов объектов защиты, создания ложных объектов, по внешнему виду или проявлениям похожих на интересующие соперника объекты, и др.
Роль дезинформации подчеркивал А.Ф.Вивиани, специалист в области контр шпионажа: На нас обрушивается, валится, извергается огромное количество информации. Она бывает фальшивой, но выглядит правдоподобно; бывает правдивой, а на самом деле хитроумно перекроена, дабы производить впечатление фальшивой; бывает отчасти фальшивой и отчасти правдивой. Все зависит от выбранного способа так называемой дезинформации, цель которой - заставить вас верить, желать, думать, принимать решения в направлении, выгодном для тех, кому зачем-то нужно на нас воздействовать...
Техническая дезинформация на объекте защиты представляет комплекс организационных мероприятий и технических мер, направленных на введение в заблуждение технической разведки относительно истинных целей систем обработки информации, группировки и деятельности войск, намерений органов управления.
Решение этой задачи осуществляется в рамках известной оперативной радиомаскировки путем искажения технических демаскирующих признаков объекта защиты или имитации технических демаскирующих признаков ложного объекта.
Частными задачами технической дезинформации являются:
Искажение демаскирующих признаков реальных объектов и систем, соответствующих признакам ложных объектов;
Создание (имитация) ложной обстановки, объектов, систем, комплексов путем воспроизведения демаскирующих признаков реальных объектов, структур систем, ситуаций, действий, функций и т.д.;
Передача, обработка, хранение в системах обработки ложной информации;
Имитация боевой деятельности средств, комплексов и систем обработки информации на ложных пунктах управления;
Участие сил и средств в демонстративных действиях на ложных направлениях;
Передача ложной информации (радио дезинформация), в расчете на ее перехват противником и др.
В общем, виде эти задачи могут быть сгруппированы в частные задачи радиоимитации, радио дезинформации, демонстративных действий.
Профессия директор по развитию Должностные обязанности директора по региональному развитию
Курсовая работа: Ликвидность и платежеспособность предприятия, методы оценки и управления
Использование показателей логистической деятельности
Понятие и элементы логистического процесса
Должностная инструкция начальника участка автотранспорта Должностная инструкция начальника транспортного упаковочного цеха