Informacije o praćenju statusa. Mjere tehničke kontrole efikasnosti zaštite informacija. Dokumentacija rezultata kontrole. Zahtjevi za kontrolu sigurnosti informacija

05.04.2020

Zbog činjenice da su mjere kontrole/analize ličnih podataka uključene u osnovne setove mjera zaštite počevši od PZ4 - PZ3, većina operatera osobnih podataka nabavila je sigurnosne skenere. Ponekad naiđem na sledeće pitanje: da li je uopšte potrebno pokretati ovaj skener, i ako jeste, koliko često i šta tačno proveravati.

Pokušajmo to shvatiti:
Skeneri se koriste za sprovođenje grupe mera za kontrolu (analizu) bezbednosti ličnih podataka (ANZ) obaveznih u skladu sa naredbom FSTEC Rusije br. 21 od 18. februara 2013. godine.
Da vidimo da li postoji pravni akti RF neki obavezni zahtjevi za redoslijed ili učestalost sigurnosnog skeniranja:

Naredba FSTEC Rusije br. 21
“8.8. Mjere za kontrolu (analizu) sigurnosti ličnih podataka treba da osiguraju kontrolu nivoa sigurnosti ličnih podataka koji se obrađuju u informacioni sistem, provođenjem sistematskih mjera za analizu sigurnosti informacionog sistema i testiranje performansi sistema zaštite podataka o ličnosti.
ANZ.1 Identifikacija, analiza ranjivosti informacionog sistema i brzo otklanjanje novoidentifikovanih ranjivosti
ANZ.2 Kontrola instalacije ažuriranja softver uključujući alate za ažuriranje softvera sigurnost informacija
ANZ.3 Kontrola operativnosti, podešavanja i ispravnog funkcionisanja softvera i alata za sigurnost informacija
ANZ.4 Kontrola sastava tehnička sredstva, softver i alati za sigurnost informacija”

GOST R 51583-2014 procedura za kreiranje AS u zaštićenoj verziji

Više regulatornih pravnih akata koji sadrže zahtjeve za sigurnosnu analizu nije bilo moguće pronaći

Dakle, u regulatornim pravnim aktima Ruske Federacije ne sadrži zahtjeve za redoslijed i učestalost provođenje sigurnosnih skeniranja, odnosno postavke za skeniranje profila, učestalost analize ranjivosti određuje operater samostalno
Kako on može odrediti ovaj redoslijed i periodičnost?

najverovatnije je potrebno poći od karakteristika i kritičnosti informacionog sistema, sastava korišćenog softvera i internih pravila za ažuriranje softvera;

Također je potrebno razumjeti da, na osnovu rezultata skeniranja, generiše izvještaj o ranjivosti, koji još treba razraditi - eliminirati ranjivosti i instalirati ažuriranja koja nedostaju. Nema smisla skenirati češće nego što odgovorne osobe imaju vremena da obrade prijavu i otklone ranjivosti. Učestalost skeniranja > prosječno vrijeme za obradu izvještaja o ranjivosti

Operater informacionog sistema pri određivanju redosleda i učestalosti skeniranja može se rukovoditi sopstvenom stručnošću u oblasti informacione bezbednosti, iskustvom u obavljanju poslova bezbednosne analize, preporukama eksternih stručnjaka i FSTEC licenci, kao i dokumentima koji imaju status od “preporučeno” ili “ najbolje prakse”

U ovom slučaju, mora se uzeti u obzir da mjere sigurnosne analize trebaju biti sistematično(klauzula 8.8 FSTEC naredba br. 21) i mora biti dovoljno da neutrališe postojeće pretnje (stav 2. Vladine uredbe br. 1119)

Pogledajmo šta se nalazi u najboljim metodološkim dokumentima i najboljim praksama:

GOST R ISO/IEC 27002-2012
“12.6 Upravljanje tehničkim ranjivostima
Cilj: Umanjiti rizike koji proizlaze iz iskorištavanja objavljenih tehničkih ranjivosti.

Upravljanje tehničkim ranjivostima treba da se sprovodi na efikasan, sistematičan i ponovljiv način, uz merenja da se potvrdi njegova efikasnost. Ova razmatranja bi se trebala primijeniti na operativne sisteme i sve druge aplikacije koje se koriste.
12.6.1 Upravljanje tehničkim ranjivostima

Mjera i sredstva kontrole i upravljanja

Neophodno je pravovremeno dobiti informacije o tehničkim slabostima korišćenih informacionih sistema, proceniti izloženost organizacije takvim ranjivostima i preduzeti odgovarajuće mere za adresiranje rizika koji je sa njima povezan.

Konstantno ažuriran i kompletan inventar imovine (vidi 7.1) je preduslov za efikasno upravljanje tehničkim ranjivostima. Specifične informacije potrebne za podršku upravljanja tehničkim ranjivostima uključuju informacije o dobavljaču softvera, brojevima verzija, trenutnom stanju implementacije (na primjer, koji softver je instaliran na kojim sistemima) i osobi(ama) odgovornoj za softver unutar organizacije sigurnost.

Isto tako, treba poduzeti pravovremene mjere kao odgovor na identifikaciju potencijalnih tehničkih ranjivosti. Da bi se uspostavio efikasan proces upravljanja tehničkim ranjivostima, potrebno je izvršiti sljedeće preporuke:
a) organizacija treba da definiše i uspostavi uloge i odgovornosti u vezi sa upravljanjem tehničkim ranjivostima, uključujući praćenje ranjivosti, procenu rizika od ranjivosti, zakrpe, praćenje imovine i sve druge funkcije koordinacije;
b) informacionih resursa, koji će se koristiti za identifikaciju i obezbjeđivanje svijesti o značajnim tehničkim ranjivostima, treba odrediti za softver i drugu tehnologiju na osnovu popisa imovine (vidjeti 7.1.1); ove izvore informacija treba ažurirati nakon promjena inventara ili kada se pronađu drugi novi ili korisni izvori;
c) potrebno je odrediti vremenske parametre za odgovaranje na obavještenja o potencijalno značajnim tehničkim ranjivostima;
d) kada se identifikuje potencijalna tehnička ranjivost, organizacija će odrediti povezane rizike i radnje koje treba preduzeti; takve radnje mogu uključivati zakrpe zahvaćenih sistema i/ili primjenu drugih kontrola i kontrola;
e) u zavisnosti od hitnosti rešavanja tehničke ranjivosti, preduzete radnje treba da budu u skladu sa kontrolama povezanim sa upravljanjem promenama (videti 12.5.1) ili prateći procedure za reagovanje na incident u vezi sa bezbednosnim informacijama (videti .13.2);
f) ako je moguće instalirati zakrpu, potrebno je procijeniti rizike povezane s njegovim instaliranjem (rizike koje predstavlja ranjivost treba uporediti sa rizikom instaliranja zakrpe);
g) zakrpe treba testirati i procijeniti prije postavljanja kako bi se osiguralo da su efikasni i da ne dovode do neprihvatljivih nuspojava; ako nije moguće instalirati zakrpu, treba razmotriti druge mjere i kontrole, na primjer:
1) onemogućavanje usluga povezanih sa ranjivosti;
2) prilagođavanje ili dodavanje kontrola pristupa, kao što su zaštitni zidovi na ivicama mreže (videti 11.4.5);
3) pojačano praćenje radi otkrivanja ili sprečavanja stvarnih napada;
4) podizanje svijesti o ranjivosti;
h) revizijski trag treba da evidentira sve preduzete postupke;
i) proces upravljanja tehničkim ranjivostima treba redovno pratiti i ocjenjivati kako bi se pružilo povjerenje u njegovu djelotvornost i efikasnost;
j) sistemima visokog rizika treba dati prioritet.

Dodatne informacije

Ispravno funkcionisanje procesa upravljanja tehničkim ranjivostima važno je za mnoge organizacije, tako da proces treba redovno pratiti. Tačan inventar je važan kako bi se osiguralo da su potencijalno značajne tehničke ranjivosti identifikovane.

Upravljanje tehničkim ranjivostima može se posmatrati kao podfunkcija upravljanja promjenama i kao takvo može imati koristi od procesa i procedura upravljanja promjenama (vidjeti 10.1.2 i 12.5.1).

Prodavci često doživljavaju značajan pritisak da objave zakrpe što je prije moguće. Stoga, flaster ne može adekvatno riješiti problem i može imati nuspojave. Takođe, u nekim slučajevima, kada se zakrpa primeni, možda neće biti lako deinstalirati je.

Ako se adekvatno testiranje zakrpa ne može obaviti, na primjer zbog troškova ili nedostatka resursa, može se razmotriti kašnjenje u implementaciji promjena kako bi se procijenili povezani rizici na osnovu iskustva drugih korisnika.”

RS BR IBBS-2.6-2014
„10. Operativna faza
10.1. Glavni zadaci u fazi rada u smislu obezbjeđenja informacione sigurnosti su:
- periodična evaluacija sigurnosti ABS-a (provođenje aktivnosti na identifikaciji tipičnih ranjivosti ABS softverskih komponenti, penetracijsko testiranje);
10.2. Učestalost radova na bezbednosnoj proceni utvrđuje se rešenjem
Ja jedem RF BS organizaciju. Za osnovne bankarske sisteme koji se koriste za implementaciju tehnologije bankovnog plaćanja
nelogičan proces, preporučuje se sprovođenje sveobuhvatne procene bezbednosti ne
manje od jednom godišnje”

Metodološki dokument FSTEC Rusije „Mjere za zaštitu informacija u državnim informacionim sistemima“, koji se također može koristiti za osiguranje sigurnosti ličnih podataka prema nahođenju operatera
“ANZ.1 IDENTIFIKACIJA, ANALIZA I UKLANJANJE RANJIVOSTI INFORMACIONOG SISTEMA
Identifikacija (pretraga), analiza i eliminacija ranjivosti treba da se vrši u fazama kreiranja i rada informacionog sistema. Tokom faze rada, pretraga i analiza ranjivosti se vrši u intervalima koje odredi operater. Istovremeno, to je obavezno za kritične ranjivosti traženje i analiziranje ranjivosti u slučaju objave u javnim izvorima informacije o novim ranjivostima u alatima za sigurnost informacija, hardveru i softveru koji se koristi u informacionom sistemu.
Zahtjevi za ojačanje ANZ.1:
2) operater je dužan da ažurira listu ranjivosti koja se skenira u informacionom sistemu sa učestalošću koju sam odredi, kao i nakon pojave informacija o novim ranjivostima;

· rukovodeći se metodološkim dokumentom FSTEC-a - sigurnosna analiza mora biti sprovedena bez greške nakon objavljivanja informacija o kritičnoj ranjivosti ili ažuriranju;

Za Windows OS takve se ranjivosti pojavljuju u prosjeku mjesečno;

Po mom mišljenju, da bi se osigurala neutralizacija trenutnih prijetnji, trebalo bi barem provesti sigurnosnu analizu pomoću skenera kvartalno

· kao početak u određivanju šta i kako provjeriti, možete koristiti Dodatak 3 Preporuke za provođenje sigurnosne procjene RS BR IBBS-2.6-2014 - odjeljak 2 “Identifikacija poznatih ranjivosti”

1. Organizacija rada na tehnička zaštita informacije:

1.1 Organizacija tehničke zaštite informacija klasifikovanih kao državna i službena tajna od inženjerskih i tehničkih podataka i od curenja tehničkim kanalima:

dostupnost smjernica i normativno-tehničkih dokumenata o pitanjima tehničke zaštite informacija;

dostupnost dokumenata kojima se reguliše rad strukturnih jedinica za tehničku zaštitu informacija (zadaci, funkcionalne odgovornosti itd.);

analiza i procjena stvarne opasnosti od curenja informacija tehničkim kanalima, potpunost i ispravnost identifikacije mogućih tehničkih kanala za zaštitu od curenja informacija;

cjelovitost, kvalitet i valjanost izrade organizaciono-tehničkih mjera zaštite informacija, postupak za njihovo sprovođenje;

postupak organizovanja i praćenja stanja tehničke zaštite informacija, njene efikasnosti;

blagovremenost i potpunost usklađenosti sa zahtjevima upravljačkih dokumenata, odlukama Državne tehničke komisije Rusije, regulatornim, tehničkim i metodološkim dokumentima o tehničkoj zaštiti informacija.

1.2. Proučavanje i analiza aktivnosti strukturnih jedinica (odgovornih službenika) na obezbjeđenju sigurnosti informacija koje se štite, zadataka koje rješavaju i funkcionalnih nadležnosti.

1.3. Analiza materijala koji karakteriziraju dostupnost obavještajnih službi informacijama koje kruže strukturne podjele. Detekcija prisustva 1000m inostrane misije ostvarivanje prava eksteritorijalnosti, mjesta boravka stranih specijalista.

1.4 Proučavanje i analiza liste informacija koje podliježu zaštiti:

dostupnost liste informacija koje treba zaštititi od izviđačkih tehničkih sredstava i od curenja tehničkim kanalima:

potpunost i ispravnost definicije demaskirajućih znakova koji otkrivaju ove informacije;

1.5 Dostupnost sistema informacione sigurnosti:

prisustvo zadataka za tehničku zaštitu informacija u organizacionim i administrativnim dokumentima koji regulišu delatnost organizacija i odeljenja koji su deo jedinstvenog sistema organa pod kontrolom vlade U Ruskoj Federaciji;

organizovanje i sprovođenje poslova na tehničkoj zaštiti informacija u centrali ministarstva (odeljenja) iu njemu podređenim preduzećima, organizacijama i ustanovama;

interakcija po pitanjima tehničke zaštite informacija sa drugim ministarstvima (resorima) i drugim trećim organizacijama;

obezbjeđivanje kontrole nad efektivnošću zaštite podataka koji predstavljaju državnu i službenu tajnu u svim preduzećima, ustanovama i organizacijama koje su podređene i potčinjene ministarstvu (odsjeku) koje sa njima rade.

1.6. Analiza mogućih tehničkih kanala za curenje informacija o podacima koji su klasifikovani kao državna tajna u obavljanju poslova ministarstva (odseka) i njima podređenih preduzeća, organizacija i institucija.

1.7 Analiza tokova informacija tokom funkcionisanja strukturnih jedinica.

1.8 Analiza sastava hardvera i softvera uključenih u obradu informacija, njihova lokacija, tehnologija obrade informacija i stanje njene zaštite:

stanje računovodstva za sav hardver i softver domaće i strane proizvodnje uključen u obradu informacija koje su pod zaštitom;

postavljanje elektronske opreme, TSPI (sa osvrtom na prostorije u kojima su instalirane), rute za polaganje informacionih i neinformacionih kola koja izlaze izvan kontrolisane teritorije.

1.9. Analiza dostupnosti informacija obrađenih u automatizovanom sistemu upravljanja, računarskim i drugim tehničkim sredstvima.

1.10. Proučavanje organizacije i stvarnog stanja pristupa informacijskim resursima osoblja za održavanje i rad.

2. Praćenje stanja zaštite informacija:

Organizacija informacione sigurnosti u sistemima i sredstvima informatizacije i komunikacija:

certificiranje sistema i sredstava automatizacije i komunikacije koji su uključeni u obradu podataka koji su klasifikovani kao državna i službena tajna;

provođenje posebnih inspekcija radi identifikacije ugrađenih uređaja;

aktivnosti strukturnih jedinica odgovornih za automatizaciju procesa obrade informacija, računovodstvo, skladištenje, pristup njegovim magnetnim medijima, dužnosti lica odgovoran za sigurnost informacija;

blagovremenost i ispravnost implementacije sistema informacione sigurnosti, izdavanje dozvole za obradu povjerljivih informacija;

pravilno postavljanje i upotrebu tehničkih sredstava, njihovih pojedinačnih elemenata;

primijenjene mjere zaštite informacija od curenja zbog lažnog elektromagnetnog zračenja i smetnji, elektroakustičkih transformacija;

mjere koje se preduzimaju radi sprječavanja neovlaštenog pristupa informacijama, kao i presretanja tehničkim sredstvima govornih informacija iz prostorija i štićenih objekata.

2.1 Od neovlaštenog pristupa (UAS)

Prilikom provjere stanja zaštite softvera i informacionih resursa od neovlaštenog pristupa, preporučljivo je izvršiti sljedeće aktivnosti:
2.1.1 Odredite klasu automatizovanog sistema koji se koristi operativni sistem, sistemi zaštite od neovlašćenog pristupa i drugi softver. 2.1.2 Provjeriti implementaciju organizacionih i tehničkih mjera za tehničku zaštitu informacija koje kruže u AU ili SVT. 2.1.3 Provjera dostupnosti, kvaliteta instalacije i rada softverske i hardverske zaštite. 2.1.4 Pripremiti i izvršiti kontrolno testiranje alata za sigurnost informacija koje obrađuju AU i SVT, generirati izvještaje o testiranju mašina i njihovu analizu. 2.1.5 Analizirati rezultate ispitivanja i utvrditi stvarne karakteristike zaštitne opreme, njihovu usklađenost sa sigurnosnim pokazateljima automatizovani sistem. 2.1.6 Provesti istraživanje softverske i informatičke podrške jednog ili više računara (zasebnih ili dio lokalnih mreža) radi odsustva posebnog programskog uticaja:
analiza informacija o indirektnim i direktnim znacima zaraze kompjuterskog softvera i informacija kompjuterskim „virusima“;

analiza kola, hardvera, softvera, organizacionih i drugih rješenja za organizaciju zaštite informacija od izlaganja posebnom softveru, načini pribavljanja softverski proizvod i postupak njegove primjene u cilju identifikacije kanala za prodor „virusa“ ili uvođenje od strane uljeza posebnih programa u AS ili CVT;

kontrola integriteta softverske i informacione podrške, sistemskog i primenjenog softvera i traženje skrivenih softverskih mehanizama izobličenja (uništavanja) informacija.

2.2 Od curenja informacija zbog lažnog elektromagnetnog zračenja i smetnji (PEMIN)

2.2.1 Analizirati primjenjivost postojećih programa ispitivanja ili razviti nove za data tehnička sredstva koja se ispituju.
2.2.2 Na osnovu početnih informacija odabrati tehnička sredstva za prenos, čuvanje i obradu informacija za instrumentalno upravljanje.
2.2.3 Sprovesti instrumentalnu kontrolu efikasnosti PEMIN zaštite od curenja štićenih tehničkih sredstava.

2.3 Od curenja govornih informacija koje kruže u dodijeljenim prostorijama zbog smetnji i akustičnog polja

Prilikom provjere stanja zaštite govornih informacija koje kruže u dodijeljenim prostorijama, preporučljivo je:

2.3.1 Analizirati dostupnost govornih informacija koje kruže u kancelarijama upravljačkog tima, kao iu prostorijama u kojima se vode povjerljivi pregovori ili su instalirana tehnička sredstva za obradu povjerljiva informacija.

da prouči uslove za smještaj dodijeljenih prostorija i ugrađenih glavnih (OTSS) i pomoćnih tehničkih sistema i sredstava (VTSS), njihov raspored i trase za polaganje priključnih vodova;

identifikuju linije koje prelaze granice kontrolisane zone (GKZ);

razjasniti izviđačku situaciju, odrediti izviđačko opasne pravce i mjesta mogućeg raspoređivanja opreme za akustičko izviđanje;

provjeriti dostupnost i kvalitet radne dokumentacije o zaštiti govornih informacija;

2.3.2 Provjeriti implementaciju organizacionih i tehničkih mjera za zaštitu govornih informacija koje kruže u dodijeljenim prostorijama. U tom slučaju preporučljivo je izvršiti sljedeći skup mjera:

provjeru usklađenosti sa zahtjevima uputstava za rad i operativnim postupkom za tehnička sredstva za prenos, skladištenje i obradu TSPI informacija (zaobilazeći sve dodijeljene prostorije);

provjera blagovremenosti i ispravnosti kategorizacije dodijeljenih prostorija, postupka njihove ovjere prilikom puštanja u rad i izdavanja dozvole za pravo vođenja povjerljivih događaja i vođenja povjerljivih pregovora;

provjera dostupnosti, kvaliteta instalacije i rada sredstava za zaštitu govornih informacija od curenja tehničkim kanalima;

provjeru usklađenosti sa zahtjevima za provođenje posebnih pregleda tehničkih sredstava (za odsustvo posebnih uređaja za zračenje);

2.3.3 Sprovesti instrumentalnu kontrolu sigurnosti govornih informacija koje kruže u namenskim prostorijama, koje obrađuje i prenosi TSPI, kako bi se identifikovali mogući tehnički kanali curenja:
. Kontrola ispunjavanja zahtjeva Zakona Ruske Federacije „O državnim tajnama“

Procedura prijema stranih državljana i njena usklađenost sa zahtjevima normativni dokumenti. Procjena primijenjenih mjera zaštite informacija prilikom posjete organizacijama (preduzećima) od strane stranih predstavnika. Učešće specijalista u suzbijanju obavještajnih podataka u analizi mogućih kanala curenja informacija, atestiranju i posebnim pregledima prostorija prije i nakon prijema stranih specijalista. Dostupnost programa prijema, koordinacija sa FSB-om. Razvoj i implementacija (po potrebi) dodatnih mjera za tehničku zaštitu informacija.

3.1. Provjera dostupnosti strukturnih jedinica, zaposlenih, njihove obučenosti, kvalifikacija, osiguravanje rješavanja pitanja koja se odnose na državnu tajnu. 3.2 Provjera dostupnosti licence za pravo obavljanja poslova u vezi s primjenom zakona Ruske Federacije „O državnim tajnama“, kako u strukturnim odjelima sa punim radnim vremenom, tako iu vanjskim organizacijama koje obavljaju poslove (pružanje usluga) za tehnička zaštita informacija u interesu ministarstva (resora) i njima podređenih preduzeća, organizacija i ustanova. 3.3 Provjera dostupnosti uputstava i njihovog sadržaja po pitanju tehničke zaštite informacija (Zakon Ruske Federacije "O državnim tajnama", Spisak informacija koje treba zaštititi ... itd.). 3.4 Provjera statusa režima povjerljivosti u odjeljenjima i stepena njegove usklađenosti sa važećim dokumentima za vođenje evidencije (opremanje prostorija, računovodstvo i skladištenje povjerljivih dokumenata, pristup evidenciji i povjerljivim dokumentima). 3.5 Provjera blagovremenosti i ispravnosti saopštavanja zahtjeva uputstava o tehničkoj zaštiti informacija zaposlenima u odjeljenjima, njihovog znanja od strane zaposlenih. 3.6. Provjera ispravnosti kategorizacije informacija prema stepenu povjerljivosti, postupku njihovog evidentiranja i čuvanja pri korištenju tehničkih sredstava (EVT, TSPI, kancelarijska oprema i sl.). 3.7. Provjera ispravnosti štampanja (umnožavanja) povjerljivih dokumenata, njihovog evidentiranja i postupka dovođenja do znanja izvršiocima. 3.8 Provjera procedure za omogućavanje zaposlenima da rade sa povjerljivim podacima. 3.9. Provjera organizacije rada radi smanjenja stepena povjerljivosti (deklasifikacije) dokumenata i donošenja informacija izvršiocima. 3.10 Provjera dostupnosti „Sertifikata o usklađenosti“ za dodijeljene prostorije i tehnička sredstva uključena u obradu informacija koje se štite, te sertifikacijskih dokumenata za sredstva tehničke zaštite informacija i kontrolu njihove djelotvornosti.

4. Pitanja koja se razmatraju u verifikaciji nosilaca licenci

4.1 Provjereno:

dostupnost licence (dozvole) za pravo izvođenja radova na tehničkoj zaštiti informacija, provjeru valjanosti licence u utvrđenim rokovima i usklađenost sa stvarno izvedenim poslovima od strane nosioca licence (1.5)*;

vlasnik licence ima dokumente o državna registracija preduzetničku aktivnost i statut preduzeća (1.7)*;

stanje proizvodne i ispitne baze, dostupnost regulatornih i metodološka dokumentacija da obavlja poslove na deklarisanim vrstama djelatnosti (1.6)*;

popunjavanje naučnog i inženjerskog osoblja za obavljanje poslova na deklariranim vrstama djelatnosti. Nivo pripremljenosti specijalista za rad (1.6) *;

stručno osposobljavanje rukovodioca preduzeća licenciranog i (ili) lica koje on ovlasti za rukovođenje licenciranim poslovima (1.7)*;

poštivanje ugovornih obaveza kako bi se osigurala sigurnost povjerljivih i materijalnih sredstava pojedinaca i pravna lica ko je koristio usluge vlasnika licence (2.4)*;

blagovremenost i potpunost izlaganja u vladina agencija za licenciranje ili u centar za licenciranje za informacije o obavljenom radu na određenim vrstama aktivnosti navedenih u licenci u skladu sa zahtjevima Državne tehničke komisije Rusije (2.4)*;

kvalitet usluga koje pruža korisnik licence (ocjena efikasnosti mera koje su preduzeli nosioci licence za tehničku zaštitu informacija kod 1-3 potrošačka preduzeća koja su koristila usluge korisnika licence (3.2)*.

4.2 Rezultati verifikacije nosilaca licenci odražavaju se u obliku posebnog odeljka akta ili sertifikata, koji se sastavlja na osnovu rezultata zakazane inspekcije ministarstava (departmana) i njima podređenih preduzeća, organizacija i institucija. Na osnovu dobijenih rezultata donosi se zaključak o usklađenosti vlasnika licence sa utvrđenim zahtjevima i mogućnosti njegovog daljeg rada na deklarisanim područjima.

Napomena: *) Odjeljci „Pravilnik o državnom licenciranju djelatnosti u oblasti zaštite informacija“ su navedeni u zagradama.

Provjera sigurnosti informacija od neovlaštenog pristupa se sastoji u provjeri usklađenosti djelotvornosti mjera zaštite informacija sa utvrđenim zahtjevima ili standardima za sigurnost informacija. Testirane su sve grupe sredstava zaštite od neovlašćenog pristupa, koje smo razmatrali u prethodnim predavanjima.

Usklađenost se provjerava opisi tehnološki proces obradu i pohranjivanje zaštićenih informacija do stvarnog procesa.

Mogućnost se procjenjuje prenošenje informacija višeg stepena povjerljivosti na nosilac informacija nižeg nivoa.

Analiza u toku dozvoljene i zabranjene veze između subjekata i objekata pristupa u odnosu na određeni OTSS i osoblje.

Usklađenost se ocjenjuje dozvoljene i zabranjene veze sa dozvoljenim sistemom pristupa osoblja zaštićenim resursima u svim fazama obrade.

Provjera se, po pravilu, vrši korištenjem softverskih i softverskih i hardverskih sigurnosnih kontrola. Kao primjer, razmotrimo proizvode jedne kompanije, LLC "Centar za sigurnost informacija".

Alat za kontrolu sigurnosti protiv UA "Auditor 2 XP" dizajniran je za kontrolu prava pristupa informacijskim resursima.

prikaz svih informacija sadržanih u DRP-u (moguć je samo pregled);
poređenje strukture resursa radne stanice opisane u DRP-u sa stvarnom strukturom resursa;
izradu izvještaja o rezultatima poređenja;
izrada plana za ispitivanje objekata radne stanice;
provjera stvarnih prava pristupa korisnika na pristup objektima;
kreiranje izvještaja o rezultatima testiranja.

Mrežni skener "Network Inspector" verzija 3.0 je dizajniran za otkrivanje ranjivosti u instaliranom mrežnom softveru i hardveru koristeći TCP/IP protokole. Sistem ima brojne mogućnosti, od kojih je jedna potraga za ranjivostima sadržanim u bazi podataka prijetnji i ranjivosti FSTEC-a, koje smo ranije razmatrali. Osim toga, program traži ranjivosti sadržane u cve.mitre. org, ovaldb.altx-soft.ru, microsoft. com i neki drugi izvori.

Sredstva za fiksiranje i kontrolu početnog stanja softverski paket"FIX" je dizajniran za kontrolu podsistema integriteta. Glavne karakteristike programa:

popravljanje početnog stanja softverskog paketa;
kontrola početnog stanja softverskog paketa;
fiksiranje i kontrola imenika;
kontrola razlika u određenim datotekama (direktorijima);
mogućnost rada sa dugim nazivima datoteka i imenima koji sadrže ćirilične znakove.

Program pretraživanja i zajamčenog uništavanja informacija na diskovima "TERRIER" omogućava vam kontrolu uništavanja informacija. Da biste provjerili, trebate kreirati datoteku s kontrolnom kombinacijom znakova na povjerljivom logičkom disku, locirati sektore koristeći "TERRIER", izbrisati datoteku pomoću standardnih alata i kontrolirati njeno brisanje pomoću TERRIER-a.

18.4. Dokumentacija rezultata kontrole. Zahtjevi za kontrolu sigurnosti informacija

Treba napomenuti da se prema sredstvima praćenja efikasnosti mjera zaštite informacija, kao i prema proizvođačima takvih sredstava, nameću prilično strogi zahtjevi. U skladu sa "Pravilnikom o licenciranju poslova za razvoj i proizvodnju alata za zaštitu povjerljivih informacija", koji je usvojen Uredbom Vlade br. predmet licenciranja. A razvijena i proizvedena sredstva za praćenje efikasnosti mjera zaštite treba da imaju sertifikat o usklađenosti FSTEC prema zahtjevima Uredbe Vlade Ruske Federacije od 26. juna 1995. N 608 "O sertifikaciji alata za sigurnost informacija".

Praćenje efektivnosti zaštite završava se donošenjem Zaključka sa kratkom ocjenom usklađenosti objekta informatizacije o informatičkoj sigurnosti, konkretnim preporukama za otklanjanje povreda, dovođenje sistema zaštite objekta informatizacije u skladu sa utvrđenim zahtjevima, unapređenje ovog sistema. , preporuke za praćenje funkcionisanja objekta informatizacije. Zaključku se prilažu izvještaji o ispitivanju koji potvrđuju rezultate dobijene tokom ispitivanja i potkrepljuju zaključak dat u zaključku.

Praćenje efektivnosti VBI se sastoji u provjeravanju usklađenosti kvalitativnih i kvantitativnih pokazatelja efektivnosti VBI aktivnosti sa zahtjevima ili standardima za efektivnost VBI.

Praćenje efikasnosti VBI uključuje:

Tehnička kontrola efektivnosti VBI - kontrola efektivnosti VBI, koja se vrši korišćenjem tehničkih sredstava kontrole.

Organizaciona kontrola efektivnosti VBI - provjera usklađenosti kompletnosti i valjanosti aktivnosti VBI sa zahtjevima smjernica i regulatorno-metodoloških dokumenata iz oblasti VBI;

Tehnička kontrola efektivnosti VBI (koju razmatramo) je kontrola efektivnosti VBI, koja se vrši pomoću tehničkih sredstava kontrole.

U zavisnosti od ciljeva i zadataka kontrole, kao i karakteristika objekata koji se pregledavaju, tehnička kontrola efektivnosti VBI može biti:

Sveobuhvatno, kada se organizacija i stanje VBI provjerava od curenja kroz sve moguće tehničke kanale karakteristične za kontrolisano tehničko sredstvo (objekat informatizacije), od neovlašćenog pristupa informacijama ili posebnih uticaja na njih;

Ciljano, kada se provjera vrši kroz jedan od mogućih tehničkih kanala curenja informacija, karakterističan za kontrolirano tehničko sredstvo koje ima zaštićene parametre ili u kojem kruži zaštićena informacija;

Selektivno, kada se iz cjelokupnog sastava tehničkih sredstava na objektu odaberu ona koja, prema rezultatima preliminarne procjene, najvjerovatnije imaju tehničke kanale za curenje zaštićenih informacija.

U zavisnosti od specifičnih uslova tehničke kontrole, kontrola efikasnosti se može vršiti sledećim metodama:

Instrumentalni metod, kada se u kontroli koriste tehnički mjerni instrumenti i simuliraju stvarni uslovi rada sredstava tehničkog izviđanja;

Instrumentalno-proračunska metoda, kada se mjerenja vrše u neposrednoj blizini objekta kontrole, a zatim se rezultati mjerenja preračunavaju na mjesto (uslove) predviđene lokacije izviđačke opreme;

Metoda proračuna, kada se efektivnost VBI procjenjuje proračunom, na osnovu stvarnih uslova postavljanja i mogućnosti tehničke opreme za izviđanje i poznatih karakteristika objekta kontrole.

Suština mjera tehničke kontrole je provođenje instrumentalnih (instrumentalno izračunatih) provjera efikasnosti zaštite informacija od curenja kroz tehničke kanale koje nastaje zbog:

1) lažno elektromagnetno zračenje (SEMI) u toku rada glavnih tehničkih sredstava i sistema (OTSS) objekta informatizacije;

3) smetnje informacionog signala na priključnim vodovima VTSS koji se nalaze u zoni pokrivanja PEMI OTSS;

4) neujednačena potrošnja struje u OTSS mreži napajanja;

5) linearno visokofrekventno nametanje i elektroakustičke transformacije kao metode presretanja govornih informacija putem VTSS instaliranih u namenskim prostorijama.

Instrumentalna kontrola se vrši prema standardnim programima i standardnim metodama koje su odobrila tijela za atestiranje i sertifikaciju. Sva mjerna oprema je atestirana od strane metroloških organa na propisan način.

Glavni regulatorni i metodološki dokumenti koji regulišu aktivnosti tehničke kontrole objekata koji se razmatraju su:

2. GOST 29339-92. Informaciona tehnologija. Zaštita informacija od curenja zbog lažnog elektromagnetnog zračenja i preuzimanja prilikom njihove obrade pomoću računarske tehnologije. Opšti tehnički zahtjevi;

3. Zbirka metodoloških dokumenata o kontroli zaštićenih informacija obrađenih računarskom tehnologijom od curenja usled elektromagnetnog zračenja i podizanja (PEMIN). Odobreno naredbom Državne tehničke komisije Rusije od 19. novembra 2002. br. 391.

4. Naredba Federalne službe za tehničku i izvoznu kontrolu (FSTEC Rusije) od 11. februara 2013. godine N 17 Moskva

5. Naredba FSTEC Rusije od 18.02.2013 br. 21 „O davanju saglasnosti na sastav i sadržaj organizaciono-tehničkih mjera za osiguranje sigurnosti ličnih podataka prilikom njihove obrade u informacionim sistemima podataka o ličnosti“.

Akt provjere statusa VBI treba da sadrži sljedeće dijelove:

1. Opšti podaci o objektu kontrole;

2. Opšta pitanja organizacije VBI u objektu;

3. Organizacija i stanje zaštite objekata informatizacije;

4. Kompletnost i kvalitet radova koje obavljaju nosioci licenci FSTEC Rusije na zaštiti i sertifikaciji objekata informatizacije;

Skrivanje informacija o sredstvima, kompleksima, objektima i sistemima za obradu informacija. Ovi zadaci se mogu podijeliti na tehničke i organizacione.

Organizacioni zadaci sakrivanja informacija o objektima imaju za cilj sprečavanje otkrivanja ovih informacija od strane zaposlenih i njihovo curenje kroz tajne kanale.

Tehnički zadaci imaju za cilj otklanjanje ili slabljenje tehničkih demaskirajućih karakteristika zaštićenih objekata i tehničkih kanala za curenje informacija o njima. Istovremeno, prikrivanje se vrši smanjenjem elektromagnetske, vremenske, strukturne i atributne dostupnosti, kao i slabljenjem adekvatnosti između strukture, topologije i prirode funkcionisanja sredstava, kompleksa, objekata, obrade informacija. i kontrolni sistemi.

Rešenje ovog problema je sprovođenje kompleksa organizaciono-tehničkih mera i mera koje obezbeđuju ispunjenje osnovnog zahteva za sredstva, komplekse i sisteme za obradu informacija – obaveštajnu bezbednost i usmereno je na postizanje jednog od osnovnih ciljeva – isključivanje. ili značajne teškoće tehničkog obavještavanja u traženju, lociranju, radio-nadzoru izvora radio-emisije, klasifikaciji i identifikaciji objekata tehničkim obavještajnim podacima prema otkrivenim demaskirajućim znacima.

Rješavanje problema smanjenja elektromagnetne dostupnosti otežava i detekciju energije i određivanje koordinata područja gdje se nalaze izvori radio-emisije, a također povećava vrijeme otkrivanja demaskiranih znakova, smanjuje tačnost mjerenja parametara i signala radija. emisiona sredstva.

Smanjenje privremene dostupnosti radio-emisionih sredstava podrazumijeva smanjenje vremena njihovog rada za zračenje tokom prijenosa informacija i povećanje trajanja pauze između sesija obrade informacija. Kako bi se smanjila strukturalna i indikativna dostupnost sredstava, kompleksa i sistema za obradu informacija, preduzimaju se organizacione i tehničke mjere za slabljenje demaskirajućih znakova i stvaranje takozvane „sive pozadine“.

Klasa 1.2. Dezinformacija neprijatelja.

Ovaj razred uključuje poslove koji se sastoje u širenju namjerno lažnih informacija o pravoj namjeni nekih predmeta i proizvoda, stvarnom stanju neke oblasti državne djelatnosti, stanju stvari u preduzeću itd.

Dezinformacija se obično provodi širenjem lažnih informacija raznim kanalima, imitacijom ili iskrivljavanjem osobina i svojstava pojedinih elemenata objekata zaštite, stvaranjem lažnih objekata, izgledom ili manifestacijama sličnih objektima od interesa za protivnika itd.

Ulogu dezinformacija je istakao A.F. Viviani, stručnjak za oblast kontrašpijunaže: Ogromna količina informacija pada na nas, pada, eruptira. Lažna je, ali izgleda uvjerljivo; istina je, ali je u stvari lukavo precrtana kako bi se ostavio utisak lažne; djelomično lažno, a dijelom istinito. Sve ovisi o odabranoj metodi tzv. dezinformacije, čija je svrha da povjerujete, poželite, razmislite, donesete odluke u smjeru koji je koristan za one koji iz nekog razloga trebaju utjecati na nas...

Tehnička dezinformacija na objektu zaštite je skup organizacionih mjera i tehničkih mjera usmjerenih na dovođenje tehničkih obavještajnih podataka u zabludu o pravim ciljevima sistema za obradu informacija, grupisanju i aktivnostima trupa, te namjerama organa komande i kontrole.

Rješenje ovog problema provodi se u okviru poznatog operativnog radio-maskiranja iskrivljavanjem tehničkih demaskirajućih svojstava štićenog objekta ili simulacijom tehničkih demaskiraćih karakteristika lažnog objekta.

Posebni zadaci tehničke dezinformacije su:

Distorzija demaskiranih znakova stvarnih objekata i sistema koji odgovaraju znakovima lažnih objekata;

Stvaranje (imitacija) lažnog okruženja, objekata, sistema, kompleksa reprodukcijom demaskirajućih znakova stvarnih objekata, struktura sistema, situacija, radnji, funkcija itd.;

Prijenos, obrada, pohrana u sustavima obrade lažnih informacija;

Imitacija borbene aktivnosti sredstava, kompleksa i sistema za obradu informacija na lažnim kontrolnim tačkama;

Učešće snaga i sredstava u pokaznim akcijama na lažnim pravcima;

Prenošenje lažnih informacija (radio dezinformacija), računajući na njihovo presretanje od strane neprijatelja itd.

Općenito, ovi zadaci se mogu grupisati u posebne zadatke imitacije radija, radio dezinformacija i demonstracionih radnji.

Najnoviji članci

2023-02-23 05:18:49
Jamon - kako skuvati ovu sušenu svinjsku šunku
2023-02-23 05:18:49
Jamon - kako kuvati ovu sušenu šunku Šta sprečava ruski proizvođač
2023-02-23 05:18:49
Muzičke škole su smanjile predmete i nastavnike

Popularni članci

Izbor urednika

2023-02-23 05:18:49

Čestitamo muškarcima 23. februara katren
Nudimo da se domišljato pripremimo za Dan branioca otadžbine. Naučite stihove 23. februara. Biće lepo čuti redove sa čestitkama i...
2023-02-23 05:18:49

Merilin Kero je trudna: od koje zvezda bitke vidovnjaka čeka bebu
Na svojoj nesreći možete graditi sreću - bilo pokušajima i greškama, savladavanjem velikih poteškoća ili olako. Marilyn Kerro zna kratko...
2023-02-23 05:18:49

Kada se slavi dan naftaša u Rusiji Kada je dan naftaša u godini
Godinu dana prije uvođenja profesionalnog praznika radnika nafte i plina u SSSR-u, naveliko je proslavljena 100. godišnjica formiranja domaće industrije nafte i plina.
2023-02-23 05:18:49

Aleksandar i Alena Litvin: „Sklad u porodici je temelj uspeha u životu
Književnik, istraživač i pobjednik emisije "Bitka vidovnjaka" Aleksandar Litvin, posebno za Dan žena, izradio je plan akcije za novu godinu, ...
2023-02-23 05:18:49

Aleksandar i Alena Litvin: „Harmonija u porodici je temelj uspeha u životu Vidovnjak Aleksandar Litvin: recenzije
Književnik, istraživač i pobjednik emisije "Bitka vidovnjaka" Aleksandar Litvin, posebno za Dan žena, izradio je plan akcije za novu godinu, ...