Общие требования к защите информации

Общие требования к защите информации

Защита информации в новых экономических условиях представляет собой целенаправленную деятельность собственников информации по исключению или существенному ограничению утечки, искажения или уничтожения защищаемых ими сведений.

Защита информации должна предусматривать ее сохранность от широкого круга различных угроз, таких, как утечка информации, несанкционированные и непреднамеренные воздействия.

Как правило, защите подлежит категорированная или конфиденциальная информация. В зависимости от вида угроз предусматривается и вид защиты:

• от разглашения и несанкционированного доступа;

• от искажения, копирования, блокирования доступа к ней и ее уничтожения;

• от утраты или уничтожения носителя информации или сбоя его функционирования;

• от утраты или уничтожения носителя информации или сбоя его функционирования из-за ошибок пользователя информацией;

• от сбоя технических и программных средств информационных систем или природных явлений или иных нецеленаправленных на изменение информации воздействий.

Защита информации от технических средств разведки представляет собой совокупность организационных и технических мероприятий, проводимых с целью исключения (существенного затруднения) добывания злоумышленником информации об объекте защиты с помощью технических средств. Защита от этих средств достигается комплексным применением согласованных по цели, месту и времени мер защиты.

Эффективное противодействие обеспечивается только при комплексном использовании средств и организационно-технических методов в целях защиты охраняемых сведений об объекте, осуществляемых в соответствии с целями и задачами противодействия, этапами жизненного цикла объекта и способами противодействия. При этом к защите информации предъявляется ряд требований.

Защита должна проводиться: своевременно, активно, разнообразно, непрерывно, рационально, комплексно, планово.

Одним из основных требований является своевременность принятия решения на организацию защиты информации. Ускорение процесса выработки решения необходимо, во-первых, для того чтобы своевременно решить возникшие проблемы и не давать им разрастись до такого состояния, когда решение их станет невозможным или бесполезным, во-вторых, для того чтобы подчиненные имели достаточно времени для выполнения поставленных перед ними задач.

Активностьпротиводействия прежде всего предусматривает наступательный, активный характер противодействия, основанный на анализе складывающейся обстановки, умении сделать правильные выводы о возможных действиях потенциального противника, позволяющие упредить их инастойчиво осуществлять эффективные меры противодействия.

Разнообразиепротиводействия направлено на исключение шаблона в организации и проведении мероприятий и подразумевает творческий подход к его организации и осуществлению.

Комплексностьпредусматривает проведение комплекса мероприятий, направленных на своевременное закрытие всех возможных каналов утечки информации об объекте. Недопустимо применять отдельные технические средства или методы, направленные на защиту только некоторых, из общего числа возможных, каналов утечки информации.

Непрерывностьпротиводействия предусматривает проведение мероприятий по комплексной защите объекта информатизации на всех этапах жизненного цикла разработки и существования специальной продукции или обеспечения производственной деятельности объекта защиты.

Плановостьпроведения мероприятий предусматривает прежде всего предусмотренные заранее, еще на стадии проектирования и строительства объекта, мероприятия, направленные на защиту информации.

Важно также, чтобы мероприятия по противодействию выглядели правдоподобно и отвечали условиям обстановки, выполнялись в соответствии с планами защиты информации объекта. В связи с этим разрабатываются и осуществляются практические меры по легендированию и маскировке мероприятий, направленных на защиту.

Особое внимание при проведении таких мероприятий должно обращаться на выбор замысла защиты информации объекта, замысла противодействия. Замысел защиты — общая идея и основное содержание организационных, технических мероприятий и мер направленных на маскировку, обеспечивающих устранение или ослабление (искажение) демаскирующих признаков и закрытие технических каналов утечки охраняемых сведений.

В основе защиты информации лежит совокупность правовых форм деятельности собственника и организационно-технических мероприятий, реализуемых с целью выполнения требований по сохранению защищаемых сведений и информационных процессов, а также мероприятия по контролю эффективности принятых мер защиты информации.

Рассматривая вопросы организации защиты информации от ее утечки по техническим каналам, необходимо отметить, что защита информации не является отдельными, разовыми эпизодами и мероприятиями, а, как указано в требованиях, предъявляемых к защите, она должна вестись комплексно и непрерывно.

Грамотное построение эффективной системы защиты в организации требует настойчивой и целенаправленной повседневной работы.

Для создания эффективной системы защиты прежде всего необходимо определиться с пониманием слова «система» применительно к организации и осуществлению мероприятий по защите информации.

Любая система состоит из управляющего объекта и объекта управления (рис.3.1) и создается под заданные требования с учетом существующих ограничений.

Всякая система может нормально функционировать только при наличии в ней определенных связей между объектом управления и управляющим объектом.

Основные требования по защите информации

Защита информации в компьютерных сетях основывается на выявлении, оценке и парировании возможных угроз безопасности информации с учетом частоты их проявления и вероятности потери информации, возможности по противодействию и ликвидации последствий проявления этих угроз.

Режим защиты конфиденциальной информации в соответствии с действующим законодательством устанавливается законным обладателем (собственником, владельцем) информационных ресурсов.

При отнесении сведений к информации конфиденциального характера следует руководствоваться ГК РФ, Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и защите информации», соответствующими указами Президента РФ и постановлениями Правительства РФ.

К информации конфиденциального характера в системе административного управления относятся сведения:

  • • о гражданах, подпадающие под категорию персональных данных;
  • • отнесенные к категории коммерческой или служебной тайны;
  • • ограниченного распространения федеральных органов исполнительной власти.

Кроме того, в перечень сведений ограниченного распространения целесообразно внести:

  • • информацию, связанную непосредственно с функционированием конкретных компьютерных сетей и систем;
  • • служебную организационно-распорядительную документацию органов управления, организаций и учреждений;
  • • штатное расписание и функциональные обязанности сотрудников учреждений, организаций;
  • • схемы размещения оборудования компьютерных сетей, служебных помещений и их закрепление за должностными лицами;
  • • служебную и деловую переписку;
  • • сведения о разграничении доступа пользователей к конфиденциальной информации и их полномочиях;
  • • сведения о закреплении служебных автомобилей за должностными лицами, маршруты их движения, места стоянки, пункты технического обслуживания;
  • • данные о размещении баз данных, банков информации служебного характера, обеспечении их средствами безопасности и порядке доступа к ним;
  • • сведения о мерах, принятых для обеспечения безопасности информации, имущества и персонала учреждений и организаций.

К конфиденциальной информации в соответствии с действующим законодательством не могут быть отнесены следующие сведения:

  • • учредительные документы организаций и документы, дающие право заниматься определенной деятельностью (лицензии, патенты);
  • • сведения по установленным формам отчетности о финансово-хозяйственной деятельности и иные сведения, необходимые для проверки правильности исчисления налогов и других обязательных платежей в государственную бюджетную систему Российской Федерации, а также документы об их уплате;
  • • данные о численности, составе работающих в организациях, заработной плате и условиях труда, а также о наличии свободных рабочих мест;
  • • сведения о загрязнении окружающей среды, нарушении антимонопольного законодательства, несоблюдении безопасных условий труда, а также о других нарушениях законодательства РФ и размерах причиненного ущерба.

Конфиденциальная информация оформляется в виде Перечня сведений, отнесенных к информации ограниченного распространения. Порядок оформления определяется собственником информационных ресурсов.

Целесообразно конфиденциальные сведения ранжировать по степени ограничения их распространения:

  • • строго конфиденциальные сведения – персональные данные, сведения, разглашение которых может нанести значительный экономический ущерб организации (учреждению), существенно ухудшить социально-психологическую обстановку в коллективе;
  • • конфиденциальные сведения – сведения, разглашение которых может отрицательно повлиять на взаимоотношения с партнерами, подорвать престиж и деловой авторитет организации (учреждения);
  • • служебные сведения – сведения, разглашение которых может затруднить решение повседневных задач организации (учреждения).

Объектам компьютерных сетей присваивается различная степень защищенности для определения требуемых организационно-технических мероприятий по защите информации в зависимости от ее важности, реальных условий размещения элементов компьютерных сетей, возможных каналов утечки информации, а также для минимизации затрат на защиту информации.

Допускается присваивать различные степени защищенности по отдельным элементам компьютерных сетей при обработке ими информации различной степени конфиденциальности.

Целесообразно установить следующие степени (категории) защищенности объектов компьютерных сетей в соответствии со степенью конфиденциальности обрабатываемой информации:

  • • 1-я степень (категория) – объекты, связанные с обработкой строго конфиденциальной информации;
  • • 2-я степень (категория) – объекты, связанные с обработкой конфиденциальной информации;
  • • 3-я степень (категория) – объекты, связанные с обработкой служебной информации.

Приказ Федеральной службы безопасности Российской Федерации, Федеральной службы по техническому и экспортному контролю от 31 августа 2010 г. N 416/489 г. Москва «Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования»

Комментарии Российской Газеты

Зарегистрирован в Минюсте РФ 13 октября 2010 г. Регистрационный N 18704

В соответствии с пунктом 3 постановления Правительства Российской Федерации от 18 мая 2009 г. N 424 1 приказываем:

1. Утвердить прилагаемые Требования о защите информации, содержащейся в информационных системах общего пользования.

2. Контроль за исполнением настоящего приказа возложить на руководителя Научно-технической службы Федеральной службы безопасности Российской Федерации и первого заместителя директора Федеральной службы по техническому и экспортному контролю.

Директор Федеральной службы безопасности Российской Федерации А. Бортников

Директор Федеральной службы по техническому и экспортному контролю С. Григоров

1 Собрание законодательства Российской Федерации, 2009, N 21, ст. 2573.

Требования о защите информации, содержащейся в информационных системах общего пользования

1. Настоящие Требования распространяются на федеральные государственные информационные системы, созданные или используемые в целях реализации полномочий федеральных органов исполнительной власти и содержащие сведения о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти, обязательные для размещения в информационно-телекоммуникационной сети Интернет, определяемые Правительством Российской Федерации 1 (далее — информационные системы общего пользования), и являются обязательными для операторов информационных систем общего пользования при разработке и эксплуатации информационных систем общего пользования.

2. Информационные системы общего пользования должны обеспечивать:

сохранность и неизменность обрабатываемой информации при попытках несанкционированных или случайных воздействий на нее в процессе обработки или хранения (далее — целостность информации);

беспрепятственный доступ пользователей к содержащейся в информационной системе общего пользования информации (далее — доступность информации);

защиту от действий пользователей в отношении информации, не предусмотренных правилами пользования информационной системой общего пользования, приводящих, в том числе к уничтожению, модификации и блокированию информации (далее — неправомерные действия).

3. Информационные системы общего пользования включают в себя средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки информации, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации, программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.

Ознакомьтесь так же:  Как вернуть покупку в магазин после 14 дней

4. Информация, содержащаяся в информационной системе общего пользования, является общедоступной.

5. Информационные системы общего пользования в зависимости от значимости содержащейся в них информации и требований к ее защите разделяются на два класса.

5.1. К I классу относятся информационные системы общего пользования Правительства Российской Федерации и иные информационные системы общего пользования в случае, если нарушение целостности и доступности информации, содержащейся в них, может привести к возникновению угроз безопасности Российской Федерации. Отнесение информационных систем общего пользования к I классу проводится по решению руководителя соответствующего федерального органа исполнительной власти.

5.2. Ко II классу относятся информационные системы общего пользования, не указанные в подпункте 5.1 настоящего пункта.

6. Защита информации, содержащейся в информационных системах общего пользования, достигается путем исключения неправомерных действий в отношении указанной информации.

7. Методы и способы защиты информации в информационных системах общего пользования определяются оператором информационной системы общего пользования и должны соответствовать настоящим Требованиям.

Достаточность принятых мер по защите информации в информационных системах общего пользования оценивается при проведении мероприятий по созданию данных систем, а также в ходе мероприятий по контролю за их функционированием.

8. Работы по защите информации в информационных системах общего пользования являются неотъемлемой частью работ по созданию данных систем.

9. Размещение информационных систем общего пользования, специальное оборудование и охрана помещений, в которых находятся технические средства, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей информации и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.

10. Защиту информации в информационных системах общего пользования обеспечивает оператор информационной системы общего пользования.

11. В информационных системах общего пользования должны быть обеспечены:

поддержание целостности и доступности информации;

предупреждение возможных неблагоприятных последствий нарушения порядка доступа к информации;

проведение мероприятий, направленных на предотвращение неправомерных действий в отношении информации;

своевременное обнаружение фактов неправомерных действий в отношении информации;

недопущение воздействия на технические средства информационной системы общего пользования, в результате которого может быть нарушено их функционирование;

возможность оперативного восстановления информации, модифицированной или уничтоженной вследствие неправомерных действий;

проведение мероприятий по постоянному контролю за обеспечением их защищенности;

возможность записи и хранения сетевого трафика.

12. Мероприятия по обеспечению защиты информации в информационных системах общего пользования включают в себя:

определение угроз безопасности информации, формирование на их основе модели угроз;

разработку на основе модели угроз системы защиты информации, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты информации, предусмотренных для соответствующего класса информационных систем общего пользования;

проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;

установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;

обучение лиц, использующих средства защиты информации, применяемые в информационной системе общего пользования, правилам работы с ними;

учет применяемых средств защиты информации, эксплуатационной и технической документации к ним;

контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

проведение разбирательств и составление заключений по фактам несоблюдения условий использования средств защиты информации, которые могут привести к нарушению безопасности информации или другим нарушениям, снижающим уровень защищенности информационной системы общего пользования, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;

описание системы их защиты.

13. Для разработки и осуществления мероприятий по защите информации в информационных системах общего пользования оператором информационной системы общего пользования назначается структурное подразделение или должностное лицо (работник), ответственные за обеспечение защиты информации.

14. Запросы пользователей на получение информации, содержащейся в информационных системах общего пользования, а также факты предоставления информации по этим запросам регистрируются автоматизированными средствами информационных систем общего пользования в электронном журнале обращений. Содержание электронного журнала обращений периодически проверяется соответствующими должностными лицами (работниками) оператора информационной системы общего пользования.

15. При обнаружении нарушений порядка доступа к информации оператор информационной системы общего пользования организует работы по выявлению причин нарушений и устранению этих причин в установленном порядке. Подсистема информационной безопасности должна обеспечивать восстановление информации в информационной системе общего пользования, модифицированной или уничтоженной вследствие неправомерных действий в отношении такой информации. Время восстановления процесса предоставления информации пользователям не должно превышать 8 часов.

16. Реализация требований по обеспечению защиты информации в средствах защиты информации возлагается на их разработчиков.

17. При создании и эксплуатации информационных систем общего пользования должны выполняться следующие требования по защите информации:

17.1. В информационных системах общего пользования I класса:

использование средств защиты информации от неправомерных действий, в том числе средств криптографической защиты информации (электронной цифровой подписи, при этом средства электронной цифровой подписи обязательно должны применяться к публикуемому информационному наполнению), сертифицированных ФСБ России;

использование средств обнаружения вредоносного программного обеспечения, в том числе антивирусных средств, сертифицированных ФСБ России;

использование средств контроля доступа к информации, в том числе средств обнаружения компьютерных атак, сертифицированных ФСБ России;

использование средств фильтрации и блокирования сетевого трафика, в том числе средств межсетевого экранирования, сертифицированных ФСБ России;

осуществление локализации и ликвидации неблагоприятных последствий нарушения порядка доступа к информации;

осуществление записи и хранения сетевого трафика при обращении к государственным информационным ресурсам за десять и более последних дней и предоставление доступа к записям по запросам уполномоченных государственных органов, осуществляющих оперативно-розыскную деятельность;

обеспечение защиты от воздействий на технические и программные средства информационных систем общего пользования, в результате которых нарушается их функционирование, и несанкционированного доступа к помещениям, в которых находятся данные средства, с использованием технических средств охраны, в том числе систем видеонаблюдения, предотвращающих проникновение в помещения посторонних лиц;

осуществление регистрации действий обслуживающего персонала и пользователей;

обеспечение резервирования технических и программных средств, дублирования носителей и массивов информации;

использование сертифицированных в установленном порядке систем обеспечения гарантированного электропитания (источников бесперебойного питания);

осуществление мониторинга их защищенности уполномоченным подразделением ФСБ России;

введение в эксплуатацию только после направления оператором информационной системы общего пользования в ФСБ России уведомления о готовности ввода информационной системы общего пользования в эксплуатацию и ее соответствии настоящим Требованиям.

17.2. В информационных системах общего пользования II класса:

использование средств защиты информации от неправомерных действий, сертифицированных ФСБ России и (или) ФСТЭК России с учетом их компетенции, в том числе средств криптографической защиты информации (электронной цифровой подписи, при этом средства электронной цифровой подписи должны применяться к публикуемому информационному наполнению);

использование средств обнаружения вредоносного программного обеспечения, в том числе антивирусных средств, сертифицированных ФСБ России и (или) ФСТЭК России с учетом их компетенции;

использование средств контроля доступа к информации, в том числе средств обнаружения компьютерных атак, сертифицированных ФСБ России и (или) ФСТЭК России с учетом их компетенции;

использование средств фильтрации и блокирования сетевого трафика, в том числе средств межсетевого экранирования, сертифицированных ФСБ России и (или) ФСТЭК России с учетом их компетенции;

осуществление локализации и ликвидации неблагоприятных последствий нарушения порядка доступа к информации;

осуществление записи и хранения сетевого трафика при обращении к государственным информационным ресурсам за последние сутки и более и предоставление доступа к записям по запросам уполномоченных государственных органов, осуществляющих оперативно-разыскную деятельность;

обеспечение защиты от воздействий на технические и программные средства информационных систем общего пользования, в результате которых нарушается их функционирование, и несанкционированного доступа к помещениям, в которых находятся данные средства;

осуществление регистрации действий обслуживающего персонала;

обеспечение частичного резервирования технических средств и дублирования массивов информации;

использование систем обеспечения гарантированного электропитания (источников бесперебойного питания);

осуществление мониторинга их защищенности уполномоченным подразделением ФСБ России;

введение в эксплуатацию только после направления оператором информационной системы общего пользования в ФСТЭК России уведомления о готовности ввода информационной системы общего пользования в эксплуатацию и ее соответствии настоящим Требованиям.

1 Постановление Правительства Российской Федерации от 24 ноября 2009 г. N 953 «Об обеспечении доступа к информации о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти» (Собрание законодательства Российской Федерации, 2009, N 48, ст. 5832).

Требования к системам защиты информации

Группы требований. Общие и организационные требования

Требования по защите информации определяются владельцем ИС и согласовываются с исполнителем работ по созданию системы защиты информации (исполнитель должен иметь соответствующую лицензию на право проведения таких работ).

В процессе формирования требований к СЗИ целесообразно найти ответы на следующие вопросы:

1. Какие меры безопасности предполагается использовать?

2. Какова стоимость доступных программных и технических мер защиты?

3. Насколько эффективны доступные меры защиты?

4. Насколько уязвимы подсистемы СЗИ?

5. Имеется ли возможность провести анализ риска (прогнозирование возможных последствий, которые могут вызвать выявленные угрозы и каналы утечки информации)?

Совокупность требований к системам защиты информации представлена на рисунке 1.

В общем случае целесообразно выделить следующие группы требований к системам защиты информации:

 конкретные требования к подсистемам защиты, техническому и программному обеспечению, документированию, способам, методам и средствам защиты.

Рассмотрим указанные группы требований более подробно.

Прежде всего необходима полная идентификация пользователей, терминалов, программ, а также основных процессов и процедур, желательно до уровня записи или элемента. Кроме того, следует ограничить доступ к информации, используя совокупность следующих способов:

 иерархическая классификация доступа;

 классификация информации по важности и месту ее возникновения;

 указание ограничений к информационным объектам, например пользователь может осуществлять только чтение файла без права записи в него;

 определение программ и процедур, предоставленных только конкретным пользователям.

Система защиты должна гарантировать, что любое движение данных идентифицируется, авторизуется, обнаруживается и документируется.

Обычно формулируются общие требования к следующим характеристикам:

 способам построения СЗИ либо ее отдельных компонент (к программному, программно-аппаратному, аппаратному);

 архитектуре вычислительных средств и ИС (к классу и минимальной конфигурации ЭВМ, операционной среде, ориентации на ту или иную программную и аппаратную платформы, архитектуре интерфейса);

 применению стратегии защиты;

 затратам ресурсов на обеспечение СЗИ (к объемам дисковой памяти для программной версии и оперативной памяти для ее резидентной части, затратам производительности вычислительной системы на решение задач защиты);

 надежности функционирования СЗИ (к количественным значениям показателей надежности во всех режимах функционирования ИС и при воздействии внешних разрушающих факторов, к критериям отказов);

Ознакомьтесь так же:  Федеральный закон о госзакупках 94 с 2019 года

 количеству степеней секретности информации, поддерживаемых СЗИ;

 обеспечению скорости обмена информацией в ИС, в том числе с учетом используемых криптографических преобразований;

 количеству поддерживаемых СЗИ уровней полномочий;

 возможности СЗИ обслуживать определенное количество пользователей;

 продолжительности процедуры генерации программной версии СЗИ;

 продолжительности процедуры подготовки СЗИ к работе после подачи питания на компоненты ИС;

 возможности СЗИ реагировать на попытки несанкционированного доступа либо на “опасные ситуации”;

 наличию и обеспечению автоматизированного рабочего места администратора защиты информации в ИС;

 составу используемого программного и лингвистического обеспечения, к его совместимости с другими программными платформами, к возможности модификации и т.п.;

 используемым закупаемым компонентам СЗИ (наличие лицензии, сертификата и т.п.).

Статьи к прочтению:

Требования по защите информации для организаторов торговли

1. Пользователь—2.уровень авторизации пользователя при доступе к ресурсам системы—3. Уровень управления доступом пользователя к ресурсам…

Из существующих программных систем защиты достаточно популярными являются системы «Керберос» (Kerberos) и «Кобра». Система «Керберос» является системой…

Требования по защите информации

Экранирующие строительные смеси штукатурный и напольный составы для защиты от электромагнитного излучения

  • «АЛЬФАПОЛ ШТ-1» — экранирующая штукатурка, антиэлектростатическая магнезиально-шунгитовая сухая штукатурная смесь
  • «АЛЬФАПОЛ АМШ» — экранирующий пол, магнезиально-шунгитовая сухая растворная смесь

Экранирование помещений

Требования по защите информации

Обеспечение защиты информации с применением экранированных помещений направлено на защиту от электромагнитных факторов, воздействующих или могущих воздействовать на защищаемую информацию (ГОСТ Р 51275):

  • электромагнитные излучения и поля в радиочастотном диапазоне, функционально присущие техническим средствам объектов информатизации (ТС ОИ)
  • побочные электромагнитные излучения (ПЭМИ)
  • паразитное электромагнитное излучение
  • наводки в цепях, вызванные ПЭМИ, емкостными и индуктивными связями
  • непреднамеренные облучения ОИ электромагнитными полями техногенных источников
  • электромагнитные факторы грозовых разрядов и других природных явлений
  • доступ к защищаемой информации с применением технических средств радиоэлектронной разведки
  • несанкционированный доступ к защищаемой информации с использованием закладных устройств
  • искажение, уничтожение или блокирование информации путем преднамеренного силового электромагнитного воздействия в террористических или криминальных целях (ГОСТ Р 50922-2006)

Требования к созданию экранированных помещений в целях защиты информации формируются на основе требований стандартов по защите информации:

  1. ГОСТ Р 50922-2007 Защита информации. Термины и определения.
  2. ГОСТ Р 51275-2007 Защита информации. Объекты информатизации. Факторы, воздействующие на информацию. Общие положения.
  3. ГОСТ Р 51624-2000 Защита информации. Автоматизированные системы в защищенном исполнении. Общие положения.
  4. ГОСТ Р 52863-2007 Защита информации. Автоматизированные системы в защищённом исполнении. Испытания на устойчивость к преднамеренным силовым электромагнитным воздействиям. Общие требования.

ГОСТ Р 50922-2007

Национальный стандарт Российской Федерации

Защита информации

Основные термины и определения

1 Область применения

Настоящий стандарт устанавливает основные термины, с соответствующими определениями, применяемые при проведении работ по стандартизации в области защиты информации.

Термины, установленные настоящим стандартом, рекомендуется использовать в правовой, нормативной, технической и организационно-распорядительной документации, научной, учебной и справочной литературе.

2 Термины и определения

2.1.1 Защита информации; ЗИ: Деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.

2.2.2 Техническая защита информации; ТЗИ: Защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации (данных), подлежащей (подлежащих) защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств.

2.3.2 Защита информации от утечки: Защита информации, направленная на предотвращение неконтролируемого распространения защищаемой информации в результате ее разглашения и несанкционированного доступа к ней, а также на исключение (затруднение) получения защищаемой информации [иностранными] разведками и другими заинтересованными субъектами.

Примечание – Заинтересованными субъектами могут быть: государство, юридическое лицо, группа физических лиц, отдельное физическое лицо.

2.3.3 Защита информации от несанкционированного воздействия; ЗИ от НСВ: Защита информации, направленная на предотвращение несанкционированного доступа и воздействия на защищаемую информацию с нарушением установленных прав и (или) правил на изменение информации, приводящего к разрушению, уничтожению, искажению, сбою в работе, незаконному перехвату и копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

2.3.4 Защита информации от непреднамеренного воздействия: Защита информации, направленная на предотвращение воздействия на защищаемую информацию ошибок ее пользователя, сбоя технических и программных средств информационных систем, природных явлений или иных нецеленаправленных на изменение информации событий, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

2.3.7 Защита информации от преднамеренного воздействия; ЗИ от ПДВ: Защита информации, направленная на предотвращение преднамеренного воздействия, в том числе электромагнитного воздействия, и (или) воздействия различной физической природы, осуществляемого в террористических или криминальных целях.

2.6.2 Фактор, воздействующий на защищаемую информацию: Явление, действие или процесс, результатом которого могут быть утечка, искажение, уничтожение защищаемой информации, блокирование доступа к ней.

2.6.7 Преднамеренное силовое электромагнитное воздействие на информацию: Несанкционированное воздействие на информацию, осуществляемое путем применения источника электромагнитного поля для наведения (генерирования) в автоматизированных информационных системах электромагнитной энергии с уровнем, вызывающим нарушение нормального функционирования (сбой в работе) технических и программных средств этих систем.

22.7.2 Средство защиты информации: Техническое, программное, программно-техническое средство, вещество и (или) материал, предназначенное (ый) или используемое (ый) для защиты информации.

2.8.4 Специальное исследование (объекта защиты информации): Исследование, проводимое в целях выявления технических каналов утечки защищаемой информации и оценки соответствия защиты информации (на объекте защиты) требованиям нормативных и правовых документов в области безопасности информации.

2.8.5 Специальная проверка: Проверка объекта информатизации в целях выявления и изъятия возможно внедренных закладочных устройств.

2.8.8 Экспертиза документа по защите информации: Рассмотрение документа по защите информации физическим или юридическим лицом, имеющим право на проведение работ в данной области, с целью подготовить соответствующее экспертное заключение.

Примечание – Экспертиза документа по защите информации может включать в себя научно-техническую, правовую, метрологическую, патентную и терминологическую экспертизу.

2.9.2 Требование по защите информации: Установленное правило или норма, которая должна быть выполнена при организации и осуществлении защиты информации, или допустимое значение показателя эффективности защиты информации.

2.9.3 Показатель эффективности защиты информации: Мера или характеристика для оценки эффективности защиты информации.

2.9.4 Норма эффективности защиты информации: Значение показателя эффективности защиты информации, установленное нормативными и правовыми документами.

А.3 Информация, составляющая коммерческую тайну: Научно-техническая, технологическая, производственная, финансово-экономическая или иная информация (в том числе составляющая секреты производства (ноу-хау)), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введен режим коммерческой тайны.

3 Алфавитный указатель терминов

ГОСТ Р 51275-2007

Национальный стандарт Российской Федерации

Защита информации

Объект информатизации. Факторы, воздействующие на информацию

Общие положения

1 Область применения

Настоящий стандарт устанавливает классификацию и перечень факторов, воздействующих на безопасность защищаемой информации, в целях обоснования угроз безопасности информации требований по защите информации на объекте информатизации.

Настоящий стандарт распространяется на объекты информатизации, создаваемые и эксплуатируемые в различных областях деятельности (обороны, экономики, науки и других областях).

3 Термины и определения

В настоящем стандарте применены термины по ГОСТ Р 50922, а также следующие термины с соответствующими определениями:

3.1 Объект информатизации: Совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров.

3.3 Побочное электромагнитное излучение: Электромагнитное излучение, наблюдаемое при работе технических средств обработки информации.

3.4 Паразитное электромагнитное излучение: Электромагнитное излучение, являющееся результатом паразитной генерации в электрических цепях технических средств обработки информации.

6 Перечень объективных и субъективных факторов, воздействующих на безопасность защищаемой информации

6.1 Перечень объективных факторов, воздействующих на безопасность защищаемой информации

6.1.1 Внутренние факторы

6.1.1.2 Излучения сигналов, функционально присущие техническим средствам ( далее — ТС) (устройствам) ОИ:

б) электромагнитные излучения и поля:

1) излучения в радиодиапазоне;

2) излучения в оптическом диапазоне.

6.1.1.3 Побочные электромагнитные излучения:

а) элементов (устройств) ТС ОПИ;

б) на частотах работы высокочастотных генераторов устройств, входящих в состав ТС ОПИ:

1) модуляция побочных электромагнитных излучений информативным сигналом, сопровождающим работу ТС ОПИ;

2) модуляция побочных электромагнитных излучений акустическим сигналом, сопровождающим работу ТС ОПИ;

в) на частотах самовозбуждения усилителей, входящих в состав ТС ОПИ.

6.1.2 Внешние факторы

6.1.2.1 Явления техногенного характера:

а) непреднамеренные электромагнитные облучения ОИ;

б) радиационные облучения ОИ;

6.1.2.2 Природные явления, стихийные бедствия:

а) термические факторы (пожары и т. д.);

б) климатические факторы (наводнения и т. д.);

в) механические факторы (землетрясения и т. д.);

г) электромагнитные факторы (грозовые разряды и т. д.);

д) биологические факторы (микробы, грызуны и т. д.);

е) химические факторы (химически агрессивные среды и т.д.).

6.2 Перечень субъективных факторов, воздействующих на безопасность защищаемой информации

6.2.2 Внешние факторы

6.2.2.1 Доступ к защищаемой информации с применением технических средств:

б) съема информации.

6.2.2.5 Искажение, уничтожение или блокирование информации с применением технических средств путем:

а) преднамеренного силового электромагнитного воздействия:

1) по сети электропитания на порты электропитания постоянного и переменного тока;

2) по проводным линиям связи на порты ввода-вывода сигналов и порты связи;

3) по металлоконструкциям на порты заземления и порты корпуса;

4) посредством электромагнитного быстроизменяющегося поля на порты корпуса, порты ввода-вывода сигналов и порты связи;

б) преднамеренного силового воздействия различной физической природы;

г) воздействия программными средствами в комплексе с преднамеренным силовым электромагнитным воздействием.

ГОСТ Р 51624-2000

Государственный стандарт Российской Федерации

Защита информации

Автоматизированные системы в защищенном исполнении

Общие положения

Определения

Защищаемая информация по ГОСТ Р 50922.

Защита информации по ГОСТ Р 50922.

Автоматизированная система — система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций (по ГОСТ 34.003).

Автоматизированная система в защищенном исполнении (АСЗИ) — автоматизированная система, реализующая информационную технологию выполнения установленных функций в соответствии с требованиями стандартов и/или иных нормативных документов по защите информации.

Техническое обеспечение автоматизированной системы — совокупность технических средств, используемых при функционировании АС (по ГОСТ 34.003).

Фактор, воздействующий на защищаемую информацию по ГОСТ Р 51275.

Побочное электромагнитное излучение — электромагнитное излучение, возникающее при работе технических средств обработки информации (по ГОСТ Р 51275).

Электромагнитные наводки — токи и напряжения в токопроводящих элементах, электрические заряды или магнитные потоки, вызванные электромагнитным полем.

Ознакомьтесь так же:  Судебная практика по делам об уплате алиментов

Контролируемая зона — пространство, в пределах которого осуществляется контроль за пребыванием и действиями лиц и/или транспортных средств.

Примечание — Границей контролируемой зоны может быть: периметр охраняемой территории предприятия (учреждения); ограждающие конструкции охраняемого здания, охраняемой части здания, выделенного помещения.

Общие положения

Создание (модернизация) и эксплуатация АСЗИ должны осуществляться с учетом требований нормативных документов по защите информации, требований настоящего стандарта, стандартов и/или технического задания на АС в части требований по защите информации.

Требования по защите информации, предъявляемые к АСЗИ, задаются в ТЗ на создание системы в соответствии с ГОСТ 34.602 в виде отдельного подраздела ТЗ на НИР (ОКР) «Требования по защите информации».

При необходимости в ТЗ на создание АСЗИ или в его составные части заказчик может включать специфические требования по защите информации, дополняющие или уточняющие требования настоящего стандарта.

В АСЗИ должна быть реализована система защиты информации, выполняющая следующие функции:

  • предупреждение о появлении угроз безопасности информации;
  • обнаружение, нейтрализацию и локализацию воздействия угроз безопасности информации;
  • управление доступом к защищаемой информации;
  • восстановление системы защиты информации и защищаемой информации после воздействия угроз;
  • регистрацию событий и попыток несанкционированного доступа к защищаемой информации и несанкционированного воздействия на нее;
  • обеспечение контроля функционирования средств и системы защиты информации и немедленное реагирование на их выход из строя.

В АСЗИ защите подлежат:

  • информационные ресурсы;
  • средства автоматизации (средства вычислительной техники, информационно-вычислительные комплексы, сети и системы), программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), автоматизированные системы управления, системы связи и передачи данных и другие средства.

Общие требования

Общие требования к АСЗИ включают:

  • функциональные требования;
  • требования к эффективности;
  • технические требования;
  • экономические требования;
  • требования к документации.

Требования по защите информации к техническому обеспечению АСЗИ включают требования как к основным техническим средствам, используемым по функциональному назначению АСЗИ, так и к вспомогательным техническим средствам, обеспечивающим функционирование основных технических средств.

Конструктивные требования, предъявляемые к техническим средствам АС, должны формироваться с учетом требований по защите информации и включаться в раздел «Конструктивные требования» ТЗ на разработку конкретного технического средства АСЗИ.

Требования по ЗИ к зданиям (помещениям) или к устройствам, в которых устанавливаются АСЗИ, включают требования к ограждающим конструкциям здания (помещения), к технологии строительства, требования к средствам коммуникаций и требования к звукоизоляции помещений.

При необходимости реконструкции и расширения помещений и сооружений объекта, на котором размещается АСЗИ, требования по защите информации предъявляют в соответствии со СНиП и другими действующими руководящими и нормативными документами.

ГОСТ Р 52863-2007

Национальный стандарт Российской Федерации

Защита информации

Автоматизированные системы в защищенном исполнении

Испытания на устойчивость к преднамеренным силовым электромагнитным воздействиям

Общие положения

Настоящий стандарт разработан с целью нормативного обеспечения испытаний автоматизированных систем в защищённом исполнении (АСЗИ) на воздействие преднамеренных силовых электромагнитных воздействий (ПД ЭМВ). Применительно к АСЗИ преднамеренные силовые электромагнитные воздействия рассматриваются как фактор угрозы информации в целях ее уничтожения, искажения или блокирования (ГОСТ Р 51275).

Преднамеренные силовые электромагнитные воздействия создают опасность для АСЗИ жизненно важных электронных систем — систем связи и управления, банковских систем, систем электроснабжения и других. Объектом электромагнитного воздействия могут являться информационные системы объекта, системы физической защиты оборудования, поддерживающей инфраструктуры, вспомогательное оборудование, системы электропитания, линии связи и т. д. Наибольший ущерб при ПД ЭМВ может быть нанесен объектам, у которых АСЗИ являются ядром системы с непрерывным процессом обработки потоков информации.

Под преднамеренным силовым электромагнитным воздействием понимается воздействие с применением излучателей электромагнитного поля, генераторов напряжения и тока, путем генерирования в информационных системах электромагнитной энергии с уровнем, вызывающим нарушение нормального функционирования технических и программных средств информационных систем (ГОСТ 50922).

Преднамеренные силовые электромагнитные воздействия могут осуществляться открыто или скрытно («закамуфлированным» под действие электромагнитных помех), дистанционным (по эфиру) или контактным (по сети) способом и быть направлены на достижение сбоя, разрушение электронных систем и т.д.

Актуальность вопросов устойчивости АСЗИ при ПД ЭМВ подтверждается результатами обширных исследований в этой области. Накопленный опыт исследований и испытаний элементов объектов информатизации на устойчивость к ПД ЭМВ показывает, что для обеспечения устойчивой работы АСЗИ необходимо принятие специальных организационно-технических мер. Требования к организации и содержанию работ по защите АСЗИ от ПД ЭМВ, к средствам защиты АСЗИ от ПД ЭМВ и к средствам их обнаружения регламентируются соответствующими стандартами в данной области.

В настоящем стандарте регламентированы общие требования к АСЗИ по устойчивости к преднамеренным силовым электромагнитным воздействиям, установлены параметры испытательных воздействий, виды испытаний и степени жёсткости испытаний, методы и средства испытаний, определены порядок проведения испытаний и критерии оценки качества функционирования АСЗИ.

Данные о параметрах преднамеренных силовых электромагнитных воздействий получены на основе обобщения результатов теоретических и экспериментальных исследований, проведения компьютерного моделирования типовых путей воздействия на типовые элементы АСЗИ с применением излучателей электромагнитного поля, генераторов напряжения или тока с учетом перспектив их развития.

В стандарте определены также требования к испытаниям ограждающих конструкций и системам контроля и управления доступом (СКУД) и требования к испытаниям программного обеспечения для АСЗИ.

1 Область применения

Настоящий стандарт распространяется на автоматизированные системы, подлежащие защищенному исполнению, для защиты от преднамеренных воздействий на информацию в целях ее уничтожения, искажения или блокирования при разработке, изготовлении и эксплуатации таких систем.

Настоящий стандарт устанавливает дополнительные требования и положения стандартов класса 34 «Информационная технология. Комплекс стандартов на автоматизированные системы» в части создания и применения автоматизированных систем в защищенном исполнении от воздействия преднамеренных силовых электромагнитных воздействий.

3 Определения и сокращения

Преднамеренное силовое электромагнитное воздействие на информацию: Несанкционированное воздействие на информацию, осуществляемое путем применения источника электромагнитного поля, генераторов напряжения и тока, приводящее к наводкам в АСЗИ сигналов с амплитудой, длительностью и энергией, вызывающим нарушение нормального функционирования (сбой в работе) технических и программных средств этих систем.

Искажение, уничтожение или блокирование информации с применением технических средств преднамеренного силового электромагнитного воздействия: Искажение, уничтожение или блокирование информации путем преднамеренного силового электромагнитного воздействия (ГОСТ Р 51275):

  • по сети электропитания на порты электропитания постоянного и переменного тока;
  • по проводным линиям связи на порты ввода-вывода сигналов и порты связи;
  • по металлоконструкциям на порты заземления и порты корпуса;
  • посредством электромагнитного быстроизменяющегося поля на порты корпуса, порты ввода-вывода сигналов и порты связи.

Показатели устойчивости АСЗИ: Максимальные значения характеристик воздействующих факторов (импульсных электромагнитных полей, токов, напряжений), при которых значения определяющих устойчивость параметров АСЗИ не выходят за пределы, установленные в нормативных документах на систему конкретного типа.

Металлоконструкции зданий: Технические коммуникации (металлические трубопроводы горячей и холодной воды, отопления и т.д.), конструктивные элементы зданий (элементы металлического каркаса здания – арматура и т.д.), заземляющие устройства (контуры рабочего и защитного заземления, проводники молниеотводов), устройства экранирования коммуникаций, технических средств и т.д.

4 Требования устойчивости к преднамеренным силовым электромагнитным воздействиям

    1. Требования, устанавливаемые настоящим стандартом носят комплексный характер и применяются для АСЗИ, обрабатывающих, хранящих и передающих информацию класса ограниченного доступа. Для удовлетворения требований по устойчивости к преднамеренным силовым электромагнитным воздействиям АСЗИ может быть выполнена в защищенном исполнении с применением технических средств и (или) проведением организационных мероприятий.
    2. Требования устойчивости АСЗИ к преднамеренным силовым электромагнитным воздействиям относятся к техническим требованиям по защите информации по ГОСТ Р 51624, включающим:
      • требования к техническому обеспечению АСЗИ (основным и вспомогательным средствам);
      • требования к зданиям (помещениям) или объектам в которых устанавливаются АСЗИ;
      • требования к программному обеспечению АСЗИ;
      • требования к средствам защиты информации и контроля эффективности защиты информации.
    3. Требования к зданиям (помещениям) или объектам, в которых устанавливаются АСЗИ, включают:
      • требования к экранирующим свойствам ограждающих конструкций;
      • требования к системе контроля и управления доступом;
      • требования к системе сбора и обработки информации;
      • требования по устойчивости к взлому ограждающих конструкций;
      • требования к дверным и оконным конструкциям;
      • требования к замкам и запирающим конструкциям;
      • требования к сейфам и хранилищам для носителей информации;
      • требования к средствам защиты подходящих извне линий электроснабжения, проводных линий связи, заземления и т.п.
    4. Требования к программному обеспечению включают:
      • требования к алгоритму принятия решения;
      • требования к системе классификации;
      • требования к системе команд;
      • требования к алгоритму обработки событий;
      • требования по сертификации программного обеспечения;
      • требования к системе диагностики программного обеспечения.
    5. Требования устойчивости АСЗИ к преднамеренным силовым электромагнитным воздействиям включают:
      • требования устойчивости к преднамеренным силовым воздействиям по сети электропитания;
      • требования устойчивости к преднамеренным силовым воздействиям по проводным линиям связи;
      • требования устойчивости к преднамеренным силовым воздействиям по металлоконструкциям;
      • требования устойчивости к преднамеренным силовым воздействиям электромагнитным полем.
    6. Требования, предъявляемые к АСЗИ по устойчивости к преднамеренным силовым электромагнитным воздействиям, определяют исходя из конкретных условий эксплуатации АСЗИ на основе анализа модели воздействия и предварительных расчетно-экспериментальных оценок устойчивости АСЗИ и составных частей АСЗИ к ПД ЭМВ.

Модель воздействия на АСЗИ должна учитывать варианты применения носимых и транспортабельных источников ПД ЭМВ путем облучения АСЗИ электромагнитным полем и инжекции токов и напряжений в цепи электропитания, проводные линии связи и элементы металлоконструкций зданий и помещений.

  1. При формировании требований к АСЗИ учитываются значения типовых параметров преднамеренных силовых электромагнитных воздействий, установленных настоящим стандартом в разделе 6.
  2. К АСЗИ могут дополнительно предъявляться повышенные (открытой степени жесткости испытаний) требования устойчивости к электромагнитным воздействиям, устанавливаемые стандартами по электромагнитной совместимости (ЭМС). Повышенные требования по стандартам ЭМС устанавливаются заказчиком для АСЗИ конкретного вида.
  3. Соответствие характеристик АСЗИ требованиям устойчивости к преднамеренным силовым электромагнитным воздействиям подтверждается по результатам проведения испытаний.

5 Степени жёсткости испытаний

5.1 Степени жёсткости испытаний, а также группу исполнения АСЗИ и объекта с АСЗИ по устойчивости к преднамеренным силовым электромагнитным воздействиям выбирают исходя из условий эксплуатации оборудования и наличия специальных требований к АСЗИ. Данные условия определяются на основе анализа требований к условиям эксплуатации оборудования, класса информации, мощности выделенной сети электропитания ТС, мощности устройств защиты от преднамеренных силовых электромагнитных воздействий, степени экранирования помещений, в которых размещены ТС АСЗИ, степени защиты помещений от несанкционированного доступа, наличия систем охранной сигнализации, наличия специальных требований к АСЗИ.

Качественные признаки классификации типовых условий эксплуатации АСЗИ применительно к возможности воздействия с применением технических средств преднамеренных силовых электромагнитных воздействий приведены в приложении А.

Таблица 4 — Степень жесткости испытаний АСЗИ при ПД ЭМВ электромагнитным полем

Класс условий эксплуатации