Мероприятия по пресечению НСД к конфиденциальной информации

НЕСАНКЦИОНИРОВАННЫЙ ДОСТУП (НСД) к источникам конфиденциальной информации - это противоправное преднамеренное овладение охраняемыми сведениями лицом, не имеющим права доступа к ним.

НЕСАНКЦИОНИРОВАННЫЙ ДОСТУП (НСД) реализуется различными способами посредством каналов проникновения на объекты криминальных интересов.

ПРЕСЕЧЕНИЕ несанкционированного доступа - это комплекс мероприятий, исключающих или ослабляющих возможность проникновения к коммерческим секретам заходовыми и беззаходовыми способами.

Таблица П-13.3.

продолжение табл. П-13.3.

продолжение табл. П-13.3.

продолжение табл. П-13.3.

Приложение 14

П-14. Специальные требования Гостехкомиссии по технической ЗИ

ГОСУДАРСТВЕННАЯ ТЕХНИЧЕСКАЯ КОМИССИЯ ПРИ ПРЕЗИДЕНТЕ РФ

СПЕЦИАЛЬНЫЕ ТРЕБОВАНИЯ И РЕКОМЕНДАЦИИ

ПО ТЕХНИЧЕСКОЙ ЗАЩИТЕ

КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ

(СТР-К)

Москва, 2001

Содержание

1. Термины, определения и сокращения

2. Общие положения

3. Организация работ по защите информации

4. Требования и рекомендации по защите речевой информации

4.1. Общие положения

4.2. Основные требования и рекомендации по защите информации, циркулирующей в защищаемых помещениях

4.3. Защита информации, циркулирующей в системах звукоусиления и звукового сопровождения кинофильмов

4.4. Защита информации при проведении звукозаписи

4.5. Защита речевой информации при ее передаче по каналам связи

5. Требования и рекомендации по защите информации, обрабатываемой средствами вычислительной техники

5.1. Общие требования и рекомендации

5.2. Основные требования и рекомендации по защите служебной тайны и персональных данных

5.3. Основные рекомендации по защите информации, составляющей коммерческую тайну

5.4. Порядок обеспечения защиты конфиденциальной информации при эксплуатации АС

5.5. Защита конфиденциальной информации на автоматизированных рабочих местах на базе автономных ПЭВМ

5.6. Защита информации при использовании съемных накопителей большой емкости для автоматизированных рабочих мест на базе автономных ПЭВМ

5.7. Защита информации в локальных вычислительных сетях

5.8. Защита информации при межсетевом взаимодействии

5.9. Защита информации при работе с системами управления базами данных

6. Рекомендации по обеспечению защиты информации, содержащейся в негосударственных информационных ресурсах, при взаимодействии абонентов с информационными сетями общего пользования

6.1. Общие положения

6.2. Условия подключения абонентов к Сети

6.3. Порядок подключения и взаимодействия абонентских пунктов с Сетью, требования и рекомендации по обеспечению безопасности информации

7. Приложения

№ 1. Акт классификации АС обработки информации № 2. Аттестат соответствия требованиям по безопасности информации на АС

№ 3. Аттестат соответствия требованиям по безопасности информации на ЗП

№ 4. Форма технического паспорта на ЗП № 5. Форма технического паспорта на АС № 6. Пример оформления перечня сведений конфиденциального характера

№ 7. Основные нормативные правовые акты и методические документы по защите конфиденциальной информации

1. Термины, определения и сокращения

В настоящем документе приняты следующие основные термины, определения и сокращения:

1.1.Абонент Сети - лицо, являющееся сотрудником учреждения (предприятия), имеющее соответствующим образом оформленное разрешение и технические возможности на подключение и взаимодействие с Сетями.

1.2. Абонентский пункт (АП) - средства вычислительной техники учреждения (предприятия), подключаемые к Сетям с помощью коммуникационного оборудования.

АП могут быть в виде автономных персональных электронно-вычислительных машин (ПЭВМ) с модемом и не иметь физических каналов связи с другими средствами вычислительной техники (СВТ) предприятия, а также в виде одной или нескольких объединенных локальных вычислительных сетей (ЛВС) с рабочими станциями и серверами, соединенных с Сетями через коммуникационное оборудование (модемы, мосты, шлюзы, маршрутазаторы-роутеры, мультиплексоры, коммуникационные серверы и т.п.).

1.3. Автоматизированная система (АС) - система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

1.4. Администратор АС - лицо, ответственное за функционирование автоматизированной системы в установленном штатном режиме работы.

1.5. Администратор защиты (безопасности) информации - лицо, ответственное за защиту автоматизированной системы от несанкционированного доступа к информации.

1.6. Безопасность информации - состояние защищенности информации, характеризуемое способностью персонала, технических средств и информационных технологий обеспечивать конфиденциальность (т.е. сохранение в тайне от субъектов, не имеющих полномочий на ознакомление с ней), целостность и доступность информации при ее обработке техническими средствами.

1.7. Вспомогательные технические средства и системы (ВТСС) - технические средства и системы, не предназначенные для передачи, обработки и хранения конфиденциальной информации, устанавливаемые совместно с основными техническими средствами и системами или в защищаемых помещениях.

К ним относятся:

· различного рода телефонные средства и системы;

· средства и системы передачи данных в системе радиосвязи;

· средства и системы охранной и пожарной сигнализации;

· средства и системы оповещения и сигнализации;

· контрольно-измерительная аппаратура;

· средства и системы кондиционирования;

· средства и системы проводной радиотрансляционной сети и приема программ радиовещания и телевидения (абонентские громкоговорители, системы радиовещания, телевизоры и радиоприемники и т.д.);

· средства электронной оргтехники;

· средства и системы электрочасофикации;

· иные технические средства и системы.

1.8. Доступ к информации (доступ) - ознакомление с информацией, ее обработка, в частности, копирование, модификация или уничтожение информации.

1.9. Доступность (санкционированная доступность) информации - состояние информации, характеризуемое способностью технических средств и информационных технологий обеспечивать беспрепятственный доступ к информации субъектов, имеющих на это полномочия.

1.10. Закладочное устройство - элемент средства съема информации, скрытно внедряемый (закладываемый или вносимый) в места возможного съема информации (в том числе в ограждение, конструкцию, оборудование, предметы интерьера, транспортные средства, а также в технические средства и системы обработки информации).

1.11. Защита информации от несанкционированного доступа (защита от НСД) или воздействия - деятельность, направленная на предотвращение или существенное затруднение несанкционированного доступа к информации (или воздействия на информацию) с нарушением установленных прав или правил.

1.12. Специальный защитный знак (СЗЗ) - сертифицированное и зарегистрированное в установленном порядке изделие, предназначенное для контроля несанкционированного доступа к объектам защиты путем определения подлинности и целостности СЗЗ, путем сравнения самого знака или композиции «СЗЗ - подложка» по критериям соответствия характерным признакам визуальными, инструментальными и другими методами.

1.13. Защищаемые помещения (ЗП) – помещения (служебные кабинеты, актовые, конференц-залы и т.д.), специально предназначенные для проведения конфиденциальных мероприятий (совещаний, обсуждений, конференций, переговоров и т.п.).

1.14. Информативный сигнал – электрические сигналы, акустические, электромагнитные и другиефизические поля, по параметрам которых может быть раскрыта конфиденциальная информация, передаваемая, хранимая или обрабатываемая в основных технических средствах и системах и обсуждаемая в ЗП.

1.15. Информационные сети общего пользования (далее Сети) — вычислительные (информационно-телекоммуникационные) сети, открытые для пользования всем физическим и юридическим лицам, в услугах которых этим лицам не может быть отказано.

1.16. Контролируемая зона (КЗ) - это пространство (территория, здание, часть здания), в котором исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового пропуска, и посторонних транспортных средств.

Границей КЗ могут являться:

· периметр охраняемой территории учреждения (предприятия) ;

· ограждающие конструкции охраняемого здания или охраняемой части здания, если оно размещено на неохраняемой территории.

В отдельных случаях, на период обработки техническими средствами конфиденциальной информации, КЗ временно может устанавливаться большей, чем охраняемая территория предприятия. При этом должны приниматься организационно-режимные и техни­ческие меры, исключающие или существенно затрудняющие возможность ведения перехвата информации в этой зоне.

1.17. Конфиденциальная информация - информация содержащая сведения, не составляющие государственную тайну, доступ к которой ограничивается в соответствии с законодательством Российской Федераций.

1.18. Локальная вычислительная сеть (ЛВС) - совокупность ЭВМ, сетевого оборудования и структурированной кабельной системы, осуществляющая обмен информации с другими информационными системами, в том числе с ЛВС, через определенные точки входа/ выхода информации, которые являются границей ЛВС.

1.19. Межсетевой экран (МЭ) - это локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в АС и/или выходящей из АС. МЭ обеспечивает защиту АС посредством фильтрации информации, т.е. ее анализа по совокупности критериев и принятия решения о ее распространении в / из АС на основе заданных правил, проведя таким образом разграничение доступа субъектов из одной АС к объектам другой АС.

1.20. Несанкционированный доступ (несанкционированные действия) (НСД) - доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.

1.21. Основные технические средства и системы (ОТСС) - технические средства и системы, а также их коммуникации, используемые для обработки, хранения и передачи конфиденциальной информации. В контексте настоящего документа к ним относятся технические средства и системы автоматизированных систем различного уровня и назначения на базе средств вычислительной техники, средства и системы связи и передачи данных, используемые для обработки конфиденциальной информации.

1.22. Провайдер Сети - уполномоченная организация, выполняющая функции поставщика услуг Сети для абонентского пункта и непосредственно для абонентов Сети.

1.23. Система защиты информации от НСД (СЗИ НСД), - комплекс организационных мер и программно-технических (в том числе криптографических) средств защиты от несанкционированного доступа к информации (несанкционированных действий с ней) в автоматизированных системах.

1.24. Служебная информация СЗИ НСД - информационная база АС, необходимая для функционирования СЗИ НСД (уровень полномочий эксплуатационного персонала АС, матрица доступа, ключи, пароли и т.д.).

1.25. Технический канал утечки информации совокупность объекта технической разведки, физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация.

1.26. Техническая защита конфиденциальной информации (ТЗИ) - защита информации не криптографическими методами, направленными на предотвращение утечки защищаемой информации по техническим каналам, от несанкционированного доступа к ней и от специальных воздействий на информацию в целях ее уничтожения, искажения и блокирования.

1.27. Услуги Сети - комплекс функциональных возможностей, предоставляемых абонентам сети с помощью прикладных протоколов {протоколы электронной почты, FTP - File Transfer Protocol - прием/передача файлов, HTTP - Hiper Text Transfer Protocol - доступ к Web-серверам, IRC - Internet Relay Chat - диалог в реальном времени, Telnet - терминальный доступ в сети, WAIS - Wide Area Information Servers - система хранения и поиска документов в сети и т.д.).

1.28. Целостность информации - устойчивость информации к несанкционированному или случайному воздействию на нее в процессе обработки техническими средствами, результатом которого может быть уничтожение и искажение информации.

1.29. Web-сервер - общедоступный в Сети информационный сервер, использующий гипертекстовую технологию.

2. Общие положения

2.1. Настоящий документ устанавливает порядок организации работ, требования и рекомендации по обеспечению технической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (далее конфиденциальная информация) на территории Российской Федерации.

2.2. Документ разработан на основании федеральных законов «Об информации, информатизации и защите информации», «Об участии в международном информационном обмене», Указа Президента Российской Федерации от 06.03.97 г. № 188 «Перечень сведений конфиденциального характера», «Доктрины информационной безопасности Российской Федерации», утвержденной Президентом Российской Федерации 09.09.2000 г. № 1895, «Положения о порядке обращения со служебной информацией ограниченного рас­пространения в федеральных органах исполнительной власти», утвержденного постановлением Правительства Российской Федерации от 03.11.94 г. № 1233, других нормативных правовых актов по защите информации (Приложение № 7), а также опыта реализации мер защиты информации в министерствах и ведомствах, в учреждениях и на предприятиях.

2.3. Требования и рекомендации настоящего документа распространяются на защиту государственных информационных ресурсов не криптографическими методами, направленными на предотвращение утечки защищаемой информации по техническим каналам, от несанкционированного доступа к ней и от специальных воздействий на информацию в целях ее уничтожения, искажения и блокирования.

Защита государственных информационных ресурсов криптографическими методами в настоящем документе не рассматривается.

Для негосударственных информационных ресурсов (составляющих коммерческую, банковскую тайну и т.д.) данный документ носит рекомендательный ха­рактер.

2.4. Информационные ресурсы, являющиеся собственностью государства, находятся в ведении органов государственной власти и организаций в соответствии с их компетенцией, подлежат учету и защите.

Режим защиты конфиденциальной информации устанавливается собственником информационных ресурсов или уполномоченным лицом в соответствии с законодательством Российской Федерации.

Уровень технической защиты конфиденциальной информации, а также перечень необходимых мер защиты определяется дифференцированно по результатам обследования объекта информатизации, с учетом соотношения затрат на организацию технической защиты информации и величины ущерба, который может быть нанесен собственнику конфиденциальной информации (информационных ресурсов) при (ее) их разглашении, утрате, уничтожении, искажении, блокировании.

Для персональных данных и сведений, составляющих служебную тайну, уровень технической защиты информации должен быть не ниже требований, установленных данным документом и государственными стандартами Российской Федерации.

2.5. Документ определяет следующие основные вопросы защиты информации:

· организацию работ по защите информации, в том числе при разработке и модернизации объектов информатизации и их систем защиты информации;

· состав и основное содержание организационно-распорядительной, проектной, эксплуатационной и иной документации по защите информации;

· требования и рекомендации по защите речевой информации при осуществлении переговоров, в том числе с использованием технических средств?

· требования и рекомендации по защите информации при ее автоматизированной обработке и передаче с использованием технических средств;

· порядок обеспечения защиты информации при эксплуатации объектов информатизации;

· особенности защиты информации при разработке и эксплуатации автоматизированных систем, использующих различные типы средств вычислительной техники и информационные технологии;

· порядок обеспечения защиты информации при взаимодействии абонентов с информационными сетями общего пользования.

Порядок разработки, производства, реализации и использования средств криптографической защиты информации с ограниченным доступом, не содержа­щей сведений, составляющих государственную тайну, определяется Положением ПКЗ-99, утвержденным приказом ФАПСИ от 23.09.99 г. № 158 и зарегистрированным Министерством юстиции Российской Федера­ции за № 2029 от 28.12.99 г., а также Инструкцией об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, утвержденной приказом ФАПСИ от 13.06.2001 г. № 152, зарегистрированным Министерством юстиции Российской Федерации за № 2848 от 06.08.2001 г.

2.6. Защита информации, обрабатываемой с использованием технических средств, является составной частью работ по созданию и эксплуатации объектов информатизации различного назначения и должна осуществляться в установленном настоящим документом порядке в виде системы (подсистемы) защиты информации во взаимосвязи с другими мерами по защите информации.

2.7. Защите подлежит информация, как речевая, так и обрабатываемая техническими средствами, а также представленная в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, оптической и иной основе, в виде информационных массивов и баз данных в АС.

Объектами защиты при этом являются:

· средства и системы информатизации (средства вычислительной техники, автоматизированные системы различного уровня и назначения на базе средств вычислительной техники, в том числе информационно-вычислительные комплексы, сети и системы, средства и системы связи и передачи данных, технические средства приема, передачи и обработки информации (телефонии, звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), средства защиты информации, используемые для обработки конфиденциальной информации;

· технические средства и системы, не обрабатывающие непосредственно конфиденциальную информацию, но размещенные в помещениях, где она обрабатывается (циркулирует);

· защищаемые помещения.

2.8. Защита информации должна осуществляться посредством выполнения комплекса мероприятий и применения (при необходимости) средств ЗИ по предотвращению утечки информации или воздействия на нее по техническим каналам, за счет несанкционированного доступа к ней, по предупреждению преднамеренных программно-технических воздействий с целью нарушения целостности (уничтожения, искажения) информации в процессе ее обработки, передачи и хранения, нарушения ее доступности и работоспособности технических средств.

2.9. При ведении переговоров и использовании технических средств для обработки и передачи информации возможны следующие каналы утечки и источники угроз безопасности информации:

· акустическое излучение информативного речевого сигнала;

· электрические сигналы, возникающие посредством преобразования информативного сигнала из акустического в электрический за счет микрофонного эффекта и распространяющиеся по проводам и линиям, выходящим за пределы КЗ;

· виброакустические сигналы, возникающие посредством преобразования информативного акустического сигнала при воздействии его на строительные конструкции и инженерно-технические коммуникации защищаемых помещений;

· несанкционированный доступ и несанкционированные действия по отношению к информации в автоматизированных системах, в том числе с использованием информационных сетей общего пользования;

· воздействие на технические или программные средства информационных систем в целях нарушения конфиденциальности, целостности и доступности информации, работоспособности технических средств, средств защиты информации посредством специально внедренных программных средств;

побочные электромагнитные излучения информативных сигналов от технических средств и линий передачи информации;

· наводки информативного сигнала, обрабатываемо­го техническими средствами, на цепи электропитания и линии связи, выходящие за пределы КЗ;

· радиоизлучения, модулированные информативным сигналом, возникающие при работе различных генераторов, входящих в состав технических средств, или при наличии паразитной генерации в узлах (элементах) технических средств;

· радиоизлучения или электрические сигналы от внедренных в технические средства и защищаемые помещения специальных электронных устройств съема речевой информации («закладочные устройства»), модулированные информативным сигналом;

· радиоизлучения или электрические сигналы от электронных устройств перехвата информации, подключенных к каналам связи или техническим средствам обработки информации;

· прослушивание ведущихся телефонных и радиопереговоров;

· просмотр информации с экранов дисплеев и других средств ее отображения, бумажных и иных носителей информации, в том числе с помощью оптических средств;

· хищение технических средств с хранящейся в них информацией или отдельных носителей информации.

2.10. Перехват информации или воздействие на нее с использованием технических средств могут вестись:

· из-за границы КЗ из близлежащих строений и транспортных средств;

· из смежных помещений, принадлежащих другим учреждениям (предприятиям) и расположенным в том же здании, что и объект защиты;

· при посещении учреждения (предприятия) посторонними лицами;

· за счет несанкционированного доступа (несанкционированных действий) к информации, циркулирующей в АС, как с помощью технических средств АС, так и через информационные сети общего пользования.

2.11. В качестве аппаратуры перехвата или воздействия на информацию и технические средства могут использоваться портативные возимые и носимые устройства, размещаемые вблизи объекта защиты либо подключаемые к каналам связи или техническим средствам обработки информации, а также электронные устройства съема информации «закладочное устройство», размещаемые внутри или вне защищаемых помещений.

2.12. Кроме перехвата информации техническими средствами возможно непреднамеренное попадание защищаемой информации к лицам, не допущенным к ней, но находящимся в пределах КЗ. Это возможно, например, вследствие:

· непреднамеренного прослушивания без использования технических средств конфиденциальных разговоров из-за недостаточной звукоизоляции ограждающих конструкций защищаемых помещений и их инженерно-технических систем;

· случайного прослушивания телефонных разговоров при проведении профилактических работ в сетях телефонной связи;

· некомпетентных или ошибочных действий пользователей и администраторов АС при работе вычислительных сетей;

· просмотра информации с экранов дисплеев и других средств ее отображения.

2.13. Выявление и учет факторов, воздействующих или могущих воздействовать на защищаемую информацию (угроз безопасности информации) в конкретных условиях, в соответствии с ГОСТ Р 51275-99, составляют основу для планирования и осуществления мероприятий, направленных на защиту информации на объекте информатизации.

2.14. Основное внимание должно быть уделено защите информации, в отношении которой угрозы безопасности информации реализуются без применения сложных технических средств перехвата информации:

· речевой информации, циркулирующей в защищаемых помещениях;

· информации, обрабатываемой средствами вычислительной техники, от несанкционированного доступа и несанкционированных действий;

· информации, выводимой на экраны видеомониторов;

· информации, передаваемой по каналам связи, выходящим за пределы КЗ.

2.15. Разработка мер и обеспечение защиты информации осуществляются подразделениями по защите информации (службами безопасности) или отдельными специалистами, назначаемыми руководством предприятия (учреждения) для проведения таких работ.

Разработка мер защиты информации может осуществляться также сторонними предприятиями, имеющими соответствующие лицензии Гостехкомйссии России либо ФСБ России и ФАПСИ России на право осуществления соответствующих работ.

2.16. Для защиты конфиденциальной информации рекомендуется использовать сертифицированные по требованиям безопасности информации технические средства обработки и передачи информации, технические и программные средства защиты информации.

Для защиты информации, составляющей служебную тайну, и персональных данных средства защиты информации должны быть сертифицированы в обязательном порядке.

2.17. Объекты информатизации должны быть аттестованы на соответствие требованиям по защите информации* /Здесь и далее под аттестацией понимается комиссионная приемка объекта информатизации силами предприятия с обязательным участием специалиста по защите информации/.

2.18. Ответственность за обеспечение требований по технической защите конфиденциальной информации возлагается на руководителей учреждений и предприятий, эксплуатирующих объекты информатизации.

3. Организация работ по защите информации

3.1. Организация и проведение работ по технической защите информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, при ее обработке техническими средствами определяются настоящим документом, действующими государственными стандартами и другими нормативными и методическими документами Гостехкомиссии России.

3.2. Организация работ по защите информации возлагается на руководителей учреждений и предприятий, руководителей подразделений, осуществляющих разработку проектов объектов информатизации и их эксплуатацию, а методическое руководство и контроль за эффективностью предусмотренных мер защиты информации, на руководителей подразделений по защите информации (служб безопасности) учреждения (предприятия).

3.3. Научно-техническое руководство и непосредственную организацию работ по созданию (модернизации) системы защиты информации (СЗИ) объекта информатизации осуществляет его главный конструктор или другое должностное лицо, обеспечивающее научно-техническое руководство созданием объекта информатизации.

3.4. Разработка СЗИ может осуществляться как подразделением учреждения (предприятия), так и специализированными предприятиями, имеющими лицензии Гостехкомиссии России и/или ФАПСИ на соответствующий вид деятельности.

В случае разработки СЗИ или ее отдельных компо­нентов специализированным предприятием, в учреждении (на предприятии), для которого осуществляется разработка (предприятие-заказчик), определяются подразделения (или отдельные специалисты), ответственные за организацию и проведение (внедрение и эксплуатацию) мероприятий по защите конфиденциальной информации.

Разработка и внедрение СЗИ осуществляется во взаимодействии разработчика со службой безопасности предприятия-заказчика, которая осуществляет методическое руководство и участвует в разработке конкретных требований по защите информации, аналитическом обосновании необходимости создания СЗИ, согласовании выбора средств вычислительной техники и связи, технических и программных средств защиты, организации работ по выявлению возможностей и предупреждению утечки и нарушения целостности защищаемой информации, в аттестации объектов информатизации.

3.5. Организация работ по созданию и эксплуатации объектов информатизации и их СЗИ определяется в разрабатываемом на предприятии «Руководстве по защите информации» или в специальном «Положении о порядке организации и проведения работ по защите информации» и должна предусматривать:

· порядок определения защищаемой информации;

· порядок привлечения подразделений предприятия, специализированных сторонних организаций к

· разработке и эксплуатации объектов информати­зации и СЗИ, их задачи и функции на различных стадиях создания и эксплуатации объекта инфор­матизации;

· порядок взаимодействия всех занятых в этой работе организаций, подразделений и специалистов;

· порядок разработки, ввода в действие и эксплуатацию объектов информатизации;

· ответственность должностных лиц за своевременность и качество формирования требований по технической защите информации, за качество и научно-технический уровень разработки СЗИ.

3.6. В учреждении (на предприятии) должен быть документально оформлен перечень сведений конфиденциального характера (приложение № 6), подлежащих защите в соответствии с нормативными правовыми актами, а также разработана соответствующая разрешительная система доступа персонала к такого рода сведениям.

Рекомендуются следующие стадии создания системы защиты информации:

· предпроектная стадия, включающая предпроектное обследование объекта информатизации, разработку аналитического обоснования необходимости создания СЗИ и технического (частного технического) задания на ее создание;

· стадия проектирования (разработки проектов) и реализации объекта информатизации, включающая разработку СЗИ в составе объекта информатизации;

· стадия ввода в действие СЗИ, включающая опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также аттестацию объекта информатизации на соответствие требованиям безопасности информации.

3.8. На предпроектной стадии по обследованию объекта информатизации:

· устанавливается необходимость обработки (обсуждения) конфиденциальной информации на данном объекте информатизации;

· определяется перечень сведений конфиденциального характера, подлежащих защите от утечки по техническим каналам;определяются (уточняются) угрозы безопасности информации и модель вероятного нарушителя применительно к конкретным условиям функционирования;

· определяются условия расположения объектов информатизации относительно границ КЗ;

· определяются конфигурация и топология автоматизированных систем и систем связи в целом и их отдельных компонентов, физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назначения;

· определяются технические средства и системы, предполагаемые к использованию в разрабатываемой АС и системах связи, условия их расположения, общесистемные и прикладные программные средства, имеющиеся на рынке и предлагаемые к разработке;

· определяются режимы обработки информации в АС в целом и в отдельных компонентах;

· определяется класс защищенности АС;

· определяется степень участия персонала в обработке (обсуждении, передаче, хранении) информации, характер их взаимодействия между собой и со службой безопасности;

· определяются мероприятия по обеспечению конфиденциальности информации в процессе проектирования объекта информатизации.

3.9. По результатам предпроектного обследования разрабатывается аналитическое обоснование необходимости создания СЗИ.

На основе действующих нормативных правовых актов и методических документов по защите конфиденциальной информации, в том числе настоящего документа, с учетом установленного класса защищенности АС задаются конкретные требования по защите информации, включаемые в техническое (частное техническое) задание на разработку СЗИ.

3.10. Предпроектное обследование в части определения защищаемой информации должно базироваться на документально оформленных перечнях сведений конфиденциального характера.

Перечень сведений конфиденциального характера составляется заказчиком объекта информатизации и оформляется за подписью соответствующего руководителя.

3.11. Предпроектное обследование может быть поручено специализированному предприятию, имеющему соответствующую лицензию, но и в этом случае анализ информационного обеспечения в части защищаемой информации целесообразно выполнять представителям предприятия-заказчика при методической помощи специализированного предприятия.

Ознакомление специалистов этого предприятия с защищаемыми сведениями осуществляется в установленном на предприятии-заказчике порядке.

3.12. Аналитическое обоснование необходимости создания СЗИ должно содержать:

· информационную характеристику и организационную структуру объекта информатизации;

· характеристику комплекса основных и вспомогательных технических средств, программного обеспечения, режимов работы, технологического процесса обработки информации;

· возможные каналы утечки информации и перечень мероприятий по их устранению и ограничению;

перечень предлагаемых к использованию сертифицированных средств защиты информации;

· обоснование необходимости привлечения специализированных организаций, имеющих необходимые лицензии на право проведения работ по защите информации;

· оценку материальных, трудовых и финансовых затрат на разработку и внедрение СЗИ;

· ориентировочные сроки разработки и внедрения СЗИ;

· перечень мероприятий по обеспечению конфиденциальности информации на стадии проектирования объекта информатизации.

Аналитическое обоснование подписывается руководителем предпроектного обследования, согласовывается с главным конструктором (должностным лицом, обеспечивающим научно-техническое руководство создания объекта информатизации), руководителем службы безопасности и утверждается руководителем предприятия-заказчика.

3.13. Техническое (частное техническое) задание на разработку СЗИ должно содержать:

· обоснование разработки;

· исходные данные создаваемого (модернизируемого) объекта информатизации в техническом, программном, информационном и организационном аспектах;

· класс защищенности АС;

· ссылку на нормативные документы, с учетом которых будет разрабатываться СЗИ и приниматься в эксплуатацию объект информатизации;

· конкретизацию требований к СЗИ на основе действующих нормативно-методических документов и установленного класса защищенности АС;

· перечень предполагаемых к использованию сертифицированных средств защиты информации;

· обоснование проведения разработок собственных средств защиты информации, невозможности или нецелесообразности использования имеющихся на рынке сертифицированных средств защиты информации;

· состав, содержание и сроки проведения работ по этапам разработки и внедрения;

· перечень видов работ подрядных организаций-исполнителей;

· перечень предъявляемой заказчику научно-технической продукции и документации.

3.14. Техническое (частное техническое) задание на разработку СЗИ подписывается разработчиком, согласовывается со службой безопасности предприятиязаказчика, подрядными организациями и утверждается заказчиком.

3.15. В целях дифференцированного подхода к защите информации производится классификация АС по требованиям защищенности от НСД к информации.

Класс защищенности АС от НСД к информации устанавливается совместно заказчиком и разработчиком АС с привлечением специалистов по защите информации в соответствии с требованиями руководящего документа (РД) Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автомати­зированных систем и требования по защите информации» и раздела 5 настоящего документа и оформляется актом.

Пересмотр класса защищенности АС производится в обязательном порядке, если произошло изменение хотя бы одного из критериев, на основании которых он был установлен.

3.16. На стадии проектирования и создания объек­та информатизации и СЗИ в его составе на основе предъявляемых требований и заданных заказчиком ограничений на финансовые, материальные, трудовые и временные ресурсы осуществляются:

· разработка задания и проекта на строительные, строительно-монтажные работы (или реконструкцию) объекта информатизации в соответствии с требованиями технического (частного технического) задания на разработку СЗИ;

· разработка раздела технического проекта на объект информатизации в части защиты информации;

· строительно-монтажные работы в соответствии с проектной документацией, утвержденной заказчиком, размещением и монтажом технических средств и систем;

· разработка организационно-технических мероприятий по защите информации в соответствии с предъявляемыми требованиями;

· закупка сертифицированных образцов и серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации либо их сертификация;

· закупка сертифицированных технических, программных и программно-технических средств защиты информации и их установка;

· разработка (доработка) или закупка и последующая сертификация по требованиям безопасности информации программных средств защиты информации в случае, когда на рынке отсутствуют требуемые сертифицированные программные средства;

· организация охраны и физической защиты помещений объекта информатизации, исключающих несанкционированный доступ к техническим средствам обработки, хранения и передачи информации, их хищение и нарушение работоспособности, хищение носителей информации;

· разработка и реализация разрешительной системы доступа пользователей и эксплуатационного персонала к обрабатываемой (обсуждаемой) на объекте информатизации информации;

· определение заказчиком подразделений и лиц, ответственных за эксплуатацию средств защиты информации, обучение назначенных лиц специфике работ по защите информации на стадии эксплуатации объекта информатизации;

· выполнение генерации пакета прикладных программ в комплексе с программными средствами защиты информации;

· разработка эксплуатационной документации на объект информатизации и средства защиты информации, а также организационно-распорядительной документации по защите информации {приказов, инструкций и других документов);

· выполнение других мероприятий, специфичных для конкретных объектов информатизации и направлений защиты информации.

3.17. Задание на проектирование оформляется отдельным документом, согласовывается с проектной организацией, службой (специалистом) безопасности предприятия-заказчика в части достаточности мер по технической защите информации и утверждается заказчиком.

Мероприятия по защите информации от утечки по техническим каналам являются основным элементом проектных решений, закладываемых в соответствую­щие разделы проекта, и разрабатываются одновременно с ними.

3.18. На: стадии проектирования и создания объекта информатизации оформляются также технический (технорабочий) проект и эксплуатационная документация СЗИ, состоящие из:

· пояснительной записки с изложением решений по комплексу организационных мер и программно-техническим средствам обеспечения безопасности информации, составу средств защиты информации с указанием их соответствия требованиям ТЗ;

· описания технического, программного, информационного обеспечения и технологии обработки (передачи) информации;

· плана организационно-технических мероприятий по подготовке объекта информатизации к внедрению средств и мер защиты информации;

· технического паспорта объекта информатизации (форма технического паспорта на АС приведена в приложении № 5);

· инструкций и руководств по эксплуатации технических и программных средств защиты для пользователей, администраторов системы, а также для работников службы защиты информации.

3.19. На стадии ввода в действие объекта информатизации и СЗИ осуществляются:

· опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объекта информатизации и отработки технологического процесса обработки (передачи) информации;

· приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатации с оформлением приемо-сдаточного акта, подписываемого разработчиком (поставщиком) и заказчиком;

· аттестация объекта информатизации по требованиям безопасности информации.

3.20. На этой стадии оформляются:

· акты внедрения средств защиты информации по результатам их приемо-сдаточных испытаний;

· предъявительский акт к проведению аттестационных испытаний;

· заключение по результатам аттестационных испытаний.

При положительных результатах аттестации на объект информатизации оформляется «Аттестат соответствия требованиям по безопасности информации»(форма «Аттестата соответствия» для АС приведена в приложении № 2, для ЗП - в приложении № 3).

3.21. Кроме вышеуказанной документации в учреждении (на предприятии) оформляются приказы, указания и решения:

· о проектировании объекта информатизации и назначении ответственных исполнителей;

· о формировании группы обследования и назначении ее руководителя;

· о заключении соответствующих договоров на проведение работ;

· о назначении лиц, ответственных за эксплуатацию объекта информатизации;

· о разрешении обработки в АС (обсуждения в ЗП) конфиденциальной информации.

3.22. Для объектов информатизации, находящихся в эксплуатации до введения в действие настоящего документа, может быть предусмотрен, по решению их заказчика (владельца), упрощенный вариант их доработки (модернизации), переоформления организационно-распоря-дительной, технологической и эксплуатационной документации.

Программа аттестационных испытаний такого рода объектов информатизации определяется аттестационной комиссией.

Необходимым условием является их соответствие действующим требованиям по защите информации.

3.23. Эксплуатация объекта информатизации осуществляется в полном соответствии с утвержденной организационно-распорядительной и эксплуатационной документацией, с учетом требований и положений, изложенных в разделах 4-6 настоящего документа.

3.24. С целью своевременного выявления и предотвращения утечки информации по техническим каналам, исключения или существенного затруднения несанкционированного доступа и предотвращения специальных программно-технических воздействий, вызывающих нарушение целостности информации или работоспособности технических средств, в учреждении (на предприятии) проводится периодический (не реже одного раза в год} контроль состояния защиты информации.

Контроль осуществляется службой безопасности учреждения (предприятия), а также отраслевыми и федеральными органами контроля (для информации, режим защиты которой определяет государство) и зак­лючается в оценке:

· соблюдения нормативных и методических документов Гостехкомиссии России;

· работоспособности применяемых средств защиты информации в соответствии с их эксплутационной документацией;

· знаний и выполнения персоналом своих функциональных обязанностей в части защиты информации.

3.25. Собственник или владелец конфиденциальной информации имеет право обратиться в органы государственной власти для оценки правильности выполнения норм и требований по защите его информации в информационных системах.

3.26. При необходимости по решению руководителя предприятия могут быть организованы работы по поиску электронных устройств съема информации («закладочных устройств»), возможно внедренных в ЗП или технические средства, осуществляемые организациями, имеющими соответствующие лицензии ФАПСИ или ФСБ России на конкретный вид деятельности по поиску "таких устройств. В организациях Минобороны России работы по поиску электронных устройств съема информации («закладочных устройств»), возможно внедренных в ЗП или технические средства, могут проводиться организациями, допущенными к проведению этих работ в установленном порядке.

4. Требования и рекомендации по защите речевой информации

4.1. Общие положения

4.1.1. Требования и рекомендации настоящего раздела направлены на исключение (существенное затруднение) возможности перехвата конфиденциальной речевой информации, циркулирующей в ЗП, в системах звукоусиления (СЗУ) и звукового сопровождения кинофильмов (СЗСК), при осуществлении её магнитной звукозаписи и передачи по каналам связи.

4.1.2. Требования настоящего раздела, если не ого­ворено специально, являются обязательными на всех стадиях проектирования, строительства, оснащения, эксплуатации ЗП и размещенных в них ОТСС и ВТСС, для систем СЗУ и СЗСК.

4.1.3. При проведении мероприятий с использованием конфиденциальной речевой информации и технических средств ее обработки возможна утечка информации за счет:

· акустического излучения информативного речевого сигнала;

· виброакустических сигналов, возникающих посредством преобразования информативного акустического сигнала при воздействии его на строительные конструкции и инженерно-технические системы ЗП;

· прослушивания разговоров, ведущихся в ЗП, по информационным каналам общего пользования (городская телефонная сеть, сотовая, транкинговая и пейджинговая связь, радиотелефоны) за счет скрытного подключения оконечных устройств этих видов связи;

· электрических сигналов, возникающих в результате преобразования информативного сигнала из акустического в электрический за счет микрофонного эффекта и распространяющихся по проводам и линиям передачи информации, выходящие за пределы КЗ;

· побочных электромагнитных излучений информативного сигнала от обрабатывающих конфиденциальную информацию технических средств, в том числе возникающих за счет паразитной генерации, и линий передачи информации;

· электрических сигналов, наводимых от обрабатывающих конфиденциальную информацию технических средств и линий ее передачи, на провода и линии, выходящих за пределы КЗ;

· радиоизлучений, модулированных информативным сигналом, возникающих при работе различных генераторов, входящих в состав технических средств, установленных в ЗП, или при наличии паразитной генерации в их узлах (элементах);

· радиоизлучений, электрических или инфракрасных сигналов, модулированных информативным сигналом от специальных электронных устройств съема речевой информации («закладочных устройств»), закладываемых в ЗП, в технические средства и системы обработки информации.

Также следует учитывать возможность хищения технических средств с хранящейся в них информацией или отдельных носителей информации.

4.2. Основные требования и рекомендации по защите информации, циркулирующей в защищаемых помещениях

4.2.1. В учреждении (предприятии) должен быть документально определен перечень ЗП и лиц, ответственных за их эксплуатацию в соответствии с установленными требованиями по защите информации, а также составлен технический паспорт на ЗП (форма технического паспорта приведена в приложении № 4).

4.2.2. Защищаемые помещения должны размещаться в пределах контролируемой территории учреждения (предприятия). При этом рекомендуется размещать их на максимальном удалении от границ контролируемой зоны, ограждающие конструкции (стены, полы, потолки) не должны являться смежными с помещениями других учреждений (предприятий). Не рекомендуется располагать ЗП на первых этажах зданий.

Для исключения просмотра текстовой и графической конфиденциальной информации через окна помещения рекомендуется оборудовать их шторами (жалюзи).

4.2.3. Защищаемые помещения рекомендуется оснащать сертифицированными по требованиям безопасности информации ОТСС и ВТСС, либо средствами, прошедшими специальные исследования и имеющими предписание на эксплуатацию.

Эксплуатация ОТСС, ВТСС должна осуществляться в соответствии с предписаниями и эксплутационной документацией на них.

4.2.4. Специальная проверка ЗП и установленного в нем оборудования с целью выявления возможно внедренных в них электронных устройств съема информации («закладочных устройств») проводится при необходимости по решению руководителя предприятия.

4.2.5. Во время проведения конфиденциальных мероприятий запрещается использование в ЗП радиотелефонов, оконечных устройств сотовой, пейджинговой и транкинговой связи, переносных магнитофонов и других средств аудио- и видеозаписи. При установке в ЗП телефонных и факсимильных аппаратов с автоответчиком или спикерфоном, а также аппаратов с автоматическим определителем номера, следует отключать их из сети на время проведения этих мероприятий.

4.2.6. Для исключения возможности утечки информации за счет электроакустического преобразования рекомендуется использовать в ЗП в качестве оконечных устройств телефонной связи, имеющих прямой выход в городскую АТС, телефонные аппараты (ТА), прошедшие специальные исследования, либо оборудовать их сертифицированными средствами защиты информации от утечки за счет электроакустического преобразования.

4.2.7. Для исключения возможности скрытного подключения ТА и прослушивания ведущихся в ЗП разговоров не рекомендуется устанавливать в них цифровые ТА цифровых АТС, имеющих выход в городскую АТС или к которой подключены абоненты, не являющиеся сотрудниками учреждения (предприятия).

В случае необходимости рекомендуется использовать сертифицированные по требованиям безопасности информации цифровые АТС либо устанавливать в эти ЗП аналоговые аппараты или цифровые ТА с вмонтированными в них сертифицированными средствами защиты.

4.2.8. Ввод системы городского радиотрансляционного вещания на территорию учреждения (предприятия) рекомендуется осуществлять через радиотрансляционный узел (буферный усилитель), размещаемый в пределах контролируемой зоны.

При вводе системы городского радиовещания без буферного усилителя, в ЗП следует использовать абонентские громкоговорители в защищенном от утечки информации исполнении, а также трех программные абонентские громкоговорители в режиме приема 2-й и 3-й программы (с усилителем).

В случае использования однопрограммного или трех программного абонентского громкоговорителя в режиме приема первой программы (без усиления) необходимо их отключать на период проведения конфиденциальных мероприятий.

4.2.9. В случае размещения электрочасовой станции внутри КЗ использование в ЗП электро вторичных часов (ЭВЧ) возможно без средств защиты информации.

При установке электрочасовой станции вне КЗ в линии ЭВЧ, имеющие выход за пределы КЗ, рекомендуется устанавливать сертифицированные средства защиты информации.

4.2.10. Системы пожарной и охранной сигнализации ЗП должны строиться только по проводной схеме сбора информации (связи с пультом) и, как правило, размещаться в пределах одной с ЗП контролируемой зоне.

В качестве оконечных устройств пожарной и охранной сигнализации в ЗП рекомендуется использовать изделия, сертифицированные по требованиям безопасности информации, или образцы средств, про­шедшие специальные исследования и имеющие предписание на эксплуатацию.

4.2.11. Звукоизоляция ограждающих конструкций ЗП, их систем вентиляции и кондиционирования должна обеспечивать отсутствие возможности прослушивания ведущихся в нем разговоров из-за пределов ЗП.

Проверка достаточности звукоизоляции осуществляется аттестационной комиссией путем подтверждения отсутствия возможности разборчивого прослушивания вне ЗП разговоров, ведущихся в нем.

При этом уровень тестового речевого сигнала должен быть не ниже используемого во время штатного режима эксплуатации помещения.

Для обеспечения необходимого уровня звукоизоляции помещений рекомендуется оборудование дверных проемов тамбурами с двойными дверями, установка дополнительных рам в оконных проемах, уплотнительных прокладок в дверных и оконных притворах и применение шумопоглотителей на выходах вентиляционных каналов.

Если предложенными выше методами не удается обеспечить необходимую акустическую защиту, следует применять организационно-режимные меры, ограничивая на период проведения конфиденциальных мероприятий доступ посторонних лиц в места возможного прослушивания разговоров, ведущихся в ЗП.

4.2.12. Для снижения вероятности перехвата информации по виброакустическому каналу следует организационно-режимными мерами исключить возможность установки посторонних (внештатных) предметов на внешней стороне ограждающих конструкций ЗП и выходящих из них инженерных коммуникаций (систем отопления, вентиляции, кондиционирования).

Для снижения уровня виброакустического сигнала рекомендуется расположенные в ЗП элементы инженерно-технических систем отопления, вентиляции оборудовать звукоизолирующими экранами.

4.2.13. В случае, если указанные выше меры защиты информации от утечки по акустическому и виброакустическому каналам недостаточны или нецелесообразны, рекомендуется применять метод активного акустического или виброакустического маскирующего зашумления.

Для этой цели должны применяться сертифицированные средства активной защиты.

4.2.14. При эксплуатации ЗП необходимо предусматривать организационно-режимные меры, направленные на исключение несанкционированного доступа в помещение:

· двери ЗП в период между мероприятиями, а также в нерабочее время необходимо запирать на ключ;

· выдача ключей от ЗП должна производиться лицам, работающим в нем или ответственным за это помещение;

· установка и замена оборудования, мебели, ремонт ЗП должны производиться только по согласованию и под контролем подразделения (специалиста) по защите информации учреждения (предприятия).

4.3. Защита информации, циркулирующей в системах звукоусиления и звукового сопровождения кинофильмов

4.3.1. В качестве оборудования систем звукоусиления, предназначенных для обслуживания проводимых в ЗП закрытых мероприятий, и систем звукового сопровождения кинофильмов, содержащих конфиденциальные сведения, необходимо использовать оборудование, удовлетворяющее требованиям стандартов по электромагнитной совместимости России, Европейских стран, США (например, ГОСТ 22505-97). В случае необходимости для повышения уровня защищенности рекомендуется применять оборудование, сертифицированное по требованиям безопасности информации или прошедшее специальные исследования и имеющее предписание на эксплуатацию.

4.3.2. Системы звукоусиления Должны выполняться по проводной схеме передачи информации экранированными проводами и располагаться в пределах КЗ.

С целью уменьшения побочных электромагнитных излучений целесообразно использовать систему звукоусиления с рассредоточенной системой звукоизлучателей, т.е. следует отдавать предпочтение системам с большим количеством оконечных устройств малой мощности перед системами с малым количеством оконечных устройств большой мощности.

В качестве оконечных устройств рекомендуется использовать звуковые колонки, выпускаемые в защищенном исполнении.

Можно использовать выпускаемые в обычном исполнении громкоговорители с экранированными магнитными цепями (например: 0.5ГДШ-5,0,5ГД-54, 1ГДШ-2, 1ГДШ-6, 1ГДШ-28, 2ГДШ-3, 2ГДШ-4, ЗГДШ-1) или укомплектованные ими звуковые колонки (

Поиск по сайту: