Всё для Учёбы — студенческий файлообменник
1 монета
docx

Студенческий документ № 058267 из НИУ МЭИ

3.1 объект информатизации: Совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров.

Автоматизи?рованное рабо?чее ме?сто (АРМ) - программно-технический комплекс, предназначенный для автоматизации деятельности определенного вида АС.

автоматизированная система - автоматизированная система: Система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций. [ГОСТ 34.003 90, пункт 1.1]

Основные технические средства и системы (ОТСС) - технические средства и системы, а также их коммуникации, используемые для обработки, хранения и передачи конфиденциальной (секретной) информации

К ОТСС могут относиться средства и системы информатизации (средства вычислительной техники, автоматизированные системы различного уровня и назначения на базе средств вычислительной техники, в том числе информационно-вычислительные комплексы, сети и системы, средства и системы связи и передачи данных), технические средства приема, передачи и обработки информации (телефонии, звукозаписи, звукоусиления, звуковоспроизведения переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической видео-, смысловой и буквенно-цифровой информации) используемые для обработки конфиденциальной (секретной) информации.

Вспомогательные технические средства и системы (ВТСС) - технические средства и системы, не предназначенные для передачи, обработки и хранения конфиденциальной информации, устанавливаемые совместно с ОТСС или в выделенных помещениях.

К ним относятся:

* различного рода телефонные средства и системы;

* средства и системы передачи данных в системе радиосвязи;

* средства и системы охранной и пожарной сигнализации;

* средства и системы оповещения и сигнализации;

* контрольно-измерительная аппаратура;

* средства и системы кондиционирования;

* средства и системы проводной радиотрансляционной сети и приема программ радиовещания и телевидения (абонентские громкоговорители, системы радиовещания, телевизоры и радиоприемники и т.д.);

* средства электронной оргтехники.

Защищаемые помещения - помещения (служебные кабинеты, актовые, конференц-залы и т.д.), специально предназначенные для проведения конфиденциальных мероприятий, в ходе которых обрабатывается речевая информация, содержащая сведения конфиденциального характера.

Технический канал утечки информации представляет собой совокупность объекта технической разведки, физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация. Техническая защита конфиденциальной информации - защита информации некриптографическими методами, направленными на предотвращение утечки защищаемой информации по техническим каналам, от несанкционированного доступа к ней и от специальных воздействий на информацию в целях ее уничтожения, искажения или блокирования.

Контролируемая зона - это территория или пространство, на которых исключено неконтролируемое пребывание лиц или транспортных средств без постоянного или разового доступа[1][2].

Данные в локальных ИС хранятся и обрабатываются на одном и том же компьютере. До появления компьютерных сетей все ИС вынужденно являлись локальными. В те времена для работы с одной базой данных каждому пользователю приходилось создавать локальную копию этой базы данных на своем компьютере. С некоторой периодичностью данные нужно было синхронизировать и объединять. Конечно, это порождало ошибки и сложности. В современных условиях этот подход считается устаревшим, а многопользовательский режим работы является одним из основных требований к ИС. Однако, существует немногочисленный класс программ, где не нужен многопользовательский доступ к данным. К ним относятся мобильные приложения, однопользовательские игры, организация хранения, поиска и просмотра баз переписки почтовых клиентов и мессенджеров (icq, jabber), плейлистов медиапроигрывателей, уменьшенных копий изображений и т.д. Программы, выполняющие подобные задачи, являются локальными ИС. Для работы локальной ИС необходимо организовать на пользовательском компьютере хранение данных и доступ к ним. Это можно сделать тремя способами: с использованием полной версии любой СУБД; с использованием встроенной СУБД; без использования СУБД.

Распределённая система - система, для которой отношения местоположений элементов (или групп элементов) играют существенную роль с точки зрения функционирования системы, а, следовательно, и с точки зрения анализа и синтеза системы.

Для распределённых систем характерно распределение функций, ресурсов между множеством элементов (узлов) и отсутствие единого управляющего центра, поэтому выход из строя одного из узлов не приводит к полной остановке всей системы. Типичной распределённой системой является Интернет.

Аттестация предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта информатизации в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности информации. Порядок, содержание, условия и методы испытаний для оценки характеристик и показателей, проверяемых при аттестации, соответствия их установленным требованиям, а также применяемые в этих целях контрольная аппаратура и тестовые средства определяются в методиках испытаний различных видов объектов информатизации. В процессе аттестации:

* осуществляется анализ организационной структуры объекта информатизации, информационных потоков, состава и структуры комплекса технических средств и программного обеспечения, системы защиты информации на объекте, разработанной документации и ее соответствия требованиям нормативной документации по защите информации;

* определяется правильность категорирования объектов ЭВТ и классификации АС (при аттестации автоматизированных систем), выбора и применения сертифицированных и несертифицированных средств и систем защиты информации;

* проводятся испытания несертифицированных средств и систем защиты информации на аттестуемом объекте или анализ результатов их испытаний в испытательных центрах (лабораториях) по сертификации;

* проверяется уровень подготовки кадров и распределение ответственности персонала за обеспечение выполнения требований по безопасности информации;

* проводятся комплексные аттестационные испытания объекта информатизации в реальных условиях эксплуатации путем проверки фактического выполнения установленных требований на различных этапах технологического процесса обработки защищаемой информации;

* оформляются протоколы испытаний и заключение по результатам аттестации с конкретными рекомендациями по устранению допущенных нарушений, приведению системы защиты объекта информатизации в соответствие с установленными требованиями и совершенствованию этой системы, а также рекомендациями по контролю за функционированием объекта информатизации.

Аттестация объектов информатизации по требованиям безопасности информации осуществляется в соответствии с нормативно - правовыми и методическими документами ФСТЭК России. Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации. Объект информатизации - совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров (ГОСТ Р 51275-99).

"Аттестат соответствия" выдается владельцу аттестованного объекта информатизации органом по аттестации на период, в течение которого обеспечивается неизменность условий функционирования объекта информатизации и технологии обработки защищаемой информации, могущих повлиять на характеристики, определяющие безопасность информации (состав и структура технических средств, условия размещения, используемое программное обеспечение, режимы обработки информации, средства и меры защиты), но не более чем на 3 года. Владелец аттестованного объекта информатизации несет ответственность за выполнение установленных условий функционирования объекта информатизации, технологии обработки защищаемой информации и требований по безопасности информации. Государственный контроль и надзор, инспекционный контроль за проведением аттестации объектов информатизации проводится ФСТЭК России как в процессе, так и по завершении аттестации, а за эксплуатацией аттестованных объектов информатизации - периодически в соответствии с планами работы по контролю и надзору.

Пространство вокруг ТСПИ, в пределах которого напряженность электромагнитного поля превышает допустимое (нормированное) значение, называется зоной 2 (R2) [3]. Фактически зона R2 - это зона, в пределах которой возможен перехват средством разведки побочных электромагнитных излучений ТСПИ с требуемым качеством (рис. 2).

1----------------------------------------------------------------------------------------------------

ГОСТ РО 0043-004-2013. Программа и методики аттестационных испытаний.

К объектам информатизации могут относиться:

* автоматизированные системы (информационные системы) различного уровня и назначения (средства и системы информатизации);

* системы связи, приема, обработки и передачи данных(средства и системы информатизации);

* системы отображения и размножения(помещения со средствами и системами информатизации);

* помещения и объекты, предназначенные для ведения конфиденциальных переговоров (защищаемые помещения).

Уровень значимости определяется заказчиком (владельцем системы): 1. Высокий (возможны существенные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности (или) информационная система и (или) оператор (обладатель информации) не могут выполнять возложенные на них функции); 2. Средний (умеренные негативные последствия); 3. Низкий (незначительные негативные последствия); 4. Неопределенный. Хотя бы для одного из свойств - конфиденциальности, целостности или доступности. Уровень значимости Масштаб информационной системы Федеральный Региональный Объектовый 1 К1 К1 К1 2 К1 К2 К2 3 К2 К3 К3 4 К3 К3 К4

Показать полностью…
27 Кб, 20 января 2017 в 0:47 - Россия, Москва, НИУ МЭИ, 2017 г., docx
Рекомендуемые документы в приложении