Главная Обратная связь

Дисциплины:

Архитектура (936)
Биология (6393)
География (744)
История (25)
Компьютеры (1497)
Кулинария (2184)
Культура (3938)
Литература (5778)
Математика (5918)
Медицина (9278)
Механика (2776)
Образование (13883)
Политика (26404)
Правоведение (321)
Психология (56518)
Религия (1833)
Социология (23400)
Спорт (2350)
Строительство (17942)
Технология (5741)
Транспорт (14634)
Физика (1043)
Философия (440)
Финансы (17336)
Химия (4931)
Экология (6055)
Экономика (9200)
Электроника (7621)






ТЕРМИНЫ, ОПРЕДЕЛЕНИЯ И СОКРАЩЕНИЯ



ГОСУДАРСТВЕННАЯ ТЕХНИЧЕСКАЯ КОМИССИЯ ПРИ ПРЕЗИДЕНТЕ РОССИЙСКОЙ ФЕДЕРАЦИИ

Решение Коллегии Гостехкомиссии России № 7.2/02.03.01г.

Утверждено 30.08.2002 приказом Председателя Гостехкомиссии России № 282

 

СПЕЦИАЛЬНЫЕ ТРЕБОВАНИЯ И РЕКОМЕНДАЦИИ ПО ТЕХНИЧЕСКОЙ ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ

(СТР-К)

 

 

Москва 2001
С О Д Е Р Ж А Н И Е

1. ТЕРМИНЫ, ОПРЕДЕЛЕНИЯ И СОКРАЩЕНИЯ

2. ОБЩИЕ ПОЛОЖЕНИЯ

3. ОРГАНИЗАЦИЯ РАБОТ ПО ЗАЩИТЕ ИНФОРМАЦИИ

4. ТРЕБОВАНИЯ И РЕКОМЕНДАЦИИ ПО ЗАЩИТЕ РЕЧЕВОЙ ИНФОРМАЦИИ

4.1. Общие положения

4.2. Основные требования и рекомендации по защите информации, циркулирующей в защищаемых поме­щениях

4.3. Защита информации, циркулирующей в системах звукоусиления и звукового сопровождения кино­фильмов

4.4. Защита информации при проведении звукозаписи.

4.5. Защита речевой информации при ее передаче по каналам связи

5. ТРЕБОВАНИЯ И РЕКОМЕНДАЦИИ ПО ЗАЩИТЕ ИНФОРМАЦИИ, ОБРАБАТЫВАЕМОЙ СРЕДСТВАМИ ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ

5.1. Общие требования и рекомендации

5.2. Основные требования и рекомендации по защите служебной тайны и персональных данных

5.3. Основные рекомендации по защите информации, составляющей коммерческую тайну

5.4. Порядок обеспечения защиты конфиденциальной информации при эксплуатации АС

5.5. Защита конфиденциальной информации на автоматизированных рабочих местах на базе автономных ПЭВМ

5.6. Защита информации при использовании съемных накопителей большой емкости для автоматизирован­ных рабочих мест на базе автономных ПЭВМ

5.7. Защита информации в локальных вычислительных сетях

5.8. Защита информации при межсетевом взаимодействии

5.9. Защита информации при работе с системами управления базами данных

6. РЕКОМЕНДАЦИИ ПО ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ИНФОРМАЦИИ, СОДЕРЖАЩЕЙСЯ В НЕ­ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ РЕСУРСАХ, ПРИ ВЗАИМОДЕЙСТВИИ АБОНЕН­ТОВ С ИНФОРМАЦИОННЫМИ СЕТЯМИ ОБЩЕГО ПОЛЬЗОВАНИЯ

6.1. Общие положения
6.2. Условия подключения абонентов к Сети

6.3. Порядок подключения и взаимодействия абонентских пунктов с Сетью, требования и рекомендации по обеспечению безопасности информации
7. ПРИЛОЖЕНИЯ:

1. Акт классификации автоматизированной системы обработки информации

2. Аттестат соответствия автоматизированной системы требованиям по безопасности информации

3. Аттестат соответствия защищаемого помещения требованиям по безопасности информации

4. Форма технического паспорта на защищаемое помещение



5. Форма технического паспорта на автоматизированную систему

6. Пример документального оформления перечня сведений конфиденциального характера

7. Классы защищенности от несанкционированного доступа к информации

8. Основные нормативные правовые акты и методические документы по защите конфиденциальной ин­формации

ТЕРМИНЫ, ОПРЕДЕЛЕНИЯ И СОКРАЩЕНИЯ

В настоящем документе приняты следующие основные термины, определения и сокращения:

1.1. Абонент Сети (см. также п. 1.14) - лицо, являющееся сотрудником учреждения (предприятия), имею­щее соответствующим образом оформленное разрешение и технические возможности на подключение и взаимодействие с Сетями.

1.2. Абонентский пункт (АП) - средства вычислительной техники учреждения (предприятия), подключае­мые к Сетям с помощью коммуникационного оборудования.

АП могут быть в виде автономных персональных электронно-вычислительных машин (ПЭВМ) с модемом и не иметь физических каналов связи с другими средствами вычислительной техники (СВТ) предприятия, а также в виде одной или нескольких объединенных локальных вычислительных сетей (ЛВС) с рабочими станциями и серверами, соединенных с Сетями через коммуникационное оборудование (модемы, мосты, шлюзы, маршрутизаторы-роутеры, мультиплексоры, коммуникационные серверы и т.п.).

1.3. Автоматизированная система (АС) - система, состоящая из персонала и комплекса средств автоматиза­ции его деятельности, реализующая информационную технологию выполнения установленных функций.

1.4. Администратор АС - лицо, ответственное за функционирование автоматизированной системы в уста­новленном штатном режиме работы.

1.5. Администратор защиты (безопасности) информации - лицо, ответственное за защиту автоматизирован­ной системы от несанкционированного доступа к информации.



1.6. Безопасность информации - состояние защищенности информации, характеризуемое способностью персонала, технических средств и информационных технологий обеспечивать конфиденциальность (т.е. сохранение в тайне от субъектов, не имеющих полномочий на ознакомление с ней), целостность и доступ­ность информации при ее обработке техническими средствами.

1.7. Вспомогательные технические средства и системы (ВТСС) - технические средства и системы, не пред­назначенные для передачи, обработки и хранения конфиденциальной информации, устанавливаемые со­вместно с основными техническими средствами и системами или в защищаемых помещениях.

К ним относятся:

· различного рода телефонные средства и системы;

· средства и системы передачи данных в системе радиосвязи;

· средства и системы охранной и пожарной сигнализации;

· средства и системы оповещения и сигнализации;

· контрольно-измерительная аппаратура;

· средства и системы кондиционирования;

· средства и системы проводной радиотрансляционной сети и приема программ радиовещания и телевиде­ния (абонентские громкоговорители, системы радиовещания, телевизоры и радиоприемники и т.д.);

· средства электронной оргтехники;

· средства и системы электрочасофикации;

· иные технические средства и системы.

1.8. Доступ к информации (доступ) - ознакомление с информацией, ее обработка, в частности, копирование, модификация или уничтожение информации.

1.9. Доступность (санкционированная доступность) информации - состояние информации, характеризуемое способностью технических средств и информационных технологий обеспечивать беспрепятственный дос­туп к информации субъектов, имеющих на это полномочия.

1.10. Защита информации от несанкционированного доступа (защита от НСД) или воздействия - деятель­ность, направленная на предотвращение получения информации заинтересованным субъектом (или воздей­ствия на информацию) с нарушением установленных прав или правил.

1.11. Специальный защитный знак (СЗЗ) - сертифицированное и зарегистрированное в установленном по­рядке изделие, предназначенное для контроля несанкционированного доступа к объектам защиты путем определения подлинности и целостности СЗЗ, путем сравнения самого знака или композиции "СЗЗ - под­ложка" по критериям соответствия характерным признакам визуальными, инструментальными и другими методами.

1.12. Защищаемые помещения (ЗП) - помещения (служебные кабинеты, актовые, конференц-залы и т.д.), специально предназначенные для проведения конфиденциальных мероприятий (совещаний, обсуждений, конференций, переговоров и т.п.).

1.13. Информативный сигнал - электрические сигналы, акустические, электромагнитные и другие физиче­ские поля, по параметрам которых может быть раскрыта конфиденциальная информация, передаваемая, хранимая или обрабатываемая в основных технических средствах и системах и обсуждаемая в ЗП.

1.14. Информационные ресурсы - отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах).

1.15. Информационные сети общего пользования (далее-Сети) - вычислительные (информационно-теле­коммуникационные сети) открытые для пользования всем физическим и юридическим лицам, в услугах ко­торых этим лицам не может быть отказано.

1.16. Контролируемая зона (КЗ) - это пространство (территория, здание, часть здания), в котором исклю­чено неконтролируемое пребывание лиц, не имеющих постоянного или разового допуска, и посторонних транспортных средств.

Границей КЗ могут являться:

· периметр охраняемой территории учреждения (предприятия);

· ограждающие конструкции охраняемого здания или охраняемой части здания, если оно размещено на неохраняемой территории.

В отдельных случаях на период обработки техническими средствами конфиденциальной информации КЗ временно может устанавливаться большей, чем охраняемая территория предприятия. При этом должны приниматься организационно-режимные и технические меры, исключающие или существенно затрудняю­щие возможность ведения перехвата информации в этой зоне.

1.17. Конфиденциальная информация - документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.

1.18. Локальная вычислительная сеть - вычислительная сеть, поддерживающая в пределах ограниченной территории один или несколько высокоскоростных каналов передачи цифровой информации, предостав­ляемых подключаемым устройствам для кратковременного монопольного использования.

1.19. Межсетевой экран (МЭ) - локальное (однокомпонентное) или функционально-распределенное про­граммное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, посту­пающей в АС и/или выходящей из АС.

1.20. Несанкционированный доступ (несанкционированные действия) (НСД) - доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.

1.21. Основные технические средства и системы (ОТСС) - технические средства и системы, а также их коммуникации, используемые для обработки, хранения и передачи конфиденциальной информации. В кон­тексте настоящего документа к ним относятся технические средства и системы автоматизированных систем различного уровня и назначения на базе средств вычислительной техники, средства и системы связи и пе­редачи данных, используемые для обработки конфиденциальной информации.

1.22. Провайдер Сети - уполномоченная организация, выполняющая функции поставщика услуг Сети для абонентского пункта и непосредственно для абонентов Сети.

1.23. Система защиты информации от НСД (СЗИ НСД) - комплекс организационных мер и программно-технических (при необходимости криптографических) средств защиты от несанкционированного доступа к информации (несанкционированных действий с ней) в автоматизированной системе.

1.24. Служебная информация СЗИ НСД - информационная база АС, необходимая для функционирования СЗИ НСД (уровень полномочий эксплуатационного персонала АС, матрица доступа, ключи, пароли и т.д.).

1.25. Технический канал утечки информации - совокупность объекта технической разведки, физической среды и средства технической разведки, которыми добываются разведывательные данные.

1.26. Услуги Сети - комплекс функциональных возможностей, предоставляемых абонентам сети с помо­щью прикладных протоколов (протоколы электронной почты, FTP - File Transfer Protocol - прием/передача файлов, HTTP - Hiper Text Transfer Protocol - доступ к Web-серверам, IRC - Internet Relay Chat -диалог в ре­альном времени, Telnet - терминальный доступ в сети, WAIS - Wide Area Information Servers - система хра­нения и поиска документов в сети и т.д.).

1.27. Целостность информации - устойчивость информации к несанкционированному или случайному воз­действию на нее в процессе обработки техническими средствами, результатом которого может быть унич­тожение и искажение информации.

1.28. Web-сервер - общедоступный в Сети информационный сервер, использующий гипертекстовую техно­логию.

ОБЩИЕ ПОЛОЖЕНИЯ

2.1. Настоящий документ устанавливает порядок организации работ, требования и рекомендации по обес­печению технической защиты конфиденциальной информации на территории Российской Федерации и яв­ляется основным руководящим документом в этой области для федеральных органов государственной вла­сти, органов государственной власти субъектов Российской Федерации и органов местного самоуправле­ния, предприятий, учреждений и организаций (далее - учреждения и предприятия) независимо от их орга­низационно-правовой формы и формы собственности, должностных лиц и граждан Российской Федерации, взявшим на себя обязательства либо обязанными по статусу исполнять требования правовых документов Российской Федерации по защите информации.

2.2. Требования и рекомендации настоящего документа распространяются на защиту:

· конфиденциальной информации - информации с ограниченным доступом, за исключением сведений, от­несенных к государственной тайне и персональным данным, содержащейся в государственных (муниципальных) информационных ресурсах, накопленной за счет государственного (муниципаль­ного) бюджета и являющейся собственностью государства (к ней может быть отнесена информация, составляющая служебную тайну и другие виды тайн в соответствии с законодательством Российской Федерации, а также сведения конфиденциального характера в соответствии с "Перечнем сведений конфиденциального характера", утвержденного Указом Президента Российской Федерации от 06.03.97 №188), защита которой осуществляется в интересах государства (далее - служебная тайна);

· информации о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющей идентифи­цировать его личность (персональные данные) (В соответствии с Федеральным законом "Об информации, информатизации и защите информации" режим защиты персональных данных должен быть определен федеральным законом. До его введения в действие для установления режима защиты такой информации следует руководствоваться настоящим документом., за исключением сведений, подлежащих распространению в средствах массовой информации в установленных феде­ральными законами случаях.)

2.3. Для защиты конфиденциальной информации, содержащейся в негосударственных информационных ресурсах, режим защиты которой определяет собственник этих ресурсов (например, информации, состав­ляющей коммерческую, банковскую тайну и т.д.) (далее - коммерческая тайна), данный документ носит ре­комендательный характер.

2.4. Документ разработан на основании федеральных законов "Об информации, информатизации и защите информации", "Об участии в международном информационном обмене", Указа Президента Российской Федерации от 06.03.97г. № 188 "Перечень сведений конфиденциального характера", "Доктрины информа­ционной безопасности Российской Федерации", утвержденной Президентом Российской Федерации 09.09.2000г. № Пр.-1895, "Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти", утвержденного постановлением Прави­тельства Российской Федерации от 03.11.94г. № 1233, других нормативных правовых актов по защите ин­формации (приложение № 8), а также опыта реализации мер защиты информации в министерствах и ве­домствах, в учреждениях и на предприятиях.

2.5. Документ определяет следующие основные вопросы защиты информации:

· организацию работ по защите информации, в том числе при разработке и модернизации объектов ин­форматизации и их систем защиты информации;

· состав и основное содержание организационно-распорядительной, проектной, эксплуатационной и иной документации по защите информации;

· требования и рекомендации по защите речевой информации при осуществлении переговоров, в том числе с использованием технических средств;

· требования и рекомендации по защите информации при ее автоматизированной обработке и передаче с использованием технических средств;

· порядок обеспечения защиты информации при эксплуатации объектов информатизации;

· особенности защиты информации при разработке и эксплуатации автоматизированных систем, исполь­зующих различные типы средств вычислительной техники и информационные технологии;

· порядок обеспечения защиты информации при взаимодействии абонентов с информационными се­тями общего пользования.

Порядок разработки, производства, реализации и использования средств криптографической защиты ин­формации определяется "Положением о порядке разработки, производства (изготовления), реализации, приобретения и использования средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну" (Положение ПКЗ-99), а также "Инструк­цией по организации и обеспечению безопасности хранения, обработки и передачи по техническим кана­лам связи конфиденциальной информации в Российской Федерации с использованием сертифицированных ФАПСИ криптографических средств".

2.6. Защита информации, обрабатываемой с использованием технических средств, является составной ча­стью работ по созданию и эксплуатации объектов информатизации различного назначения и должна осу­ществляться в установленном настоящим документом порядке в виде системы (подсистемы) защиты ин­формации во взаимосвязи с другими мерами по защите информации.

2.7. Защите подлежит информация, как речевая, так и обрабатываемая техническими средствами, а также представленная в виде информативных электрических сигналов, физических полей, носителей на бумаж­ной, магнитной, оптической и иной основе, в виде информационных массивов и баз данных в АС.

Защищаемыми объектами информатизации являются:

· средства и системы информатизации (средства вычислительной техники, автоматизированные сис­темы различного уровня и назначения на базе средств вычислительной техники, в том числе инфор­мационно-вычислительные комплексы, сети и системы, средства и системы связи и передачи данных, технические средства приема, передачи и обработки информации (телефонии, звукозаписи, звукоуси­ления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, ти­ражирования документов и другие технические средства обработки речевой, графической, видео и буквенно-цифровой информации), программные средства (операционные системы, системы управле­ния базами данных, другое общесистемное и прикладное программное обеспечение), используемые для обработки конфиденциальной информации;

· технические средства и системы, не обрабатывающие непосредственно конфиденциальную информа­цию, но размещенные в помещениях, где она обрабатывается (циркулирует);

· защищаемые помещения.

2.8. Защита информации должна осуществляться посредством выполнения комплекса мероприятий и при­менение (при необходимости) средств ЗИ по предотвращению утечки информации или воздействия на нее по техническим каналам, за счет несанкционированного доступа к ней, по предупреждению преднамерен­ных программно-технических воздействий с целью нарушения целостности (уничтожения, искажения) ин­формации в процессе ее обработки, передачи и хранения, нарушения ее доступности и работоспособности технических средств.

2.9. При ведении переговоров и использовании технических средств для обработки и передачи информации возможны следующие каналы утечки и источники угроз безопасности информации:

· акустическое излучение информативного речевого сигнала;

· электрические сигналы, возникающие посредством преобразования информативного сигнала из акусти­ческого в электрический за счет микрофонного эффекта и распространяющиеся по проводам и линиям, выходящими за пределы КЗ;

· виброакустические сигналы, возникающие посредством преобразования информативного акустиче­ского сигнала при воздействии его на строительные конструкции и инженерно-технические коммуни­кации защищаемых помещений;

· несанкционированный доступ и несанкционированные действия по отношению к информации в автома­тизированных системах, в том числе с использованием информационных сетей общего пользо­вания;

· воздействие на технические или программные средства информационных систем в целях нарушения конфиденциальности, целостности и доступности информации, работоспособности технических средств, средств защиты информации посредством специально внедренных программных средств;

· побочные электромагнитные излучения информативного сигнала от технических средств, обрабатываю­щих конфиденциальную информацию, и линий передачи этой информации;

· наводки информативного сигнала, обрабатываемого техническими средствами, на цепи электропита­ния и линии связи, выходящие за пределы КЗ;

· радиоизлучения, модулированные информативным сигналом, возникающие при работе различных гене­раторов, входящих в состав технических средств, или при наличии паразитной генерации в узлах (элементах) технических средств;

· радиоизлучения или электрические сигналы от внедренных в технические средства и защищаемые по­мещения специальных электронных устройств перехвата речевой информации "закладок", модули­рованные информативным сигналом;

· радиоизлучения или электрические сигналы от электронных устройств перехвата информации, подклю­ченных к каналам связи или техническим средствам обработки информации;

· прослушивание ведущихся телефонных и радиопереговоров;

· просмотр информации с экранов дисплеев и других средств ее отображения, бумажных и иных носите­лей информации, в том числе с помощью оптических средств;

· хищение технических средств с хранящейся в них информацией или отдельных носителей информа­ции.

2.10. Перехват информации или воздействие на нее с использованием технических средств могут вестись:

· из-за границы КЗ из близлежащих строений и транспортных средств;

· из смежных помещений, принадлежащих другим учреждениям (предприятиям) и расположенным в том же здании, что и объект защиты;

· при посещении учреждения (предприятия) посторонними лицами;

· за счет несанкционированного доступа (несанкционированных действий) к информации, циркулирую­щей в АС, как с помощью технических средств АС, так и через информационные сети общего пользования.

2.11. В качестве аппаратуры перехвата или воздействия на информацию и технические средства могут ис­пользоваться портативные возимые и носимые устройства, размещаемые вблизи объекта защиты либо под­ключаемые к каналам связи или техническим средствам обработки информации, а также электронные уст­ройства перехвата информации "закладки", размещаемые внутри или вне защищаемых помещений.

2.12. Кроме перехвата информации техническими средствами возможно непреднамеренное попадание за­щищаемой информации к лицам, не допущенным к ней, но находящимся в пределах КЗ. Это возможно, на­пример, вследствие:

· непреднамеренного прослушивания без использования технических средств конфиденциальных разгово­ров из-за недостаточной звукоизоляции ограждающих конструкций защищаемых помещений и их инженерно-технических систем;

· случайного прослушивания телефонных разговоров при проведении профилактических работ в сетях телефонной связи;

· некомпетентных или ошибочных действий пользователей и администраторов АС при работе вычисли­тельных сетей;

· просмотра информации с экранов дисплеев и других средств ее отображения.

2.13. Выявление и учет факторов воздействующих или могущих воздействовать на защищаемую информа­цию (угроз безопасности информации) в конкретных условиях, в соответствии с ГОСТ Р 51275-99, состав­ляют основу для планирования и осуществления мероприятий, направленных на защиту информации на объекте информатизации.

Перечень необходимых мер защиты информации определяется по результатам обследования объекта ин­форматизации с учетом соотношения затрат на защиту информации с возможным ущербом от ее разглаше­ния, утраты, уничтожения, искажения, нарушения санкционированной доступности информации и работо­способности технических средств, обрабатывающих эту информацию, а также с учетом реальных возмож­ностей ее перехвата и раскрытия ее содержания.

2.14. Основное внимание должно быть уделено защите информации, в отношении которой угрозы безопас­ности информации реализуются без применения сложных технических средств перехвата информации:

· речевой информации, циркулирующей в защищаемых помещениях;

· информации, обрабатываемой средствами вычислительной техники, от несанкционированного дос­тупа и несанкционированных действий;

· информации, выводимой на экраны видеомониторов;

· информации, передаваемой по каналам связи, выходящим за пределы КЗ.

2.15. Разработка мер и обеспечение защиты информации осуществляются подразделениями по защите ин­формации (службами безопасности) или отдельными специалистами, назначаемыми руководством пред­приятия (учреждения) для проведения таких работ. Разработка мер защиты информации может осуществ­ляться также сторонними предприятиями, имеющими соответствующие лицензии Гостехкомиссии России и/или ФАПСИ на право оказания услуг в области защиты информации.

2.16. Для защиты информации рекомендуется использовать сертифицированные по требованиям безопас­ности информации технические средства обработки и передачи информации, технические и программные средства защиты информации.

При обработке документированной конфиденциальной информации на объектах информатизации в орга­нах государственной власти Российской Федерации и органах государственной власти субъектов Россий­ской Федерации, других государственных органах, предприятиях и учреждениях средства защиты инфор­мационных систем подлежат обязательной сертификации.

2.17. Объекты информатизации должны быть аттестованы на соответствие требованиям по защите инфор­мации ( Здесь и далее под аттестацией понимается комиссионная приемка объекта информатизации си­лами предприятия с обязательным участием специалиста по защите информации.)

2.18. Ответственность за обеспечение требований по технической защите конфиденциальной информации возлагается на руководителей учреждений и предприятий, эксплуатирующих объекты информатизации.


Эта страница нарушает авторские права

allrefrs.ru - 2019 год. Все права принадлежат их авторам!