Каталог средств ЗИ
Реклама Symantec DLP программа для защиты от утечки данных!
|
Стоит начать с объяснения самого термина Аттестация. Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" подтвеpждается, что объект соответствует тpебованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных Гостехкомиссией России. Наличие на объекте информатизации действующего "Аттестата соответствия" дает право обpаботки инфоpмации с уpовнем секpетности (конфиденциальности) и на пеpиод вpемени, установленными в "Аттестате соответствия" (Положение по аттестации объектов информатизации по требованиям безопасности информации от 25 ноября 1994 г.). Следующий вопрос - это аттестуемый объект. Существуют автоматизированные системы (АС) и защищаемые помещения (ЗП). Проводить аттестацию в праве органы по аттестации объектов информатизации, которые аккредитуются ФСТЭК России (Гостехкомиссией России) и получают от нее лицензию на пpаво пpоведения аттестации объектов информатизации. Аттестация объектов информатизации (ОИ) проводится в соответствии со следующими нормативными документами:
Основным документом, в котором изложены требования является СТР-К. Основными направлениями защиты информации являются:
АС, обрабатывающие персональные данные, должны быть отнесены по уровню защищенности к классам 3Б, 2Б и не ниже 1Д. От СТР-К переходим к следующим двум документам:
Далее требования регламентируются сборником временных методик. Данный сборник включает в себя методики оценки защищенности конфиденциальной информации от утечки по техническим каналам: акустическому, виброакустическому, электроакустических преобразований во вспомогательных технических средствах и системах (ВТСС), побочных электромагнитных излучений и наводок от основных технических средств и систем (ОТСС), а так же наводок на ВТСС и их коммуникации. Так же существовало, так называемое "Четверокнижие" от ФСТЭК. Но было утверждено решение первым заместителемдиректора ФСТЭК России5 марта 2010 г. о следующем: "В связи с изданием приказа ФСТЭК России от 5 февраля 2010 г. № 58 <Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных> (зарегистрирован Минюстом России 19 февраля 2010 г., регистрационный № 16456; опубликован: <Российская газета>, 5 марта 2010 г., № 46) не применять с 15 марта 2010 г. для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных следующие методические документы ФСТЭК России: Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.; Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г." После решения ФСТЭК об отмене действия двух методик из «четверокнижия», классификация ИСПДн проводится в соответствии с Приказ Федеральной службы по техническому и экспортному контролю от 5 февраля 2010 г. N 58 "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных". Исходя из вышенаписанного, к классам ИСПДн предъявляются требования описанные ниже. Для ИСПДн 4 класса перечень мероприятий определяется оператором в зависимости от возможного ущерба. Для ИСПДн 3 класса, при много – или однопользовательском режиме обработки с равными или разными правами доступа, необходимо обеспечить следующее:
Для ИСПДн 3 класса при межсетевом взаимодействии:
Для ИСПДн 2 класса при много – или однопользовательском режиме обработки м равными или разными правами доступа, предъявляются те же требования что и для ИСПДн 3 класса. Для ИСПДн 2 класса при межсетевом взаимодействии:
Для ИСПДн 1 класса при много – или однопользовательском режиме обработки м равными или разными правами доступа:
В целом, картина представляется следующим образом:
Аттестация ЗП по своей сути, ничем не отличается от аттестации АС, в плане этапов проведения аттестации. Единственная разница в методиках и требованиях к аттестуемым ЗП. Все требования, методики и нормы указаны во "Временной методике защиты конфиденциальной информации от утечки по техническим каналам".
Только авторизованные пользователи могут оставлять комментарии - авторизация, а если Вы впервые, то нужно зарегистрироваться в системе
|
Вопрос специалисту
На нашем сайте Вы можете бесплатно задать вопрос специалисту
Видео Документы для скачивания |