Дайте определение понятию «контролируемая зона». Что может быть признано за границу КЗ? Чем отличается защищаемое помещение от выделенного помещения?
Контролируемая зона (КЗ) – это пространство (территория, здание, часть здания), в котором исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового допуска, и посторонних транспортных, технических и иных материальных средств.
Границей КЗ могут являться:
- периметр охраняемой территории учреждения (предприятия);
- ограждающие конструкции охраняемого здания или охраняемой части здания, если оно размещено на неохраняемой территории.
Таким образом, КЗ может ограничиваться периметром охраняемой территории частично, охраняемой территорией, охватывающей здания и сооружения, в которых проводятся закрытые мероприятия, частью зданий, комнатой, кабинетом, в которых проводятся закрытые мероприятия.
В отдельных случаях на период обработки техническими средствами конфиденциальной информации КЗ временно может устанавливаться большей, чем охраняемая территория предприятия. При этом должны приниматься организационно-режимные и технические меры исключающие или существенно затрудняющие возможность ведения перехвата в этой зоне.
Постоянная контролируемая зона — это зона, границы которой устанавливаются на длительный срок.
Временная контролируемая зона — это зона, устанавливаемая для проведения закрытых мероприятий разового характера.
Выделенные помещения – помещения (служебные кабинеты, актовые, конференц-залы и т.д.) специально предназначенные для обработки речевой информации (обсуждения, совещания, и т.д.), содержащей сведения, составляющие государственную тайну.
Защищаемые помещения - помещения (служебные кабинеты, актовые, конференц-залы и т.д.), специально предназначенные для проведения конфиденциальных мероприятий, в ходе которых обрабатывается речевая информация, содержащая сведения конфиденциального характера.
4. Сколько и какие классы защищенности установлены для автоматизированных систем управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, отчего они зависят. Каким документом регламентированы требования к обеспечению ЗИ в данных АИС.
Формирование требований к ЗИ в автоматизированной системе управления осуществляется с учетом ГОСТ Р 51583 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения» (далее - ГОСТ Р 51583), ГОСТ Р 51624 «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования» (далее - ГОСТ Р 51624) и стандартов организации и в том числе включает: принятие решения о необходимости ЗИ в автоматизированной системе управления; классификацию автоматизированной системы управления по требованиям ЗИ; определение угроз безопасности информации, реализация которых может привести к нарушению штатного режима функционирования автоматизированной системы управления, и разработку на их основе модели угроз безопасности информации; определение требований к системе защиты автоматизированной системы управления.
Классификация автоматизированной системы управления проводится заказчиком или оператором в зависимости от уровня значимости (критичности) информации, обработка которой осуществляется в автоматизированной системе управления. Устанавливаются три класса защищенности автоматизированной системы управления, определяющие уровни защищенности автоматизированной системы управления. Самый низкий класс – третий, самый высокий – первый.
Порядок определения класса защищенности АСУ
1. Класс защищенности автоматизированной системы управления (первый класс (К1), второй класс (К2), третий класс (К3)) определяется в зависимости от уровня значимости (критичности) обрабатываемой в ней информации (УЗ).
2. Уровень значимости (критичности) информации (УЗ) определяется степенью возможного ущерба от нарушения ее целостности (неправомерные уничтожение или модифицирование), доступности (неправомерное блокирование) или конфиденциальности (неправомерные доступ, копирование, предоставление или распространение), в результате которого возможно нарушение штатного режима функционирования автоматизированной системы управления или незаконное вмешательство в процессы функционирования автоматизированной системы управления.
УЗ = [(целостность, степень ущерба) (доступность, степень ущерба) (конфиденциальность, степень ущерба)],
где степень возможного ущерба определяется заказчиком или оператором экспертным или иным методом и может быть:
а) высокой, если в результате нарушения одного из свойств безопасности информации (целостности, доступности, конфиденциальности), повлекшего нарушение штатного режима функционирования автоматизированной системы управления, возможно возникновение чрезвычайной ситуации федерального или межрегионального характера или иные существенные негативные последствия в социальной, политической, экономической, военной или иных областях деятельности;
б) средней, если в результате нарушения одного из свойств безопасности информации (целостности, доступности, конфиденциальности), повлекшего нарушение штатного режима функционирования автоматизированной системы управления, возможно возникновение чрезвычайной ситуации регионального или межмуниципального характера* или иные умеренные негативные последствия в социальной, политической, экономической, военной или иных областях деятельности;
в) низкой, если в результате нарушения одного из свойств безопасности информации (целостности, доступности, конфиденциальности), повлекшего нарушение штатного режима функционирования автоматизированной системы управления, возможно возникновение чрезвычайной ситуации муниципального (локального) характера или возможны иные незначительные негативные последствия в социальной, политической, экономической, военной или иных областях деятельности.
В случае, если для информации, обрабатываемой в автоматизированной системе управления, не требуется обеспечение одного из свойств безопасности информации (в частности конфиденциальности) уровень значимости (критичности) определятся для двух других свойств безопасности информации (целостности, доступности). В этом случае:
УЗ = [(целостность, степень ущерба) (доступность, степень ущерба) (конфиденциальность, не применяется)].
Информация, обрабатываемая в автоматизированной системе управления, имеет высокий уровень значимости (критичности) (УЗ 1), если хотя бы для одного из свойств безопасности информации (целостности, доступности, конфиденциальности) определена высокая степень ущерба.
Информация, обрабатываемая в автоматизированной системе управления, имеет средний уровень значимости (критичности) (УЗ 2), если хотя бы для одного из свойств безопасности информации (целостности, доступности, конфиденциальности) определена средняя степень ущерба и нет ни одного свойства, для которого определена высокая степень ущерба.
Информация, обрабатываемая в автоматизированной системе управления, имеет низкий уровень значимости (критичности) (УЗ 3), если для всех свойств безопасности информации (целостности, доступности, конфиденциальности) определены низкие степени ущерба.
При обработке в автоматизированной системе управления двух и более видов информации (измерительная информация, информация о состоянии процесса) уровень значимости (критичности) информации (УЗ) определяется отдельно для каждого вида информации.
Итоговый уровень значимости (критичности) устанавливается по наивысшим значениям степени возможного ущерба, определенным для целостности, доступности, конфиденциальности каждого вида информации. в соответствии с постановлением Правительства РФ от 21 мая 2007 г. № 304 «О классификации чрезвычайных ситуаций природного и техногенного характера» (Собрание законодательства РФ, 2007, № 22, ст. 2640; 2011, № 21, ст. 2971).
3. Класс защищенности автоматизированной системы управления определяется в соответствии с таблицей:
Уровень значимости (критичности)
информации Класс защищенности автоматизированной системы управления
УЗ 1 К1
УЗ 2 К2
УЗ 3 К3
Класс защищенности может быть установлен отдельно для каждого из уровней автоматизированной системы управления или иных сегментов при их наличии. Результаты классификации автоматизированной системы управления оформляются актом классификации. Требование к классу защищенности включается в техническое задание на создание автоматизированной системы управления и (или) техническое задание (частное техническое задание) на создание системы защиты автоматизированной системы управления, разрабатываемые с учетом ГОСТ 34.602 «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы» (далее – ГОСТ 34.602), ГОСТ Р 51583, ГОСТ Р 51624 и стандартов организации.
Класс защищенности автоматизированной системы управления (сегмента) подлежит пересмотру только в случае ее модернизации, в результате которой изменился уровень значимости (критичности) информации, обрабатываемой в автоматизированной системе управления (сегменте).
Требования к обеспечению ЗИ в данных автоматизированных системах управления регламентируются приказом ФСТЭК России от 14.03.2014 №31 «Об утверждении Требований к обеспечению ЗИ в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды».