Содержание работ на стадии проектирования и создания объекта информатизации и системы защиты информации в его составе
На стадии проектирования и создания объекта информации и системы защиты информации в его составе на основе предъявленных требований и заданных заказчиком ограничении на финансовые, материальные, трудовые и временные ресурсы осуществляются следующими мероприятиями:
- Разработку задания и проекта на строительные, строительно-монтажные работы (реконструкцию) объекта информатизации с учетом требований технического задания на разработку системы защиты информации;
- Разработку раздела технического проекта на объект информатизации в части защиты информации;
- Строительно-монтажные работы в соответствии с проектной документацией, утвержденной заказчиком, размещением и монтажом технических средств и систем;
- Разработку организационно-технических мероприятий по защите информации в соответствии с предъявленными требованиями;
- Закупка сертифицированных образцов и серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации либо их сертификации;
- Закупка сертифицированных технических средств защиты информации программных и программно-технических средств защиты информации и их установка;
- Разработка, доработка или закупка и последующая сертификация по требованиям безопасности информации, программных средств защиты информации в случае, когда на рынке отсутствует требуемые сертифицированные программные средства;
- Организация охраны и физической защиты помещений объекта информатизации, исключая несанкционированный доступ к техническим средствам обработки, ранения и передачи информации, их хищение и нарушение работоспособности, хищение носителей информации;
- Разработка и реализация разрешительной системы доступа пользователей и эксплуатации персонала к обрабатываемой (обсуждаемой) на объекте информатизированной информации;
- Выполнение инсталляции пакета прикладных программ в комплексе с программными средствами;
- Разработка эксплуатации документации на объект информатизации и средства защиты информации, а также организационно-распорядительной документации по защите информации (приказы, инструкции и другие документы);
- Выполнение других мероприятий специфичных для конкретных объектов информатизации и направлений защиты информации.
Техническое задание на проектирование объекта информатизации оформляется отдельным документом, согласовывается с проектной организацией, службой (специалистом) безопасности организации-заказчика в части достаточности мер по технической защите информации и утверждается заказчиком.
Мероприятие по защите информации от утечки по техническим каналам относятся основным элементам проектных решений, которые включаются в соответствующие разделы проекта и разрабатываются одновременно с ними.
Стадия ввода в действие СЗИ (опытная эксплуатация и приемо-сдаточные испытания средств защиты информации, аттестация объекта информатизации на соответствие требованиям безопасности информации).
На стадии проектирования и создания объекта информатизации оформляются также технический (технорабочий) проект и эксплуатационная документация системы защиты информации, состоящая из следующих документов:
- Пояснительной записки с изложением решений по комплексу организационных мер и программно-техническим средствам обеспечения безопасности информации, составу средств защиты информации с указанием их соответствия требованиям ТЗ;
- Описание технического, программного информационного обеспечения и технологии обработки (передачи) информации;
- Плана организационно-технических мероприятий по подготовки объекта информатизации к внедрению средств и мер защиты информации;
- Технического паспорта объекта информатизации (формы технических паспортов на автоматизированные системы и защищенные помещения приведены в СТР-К);
- Инструкций и руководств по эксплуатации технических и программных средств защиты для пользователей, администраторов системы, а также для сотрудников службы безопасности.
^ На стадии ввода в действие объекта информатизации и системы защиты информации осуществляются:
- Опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объекта информатизации и отработки технологического процесса обработки (передачи) информации;
- Приемосдаточные испытания средств защиты информации по результатам опытной эксплуатации с оформлением приемосдаточного акта, подписываемого разработчиком (поставщиком) и заказчиком;
- Аттестация объекта информатизации по требованию безопасности информации.
На стадии ввода в действие объекта информатизации и системы защиты информации оформляются:
- Акты внедрения средств защиты информации по результатам их приемо-сдаточных испытаний;
- Протоколы аттестационных испытаний и заключение по их результатам;
- Аттестат соответствия объекта информатизации требованиям по безопасности информации (формы «аттестатов соответствия» для автоматизированных систем и защищенного помещения приведены в приложениях СТР-К).
^ Кроме вышеуказанной документации в организации оформляются приказы, указания и решения:
- На проектирование объекта информатизации и назначение ответственных исполнителей;
- На проведение работ по защите информации;
- О назначении лиц, ответственных за эксплуатацию объекта информатизации;
- На обработку в защищенном помещении (обсуждение) или в автоматизированной системе конфиденциальной информации.
Стадия ввода в действие СЗИ (опытная эксплуатация и приемо-сдаточные испытания средств защиты информации, аттестация объекта информатизации на соответствие требованиям безопасности информации).
Эксплуатация объекта информатизации осуществляется в полном соответствии с утвержденной организационно-распорядительной и эксплуатационной документацией с учетом требовании и положений СТР-К по защите речевой.
^ Отраслевыми и федеральными органами контроля состояния защиты информации проводится не реже 1 раза в 2 года и заключается в оценке:
- Соблюдение требований нормативно-методических документов по защите информации;
- Работоспособности применяемых средств защиты информации в соответствии с их эксплуатационной документацией;
- Знаний и выполнения персоналом своих функциональных обязанностей в части защиты информации.
Собственник или владелец конфиденциальной информации имеет право обратиться в органы государственной власти для оценки правильности выполнения норм и требований по защите его информации в информационных системах.
^ Аттестация объекта информатизации – комплекс организационно-технические мероприятий, в результате которых посредством специального документа – аттестата соответствия подтверждается, что объект соответствует требованиям стандартов и иных нормативно-технических документов по безопасности информации, утвержденных федеральным органом по сертификации и аттестации.
^ Требования и рекомендации по защите речевой конфиденциальной информации
Утечка речевой информации возможна за счет следующих каналов:
- Акустического излучения информативного речевого сигнала;
- Виброакустических сигналов, возникающих посредствам преобразования информативного акустического сигнала при воздействии его на строительные конструкции и инженерно-технические системы в защищенных помещениях;
- Прослушивание разговоров ведущихся в защищенных помещениях по информационным каналам общего пользования (городская телефонная сеть, сотовая, транкинговая (т.е. циркулярная) и пейджинговая связь, радиотелефон) за счет скрытного подключения оконечных устройств этих видов связи;
- Электрических сигналов, возникающих в результате преобразования информативного сигнала из акустического в электрический за счет микрофонного эффекта и распространяющихся по проводам и линиям передачи информации, выходящим за пределы контролируемой зоны;
- Побочных электромагнитных излучений информативного сигнала от обрабатывающих информацию технических средств, в том числе возникающих за счет паразитной генерации и линий передачи информации;
- Электрических сигналов, наводимых от обрабатывающих информацию технических средств и линий ее передачи, на провода и линии, выходящие за пределы контролируемой зоны;
- Радиоизлучений модулированных информативным сигналом, возникающих при работе различных генераторов, входящих в состав технических средств, установленных в защищенном помещении или при наличии паразитной генерации в их узлах (элементах);
- Радиоизлучений, электрических или инфракрасных сигналов, модулированных информативным сигналом от специальных электронных устройств съема речевой информации (закладочных устройств), закладываемых в защищенное помещение, технические средства и системы обработки информации.
Также следует учитывать возможность хищения технических средств с хранящейся в них записанной речевой информации или отдельных носителей с такой информацией.