Учебное пособие по ИБ (1027402), страница 18
Текст из файла (страница 18)
Термины, определения и сокращения.2. Общие положения.3. Организация работ по защите конфиденциальнойинформации.4. Требования и рекомендации по защите речевойконфиденциальной информации.5. Требования и рекомендации по защите конфиденциальнойинформации, обрабатываемой в автоматизированныхсистемах.6. Рекомендации по обеспечению защиты конфиденциальнойинформации, содержащейся в негосударственныхинформационных ресурсах, при взаимодействии абонентов синформационными сетями общего пользования.7. Приложения.1148ОБЛАСТЬ ДЕЙСТВИЯ СТРСТР-К22.1. Настоящий нормативно-методический документ устанавливает порядокорганизации работ, требования и рекомендации по обеспечению техническойзащиты информации с ограниченным доступом, не содержащей сведенийсоставляющих государственную тайну (далее- конфиденциальнаяинформация), на территории Российской Федерации.2.3.
Требования и рекомендации настоящего документа распространяются назащиту государственных информационных ресурсов некриптографическимиметодами, направленными на предотвращение утечки защищаемойинформации по техническим каналам, от несанкционированного доступа к нейи от специальных воздействий на информацию в целях ее уничтожения,искажения и блокирования.При проведении работ по защите негосударственных информационныхресурсов, составляющих коммерческую тайну, банковскую тайну и т.
д.,требования настоящего документа носят рекомендательный характер.2.4. Уровень технической защиты конфиденциальной информации, а такжеперечень необходимых мер защиты определяется дифференцированно порезультатам обследования объекта информатизации с учётом соотношениязатарат на организацию защиты информации и величины ущерба, которыйможет быть нанесён собственнику информационных ресурсовНАПРАВЛЕННОСТЬ СТРСТР-К3Документ определяет следующие основные вопросы защитыконфиденциальной информации:♦ организацию работ по защите информации, в том числе при разработке имодернизации объектов информатизации и их систем защиты информации;♦ состав и основное содержание организационно-распорядительной,проектной, эксплуатационной и иной документации по защитеинформации;♦ требования и рекомендации по защите речевой информации при ведениипереговоров, в том числе с использованием технических средств;♦ требования и рекомендации по защите информации при ееавтоматизированной обработке и передаче с использованием техническихсредств;♦ порядок обеспечения защиты информации при эксплуатации объектовинформатизации;♦ особенности защиты информации при разработке и эксплуатации АС,использующих различные типы СВТ и информационные технологии;♦ порядок обеспечения защиты информации при взаимодействииабонентов с Сетями.149ОСНОВНЫЕ ПОЛОЖЕНИЯ4(часть 1)2.6.
Защита информации, обрабатываемой с использованием техническихсредств, является составной частью работ по созданию и эксплуатацииобъектов информатизации различного назначения и должна осуществляться вустановленном настоящим документом порядке в виде системы (подсистемы)защиты информации во взаимосвязи с другими мерами по защитеинформации.2.7. Защите подлежит речевая информация и информация, обрабатываемаятехническими средствами, а также представленная в виде информативныхэлектрических сигналов, физических полей, носителей на бумажной,магнитной, магнито-оптической и иной основе.2.8.
Защита информации на объекте информатизации достигается выполнениемкомплекса организационных мероприятий и применением средств защитыинформации от утечки информации, несанкционированного доступа,программно-технических воздействий с целью нарушения целостности(модификации, уничтожения) и доступности информации в процессе ееобработки, передачи и хранения, а также работоспособности техническихсредств.ОСНОВНЫЕ ПОЛОЖЕНИЯ5(часть 2)2.15.
Разработка мер и обеспечение защиты информации осуществляютсяподразделениями по защите информации (службами безопасности) илиотдельными специалистами, назначаемыми руководителями организаций дляпроведения таких работ. Разработка мер защиты информации можетосуществляться также сторонними организациями, имеющими лицензии направо проведения соответствующих работ.2.16.Длязащитыконфиденциальнойинформациииспользуютсясертифицированные по требованиям безопасности информации техническиесредства защиты информации. Порядок сертификации определяетсязаконодательством Российской Федерации.2.17.
Объекты информатизации должны быть аттестованы по требованиямбезопасности информации в соответствии нормативными документами ФСТЭК(Гостехкомиссии) России и требованиями настоящего документа.2.18. Ответственность за обеспечение требований по технической защитеконфиденциальной информации возлагается на руководителей организаций,эксплуатирующих объекты информатизации.150ОБЪЕКТЫ ЗАЩИТЫ (1)6Защите подлежит:РечеваяинформацияИнформация,обрабатываемаятехническими средствамиИнформация может быть представлена в виде информативныхэлектрических сигналов, физических полей, носителей на бумажной,магнитной, магнито-оптической и иной основеОбъекты защиты:Средства и системыинформатизации,участвующие вобработкезащищаемойинформации (ОТСС)Технические средства исистемы, необрабатывающиенепосредственноинформацию, норазмещенные впомещениях, где онаобрабатывается (ВТСС)ОБЪЕКТЫ ЗАЩИТЫ (2)Защищаемыепомещения7 Средства и системы информатизации (СВТ, АС различного уровня иназначения на базе СВТ, в том числе информационно-вычислительныекомплексы, сети и системы, средства и системы связи и передачи данных,технические средства приема, передачи и обработки информации (телефонии,звукозаписи,звукоусиления,звуковоспроизведения,переговорныеителевизионные устройства, средства изготовления, тиражирования документови другие технические средства обработки речевой, графической, видео ибуквенно-цифровой информации), программные средства (операционныесистемы, системы управления базами данных, другое общесистемное иприкладное программное обеспечение), средства защиты информации,используемые для обработки конфиденциальной информации.
Технические средства и системы, не обрабатывающие непосредственноконфиденциальную информацию, но размещенные в помещениях, где онаобрабатывается (циркулирует). Защищаемые помещения.1518ОСНОВНЫЕ НАПРАВЛЕНИЯ ЗАЩИТЫ КИ (1)Обеспечение защитыинформации от НСД,хищения, утраты,уничтожения, искаженияподделки, блокированияи специальныхвоздействийОбеспечение защитыинформацииот утечки потехническим каналампри её обработке,хранении ипередачепо каналам связиОСНОВНЫЕ НАПРАВЛЕНИЯ ЗАЩИТЫ КИ (2)9Основное внимание должно быть уделено защите информации,в отношении которой угрозы безопасности информацииреализуются без применения сложных технических средствперехвата информации:• речевой информации, циркулирующей в ЗП;• информации, передаваемой по каналам связи, выходящим запределы КЗ;• информации, обрабатываемой СВТ, от несанкционированногодоступа и несанкционированных действий;• информации, выводимой на экраны видеомониторов;• информации, хранящейся на физических носителях, в томчисле входящих в состав АС.15210СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ.
КОМПЛЕКСНЫЙПОДХОД К ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ИНФОРМАЦИИРеализация задачи обеспечения безопасности информации итребуемого уровня защищённости информационных ресурсовпредприятияосуществляетсякомплекснойсистемойобеспечения безопасности информации (СОБИ)Правовые меры защиты информацииЭконом-кие меры защиты информацииОрганизационно-административныемеры защиты информацииТехническиемерызащитыинформацииКомплекснаязащитаинформацииПассивныеАктивныеОРГАНИЗАЦИЯ РАБОТ ПО ЗАЩИТЕ ИНФОРМАЦИИ (1)113.2.
Организация работ по защите информации возлагается наруководителей организаций, руководителей подразделений,осуществляющихразработкуинформатизациируководствоиипредусмотренныхихэксплуатацию,контрольмерпроектовзащитызааобъектовметодическоеэффективностьюинформации-наруководителей подразделений по защите информации (служббезопасности) организации.15312ОРГАНИЗАЦИЯ РАБОТ ПО ЗАЩИТЕ ИНФОРМАЦИИ (2)3.5. Организация работ по созданию и эксплуатации объектовинформатизации и их СЗИ определяется в разрабатываемом“Положении о порядке организации и проведения работ позащите конфиденциальной информации” или в приложении к“Руководству по защите информации от утечки по техническимканалам на объекте” и должна предусматривать:♦♦♦♦♦порядок определения защищаемой информации;порядок привлечения подразделений организации,специализированных сторонних организаций к разработке иэксплуатации объектов информатизации и СЗИ, их задачи ифункции на различных стадиях создания и эксплуатации объектаинформатизации;порядок взаимодействия всех занятых в этой работеорганизаций, подразделений и специалистов;порядок разработки, ввода в действие и эксплуатацию объектовинформатизации;ответственность должностных лиц за своевременность и качествоформирования требований по защите информации, за качество инаучно-технический уровень разработки СЗИ.СТАДИИ СОЗДАНИЯ СОБИ3.7.
Рекомендуются следующие стадии создания СОБИ:♦предпроектная стадия, включающая предпроектноеобследование объекта информатизации, разработкуаналитического обоснования необходимости создания СЗИ итехнического (частного технического) задания на ее создание;♦стадия проектирования (разработки проектов), включающаяразработку СЗИ в составе объекта информатизации;♦стадия ввода в действие СЗИ, включающая опытнуюэксплуатацию и приемо-сдаточные испытания средств защитыинформации, а также аттестацию объекта информатизации насоответствие требованиям безопасности информации13154ПЕРЕЧЕНЬ СВЕДЕНИЙ КОНФИДЕНЦИАЛЬНОГОХАРАКТЕРА143.6. В организации должен быть документально оформленпереченьсведенийконфиденциальногохарактера,подлежащих защите в соответствии с нормативнымиправовыми актами, а также разработана соответствующаяразрешительная система доступа персонала к такого родасведениям.5.1.3.
В качестве одной из основных мер защиты информациирекомендуетсядокументальноеоформлениеперечнясведений конфиденциального характера, в том числе с учетомведомственной и отраслевой специфики этих сведений.ПРИМЕР ДОКУМЕНТАЛЬНОГО ОФОРМЛЕНИЯ ПЕРЕЧНЯ 15СВЕДЕНИЙ КОНФИДЕНЦИАЛЬНОГО ХАРАКТЕРАДля служебного пользования(Коммерческая тайна)Экз. №__УТВЕРЖДАЮРуководитель организации_______________Перечень« » ______ 200_ г.сведений конфиденциального характера№п/пПримечаниеНаименование сведений1.Сводный перечень работ организации на перспективу, на год (квартал)2.Сведения, раскрывающие систему, средства защиты информации в ЛВСорганизации от НСД, а также значения действующих кодов и паролей3.Сведения, содержащиеся в лицевых счетах пайщиков страховых взносов4.Сведения, содержащиеся в индивидуальном лицевом счете застрахованноголица5.Технические, коммерческие и другие сведения,технической документации6.Методические материалы, типовые технологические и конструктивныерешения, разработанные организацией и используемые при проектировании7.Требования по обеспечению сохранения коммерческой тайны при выполненииработ в организацииоформленныев виде155ОСНОВНЫЕ ТРЕБОВАНИЯ ПОТЕХНИЧЕСКОЙ ЗАЩИТЕ КИ16Основные требования и рекомендации по защите речевойконфиденциальной информацииЦЕЛЬ: Исключение (существенное затруднение) возможности перехватаконфиденциальной речевой информации, циркулирующей в ЗП, в системахзвукоусиления (СЗУ) и звукового сопровождения кино- и видеофильмов (СЗСК), приосуществлении её магнитной звукозаписи и передачи по каналам связи.Основные требования и рекомендации по защитеконфиденциальной информации, обрабатываемой вавтоматизированных системах (АС, ЛВС, ПЭВМ)ЦЕЛИ: • обеспечение защиты информации от хищения, утраты, утечки,уничтожения, искажения, подделки и блокирования доступа к ней за счет НСД испециальных воздействий;• обеспечение защиты информации от утечки по техническим каналам приее обработке, хранении и передаче по каналам связи.ВОЗМОЖНЫЕ КАНАЛЫ УТЕЧКИ РЕЧЕВОЙ КИ17♦ акустическое излучение информативного речевого сигнала;♦овиброакустическиесигналы,возникающиепосредствомпреобразованияинформативного акустического сигнала при воздействии его на строительные конструкциии инженерно-технические системы ЗП;♦ прослушивание разговоров, ведущихся в ЗП, по информационным каналам общегопользования (городская телефонная сеть, сотовая, транкинговая и пейджинговая связь,радиотелефоны) за счет скрытного подключения оконечных устройств этих видов связи;♦ электрические сигналы, возникающие в результате преобразования информативногосигнала из акустического в электрический за счет микрофонного эффекта ираспространяющихся по проводам и линиям передачи информации, выходящие за пределыКЗ;♦ побочные электромагнитные излучения информативного сигнала отобрабатывающих информацию технических средств, в т.ч.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
