На бирже курсовых и дипломных проектов можно найти образцы готовых работ или получить помощь в написании уникальных курсовых работ, дипломов, лабораторных работ, контрольных работ, диссертаций, рефератов. Так же вы мажете самостоятельно повысить уникальность своей работы для прохождения проверки на плагиат всего за несколько минут.

ЛИЧНЫЙ КАБИНЕТ 

 

Здравствуйте гость!

 

Логин:

Пароль:

 

Запомнить

 

 

Забыли пароль? Регистрация

Повышение уникальности

Предлагаем нашим посетителям воспользоваться бесплатным программным обеспечением «StudentHelp», которое позволит вам всего за несколько минут, выполнить повышение уникальности любого файла в формате MS Word. После такого повышения уникальности, ваша работа легко пройдете проверку в системах антиплагиат вуз, antiplagiat.ru, etxt.ru или advego.ru. Программа «StudentHelp» работает по уникальной технологии и при повышении уникальности не вставляет в текст скрытых символов, и даже если препод скопирует текст в блокнот – не увидит ни каких отличий от текста в Word файле.

Результат поиска


Наименование:


курсовая работа Система сертификации средств защиты информации в Российской Федерации и её применение

Информация:

Тип работы: курсовая работа. Добавлен: 18.10.2012. Сдан: 2012. Страниц: 20. Уникальность по antiplagiat.ru: < 30%

Описание (план):


  ГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ
«ЛИПЕЦКИЙ ГОСУДАРСТВЕННЫЙ ПЕДАГОГИЧЕСКИЙ УНИВЕРСИТЕТ» 
 

ФАКУЛЬТЕТ ФИЗИКО-МАТЕМАТИЧЕСКИХ И КОМПЬЮТЕРНЫХ НАУК  
 
 
 
 
 

 КУРСОВАЯ  РАБОТА
по дисциплине «Теория информационной безопасности и методология защиты информации»
специальность  «Организация и технология защиты информации»
Тема: Система сертификации средств защиты информации                                в Российской Федерации и её применение.  
 
 
 
 

  

              Выполнила:
              студентка группы ЗИ-3
              очного  отделения
              ИВАНОВА Алина Петровна 

              преподаватель:
                                                    МАЛЫШ Владимир  Николаевич 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

Липецк 2010
Оглавление 

    Введение……………………………………………………………………..3
    ГЛАВА I. ПРАВОВАЯ СИСТЕМА СЕРТИФИКАЦИИ                                                         ЗАШИТЫ ИНФОРМАЦИИ............................................................................6            
    1.1. Законодательство  Российской Федерации об информации,  информационных технологиях и о защите информации……………...8
    1.2.Указы правовой  системы сертификации защиты  информации…....... 14                                                                                                                                    
    1.3. Постановление РФ правовой системы                                            
    сертификации  защиты информации………………………………………..18                                                                                                                                     
    1.4.Руководящие документы ФСТЭК России……………………………..21
    1.5. Документы  по созданию автоматизированных  систем и                             систем защиты информации…………………………………………….25
    ГЛАВА II . ОБЪЕКТ СЕРТИФИКАЦИИ ЗАЩИТЫ ИНФОРМАЦИИ…………….28
    2.1. Типовые требования к содержанию и порядку разработки                руководства по защите информации  от технических разведок                                                       и её утечки по техническим каналам.......................................................28                                                                  
    2.2. Основное содержание Руководства по защите информации………..29
    2.3. Порядок разработки, согласования и утверждения
         руководства по защите информации…………………………………...33
    2.4. Государственная система защиты информации………………….......34
    2.5. Методы и способы защиты информации                                                              в информационных системах персональных данных…………………35
    ГЛАВА III. ПОРЯДОК ПОЛУЧЕНИЯ И ЛИЦЕНЗИИСЕРТИФИКАЦИИ                       ЗАЩИТЫ ИНФОРМАЦИИ…………………………………………………37
    3.1. Аттестация  в области защиты информации…………………………..37
3.2. Система аттестации объектов информатизации по
    требованиям безопасности информации…………………………………..39
    3.3. Подготовки к аттестации из следующего                                               основного перечня работ………………………………………………..40
    3.4. Лицензирование в области защиты информации…………………….41
    3.5. Условия и порядок получения лицензии ФСТЭК, СКЗИ....................44
    3.6. Порядок получения лицензии ФСТЭК на право                                   технической защиты конфиденциальной информации………………..45
    3.7. Лицензирование деятельности по разработке и производству                 средств технической защиты информации СКЗИ……………………...46
    3.8. Обязанности предприятий, действующих                                                          на основании лицензии ФСТЭК………………………………………....47
    3.9. Сертификация в области защиты информации………………………..47
           Заключение………………………………………………………………55
           Библиография……………………………………………………………57 
     
     
     
     

Введение 

   Информационная  безопасность Российской Федерации (РФ) является одной из составляющих национальной безопасности Российской Федерациии оказывает влияние на защищенность национальных интересов РФ в различных сферах жизнедеятельности общества и государства.       В каждой из них имеются свои особенности обеспечения информационной безопасности, связанные со спецификой объектов обеспечения безопасности, степенью их уязвимости в отношении угроз информационной безопасности РФ.
    К правовым методам обеспечения информационной безопасности РФ относится разработка нормативных правовых актов, регламентирующих отношения в информационной сфере, и нормативных методических документов по вопросам обеспечения информационной безопасности РФ. Наиболее важными направлениями этой деятельности. внесение изменений и дополнений в законодательство РФ, регулирующее отношения в области обеспечения информационной безопасности, в целях создания и совершенствования системы обеспечения информационной безопасности РФ, устранения внутренних противоречий в федеральном законодательстве, противоречий, связанных с международными соглашениями, к которым присоединилась Российская Федерация, и противоречий между федеральными законодательными актами и законодательными актами субъектов РФ, а также в целях конкретизации правовых норм, устанавливающих ответственность за правонарушения в области обеспечения информационной безопасности РФ.
    Законодательное разграничение полномочий в области обеспечения информационной безопасности РФ между федеральными органами государственной власти и органами государственной власти, определение целей, задач и механизмов участия в этой деятельности общественных объединений, организаций и граждан;
    разработка  и принятие нормативных правовых актов, устанавливающих ответственность юридических и физических лиц за несанкционированный доступ к информации, ее противоправное копирование, искажение и противозаконное использование, преднамеренное распространение недостоверной информации, противоправное раскрытие конфиденциальной информации, использование в преступных и корыстных целях служебной информации или информации, содержащей коммерческую тайну.                                                                                                     
    Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных Гостехкомиссией России.
    Лицензирование  деятельности в области  защиты информации - важнейшая составляющая государственной системы защиты информации. Конфиденциальные сведения должны обрабатываться при использовании сертифицированных программных средств защиты. Для того чтобы проверить, насколько эффективно защищается конфиденциальная информация, проводится аттестация средств, используемых для ее хранения и обработки.
    Объектом  исследования являются все средства, применяемые для защиты информации, учитываются условия и характер эксплуатации объектов. Аттестация необходима для того, чтобы составить независимое  заключение о достигнутом в организации  уровне защищенности информационных систем. Самым эффективным способам проверки соответствия информационных средств защиты действующим нормативам является привлечение сотрудников, имеющих лицензию Федеральная Служба по Техническому Экспортному Контролю (ФСТЭК) на проведение данной категории работ.
    сертификация  средств защиты информации, лицензирование деятельности в области защиты государственной тайны, стандартизация способов и средств защиты информации;
    совершенствование системы сертификации телекоммуникационного оборудования и программного обеспечения автоматизированных систем обработки информации по требованиям информационной безопасности; 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

ГЛАВА I. ПРАВОВАЯ СИСТЕМА СЕРТИФИКАЦИИ ЗАШИТЫ ИНФОРМАЦИИ              
 
 
 

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

 
 

1.1. Законодательство  Российской Федерации  об информации,  информационных технологиях  и о защите информации.
    Государственное регулирование отношений в сфере  защиты информации осуществляется путем  установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации.
    Федеральными  законами могут быть установлены  ограничения использования определенных средств защиты информации и осуществления отдельных видов деятельности в области защиты информации.
  Закон о государственной  тайне.
    Порядок сертификации средств защиты информации. Средства защиты информации должны иметь сертификат, удостоверяющий их соответствие требованиям по защите сведений соответствующей степени секретности.
    Организация сертификации средств защиты информации возлагается на федеральный орган  исполнительной власти, уполномоченный в области противодействия техническим  разведкам и технической защиты информации, федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области обороны, в соответствии с функциями, возложенными на них законодательством Российской Федерации. Сертификация осуществляется на основании требований государственных стандартов Российской Федерации и иных нормативных документов, утверждаемых Правительством РФ.
    Координация работ по организации сертификации средств защиты информации возлагается на межведомственную комиссию по защите государственной тайны.  

                                                                                                                                                                      
 

Закон Защита персональных данных.
    Подготовка  уведомлений уполномоченных органов  об обработке персональных данных. Аттестация информационной системы персональных данных в соответствии  с указанным классом. Защита персональных данных на финальном этапе создания системы представляет собой аттестацию информационной системы по требованиям защиты информации Федеральной службы по техническому и экспортному контролю (ФСТЭК).
Результат создания комплексной  системы защиты персональных данных. Система защиты персональных данных в организации построена в соответствии с требованиями законодательства;
    Автоматизированная  система защиты персональных данных аттестована на соответствие требованиям  по защите персональных данных;
    Защита  интересов клиентов и партнеров  компании, предоставляющих конфиденциальную информацию, и, как следствие, установка с ними плодотворных и доверительных отношений.
  Закон об экспортном  контроле.
        Экспортный контроль в Российской Федерации осуществляется посредством методов правового регулирования внешнеэкономической деятельности, включающих в себя:
 идентификацию контролируемых товаров и технологий, то есть установление соответствия конкретных сырья, материалов, оборудования, научно-технической информации, работ, услуг, результатов интеллектуальной деятельности, являющихся объектами внешнеэкономических операций, товарам и технологиям, включенным в списки (перечни), указанные в статье 6 настоящего Федерального закона;
разрешительный  порядок осуществления внешнеэкономических  операций с контролируемыми товарами и технологиями, предусматривающий лицензирование или иную форму их государственного регулирования;
таможенный  контроль и таможенное оформление контролируемых товаров и технологий, перемещаемых через таможенную границу Российской Федерации, в соответствии с таможенным законодательством Российской Федерации.
                                                                                                                                        Закон о коммерческой тайне.
    Меры  по охране конфиденциальности информации признаются разумно достаточными, если:
 исключается  доступ к информации, составляющей  коммерческую тайну, любых лиц  без согласия ее обладателя;
обеспечивается  возможность использования информации, составляющей коммерческую тайну, работниками и передачи ее контрагентам без нарушения режима коммерческой тайны.
Режим коммерческой тайны не может быть использован в целях, противоречащих требованиям защиты основ конституционного строя,
нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.
        Охрана конфиденциальности информации в рамках трудовых отношений. В целях охраны конфиденциальности информации работодатель обязан ознакомить под расписку работника, доступ которого к информации, составляющей коммерческую тайну, необходим для выполнения им своих трудовых обязанностей, с перечнем информации, составляющей коммерческую тайну, обладателями которой являются работодатель и его контрагенты.

    Федеральный закон О военно-техническом сотрудничестве Российской Федерации с иностранными государствами.

    Специально  уполномоченный федеральный орган  исполнительной власти в области  экспортного контроля организует в  соответствии с законодательством  Российской Федерации государственную аккредитацию организаций, создавших внутрифирменные программы экспортного контроля, и выдает им свидетельства о государственной аккредитации.
    Лицензии  или разрешения на осуществление  внешнеэкономических операций с  товарами, информацией, работами, услугами, результатами интеллектуальной деятельности (правами на них), предусмотренные статьями 19 и 20 настоящего Федерального закона
  Федеральный Закон  о лицензировании отдельных видов деятельности.
    В соответствии с настоящим Федеральным  законом лицензированию подлежат следующие виды деятельности:
предоставление  услуг в области  шифрования информации;
разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств  информационных систем, телекоммуникационных систем.
Деятельность по выдаче сертификатов ключей электронных цифровых подписей, регистрации владельцев электронных цифровых подписей, оказанию услуг, связанных с использованием электронных цифровых подписей, и подтверждению подлинности электронных цифровых подписей;
деятельность  по выявлению электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах.
деятельность  по разработке и (или) производству средств  защиты конфиденциальной информации;
деятельность  по технической защите конфиденциальной информации;
разработка, производство, реализация и приобретение в целях продажи специальных  технических средств, предназначенных  для негласного получения информации, индивидуальными предпринимателями и юридическими лицами, осуществляющими предпринимательскую деятельность.
      Федеральный Закон   «Об электронной цифровой подписи» Сертификация средств электронной цифровой подписи осуществляется в соответствии с законодательством Российской Федерации о сертификации продукции и услуг.
    Учредительные документы удостоверяющих центров, выдающих сертификаты ключей подписей для использования в информационных системах общего пользования, подлежат приведению в соответствие с настоящим  Федеральным законом в течение шести месяцев со дня вступления в силу настоящего Федерального закона.
  
                                                                                                                                    

1.2.Указы  правовой системы сертификации защиты информации.                                                                                                                                       

Указ  Президента РФ от 4 декабря 2008 г. № 1726
О внесении изменений  в список товаров и технологий двойного назначения, которые могут быть использованы при создании вооружений и военной техники и в отношении которых осуществляется экспортный контроль.
           В целях защиты национальных  интересов и обеспечения выполнения  международных обязательств Российской Федерации, вытекающих из ее участия в Вассенаарских договоренностях по экспортному контролю за обычными вооружениями, товарами и технологиями двойного назначения.
Указ  Президента Российской Федерации от 27 мая 2007 г. № 665
О мерах по выполнению резолюции совета безопасности ООН 1718 от 14 октября 2006 г.
    Предусматривающей применение ряда ограничений в отношении Корейской Народно-Демократической Республики в связи с проведением ею ядерного испытания, и в соответствии с Федеральным законом от 30 декабря 2006 г. № 281-ФЗ "О специальных экономических мерах".
Указ  Президента РФ от 30 мая 2005 г. Об утверждении  Положения о персональных данных государственного гражданского служащего  РФ его личного  дела.
    Обеспечивает  защиту персональных данных государственных служащих РФ содержащихся в их личных делах, от неправомерного их использования или утраты за счет средств государственных органов в порядке, установленном федеральными законами.
    Определение лиц, уполномоченных на получение обработку, хранение, передачу и любое другое использование персональных данных государственных гражданских служащих Российской Федерации в государственном органе и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты этих персональных данных. 
 
 
 

Указа Президента Российской Федерации от 3.04.95 г. N 334 "О мерах  по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также  предоставления услуг  в области шифрования информации".
    Освещая вопросы сертификации следует отметить, что до настоящего времени возникают  вопросы о разграничении функций  между Гостехкомиссией и ФАПСИ в области сертификации средств защиты информации в связи с выходом. В Гостехкомиссию России поступают запросы из министерств и ведомств, других государственных предприятий и организаций о порядке сертификации защищенных технических средств и средств защиты информации, а также лицензирования деятельности в области защиты информации. Использование в Указе «защищенные технические средства хранение, обработку и передачи информации» дает возможность толкования исключительности функций ФАПСИ по отношению к другим органам, имеющим юридическое право на выполнение работ в области защиты информации.
УП  РФ "Вопросы Межведомственной комиссии по защите государственной тайны" от 6 октября 2004 г. № 1286 

    Утвердает структуру Межведомственной комиссии по защите государственной тайны и ее состав по должностям .
    Устанавливает, что решения Межведомственной комиссии по защите государственной тайны, принятые в соответствии с ее полномочиями, обязательны для исполнения федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, органами местного самоуправления, организациями, должностными лицами и гражданами.
УП  РФ "О мерах  по обеспечению информационной безопасности Российской Федерации при  использовании информационно-телекоммуникационных сетей международного информационного  обмена" от 17 марта 2008 г. N 351 

    Устанавливает что подключение информационных систем, информационно-телекоммуникационных сетей и средств вычислительной техники, применяемых для хранения, обработки или передачи информации, содержащей сведения, составляющие государственную тайну, либо информации, обладателями которой являются государственные органы и которая содержит сведения, составляющие служебную тайну, к информационно - телекоммуникационным сетям, позволяющим осуществлять передачу информации через государственную границу Российской Федерации, в том числе к международной компьютерной сети "Интернет" 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 


1.3. Постановление РФ правовой системы                                             сертификации защиты информации.                                                                                                                                     
Постановление Правительства РФ от 15 августа 2006 г. N 504 о лицензировании деятельности по технической защите конфиденциальной информации.
    Определяет порядок лицензирования деятельности по разработке и (или) производству средств защиты конфиденциальной информации, осуществляемой юридическими лицами и индивидуальными предпринимателями. Лицензирование деятельности по разработке и (или) производству средств защиты конфиденциальной информации осуществляет ФСТЭК, а в части разработки и (или) производства средств защиты конфиденциальной информации, устанавливаемых на объектах Администрации Президента РФ, Совета Безопасности Российской Федерации, Федерального Собрания Российской Федерации, Правительства Российской Федерации, Конституционного Суда Российской Федерации, Верховного Суда Российской Федерации и Высшего Арбитражного Суда Российской Федерации, Федеральная служба безопасности Российской Федерации. О формах документов, используемых Федеральной службой по техническому и экспортному контролю в процессе лицензирования деятельности по технической защите конфиденциальной информации .
Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 691 Об утверждении положения о лицензировании внешнеэкономических операций с товарами, информацией, работами, услугами, результатами интеллектуальной деятельности (правами на них), в отношении которых установлен экспортный контроль
    Утвердает  лицензирование внешнеэкономических операций с товарами, информацией, работами, услугами, результатами интеллектуальной деятельности (правами на них), в отношении которых установлен экспортный контроль.
    Установливает  лицензии на осуществление внешнеэкономических операций с товарами, информацией, работами, услугами, результатами интеллектуальной деятельности (правами на них), в отношении которых установлен экспортный контроль, выданные ФСТЭК.  

Постановление Правительства РФ от 29 февраля 2000 г. N 176 "Об утверждении Положения  о государственной аккредитации организаций, создавших внутрифирменные программы экспортного контроля"
    Утвердает государственную аккредитацию организаций, создавших внутрифирменные программы экспортного контроля.
    Проведение  государственной аккредитации организуется Федеральной службой по техническому и экспортному контролю.
    Правила проведения государственной экспертизы внешнеэкономических сделок с товарами, информацией, работами, услугами, результатами интеллектуальной деятельности, в отношении  которых установлен экспортный контроль.
Постановление Правительства РФ от 31 августа 2006 г. N 532 "О  лицензировании деятельности по разработке и (или) производству средств  защиты конфиденциальной информации"
    Утверждает  лицензирование деятельности по разработке и (или) производству средств защиты конфиденциальной информации.      Устанавливает, что лицензии на осуществление деятельности по разработке и (или) производству средств защиты конфиденциальной информации, предоставленные в установленном порядке до принятия настоящего постановления, действительны до окончания указанного в них срока.
Постановлением  Правительства Российской Федерации от 17 ноября 2007 г. N 781 "Об утверждении  Положени об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных
    Утверждает  прилагаемый Порядок проведения классификации информационных систем персональных данных.
    Определяет проведение классификации информационных систем персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий
и технических  средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации.

                                                                                                                     1.4.Руководящие документы ФСТЭК России. 

Приказ  ФСТЭК №58 от 5.02.2010г. "Об утверждении Положения  о методах и  способах защиты информации в информационных системах персональных данных" 

    Устанавливает методы и способы защиты информации, применяемые для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (далее - информационные системы) государственными органами, муниципальными органами, юридическими или физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных (далее - оператор), или лицом, которому на основании договора оператор поручает обработку персональных данных (далее - уполномоченное лицо).
Приказ  ФСТЭК, ФСБ, Мининформсвязи России от 13.02.2008г. №55/86/20 «Об утверждении  Порядка проведения классификации информационных систем персональных данных»
    Определяет порядок проведение классификации информационных систем персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации.
«Концепция  защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации» (решение  Председателя Гостехкомиссии России                                 от 30 марта 1992г.);
    Документ излагает систему взглядов, основных принципов, которые закладываются в основу проблемы защиты информации от несанкционированного доступа (НСД), являющейся частью общей проблемы безопасности информации.
    Концепция предназначена для заказчиков, разработчиков и пользователей СВТ и АС, которые используются для обработки, хранения и передачи требующей защиты информации.
Методика  определения актуальных угроз безопасности персональных данных при их обработке  в информационных системах персональных данных от 16 ноября 2009 г
     Методика предназначена для использования  при проведении работ по обеспечению  безопасности персональных данных  при их обработке в следующих  автоматизированных информационных  системах персональных данных, государственных или муниципальных ИСПДн.
   Документ  предназначен для специалистов по обеспечению  безопасности информации, руководителей  организаций и предприятий, организующих и проводящих работы по обработке  ПДн в ИСПДн.
Приказ  председателя Государственной  технической комиссии при Президенте Российской Федерации от 27 октября 1995 г. № 199
   Устанавливает организационную структуру системы сертификации средств защиты информации по требованиям безопасности информации, функции субъектов сертификации, порядок сертификации, государственного контроля и надзора, инспекционного контроля за соблюдением правил обязательной сертификации и за сертифицированными средствами защиты информации, общие требования к нормативным и методическим документам по сертификации средств защиты информации. Также  приведены перечень средств защиты информации, подлежащих сертификации в системе сертификации, формы заявок на проведение сертификации и продление срока действия сертификата, решения по заявке на проведение сертификации (продлению срока действия сертификата), сертификата и лицензии на применение знака соответствия.
Руководящий документ. Средства вычислительной техники. Межсетевые экраны защита от несанкционированного доступа к информации.
Показатели  защищенности от несанкционированного доступа к информации.
    Устанавливает классификацию межсетевых экранов (МЭ) по уровню защищенности от несанкционированного доступа (НСД) к информации на базе перечня  показателей защищенности и совокупности описывающих их требований. Под сетями ЭВМ, распределенными автоматизированными
системами (АС) в данном документе понимаются соединенные каналами связи системы  обработки данных, ориентированные  на конкретного пользователя.
Руководящий документ. Безопасность информационных технологий. Руководство по формированию семейств профилей защиты Гостехкомиссия России, 2003 год
    Устанавливает порядок формирования семейств профилей защиты для изделий информационных технологий. Документ предназначен для  использования заказчиками и  разработчиками изделий ИТ при разработке профилей защиты для типовых изделий ИТ в соответствии с Руководящим документом Гостехкомиссии России «Критерии оценки безопасности информационных технологий».  
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

 

1.5. Документы по созданию  автоматизированных систем и                    систем защиты информации.
ГОСТ  Р 50922-2006. Защита информации. Основные термины  и определения.
    В настоящем стандарте реализованы  нормы Федеральных законов от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" и от 29 июля 2004 г. N 98-ФЗ "О коммерческой тайне"
    Установленные настоящим стандартом термины расположены  в систематизированном порядке, отражающем систему понятий в  данной области знания.
ГОСТ  Р 51241-98 Средства и  системы контроля и управления доустпом. Классификация. Общие технические требования. Методы испытаний. 

    Настоящий стандарт распространяется на технические  системы и средства контроля и  управления доступом, предназначенные  для контроля и санкционирования доступа людей, транспорта и других объектов в (из) помещения, здания, зоны и территории.
    Устанавливает классификацию, общие технические требования и методы испытаний средств и систем контроля и управления доступом. Распространяется на вновь разрабатываемые и модернизируемые средства и системы контроля и управления доступом.
ГОСТ  Р ИСО 7498-2-99 Государственный  стандарт РФ Информационная технология взаимосвязь  открытых систем базовая  эталонная модель. 

    Определяет базовую эталонную модель взаимосвязи открытых систем (ВОС). Настоящий стандарт устанавливает основы для обеспечения скоординированных разработок действующих и будущих стандартов по ВОС.
    Назначение  ВОС состоит в обеспечении  такой взаимосвязи неоднородных вычислительных систем, которая позволила  бы достичь эффективного обмена данными между прикладными процессами. В различных ситуациях необходимо обеспечение управляющих функций защиты информации, которой обмениваются прикладные процессы.
    Основные  услуги и механизмы защиты и их соответствующее размещение определено для всех уровней базовой эталонной модели.
ГОСТ  Р ИСО/МЭК 17799-2005 Информационная технология.              Практические правила управления информационной безопасностью. 

    Настоящий стандарт устанавливает рекомендации по управлению информационной безопасностью лицам, ответственным за планирование, реализацию или поддержку решений безопасности в организации. Он предназначен для обеспечения общих основ для разработки стандартов безопасности и выбора практических мероприятий по управлению безопасностью в организации, а также в интересах обеспечения доверия в деловых отношениях между организациями. Рекомендации настоящего стандарта следует выбирать и использовать в соответствии с действующим законодательством.
"Общие  критерии" (ГОСТ  Р 15408-2002) 

    Порядок аттестации объектов. Регламентом стандарта предусмотрено, что сначала владелец ИС создает ее профиль защиты или задание по безопасности.
    Выбранные системы должны быть сертифицированы  по ГОСТ 15408 на соответствие разработанным  заданиям по безопасности. В подсистеме защиты информации применяются выбранные средства или СЗИ в той конфигурации, в которой они описаны в задании по безопасности на ИС. И, наконец, подсистема информационной безопасности сертифицируется на соответствие заданию безопасности по ГОСТ 15408.
ГОСТ  Р ИСО/МЭК 9126-93 Информационная технология. Оценка программной продукции. Характеристики качества и руководства  по их применению.
    Действующий настоящий стандарт определяет шесть характеристик, которые с минимальным дублированием описывают качество программного обеспечения. Данные характеристики образуют основу для дальнейшего уточнения и описания качества программного обеспечения. Руководства описывают использование характеристик качества для оценки качества программного обеспечения.
    Стандарт предназначен для характеристик, связанных с приобретением, разработкой, эксплуатацией, поддержкой, сопровождением или проверкой программного обеспечения.
ГОСТ 28806-90 Качество программных  средств. Термины  и определения 

    Настоящий стандарт устанавливает термины  и определения понятий в области качества программных средств. Термины, установленные настоящим стандартом, обязательны для применения во всех видах документации и литературы по вычислительной технике и программным средствам, входящих в сферу работ по стандартизации и использующих результаты этих работ.
ГОСТ 28195-89. «Оценка качества программных средств. Общие положения»;
    Настоящий стандарт, устанавливает общие положения  по оценке качества программных средств  вычислительной техники (далее - ПС), поставляемых через фонды алгоритмов и программ (ФАП), номенклатуру и применяемость показателей качества ПС.
ГОСТ 6.10.4-84 «Унифицированные системы документации. Придание юридической  силы документам на машинном носителе и  машинограмме, создаваемым  средствами вычислительной техники»;
    Стандарт устанавливает требования к составу и содержанию реквизитов, придающих юридическую силу документам на машинном носителе и машинограмме, создаваемым средствами вычислительной техники, а также порядок внесения изменений в эти документы. Стандарт обязателен для всех предприятий, организаций и учреждений (далее - организаций) осуществляющих информационный обмен документами на машинном носителе и машинограммами.
        
 
 
 
 
 

ГЛАВА II . ОБЪЕКТ СЕРТИФИКАЦИИ ЗАЩИТЫ ИНФОРМАЦИИ.                                     2.1. Типовые требования к содержанию и порядку разработки руководства  по защите информации  от технических разведок и её утечки по техническим каналам.  

     Под объектом  защиты  (далее-объект)  понимается имущественный комплекс: здания,  сооружения,  помещения и территория,  на которой они размещены,  а также расположенные в них технические средства и иное имущество,  требующие защиты и принадлежащие государственным органам, государственным и коммерческим организациям на праве собственности. оперативного управления или хозяйственного ведения.
     Руководство разрабатывается на каждом объекте,  на котором предусматривается защита информации от технических, разведок и  от ее утечки по техническим каналам (далее-защита информации) в ходе  его строительства (реконструкции) и эксплуатации.
     Руководство определяет содержание и порядок  осуществления мероприятий по защите информации, содержащей сведения, отнесённые в установленном порядке к  государственной или служебной  тайне. Мероприятия по  защите информации должны быть увязаны с мероприятиями по легендированию объектов и режиму секретности.
     При разработке Руководства  используются:
     концепция защиты информации от ИТР;
     модель  ИТР применительно к объекту  защиты;
     нормы противодействия средствам технический разведки;
     нормы эффективности  защиты информации,  обрабатываемой техническими средствами;
     инструкции  по защите информации об образцах ВиВТ,  создаваемых или используемых на объекте;
     требования  по  защите информации о создаваемых  образцах ВиВТ и выполняемых работах, подлежащих защите от ИТР;
     инструкция  по  проектированию  технических  мероприятий защиты промышленных объектов от ИТР;
     проектная документация на строительство (реконструкцию) объекта в части мер защиты информации в  ходе  его  эксплуатации, общий маскировочный замысел защиты информация для объектов первой категории;
     результаты  анализа разведдоступности и  аттестование объекта (первая,  вторая, третья категории) или его составных  частей на соответствие требованиям  по защите информации;
     методические и другие руководящие документы в  области  защиты информации.
     При разработке Руководства данные об осведомленности  разведок в отношении, конкретного  объекта получают в соответствующем министерстве (ведомстве).
  2.2. Основное содержание Руководства по защите
  Информации.
     Руководство должно состоять из следующих разделов:
общие положения;
охраняемые  сведения об объекте;
демаскирующие признаки объекта и технические  каналы утечки информации;
оценка  возможностей технических разведок и  других  источников угроз безопасности  информации (возможно спецтехника,  используемая преступными группировками);
организационные и технические мероприятия по защите информации;
оповещение  о ведении разведки (раздел включается в состав  Руководства по необходимости);
обязанности и права должностных лиц;
планирование  работ по защите информации и контролю;
     -      контроль состояния защиты информации;
     -     аттестование рабочих мест;
     - взаимодействие с другими предприятиями (учреждениями,  организациями);
     Общие требования по защите информации на объекте, указывается категория объекта по требованиям обеспечения защиты информации, указываются должностные лица. ответственные за выполнение требований Руководства, определяется порядок финансирования работ по защите информации на объекте, приводятся сведения о полученной лицензии на допуск к работе со сведениями,  составляющими  государственную тайну и об имеющихся сертифицированных средствах защиты информации.
     Конкретная цель, которая должна быть достигнута в результате проведения мероприятий  по  защите  информации  (охраняемых сведений) об объекте, замысел достижения этой цели и приводится перечень охраняемых сведений  об объекте и его деятельности.
     Охраняемые сведения об объекте, в том числе демаскирующие признаки, возникающие в связи с использованием средств обеспечения его деятельности.  Приводятся возможные технические каналы утечки охраняемых сведений об объекте, включая каналы утечки информации в технических средствах ее обработки.
     Перечень видов и средств технической разведки, источников угроз несанкционированного доступа к информации,  в том числе со стороны преступных группировок и результаты оценки их возможностей:
по обнаружению  (определению) демаскирующих признаков объекта, раскрывающих охраняемые сведения;
по перехвату  информации циркулирующей в технических  средствах ее обработки; по перехвату речевой информации из помещений;
по получению, разрушению (уничтожению), искажению  или блокированию информации в результате несанкционированного доступа к ней.
     При оценке используется "Модель...",  "Методики..."  и  другие документы  по этому вопросу.
     Организационные и технические мероприятия, обеспечивающие устранение или ослабление (искажение) демаскирующих признаков и закрытие возможных технических каналов утечки охраняемых сведений об объекте, мероприятия по защите информации о создаваемых (применяемых) образцах ВиВТ в соответствии с Инструкциями по защите информации на эти образцы, мероприятия по защите информации об иной создаваемой (применяемой) продукции и технологиях, мероприятия по защите информации при постоянном контролируемом и неконтролируемом нахождении иностранных граждан, как на территории объекта, так и в непосредственной близости от него, а также мероприятия по защите информации в системах и средствах информатизации и связи.
     При нахождении на территории объекта организации, арендующей территорию данного объекта, требования по защите информации на данный объект должны быть включены в договор аренды.
     Порядок получения, регистрации и передачи данных о пролетах разведывательных ИСЗ, самолетов иностранных   авиакомпаний,   нахождении иностранных судов в открытых портах, местах, маршрутах и времени проведения иностранных инспекций в соответствии с международными договорами, посещении объекта иностранными представителями, появлении в районе дислокации объекта иностранных граждан, подозреваемых в ведении разведки. А также приводятся внутриобъектовая схема оповещения и действия должностных лиц при оповещении.
     Определяются должностные лица подразделений объекта, ответственные за разработку, обеспечение и выполнение мероприятий защите информации, их функциональные обязанности и права, приводится структурная схема взаимодействия подразделении по защите информации на объекте с  соответствующими подразделениями данного объекта.
       Основные руководящие документы для планирования работ по защите информации, требования к  содержанию планов, приводится порядок разработки, согласования, утверждения и оформления планов, устанавливается порядок отчетности и контроля за выполнением планов.
     Задачи контроля, перечень органов и подразделений, имеющих право проверки состояния защиты информации на объекте, привлекаемые силы и средства контроля, порядок привлечения (при необходимости) к этой работе специалистов основных подразделений объекта, устанавливаются периодичность и виды контроля, порядок оформления результатов контроля, определяются действия должностных лиц по устранению нарушений норм и требовании по защите информации и порядок разработки мероприятий по устранению указанных нарушений.
     Подразделения или должностные лица, ответственные за аттестование рабочих мест, стендов, вычислительных комплексов, выделенных помещений и т.д., приводится форма документирования результатов аттестования и порядок выдачи разрешения на проведении работ с секретной информацией, а также порядок и периодичность аттестования.
     Порядок взаимодействия в области защиты информации с предприятиями (учреждениями, организациями) при выполнении совместных работ, применяемые совместные организационные и технические мероприятия по защите информации  ответственность,   права  и  обязанности   взаимодействующих  сторон, а  также приводится структурная
схема взаимодействия.
     В приложения к Руководству  могут включаться:
таблицы, схемы, графики, расчеты, исходные данные и  другие справочные материалы для  оценки обстановки, определения мероприятий  по защите информации;
перечень  создаваемых (применяемых) образцов ВиВТ,  выполняемых НИОКР и другой продукции, подлежащих защите;
     Перечень сведений, подлежащих защите;
план  объекта с указанием схем размещения рабочих мест, стендов и т.д.,                                                                                                                     и схем организации связи и сигнализации объекта;
структура системы защиты информации на объекте;
перечень  руководящих, нормативных и методических документов по защите информации и  др.
     Корректировка приложений  должна проводиться  в случаях изменения характера  и направленности работ, разведобстановки, влияющих на состояние защиты  охраняемых  сведений,  введения  в действие новых нормативных документов по защите информации или уточнений к ним,  а также при уточнении (изменении) легенд прикрытия.
2.3. Порядок разработки, согласования и утверждения
  Руководства по  защите информации.
    Руководство по защите информации разрабатывается  подразделением по защите информации от иностранных технических разведок и от её утечки по техническим каналам совместно с основными подразделениями объекта.
    Руководство подписывается должностным лицом,  ответственным за защиту информации  на  объекте и утверждается руководителем  объекта по согласованию с представителем заказчика, головным подразделением отрасли  по защите информации (для предприятий входящих в состав ведомств) и соответствующим территориальным  органом  государственной безопасности.
    Согласованное Руководство  утверждается  руководителем  органа государственной власти или  предприятия (учреждения, организации).
    Изменения в руководство вносятся,  согласовываются и  утверждаются в том же порядке и на том же уровне,  что и основной документ .
    К ознакомлению с Руководством в полном объеме допускается строго ограниченный круг лиц по решению руководителя  объекта.   Исполнители мероприятий  по  защите информации на объекте должны быть ознакомлены с Руководством в части, их касающейся.  
 
 

    2.4. Государственная система защиты информации.
    Организацию деятельности государственной системы  технической защиты информации на федеральном, межрегиональном, региональном, отраслевом и объектовом уровнях, а также руководство указанной Государственной системой осуществляет ФСТЭК России.
    Государственная система защиты информации как система  более сложная, включает в себя подсистемы лицензирования деятельности предприятий в области защиты информации, сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации.
    Подсистемы представляют в совокупности деятельность следующих органов:
    Федеральная служба технического и экспортного контроля (ФСТЭК России) и ее территориальные органы (региональные управления в субъектах Российской Федерации)
    Федеральные органы исполнительной власти, другие органы и организации Российской Федерации, руководящие работники  которых входят в состав коллегии ФСТЭК России по должности (Минюст, Минобороны, МЧС, МВД, МИД, Минпромэнерго, Минэкономразвития, Минприроды, ФСО, ФСБ, СВР, ГУСП, РАН, ЦБР)
    Предприятия, проводящие работы с использованием сведений, отнесенных к информации ограниченного доступа, и их подразделения по защите информации
    Научно-исследовательские  организации по проблемам защиты информации
    Организации-разработчики средств защиты информации, защищенных технических средств и средств  контроля эффективности защиты информации. 

    Предприятия, оказывающие услуги в области защиты информации. Организации Федерального агентства по техническому регулированию и метрологии выполняющие работы по стандартизации в области защиты информации.
    Органы  системы лицензирования деятельности в области защиты информации
    Органы  системы сертификации средств защиты информации
    Органы  системы аттестации объектов защиты по требованиям безопасности информации.
    2.5. Методы и способы защиты информации в информационных системах персональных данных.
    ФСТЭК устанавливает методы и способы защиты информации, применяемые для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных государственными органами, муниципальными органами, юридическими или физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных (далее - оператор), или лицом, которому на основании договора оператор поручает обработку персональных данных.
    Для выбора и реализации методов и способов защиты информации в информационной системе оператором или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных данных. Для выбора и реализации методов и способов защиты информации в информационной системе может привлекаться организация, имеющая оформленную в установленном порядке лицензию на осуществление деятельности по технической защите конфиденциальной информации.
и т.д.................


Перейти к полному тексту работы


Скачать работу с онлайн повышением уникальности до 90% по antiplagiat.ru, etxt.ru или advego.ru


Смотреть полный текст работы бесплатно


Смотреть похожие работы


* Примечание. Уникальность работы указана на дату публикации, текущее значение может отличаться от указанного.