Учебное пособие по ИБ (1027402), страница 19
Текст из файла (страница 19)
возникающих за счет паразитнойгенерации, и линий передачи информации;♦ электрические сигналы, наводимые от обрабатывающих информацию техническихсредств и линий её передачи, на провода и линии, выходящих за пределы КЗ;♦ радиоизлучения, модулированных информативным сигналом, возникающих приработе различных генераторов, входящих в состав технических средств, установленных вЗП, или при наличии паразитной генерации в их узлах (элементах);♦ радиоизлучения электрических или инфракрасных сигналов, модулированныхинформативным сигналом от специальных электронных устройств съема речевойинформации («закладочных устройств»), закладываемых в ЗП, в технические средства исистемы обработки информации;♦ хищение технических средств с хранящейся в них записанной речевой информациейили отдельных носителей с такой информацией.156ОСНОВНЫЕ ТРЕБОВАНИЯ И РЕКОМЕНДАЦИИПО ЗАЩИТЕ РЕЧЕВОЙ КИ В ЗП18♦ должен быть документально определен перечень ЗП и лиц, ответственных за ихэксплуатацию;♦ ЗП должны размещаться в пределах КЗ организации.
При этом рекомендуетсяразмещать их на максимальном удалении от ее границ, ограждающие конструкции ЗП(стены, полы, потолки) не должны являться смежными с помещениями другихорганизаций. Не рекомендуется располагать ЗП на первых этажах зданий. Окна ЗПрекомендуется закрывать шторами (жалюзи);♦ ЗП оснащаются сертифицированными ОТСС и ВТСС или соответствующимисредствами защиты;♦ специальная проверка ЗП и установленного в нем оборудования с целью выявлениявозможно внедренных СЭУПИ проводится по решению руководителя организации;♦ запрещается использование в ЗП радиотелефонов, аппаратов сотовой, пейджинговой итранкинговой связи, незащищенных магнитофонов и других средств аудио - и видеозаписи.Телефонные и факсимильные аппаратов с автоответчиком или спикерфоном, а также ТА савтоматическим определителем номера следует отключать из сети на время проведениямероприятий или использовать средства защиты;♦ оконечные устройства телефонной связи, имеющие прямой выход в городскую АТС,должны оборудоваться сертифицированными средствами защиты информации от утечки засчет электроакустического преобразования;♦ не рекомендуется устанавливать в ЗП цифровые ТА цифровых АТС, имеющих выход вгородскую АТС или к которой подключены абоненты, не являющиеся сотрудникамиорганизации;♦ системы пожарной и охранной сигнализации ЗП должны строиться только попроводной схеме сбора информации (связи с пультом) и размещаться в пределах одной с ЗПКЗ;♦ должна быть обеспечена звуко и виброизоляция ЗП, обеспечивающая невозможностьпрослушивание речевой информации за пределами КЗ.ВОЗМОЖНЫЕ КАНАЛЫ УТЕЧКИ КИ ПРИ ЕЁОБРАБОТКЕ В АС19♦ несанкционированный доступ к обрабатываемой в АС информации инесанкционированные действия с ней;♦ воздействие на технические или программные средства информационных систем в целях нарушения конфиденциальности, целостности и доступности информации посредством специально внедренных программныхсредств;♦ побочные электромагнитные излучения информативного сигнала отобрабатывающих информацию технических средств, в т.ч.
возникающих засчет паразитной генерации, и линий передачи информации;♦ электрические сигналы, наводимые от обрабатывающих информациютехнических средств и линий её передачи, на провода и линии, выходящихза пределы КЗ;♦ радиоизлучения или электрические сигналы от электронных устройствперехвата информации, подключенных к каналам связи или техническимсредствам обработки информации;♦ просмотр информации с экранов дисплеев и других средств ееотображения, бумажных и иных носителей информации, в том числе спомощью оптических средств;♦ хищение технических средств с хранящейся в них записаннойинформацией или отдельных носителей с такой информацией.157ОСНОВНЫЕ МЕРЫ ЗАЩИТЫ КИ В АС ОТ НСД(хищения, утраты)20♦Реализация разрешительной системы допуска исполнителей (пользователей,обслуживающего персонала) к информации и связанным с ее использованием работам,документам.♦ Ограничение доступа персонала и посторонних лиц в помещения, где размещенысредства информатизации и коммуникационное оборудование, а также хранятся носителиинформации.♦ Разграничение доступа пользователей и обслуживающего персонала к информационнымресурсам, программным средствам обработки (передачи) и защиты информации.♦ Регистрация действий пользователей АС и обслуживающего персонала, контрольнесанкционированного доступа и действий пользователей, обслуживающего персонала ипосторонних лиц.♦ Учет и надежное хранение бумажных и машинных носителей конфиденциальнойинформации и их обращение, исключающее хищение, подмену и уничтожение.♦ Использование сертифицированных по требованиям безопасности информацииспециальных защитных знаков, создаваемых на основе физико-химических технологий дляконтроля доступа к объектам защиты и для защиты документов от подделки.♦ Резервирование технических средств, дублирование массивов и носителей информации.♦ Предотвращение внедрения в АС программ-вирусов, программных закладок.♦ Размещение дисплеев и других средств отображения информации, исключающее еенесанкционированный просмотр.♦ Организация физической защиты помещений и собственно технических средствобработки информации с использованием технических средств охраны, предотвращающихили существенно затрудняющих проникновение в здания, помещения посторонних лиц,хищение документов и носителей информации, самих средств информатизации.ОСНОВНЫЕ МЕРЫ ЗАЩИТЫ КИ В АС ОТ УТЕЧКИПО КАНАЛАМ ПЭМИН21♦ Использование сертифицированных серийно выпускаемых в защищенномисполнении технических средств обработки, передачи и хранения информации.♦ Использование технических средств, удовлетворяющих требованиямстандартов по электромагнитной совместимости.♦ Использование сертифицированных средств защиты информации.♦ Размещение объектов защиты на максимально возможном расстоянии отграниц КЗ.♦ Размещение понижающих трансформаторных подстанций электропитания иконтуров заземления объектов защиты в пределах КЗ.♦ Использование сертифицированных систем гарантированногоэлектропитания (источников бесперебойного питания).♦ Развязка цепей электропитания объектов защиты с помощью сетевыхпомехоподавляющих фильтров, блокирующих (подавляющих) информативныйсигнал.♦ Электромагнитная развязка между информационными цепями, по которымциркулирует защищаемая информация и линиями связи, другими цепямиВТСС, выходящими за пределы КЗ.♦ Использование защищенных каналов связи.15822СТРУКТУРА ПРИЛОЖЕНИЙ К СТРСТР-КА).°°Основные нормативные правовые акты и методическиедокументы по защите информации.Б).°°Пример документального оформления перечня сведенийконфиденциального характера.В).°°Форма технического паспорта на автоматизированнуюсистему.Г).°°Форма технического паспорта на защищаемое помещение.Д).°°Форма аттестата соответствия автоматизированной системы.Е).°°Форма аттестата соответствия защищаемого помещения.Ж).°°Форма акта классификации автоматизированной системы,предназначенной для обработки конфиденциальной информации.ОРГАНИЗАЦИЯ КОНТРОЛЯ СОСТОЯНИЯ ЗАЩИТЫКОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИКто проводитСлужбабезопасностиорганизации(внутреннийконтроль)Отраслевые ифедеральныеорганыконтроля23Содержание контроляПериодичностьСвоевременное выявление и предотвращение утечкиинформации по техническим каналам, исключениеили существенное затруднениенесанкционированного доступа к ней ипредотвращение специальных программнотехнических воздействий, вызывающих нарушениеконфиденциальности, целостности или доступностиинформации• Соблюдение требований нормативно-методическихдокументов по защите информации.• Работоспособность применяемых средств защитыинформации в соответствии с их эксплуатационнойдокументацией.• Знание и выполнение персоналом своихфункциональных обязанностей в части обеспечениязащиты информации.1 разв год1 разв 2 годаСобственник или владелец конфиденциальной информации имеетправо обратиться в органы государственной власти для оценкиправильности выполнения норм и требований по защите егоинформации в информационных системах159ОСОБЕННОСТИ ПРОВЕДЕНИЯ НЕКОТОРЫХВИДОВ КОНТРОЛЯ24♦ При проведении аттестации объектов информатизации ипериодическомконтролесостояниязащитыконфиденциальной информации организациями могут, принеобходимости, использоваться «Временные методикиоценки защищенности конфиденциальной информации»♦ При необходимости, по решению руководителяорганизации, могут быть проведены работы по поискуэлектронных устройств съема информации («закладочныхустройств»), возможно внедренных в ЗП или техническиесредства, осуществляемые организациями, имеющимисоответствующие лицензииИЗМЕНЕНИЯ В СТРСТР-К25Основание для внесения изменений:Извещение № 1-2006 о корректировке СТР-К.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
