Нп 019-15 федеральные нормы и правила в области использования атомной энергии сбор, переработка, хранение и кондиционирование жидких радиоактивных отходов. требования безопасности 2020 год. последняя редакция
Содержание:
Введение
Сегодня вопросы обеспечения информационной безопасности являются предметом пристального внимания, поскольку внедряемые повсеместно технологии без обеспечения информационной безопасности становятся источником новых серьезных проблем.
На территории Российской Федерации обладатели информации и операторы информационных систем обязаны блокировать попытки несанкционированного доступа к информации, а также осуществлять мониторинг состояния защищенности ИТ-инфраструктуры на постоянной основе. При этом защита информации обеспечивается за счет принятия различных мер, включая технические.
Средства защиты информации, или СЗИ обеспечивают защиту информации в информационных системах, по сути представляющих собой совокупность хранимой в базах данных информации, информационных технологий, обеспечивающих ее обработку, и технических средств.
Для современных информационных систем характерно использование различных аппаратно-программных платформ, территориальная распределенность компонентов, а также взаимодействие с открытыми сетями передачи данных.
Как защитить информацию в таких условиях? Соответствующие требования предъявляют уполномоченные органы, в частности, ФСТЭК и ФСБ России. В рамках статьи постараемся отразить основные подходы к классификации СЗИ с учетом требований указанных регуляторов. Иные способы описания классификации СЗИ, отраженные в нормативных документах российских ведомств, а также зарубежных организаций и агентств, выходят за рамки настоящей статьи и далее не рассматриваются.
Статья может быть полезна начинающим специалистам в области информационной безопасности в качестве источника структурированной информации о способах классификации СЗИ на основании требований ФСТЭК России (в большей степени) и, кратко, ФСБ России.
Структурой, определяющей порядок и координирующей действия обеспечения некриптографическими методами ИБ, является ФСТЭК России (ранее — Государственная техническая комиссия при Президенте Российской Федерации, Гостехкомиссия).
Рисунок 1. Фрагмент реестра сертифицированных СЗИ
Далее постараемся разобраться в терминах, основываясь в первую очередь на нормативных актах отечественных регуляторов сферы информационной безопасности. И начнем это описание с изложения используемой регуляторами терминологии.
Журналы и бланки
БухгалтерияОхрана труда и техника безопасностиМЧСКадровая работа: Журналы, бланки, формыЖурналы, бланки, формы документов для органов прокуратуры и суда, минюста, пенитенциарной системыЖурналы, бланки, формы документов МВД РФКонструкторская, научно-техническая документацияЛесное хозяйствоПромышленностьГостиницы, общежития, хостелыСвязьЖурналы и бланки по экологииЖурналы и бланки, используемые в торговле, бытовом обслуживанииЖурналы по санитарии, проверкам СЭСЛифтыКомплекты журналовНефтебазыБассейныГазовое хозяйство, газораспределительные системы, ГАЗПРОМЖКХЭксплуатация зданий и сооруженийЖурналы и бланки для нотариусов, юристов, адвокатовЖурналы и бланки для организаций пищевого производства, общепита и пищевых блоковЖурналы и бланки для организаций, занимающихся охраной объектов и частных лицЖурналы и бланки для ФТС РФ (таможни)Журналы для образовательных учрежденийЖурналы и бланки для армии, вооруженных силБанкиГеодезия, геологияГрузоподъемные механизмыДокументы, относящиеся к нескольким отраслямНефтепромысел, нефтепроводыДелопроизводствоЖурналы для медицинских учрежденийАЗС и АЗГСЭлектроустановкиТепловые энергоустановки, котельныеЭнергетикаШахты, рудники, метрополитены, подземные сооруженияТуризмДрагметаллыУчреждения культуры, библиотеки, музеиПсихологияПроверки и контроль госорганами, контролирующими организациямиРаботы с повышенной опасностьюПожарная безопасностьОбложки для журналов и удостоверенийАптекиТранспортРегулирование алкогольного рынкаАвтодороги, дорожное хозяйствоСамокопирующиеся бланкиСельское хозяйство, ветеринарияСкладСнегоплавильные пунктыСтройка, строительствоМетрологияКанатные дороги, фуникулерыКладбищаАрхивыАттракционыЖурналы для парикмахерских, салонов красоты, маникюрных, педикюрных кабинетов
Журналы и бланки
БухгалтерияОхрана труда и техника безопасностиМЧСКадровая работа: Журналы, бланки, формыЖурналы, бланки, формы документов для органов прокуратуры и суда, минюста, пенитенциарной системыЖурналы, бланки, формы документов МВД РФКонструкторская, научно-техническая документацияЛесное хозяйствоПромышленностьГостиницы, общежития, хостелыСвязьЖурналы и бланки по экологииЖурналы и бланки, используемые в торговле, бытовом обслуживанииЖурналы по санитарии, проверкам СЭСЛифтыКомплекты журналовНефтебазыБассейныГазовое хозяйство, газораспределительные системы, ГАЗПРОМЖКХЭксплуатация зданий и сооруженийЖурналы и бланки для нотариусов, юристов, адвокатовЖурналы и бланки для организаций пищевого производства, общепита и пищевых блоковЖурналы и бланки для организаций, занимающихся охраной объектов и частных лицЖурналы и бланки для ФТС РФ (таможни)Журналы для образовательных учрежденийЖурналы и бланки для армии, вооруженных силБанкиГеодезия, геологияГрузоподъемные механизмыДокументы, относящиеся к нескольким отраслямНефтепромысел, нефтепроводыДелопроизводствоЖурналы для медицинских учрежденийАЗС и АЗГСЭлектроустановкиТепловые энергоустановки, котельныеЭнергетикаШахты, рудники, метрополитены, подземные сооруженияТуризмДрагметаллыУчреждения культуры, библиотеки, музеиПсихологияПроверки и контроль госорганами, контролирующими организациямиРаботы с повышенной опасностьюПожарная безопасностьОбложки для журналов и удостоверенийАптекиТранспортРегулирование алкогольного рынкаАвтодороги, дорожное хозяйствоСамокопирующиеся бланкиСельское хозяйство, ветеринарияСкладСнегоплавильные пунктыСтройка, строительствоМетрологияКанатные дороги, фуникулерыКладбищаАрхивыАттракционыЖурналы для парикмахерских, салонов красоты, маникюрных, педикюрных кабинетов
Уровни контроля на отсутствие недекларированных возможностей (НДВ) в ПО средств защиты информации
Учитывая, что любое СЗИ содержит некий программный код, то можно предположить, что он обладает функциональностью, способствующей организации успешных атак в отношении защищаемых объектов. Такие возможности, не указанные в документации или описанные с искажением, использование которых может привести к нарушению ИБ, названы недекларированными (далее – НДВ). В результате, в отношении СЗИ была поставлена задача по проверке их на отсутствие в нем НДВ.
Регулятор выделил 4 уровня контроля отсутствия НДВ: первый — наивысший, а четвертый — низший (рисунок 2).
Рисунок 2. Классификация по уровню контроля на отсутствие НДВ
Как показано на рисунке 2, если СЗИ предназначено для защиты информации с грифом секретности «особой важности», то оно должно удовлетворять требованиям, предъявляемым к 1 уровню контроля. В случае защиты информации с грифом секретности «совершенно секретно», то программное обеспечение применяемого СЗИ должно пройти как минимум второй уровень контроля
В случае защиты информации с грифом секретности «совершенно секретно», то программное обеспечение применяемого СЗИ должно пройти как минимум второй уровень контроля.
Если гриф секретности защищаемой информации «секретно», то соответствие требованиям по третьему уровню контроля будет достаточным.
Что касается информации ограниченного доступа, не содержащей сведений, относящихся к государственной тайне, — достаточным уровнем контроля является самый низкий.
Книги
Нормативные правовые актыОбщественные и гуманитарные наукиРелигия. Оккультизм. ЭзотерикаОхрана труда, обеспечение безопасностиСанПины, СП, МУ, МР, ГНПодарочные книгиПутешествия. Отдых. Хобби. СпортНаука. Техника. МедицинаКосмосРостехнадзорДругоеИскусство. Культура. ФилологияКниги издательства «Комсомольская правда»Книги в электронном видеКомпьютеры и интернетБукинистическая литератураСНиП, СП, СО,СТО, РД, НП, ПБ, МДК, МДС, ВСНГОСТы, ОСТыЭнциклопедии, справочники, словариДомашний кругДетская литератураУчебный годСборники рецептур блюд для предприятий общественного питанияЭкономическая литератураХудожественная литература
