Что такое монитор безопасности и какие требования к нему предъявляются

Обновлено: 19.05.2024

Выписка из Требований по безопасности информации, утвержденных приказом ФСТЭК России от 2 июня 2020 г. N 76

приказом ФСТЭК России

от 2 июня 2020 г. N 76

Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий

(выписка)

I. Общие положения

1. Настоящие Требования являются обязательными требованиями в области технического регулирования к продукции (работам, услугам), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа (далее – требования по безопасности информации), применяются к программным и программно-техническим средствам технической защиты информации, средствам обеспечения безопасности информационных технологий, включая защищенные средства обработки информации (далее – средства), и устанавливают уровни, характеризующие безопасность применения средств для обработки и защиты информации, содержащей сведения, составляющие государственную тайну, иной информации ограниченного доступа, а также для обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации (далее – уровни доверия).

3. Выполнение настоящих Требований является обязательным при проведении работ по оценке соответствия (включая работы по сертификации) средств технической защиты информации и средств обеспечения безопасности информационных технологий, организуемых ФСТЭК России в пределах своих полномочий в соответствии с Положением о системе сертификации средств защиты информации, утвержденным приказом ФСТЭК России от 3 апреля 2018 г. N 55 "Об утверждении Положения о системе сертификации средств защиты информации".

II. Общие требования по безопасности информации

4. Для дифференциации требований по безопасности информации к средствам устанавливается 6 уровней доверия. Самый низкий уровень – шестой, самый высокий – первый.

Средства, соответствующие 6 уровню доверия, применяются в значимых объектах критической информационной инфраструктуры 3 категории * , в государственных информационных системах 3 класса защищенности ** , в автоматизированных системах управления производственными и технологическими процессами 3 класса защищенности *** , в информационных системах персональных данных при необходимости обеспечения 3 и 4 уровня защищенности персональных данных **** .

Средства, соответствующие 5 уровню доверия, применяются в значимых объектах критической информационной инфраструктуры 2 категории * , в государственных информационных системах 2 класса защищенности ** , в автоматизированных системах управления производственными и технологическими процессами 2 класса защищенности *** , в информационных системах персональных данных при необходимости обеспечения 2 уровня защищенности персональных данных **** .

Средства, соответствующие 4 уровню доверия, применяются в значимых объектах критической информационной инфраструктуры 1 категории*, в государственных информационных системах 1 класса защищенности ** , в автоматизированных системах управления производственными и технологическими процессами 1 класса защищенности *** , в информационных системах персональных данных при необходимости обеспечения 1 уровня защищенности персональных данных **** , в информационных системах общего пользования II класса ***** .

5. При проведении сертификации средства защиты информации должно быть подтверждено соответствие средства настоящим Требованиям.

Устанавливается следующее соответствие классов средств защиты информации и средств вычислительной техники уровням доверия:

средства защиты информации 6 класса должны соответствовать 6 уровню доверия;

средства защиты информации 5 класса должны соответствовать 5 уровню доверия;

средства защиты информации 4 класса и средства вычислительной техники 5 класса должны соответствовать 4 уровню доверия.

6. Средство соответствует уровню доверия, если оно удовлетворяет требованиям к разработке и производству средства, проведению испытаний средства, поддержке безопасности средства, приведенным в таблице 1.

Анализ практического опыта по защите компьютерной информации, а также основных положений субъектно-объектной модели КС позволяет сформулировать несколько аксиоматических условий, касающихся структуры и функционирования защищенных КС [10,17].

Аксиома 10.1. В защищенной КС в любой момент времени любой субъект и объект должны быть персонифицированы (идентифицированы) и аутентифицированы.

Данная аксиома определяется самой природой и содержанием процессов коллективного доступа пользователей к ресурсам КС. Если какие-либо субъекты (пользователи) имеют возможность выдать себя в КС за других субъектов (пользователей) или если имеют возможность подменять (выдавать) одни объекты доступа за другие, то ни о какой безопасности, защищенности речи быть не может. Таким образом, аксиома 1.1 выражает необходимое условие безопасности (защищенности) информации в КС, а процедуры, механизмы и системы, осуществляющие идентификацию и аутентификацию пользователей, их субъектов и объектов доступа, являются исходным и важнейшим программно–техническим рубежом защиты информации в КС.

Аксиома 10.2. В защищенной КС должна присутствовать активная компонента (субъект, процесс и т. д.) с соответствующим объектом(ами)-источником, которая осуществляет управление доступом и контроль доступа субъектов к объектам.

В литературе для данной активной компоненты утвердился термин "монитор безопасности". Понятие монитора безопасности позволяет выразить схемотехнический аспект защиты информации в КС в виде схемы, представленной на рис. 10.2.

В структуре большинства типов программных средств, на основе которых строятся информационные системы (ОС, СУБД), можно выделить ядро (ядро ОС, машина данных СУБД), в свою очередь, разделяемое на компоненту представления информации (файловая система ОС, модель данных СУБД) и на компоненту доступа к данным (система ввода–вывода ОС, процессор запросов СУБД), а также надстройку (утилиты, сервис, интерфейсные компо­ненты). Инициализированные субъекты при осуществлении процессов доступа обращаются за сервисом, функциями к ядру системы – см. рис. 10.2.а.

Рис. 10.2.а. Системотехнический аспект незащищенной КС

Рис.10.2.б. Системотехнический аспект защищенной КС

В защищенной системе появляется дополнительная компонента, обеспечивающая процессы защиты информации, прежде всего, процедуры идентификации/аутентификации, а также управление доступом на основе той или иной политики безопасности (разграничения доступа) – см. рис. 10.2.б. Ввиду того, что как само ядро КС (компонент представления и компонент доступа), так и процессы разграничения доступа неразрывно связаны с представлением информации и манипулированием с ней, то монитор безопасности должен быть интегрирован непосредственно в ядро системы. Иногда говорят, что монитор безопасности должен быть реализован на нулевом уровне (на уровне ядра) системы. В этом отношении заметим, что более правильный подход заключается в такой разработке компонентов ядра КС, которые бы изначально строились на основе определенной модели безопасности (модели разграничения) доступа.

В практическом плане, в том числе и с учетом отечественных и международных нормативных требований по сертифика­ции защищенных систем, к реализации монитора безопасности предъявляются следующие обязательные требования:

Полнота. Монитор безопасности должен вызываться (активизироваться) при каждом обращении за доступом любого субъекта к любому объекту, и не должно быть никаких способов его обхода.

Изолированность. Монитор безопасности должен быть защищен от отслеживания и перехвата своей работы.

Верифицируемость. Монитор безопасности должен быть проверяемым (само- или внешне тестируемым) на предмет выполнения своих функций.

Непрерывность. Монитор безопасности должен функционировать при любых штатных и нештатных, в том числе и аварийных ситуациях 2 .

Таким образом, именно монитор безопасности в защищенной системе является субъектом осуществления принятой политики безопасности, реализуя через алгоритмы своей работы соответствующие модели безопасности. В этом отношении большое значение имеет следующее аксиоматическое положение.

Аксиома 10.3. Для реализации принятой политики безопасности, управления и контроля доступа субъектов к объектам необходима (должна существовать) информация и объект(ы), ее содержащий(ие) (помимо информации для идентификации и аутентификации пользователей).

Из аксиомы 1.3. следует, что монитор безопасности, в свою очередь, как и любая активная сущность в КС, является субъектом с соответствующим объектом-источником и ассоциированными объектами. Отсюда вытекают следующие важные следствия.

Следствие 10.3.1 (из аксиомы 10.3). В защищенной КС существуют особая категория субъектов (активных сущностей), которые не инициализируют и которыми не управляют пользователи системы – т. н. системные процессы (субъекты), присутствующие (функционирующие) в системе изначально.

К числу подобных системных субъектов относится исходный системный процесс, который инициализирует первичные субъекты пользователей, а также монитор безопасности, который управляет доступами субъектов пользователей к объектам системы. Соответственно, для обеспечения защищенности в КС свойства системных субъектов должны быть неизменными, от чего напрямую зависят гарантии безопасности.

Следствие 10.3.2 (из аксиомы 10.3). Ассоциированный с монитором безопасности объект, содержащий информацию по системе разграничения доступа, является наиболее критическим с точки зрения безопасности информационным ресурсом в защищенной КС.

Действительно возможность несанкционированно изменять, удалять данный объект может полностью разрушить или дискредитировать всю систему безопасности КС. Поэтому способы и особенности реализации данного объекта имеют определяющее значение для защищенности информации в КС.

Следствие 10.3.3 (из аксиомы 10.3). В защищенной системе может существовать доверенный пользователь (администратор системы), субъекты которого имеют доступ к ассоциированному с монитором безопасности объекту–данным для управления политикой разграничения доступа.

Заметим также, что субъекты, инициируемые администратором системы, не являются элементами или процессами монитора безопасности, а лишь обеспечивают монитор безопасности конкретной информацией для управления и контроля доступом субъектов к объектам системы.

Принципы, способы представления и реализация ассоциированных с монитором безопасности объектов определяются типом политики безопасности и особенностями конкретной КС.

Несмотря на то, что к настоящему времени разработано и апробировано в практической реализации большое количество различных, моделей безопасности КС, все они выражают несколько исходных политик безопасности. В упрощенной трактовке политику безопасности понимают как общий принцип (методологию, правило, схему) безопасной работы (доступа) коллектива пользователей с общими информационными ресурсами. При этом согласно определению 10.9. важнейшее значение имеет критерии безопасности доступов субъектов к объектам, т. е. правило разделения информационных потоков, порождаемых доступами субъектов к объектам, на опасные и неопасные.

Методологической основой для формирования политик безопасности в защищенных КС послужили реальные организационно-технологические схемы обеспечения безопасности информации во вне (до) компьютерных сферах. Многие подходы к защите компьютерной информации были "подсмотрены", в частности, в сфере работы с "бумажными" конфиденциальными документами, проще говоря, в сфере делопроизводства. В специальной литературе, посвященной теоретическим основам компьютерной безопасности, излагаются две основных (базовых) политики безопасности – дискреционная и мандатная. В еще не до конца устоявшейся терминологии сферы защиты компьютерной информации, первую называют политикой избирательного доступа, а вторую – политикой полномочного 1 доступа. Некоторые авторы, рассматривая модели ролевого доступа, выделяют их в группу особой "ролевой политики безопасности".

Политика дискреционного (избирательного) доступа. Множество безопасных (разрешенных) доступов P_L задается для именованных пользователей (субъектов) и объектов явным образом в виде дискретного набора троек "Пользователь(субъект)-поток(операция)-объект".

Принцип дискреционной политики разграничения доступа можно охарактеризовать схемой "каждый-с каждым", т. е. иными словами для любой из всевозможных комбинаций "пользователь (субъект)-ресурс (объект)" должно быть явно задано ("прописано") разрешение/запрещение доступа и вид соответствующей разрешенной/запрещенной операции (Read, Write и т. д.). Таким образом, при дискреционной политике разграничение доступа осуществляется самым детальным образом – до уровня отдельно взятого субъекта, отдельно взятого объекта доступа и отдельно взятой операции.

Политика мандатного (полномочного) доступа. Множество безопасных (разрешенных) доступов P_L задается неявным образом через введение для пользователей-субъектов некоторой дискретной характеристики доверия (уровня допуска), а для объектов некоторой дискретной характеристики конфиденциальности (грифа секретности), и наделение на этой основе пользователей-субъектов некими полномочиями порождать определенные потоки в зависимости от соотношения "уровень допуска-поток(операция)-уровень конфиденциальности".

Таким образом, в отличие от дискреционной политики, при мандатной политике разграничение доступа производится менее детально – до уровня группы пользователей с определенным уровнем допуска и группы объектов с определенным уровнем конфиденциальности. Уменьшение гранулированности доступа создает условия для упрощения и улучшения управления доступом ввиду существенного уменьшения количества субъектов управления и контроля.

Политика тематического доступа. Множество безопасных (разрешенных) доступов P_L задается неявным образом через введение для пользователей-субъектов некоторой тематической характеристики – разрешенных тематических информационных рубрик, а для объектов аналогичной характеристики в виде набора тематических рубрик, информация по которым содержится в объекте, и наделение на этой основе субъектов-пользователей полномочиями порождать определенные потоки в зависимости от соотношения "набор тематических рубрик субъекта – набор тематических рубрик объекта".

Как и при мандатном доступе, тематический принцип определяет доступ субъекта к объекту неявно, через соотношение предъявляемых специальных характеристик субъекта и объекта и, соответственно, по сравнению с дискреционным принципом существенно упрощает управление доступом.

Политика ролевого доступа. Множество безопасных (разрешенных) доступов P_l задается через введение в системе дополнительных абстрактных сущностей ролей, выступающих некими "типовыми" (ролевыми) субъектами доступа, с которыми ассоциируются конкретные пользователи (в роли которых осуществляют доступ), и наделение ролевых субъектов доступа на основе дискреционного или мандатного принципа правами доступа к объектам системы.

Ролевая политика разграничивает доступ не на уровне пользователей-субъектов, а на уровне ролей, являющихся группами однотипного доступа к объектам системы, и на этой основе развивает ту или иную базовую политику безопасности (дискреционную или мандатную). Поэтому в большинстве источников ролевой принцип разграничения доступом не выделяется в отдельную политику, а рассматривается в качестве неких дополне­ний к моделям дискреционного или мандатного доступа.

Каждая политика безопасности требует определенной информации для разграничения доступа в конкретной системе, локализуемой в объекте, ассоциированном с монитором безопасности. Для моделей дискреционного доступа эта информация представляет список разрешенных троек "субъект (пользователь) –операция – объект". Для управления доступом в системах с мандатным доступом необходима информация по уровням допуска субъектов и грифам конфиденциальности объектов. В системах ролевого доступа помимо информации, регламентирующей доступ ролей к объектам (на основе дискреционного или мандатного принципа), необходима информация по ассоциации пользователей-субъектов с ролями. При тематическом доступе необходима информация по тематическим рубрикам пользователей–субъектов и объектов.

Конкретная модель безопасности детализирует и формализует (в виде аналитических соотношений, алгоритмов, и т. д.) общий принцип разграничения доступа на основе одной из рассмотренных политик, а иногда некоторой их совокупности. В конкретной КС разработчики строят и реализуют оригинальные программно–технические решения, воплощающие модели безопасности, в том числе структуру, функции, программно–техническое воплощение монитора безопасности.

ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

СРЕДСТВА ОТОБРАЖЕНИЯ ИНФОРМАЦИИ ИНДИВИДУАЛЬНОГО ПОЛЬЗОВАНИЯ

Общие эргономические требования и требования безопасности

Display means for individual use. General ergonomic requirements and
safety requirements

Дата введения 2002-07-01

Предисловие

1 РАЗРАБОТАН Московским государственным институтом электроники и математики (технический университет), автономной некоммерческой организацией "Научно-технический центр сертификации электрооборудования ИСЭП" с участием ВНИИСтандарт, Научного центра социально-производственных проблем охраны труда

ВНЕСЕН Техническим комитетом по стандартизации ТК 407 "Средства отображения информации"

2 ПРИНЯТ И ВВЕДЕН В ДЕЙСТВИЕ Постановлением Госстандарта России от 25 декабря 2001 г. N 576-ст

3 Стандарт гармонизирован с международным стандартом ИСО 9241-3:1996* "Эргономические требования к работе с оконечными устройствами визуального отображения информации. Требования к визуальному отображению информации" в части нормирования визуальных эргономических параметров, с международным стандартом ИСО 9241-8:1997 "Эргономические требования к работе с оконечными устройствами визуального отображения информации. Требования к отображаемым цветам" в части нормирования цветовых параметров изображения и со стандартом MPR 1990:10 1990-12-31 "Руководство пользователя по оценке средств визуального отображения информации" (Швеция), рекомендованным директивой Европейского экономического сообщества, в части требований к параметрам эмиссионной безопасности

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.

5 ПЕРЕИЗДАНИЕ. Август 2005 г.

1 Область применения

Настоящий стандарт распространяется на средства отображения информации индивидуального пользования на электронно-лучевых трубках (ЭЛТ) и на плоских дискретных экранах (дисплеи, видеомониторы, видеомодули, видеодисплейные терминалы), являющиеся оконечными устройствами отображения средств информатизации и вычислительной техники, а также на устройства отображения портативных компьютеров (далее - дисплеи).

Стандарт устанавливает общие эргономические требования к визуальным параметрам дисплеев, гармонизированные с международными стандартами ИСО 9241-3:1996, ИСО 9241-8:1997, а также требования безопасности к визуальным параметрам дисплеев и к параметрам полей, создаваемых дисплеями, являющихся вредными и опасными производственными факторами.

Требования настоящего стандарта обязательны при проектировании, изготовлении, эксплуатации и сертификации дисплеев.

2 Нормативные ссылки

В настоящем стандарте использованы ссылки на следующие стандарты:

ГОСТ 12.0.002-80 Система стандартов безопасности труда. Термины и определения

ГОСТ 27833-88 Средства отображения информации. Термины и определения

ГОСТ Р 50923-96 Дисплеи. Рабочее место оператора. Общие эргономические требования и требования к производственной среде. Методы измерения

ГОСТ Р 50949-2001 Средства отображения информации индивидуального пользования. Методы измерений и оценки эргономических параметров и параметров безопасности

3 Определения

В настоящем стандарте используют следующие термины с соответствующими определениями.

3.1 средство отображения информации индивидуального пользования: По ГОСТ 27833.

3.2 плоский дискретный экран: Дисплей с плоской (радиус кривизны более 2 м) поверхностью, предназначенной для отображения информации и имеющей активную область, состоящую из регулярной матрицы электрически изменяемых, дискретных элементов изображения (пикселей) в строках и столбцах.

3.3 опасный производственный фактор: По ГОСТ 12.0.002.

3.4 вредный производственный фактор: По ГОСТ 12.0.002.

3.5 дисплей (видеомодуль, видеомонитор, видеодисплейный терминал): Выходное электронное устройство, предназначенное для визуального отображения информации.

3.6 визуальные параметры дисплея (характеристики отображения и восприятия информации): Параметры, определяющие качество зрительного восприятия информации на экране дисплея и безопасность пользователя.

3.7 эмиссионные параметры дисплея: Характеристики электростатического, переменных электрического и магнитного полей, создаваемых дисплеем.

3.8 оптимальный диапазон значений параметра: Диапазон значений параметра, установленный для данного типа дисплея, в пределах которого обеспечивается безошибочное считывание информации при времени реакции оператора, превышающем глобальный минимум латентного периода не более чем в 1,2 раза (приложение А).

3.9 предельно допустимый диапазон значений параметра: Диапазон значений параметра, установленный для данного типа дисплея, в пределах которого обеспечивается безошибочное считывание информации при времени реакции оператора, превышающем глобальный минимум латентного периода не более чем в 1,5 раза (приложение А).

3.10 яркость знака: Яркость, измеренная в центре матрицы знака при всех включенных элементах изображения.

3.11 яркость фона: Яркость, создаваемая на рабочей поверхности экрана источниками внешней освещенности, и ореольная яркость от светящихся участков экрана, создаваемая за счет отражений светового потока в структуре экрана

3.12 неравномерность яркости рабочего поля экрана: Наибольшее по модулю значение неравномерности , %, определяемое по формуле

,

где - средняя яркость рабочего поля экрана, кд/м;

- яркость изображения каждой из пяти точек экрана (в центре и по углам), кд/м.

3.13 неравномерность яркости элементов знаков плоских дискретных экранов: Наибольшее по модулю значение неравномерности , %, определяемое по формуле

,

где - средняя яркость элементов знакоместа, кд/м;

- яркость -го элемента в знакоместе, кд/м;

- число элементов экрана в знакоместе.

3.14 контраст изображения: Отношение максимальной яркости изображения к минимальной с учетом отражений, возникающих за счет внешней освещенности экрана.

3.15 кодирование яркостью: Изменение яркости фрагментов изображения для привлечения внимания пользователя.

3.16 уровни кодирования яркостью: Четыре уровня кодирования яркостью - 0% (0*), 50% (128*), 75% (192*), 100% (255*).

* В скобках указаны уровни градационной шкалы яркости.

3.17 угловой размер знака: Угол между линиями, соединяющими крайние точки знака по высоте и глаз наблюдателя (при фронтальном наблюдении). Угловой размер знака рассчитывают по формуле

,

где - высота знака, мм;

- расстояние от знака до глаза наблюдателя, мм.

3.18 расстояние наблюдения: Расстояние между глазом оператора и центром знака, отображенного на экране.

3.19 проектное расстояние наблюдения: Расстояние между глазом оператора и центром знака, отображенного на экране, указанное в нормативной документации на дисплей.

3.20 угол наблюдения: Угол между нормалью, проведенной к поверхности экрана в месте отображения знака, и прямой, соединяющей глаз оператора с точкой пересечения нормали с поверхностью экрана.

3.21 пространственная нестабильность: Непреднамеренные изменения положения фрагментов изображения на экране.

3.22 временная нестабильность: Непреднамеренное изменение во времени яркости изображения на экране дисплея.

4 Общие эргономические требования

4.1 Требования к качеству восприятия информации, отображаемой на дисплеях

Для точного считывания информации и обеспечения комфортных условий ее восприятия работа с дисплеями должна проводиться при таких сочетаниях значений яркости и контраста изображения, внешней освещенности экрана, углового размера знака и угла наблюдения экрана, которые входят в оптимальные или предельно допустимые (при кратковременной работе) диапазоны.

Допустимые диапазоны значений внешней освещенности экрана, углового размера знака и угла наблюдения экрана для типов дисплеев, на которые этот стандарт распространяется, - по ГОСТ Р 50923; для других типов дисплеев - по ТУ на конкретный тип дисплея.

Диапазоны значений яркости и контраста изображения должны соответствовать указанным в 5.1 и 5.4.

Порядок определения оптимальных и предельно допустимых диапазонов основных визуальных параметров дисплея приведен в приложении А.

4.2 Эргономические требования к цветовым параметрам

4.2.1 При необходимости распознавания или идентификации цветовых параметров прикладная программа должна предлагать устанавливаемый по умолчанию набор цветов (см. 4.2.9-4.2.11), который соответствует требованиям настоящего стандарта. Если цвет может быть изменен пользователем, то должна быть предусмотрена возможность восстановления назначенного по умолчанию набора цветов.

4.2.2 При необходимости точной идентификации цвета в рядах буквенно-цифровых знаков и в полях ввода данных высота символа должна быть не менее 20' при проектном расстоянии наблюдения.

4.2.3 При необходимости точной идентификации цвета обособленного изображения (например знака или символа) угловой размер изображения должен быть не менее 30' при проектном расстоянии наблюдения (предпочтительно - 40').

4.2.4 Следует избегать применения насыщенного синего цвета для изображений, имеющих угловой размер менее 2°.

4.2.5 Для чтения текстов, буквенно-цифровых знаков и символов при отрицательной полярности изображения не следует применять синий и красный цвета спектра на темном фоне и красный цвет спектра на синем фоне.

4.2.6 Для чтения текстов, буквенно-цифровых знаков и символов при положительной полярности изображения не следует применять синий цвет спектра на красном фоне.

4.2.7 Насыщенные крайние цвета видимого спектра приводят к нежелательным эффектам глубины изображаемого пространства и не должны применяться для изображений, которые требуют непрерывного просмотра или чтения.

4.2.8 Для точного распознавания и идентификации цветов должны применяться цветное изображение переднего плана на ахроматическом фоне или ахроматическое изображение переднего плана на цветном фоне.

4.2.9 Число цветов, одновременно отображаемых на экране дисплея, должно быть минимальным. Для точной идентификации цвета каждый заданный по умолчанию набор цветов должен включать не более 11 цветов.

4.2.10 При необходимости проведения быстрого поиска, основанного на распознавании цветов, следует применять не более 6 различных цветов.

Современный компьютер сам по себе не столь опасен, как и любой другой сложный бытовой прибор (например, телевизор или микроволновая печь). Но, как и в случае с другими бытовыми приборами, существуют потенциальные угрозы для здоровья человека, связанные с его применением в повседневной бытовой жизни или производственной деятельности.

К каким именно хроническим заболеваниям может привести пренебрежение пользователями ПК по выполнению санитарно-гигиенических правил работы с компьютером?

Медики и специалисты в области производственной гигиены традиционно

выделяют пять основных групп, так называемых «компьютерных» заболеваний, возникновение и развитие которых люди зачастую сами

провоцируют у себя, проводя необоснованно много времени в общении с монитором и клавиатурой ПК.

К ним относятся:

1) заболевания органов зрения;

2) заболевания опорно-двигательной системы (включая болезни суставов

и мышц кистей и предплечий рук вследствие их хронического переутомления);

3) заболевания желудочно-кишечного тракта или половых органов (включая анорексию и геморрой);

4)заболевания сердечнососудистой системы (включая болезни, обусловленные гиподинамией и гиповолемией);

5) нервные расстройства и заболевания различной этиологии (включая эпилептические статусы (припадки) различной природы).

Основной причиной развития «компьютерных» заболеваний являются не технические средства, а их неграмотная эксплуатация, сопряженная с нарушением гигиенических правил и норм, знание которых становится все более актуальным для пользователей персональных компьютеров.

Компьютер, как и всякое любое иное техническое устройство, использующее для своей работы электроэнергию, преобразует ее в различные излучения–электромагнитное, ионизирующее, тепловое и т.д.

Какие же объективные физические воздействия может оказать компьютер на окружающую среду рабочего места и оператора, не связанные непосредственно с деятельностью последнего?

Проектировщики и производители компьютеров, а также ученые - гигиенисты традиционно выделяют множество факторов способных в случае чрезвычайной интенсивности проявления создать окружающую среду рабочей зоны компьютера неблагоприятной для здоровья пользователя, а при комбинированном воздействии–даже агрессивной.

Наиболее ранними клиническими проявлениями последствий воздействия электромагнитного излучения на человека являются функциональные

нарушения со стороны нервной системы, проявляющиеся, прежде всего, в виде вегетативных дисфункций неврастенического и астенического синдрома. Лица, длительное время находившиеся в зоне излучения, предъявляют жалобы на слабость, раздражительность, быструю утомляемость, ослабление памяти, нарушение сна. Нередко к этим симптомам присоединяются расстройства вегетативных функций.

Абсолютно все компьютеры являются источниками повышенного уровня шума.

Повышение уровня прямой и отраженной блесткости экрана, а также его

ослепленности, пульсации светового потока, неравномерность распределения яркости в поле зрения и повышенная яркость светового изображения также являются факторами негативного воздействия на организм человека.

Основным нормативным документом, определяющим гигиенические требования к организации труда на компьютере, являются Санитарные правила и нормы СанПиН 2.2.2/2.4.1340-03 «Гигиенические требования к персональным электронно-вычислительным машинам и организации работы».

Все гигиенические требования к организации труда с применением компьютеров условно можно разделить на три группы:

1) требования к помещениям, где организована и осуществляется подобная трудовая или учебная деятельность;

2) требования к оборудованию индивидуального рабочего или учебного места;

3) требования к организации труда или учебного процесса с использованием компьютерной техники.

Каждое производственное или учебное помещение, в котором осуществляется работа с компьютерами, должно иметь комбинированное–

естественное и искусственное – освещение. Поэтому не допускается размещение рабочих мест, оборудованных компьютерами, в подвальных помещениях, а в образовательных учреждениях всех видов - еще и на цокольных этажах (в полуподвалах), причем высота потолков в компьютерных аудиториях или классах должна быть не менее 4 м, а сами они не должны располагаться вблизи помещений, в которых «уровни шума и вибрации превышают нормируемые значения» (механические цеха, мастерские, гимнастические залы и т.п.).

Все подобные производственные помещения и учебные классы должны быть оснащены принудительной приточно-вытяжной вентиляцией и увлажнителями воздуха, заправляемыми ежедневно дистиллированной или прокипяченной питьевой водой.

Для отделки интерьера производственных и учебных помещений, в которых эксплуатируются компьютеры, запрещается использовать полимерные строительные материалы (древесностружечные плиты, слоистый бумажный пластик, синтетические стеновые и ковровые покрытия и др.), выделяющие в воздух вредные химические вещества.

Особые требования предъявляются к микроклимату помещений, в которых

пользователи работают с компьютерами: оптимальная температура нормативно должна составлять от 18 до 25°С, а относительная влажность воздуха – от 40 до 60 % при его движении в 0,1-0,2 м/с.

Для образовательных учреждений всех видов Правила устанавливают более жесткие санитарно-гигиенические нормы микроклимата: температура воздуха в компьютерных классах должна поддерживаться в рамках 19-21°С, а относительная влажность в пределах 55-62%.

В целях поддержания микроклимата в пределах, установленных санитарными нормами, в учебных классах, в которых расположены компьютеры, ежедневно должна проводиться влажная уборка и заправка увлажнителей воздуха.

В течение учебного дня – регулярно осуществлять аэрацию: соответствующие помещения перед началом и после каждого часа учебных занятий должны быть проветрены, что обеспечивает улучшение качественного состава воздуха, в том числе и аэроионный режим.

Помимо гигиенических требований к микроклимату Правила содержат также предельно допустимые уровни шума компьютерной техники на рабочих местах пользователей. В частности, согласно им во всех учебных помещениях уровень шума на рабочем месте не должен превышать 50 ДБА, в офисных и производственных помещениях, где работа с компьютером не является основной, 60 ДБА.

Сегодня на первый план в качестве источников возникновения у пользователей ПК различного рода хронических заболеваний, которые мы называем псевдо «компьютерными», выходят статические нагрузки на организм человека вследствие малоподвижного характера работы, а также развивающихся на этом фоне гипокинезии (недостатка движения), гиподинамии (недостатка физической нагрузки) и гиповолемии (нарушения перераспределения крови).

Поэтому современные требования к организации режима труда и отдыха пользователей компьютеров призваны защитить человека не от машины, а от самого себя, от функциональных стереотипов поведения, способных стать причиной возникновения целого комплекса заболеваний.

Чтобы избежать осложнений здоровья психосоматической или гипокинезической этиологии (происхождения) у всех категорий работников, чья трудовая деятельность связана с работой с компьютером, существуют некоторые гигиенические требования к организации режима труда и отдыха таких людей.

В течение рабочего дня для всех пользователей компьютеров, непосредственно и постоянно работающих с этой техникой, помимо обязательного обеденного перерыва, устанавливаемого федеральным законодательством о труде, «для обеспечения оптимальной работоспособности и сохранения здоровья профессиональных пользователей, на протяжении рабочей смены должны устанавливаться регламентированные перерывы».

10 важнейших гигиенических требований при работе с компьютером

1. Расположите компьютер или его монитор к окну боком, чтобы свет на него падал слева.

2. При организации и оборудовании рабочего места приобретайте мебель в соответствии с ростом пользователя компьютера.

3. Ежедневно перед началом работы обязательно убирайте пыль на рабочем месте.

4. Перед началом и по окончании работы, а также в обеденный перерыв проводите аэрацию (проветривание) помещения, где работает компьютер.

5. Ежедневно проводите влажную уборку в помещении, где работает компьютер.

6. При непрерывной работе с компьютером каждые 2 часа делайте перерыв на 15 минут для отдыха и выполнения комплекса физкультурно-оздоровительных упражнений.

7. Следите за соотношением освещенности экрана монитора компьютера и окружающего пространства, оно не должно быть меньше, чем 5 : 1.

8. При работе с компьютером расстояние от глаз пользователя до монитора должно составлять 600-700 мм, но не менее 500 мм.

9. Следите за осанкой: спина должны быть прямая, руки в локтях должны быть согнуты под прямым углом.

И нформационная безопасность – это предотвращение любых несанкционированных действий с данными. Обеспечение информационной безопасности важно и для электронных, и для бумажных данных. Главное требование информационной безопасности – полноценная защита конфиденциальной информации, обеспечение ее целостности при полном отсутствии риска нанести ущерб работе предприятия.

Обеспечение информационной безопасности представляет собой комплекс организационных и технических мероприятий, которые должны выполняться в компании в соответствии с разработанной политикой и другими документами, регламентирующими это направление деятельности предприятия.

Выбирать автоматизированную систему, независимо от ее уровня (основная, вспомогательная), нужно в соответствии с отдельным проектом, который должен оформляться документами – техзаданием, техническими требованиями. В них определяются критерии оценивания всех параметров системы, такие как бизнес-функции, информационная архитектура, интерфейсы, требования к построению на предприятии системы информационной безопасности (как подсистемы общей безопасности). Уровень значимости каждого параметра для предприятия в целом определяется его потребностями и особенностями ведения деятельности.

Необходимый опыт и обязанности специалистов, отвечающих за информационную безопасность

Несмотря на то, что профессии, связанные с информационной безопасностью, достаточно популярные, отмечается острая нехватка высококвалифицированных работников.

Есть несколько групп работников, выполняющих функции по защите информации и обеспечению в компании информационной защиты. Каждая специальность имеет свои особенности, такой персонал может иметь разный размер зарплаты, а также специфические требования к обязанностям и наличию определенных навыков.

Специалисты по информационной безопасности (начальный уровень)

Средняя зарплата профессионалов в сфере информационных технологий составляет около 50-70 тысяч рублей в месяц.

К основным обязанностям таких работников относятся:

• наблюдение за межсетевыми экранами;
• наблюдение за сетевыми экранами администрации серверов по антивирусной безопасности, проведение мониторинга пользователей, уничтожение вирусных файлов, настройка системной защиты информации;
• поисковая работа, чтобы выявить наличие угроз при помощи конкретного ПО, и уничтожить их;
• регулярное обновление операционной системы, средств защиты информации, общего сетевого устройства;
• управление технологическими процессами;
• оптимизация работы по ИБ.

Главные требования к сотрудникам:

• умение работать в операционной системе Линукс, а также уверенная работа в поисковой строке;
• настройка объектов защиты.

Работники, обеспечивающие информационную безопасность

Опыт работы составляет от трех до шести лет. Эти специалисты получают зарплату на порядок выше (от 70 до 100 тысяч рублей). Они подразделяются на две группы: сотрудники, занимающиеся исключительно работой с программами, и специалисты, обеспечивающие внутреннюю безопасность. Все они отлично разбираются в автоматизированных системах, хорошо владеют информационными программами, техникой.

К основным умениям профессионала по защите информационного ресурса относятся:

• обеспечение политики информационной безопасности;
• умение управлять средствами безопасности;
• навык написания скриптов по оптимизированию защиты.
• К общим требованиям относятся:
• знание принципа работы информационных систем;
• умение предотвратить несанкционированный доступ к базе данных.

Пентестер

Это одна из высокооплачиваемых специальностей в сфере ИТ-технологий (схожая с предыдущей профессией). Отличием данной профессии от предыдущей является умение тестировать ПО на возможное проникновение в него злоумышленников.

В обязанности входит:

• проведение тестирования информационно-программной продукции;
• анализ информационной системы на устойчивость к отменам;
• выполнение основных процессов по выявлению актуальных угроз системе и их уничтожение;
• контроль и анализ обеспечения безопасности кодировки программного продукта.

Требования по ИБ автоматизированных банковских систем

Давайте подробнее разберемся с требованиями к обеспечению ИБ автоматизированных банковских систем и к специалистам, которые должны защищать информацию.

Существует два вида ключевых требований к системам по ИБ: стандартные и узкоспециальные.

Общие требования: автоматизированная система должна гарантировать хранение конфиденциальной информации.

Автоматизацию надо организовать так, чтобы обеспечивалось выполнение следующих требований:

• запрет на получение доступа к ПК вне рабочего процесса;
• возможность перемещения данных из системы только под системной защитой.

Специальные требования – это сложный уровень защиты конфиденциальных сведений компании от взлома, распространения и уничтожения.

К специальным требованиям относятся следующие позиции:

• работа информационных ресурсов обязательно должна быть идентифицирована;
• необходимо проведение идентификации и аутентификации.

Основное средство аутентификации – это схема «имя организации и пароль». Всегда должна быть возможность проведения дифференциации считывания информации.

Требования к парольной политике:

• максимальное количество символов в пароле;
• архив смены паролей;
• общий определитель стандартного и низкого уровня пароля;
• наличие требований ввести предыдущий пароль при желании заменить его новым.

К дополнительным и общим требованиям к работе с системами информационной безопасности относятся:

• возможность изменять пароль не только пользователем, но и администратором, который защищает информационную базу данных;
• когда в информационную систему входит непосредственно сам специалист, то обязательно должно выскакивать общее предупреждение о запрещенности использовать чужие пароли для несанкционированных доступов;
• когда специалист заходит в систему информационной безопасности, он должен ознакомиться с информацией о предыдущем входе, историей выполненных ранее действий в системе, числом допущенных ошибок во время ввода пароля с точной датой и временем;
• бюджет клиента системы должен иметь привязку к определенному рабочему ПК (сетевому адресу), к определенному времени рабочего процесса с точным указанием дней недели и часов интерактивного использования информационного устройства; для удаленных работников нужно ввести отдельный регламент работы с информацией.

Основные требования к информационной безопасности

Общепринятым методом войти в систему во время атаки на информационные ресурсы является вход при помощи официального логин-запроса. Технические средства, позволяющие выполнить вход в нужную систему, – логин и пароль.

При авторизации стоит придерживаться нескольких общих требований:

1. Обеспечение высокого уровня безопасности. Терминал (точка входа активного пользователя в информационную систему), не имеющий специальной защиты, используется исключительно на том предприятии, где доступ к нему получают работники с наивысшим квалификационным уровнем. Терминал, который установлен в публичном общественном месте, должен всегда иметь уникальный логин и пароль сложного уровня. Это необходимо для того, чтобы обеспечить полноценную информационную безопасность.
2. Наличие систем контроля за общим доступом в помещение, где установлено оборудование, на котором хранится информация предприятия, в архивные помещения и другие места, которые являются уязвимыми с точки зрения информационной безопасности.

Если используются удаленные терминалы, в компании должны соблюдаться такие основные требования:

• Все удаленные терминалы обязаны посылать запрос на ввод логина и пароля. Доступ без ввода пароля должен быть запрещен.
• Если есть возможность, то в качестве обеспечения информационной защиты надо применить схему так называемого возвратного звонка от модема. Только она, используя уровень надежности автоматической телефонной станции, дает подтверждение, что удаленные пользователи получили доступ с конкретного номера телефона.

К главным требованиям по информационной безопасности во время идентификации пользователей по логину и паролю относятся следующие:
у каждого пользователя должен быть пароль высокого уровня сложности для того, чтобы войти в систему;

• пароли надо подбирать очень тщательно, информационная емкость пароля должна соответствовать общим стандартам (наличие заглавных букв, цифр);
• пароль, установленный по умолчанию, надо изменить до того, как будет произведен официальный запуск системы;
• каждая ошибка входа в систему обязательно записывается в общий журнал архивных событий, анализируется спустя конкретный промежуток времени; это необходимо для того, что администратор мог выявить причину возникновения ошибок;
• на момент отправления пакетов с подтверждением или отказом введения пароля система должна быть приостановлена на пять секунд, благодаря этому хакеры не смогут вводить большое количество разных паролей, чтобы обойти информационную защиту.

Для полноценного обеспечения защиты от взлома пароля надо выполнить ряд требований:

• для обеспечения защиты информации потребуется подключить двухэтапную аутентификацию;
• подключить защиту от изменения паролей – хакеры могут попытаться воспользоваться таким способом войти в информационную систему, как «забыли пароль – изменить».

Чтобы специалисты могли обеспечить информационную безопасность всех данных, руководитель компании обязан проводить инструктажи для работников на тему «Предотвращение утечки информации». Важно, чтобы работники предприятия знали о возможных опасностях, которые могут возникнуть в случае, если персональные компьютеры на какой-либо промежуток времени остаются без присмотра. Особенно это касается тех ПК, которые не имеют закрытых от постороннего доступа паролей и находятся в публичном месте или офисе.

Читайте также:

  
• Переписать с видеокассеты на флешку
  
• Как сменить картинку на мониторе глк 300
  
• Как на клавиатуре увидеть отпечатки пальцев на
  
• Монитор lg flatron l1730s моргает индикатор
  
• Клавиатура интерфейс подключения как узнать