Главная Случайная страница Категории: ДомЗдоровьеЗоологияРнформатикаРскусствоРскусствоКомпьютерыКулинарияМаркетингМатематикаМедицинаМенеджментОбразованиеПедагогикаПитомцыПрограммированиеПроизводствоПромышленностьПсихологияРазноеРелигияСоциологияСпортСтатистикаТранспортФизикаФилософияФинансыХимияХоббиРкологияРРєРѕРЅРѕРјРёРєР°Рлектроника |
РАЗВЕДОК Р РћРў ЕЕ УТЕЧКРПО ТЕХНРЧЕСКРРњ КАНАЛАМ»(утв. Постановлением Совета Министров – Правительства Р Р¤ РѕС‚ 15 сентября 1993 Рі. в„– 912-51)
I. ОБЩРР• ПОЛОЖЕНРРЇ 1. Настоящее Положение является документом, обязательным для выполнения РїСЂРё проведении работ РїРѕ защите информации, содержащей сведения, составляющие государственную или служебную тайну, РІ органах (аппаратах, администрациях) представительной, исполнительной Рё судебной властей Р РѕСЃСЃРёР№СЃРєРѕР№ Федерации, республик РІ составе Р РѕСЃСЃРёР№СЃРєРѕР№ Федерации, автономной области, автономных РѕРєСЂСѓРіРѕРІ, краев, областей, РіРѕСЂРѕРґРѕРІ РњРѕСЃРєРІС‹ Рё Санкт-Петербурга Рё РІ органах местного самоуправления (далее именуются – органы государственной власти), РЅР° предприятиях Рё РІ РёС… объединениях, учреждениях Рё организациях независимо РѕС‚ РёС… организационно-правовой формы Рё формы собственности (далее именуются – предприятия). 2. Положение определяет структуру государственной системы защиты информации РІ Р РѕСЃСЃРёР№СЃРєРѕР№ Федерации, ее задачи Рё функции, РѕСЃРЅРѕРІС‹ организации защиты сведений, отнесенных РІ установленном РїРѕСЂСЏРґРєРµ Рє государственной или служебной тайне, РѕС‚ иностранных технических разведок Рё РѕС‚ ее утечки РїРѕ техническим каналам (далее именуется – защита информации). 3. Работы РїРѕ защите информации РІ органах государственной власти Рё РЅР° предприятиях проводятся РЅР° РѕСЃРЅРѕРІРµ актов законодательства Р РѕСЃСЃРёР№СЃРєРѕР№ Федерации. 4. Защита информации осуществляется путем выполнения комплекса мероприятий РїРѕ предотвращению утечки информации РїРѕ техническим каналам, несанкционированного доступа Рє ней, предупреждению преднамеренных программно-технических воздействий СЃ целью разрушения (уничтожения) или искажения информации РІ процессе обработки, передачи Рё хранения, РїРѕ противодействию иностранным техническим разведкам, Р° также путем проведения специальных работ, РїРѕСЂСЏРґРѕРє организации Рё выполнения которых определяется Советом Министров – Правительством Р РѕСЃСЃРёР№СЃРєРѕР№ Федерации. 5. Мероприятия РїРѕ защите информации являются составной частью управленческой, научной Рё производственной деятельности Рё осуществляются РІРѕ взаимосвязи СЃ РґСЂСѓРіРёРјРё мерами РїРѕ обеспечению установленного режима секретности проводимых работ. 6. Главными направлениями работ РїРѕ защите информации являются: - обеспечение эффективного управления системой защиты информации; - определение сведений, охраняемых РѕС‚ технических средств разведки, Рё демаскирующих признаков, раскрывающих эти сведения; - анализ Рё оценка реальной опасности перехвата информации техническими средствами разведки, несанкционированного доступа, разрушения (уничтожения) или искажения информации путем преднамеренных программно-технических воздействий РІ процессе ее обработки, передачи Рё хранения РІ технических средствах, выявление возможных технических каналов утечки сведений, подлежащих защите; - разработка организационно-технических мероприятий РїРѕ защите информации Рё РёС… реализация; - организация Рё проведение контроля состояния защиты информации. 7. Основными организационно-техническими мероприятиями РїРѕ защите информации являются: - лицензирование деятельности предприятий РІ области защиты информации; - аттестование объектов РїРѕ выполнению требований обеспечения защиты информации РїСЂРё проведении работ СЃРѕ сведениями соответствующей степени секретности; - сертификация средств защиты информации Рё контроля Р·Р° ее эффективностью, систем Рё средств информатизации Рё СЃРІСЏР·Рё РІ части защищенности информации РѕС‚ утечки РїРѕ техническим каналам; - категорирование вооружения Рё военной техники, предприятий (объектов) РїРѕ степени важности защиты информации РІ РѕР±РѕСЂРѕРЅРЅРѕР№, экономической, политической, научно-технической Рё РґСЂСѓРіРёС… сферах деятельности; - обеспечение условий защиты информации РїСЂРё подготовке Рё реализации международных РґРѕРіРѕРІРѕСЂРѕРІ Рё соглашений; - оповещение Рѕ пролетах космических Рё воздушных летательных аппаратов, кораблях Рё судах, ведущих разведку объектов (перехват информации, подлежащей защите), расположенных РЅР° территории Р РѕСЃСЃРёР№СЃРєРѕР№ Федерации; - введение территориальных, частотных, энергетических, пространственных Рё временных ограничений РІ режимах использования технических средств, подлежащих защите; - создание Рё применение информационных Рё автоматизированных систем управления РІ защищенном исполнении; - разработка Рё внедрение технических решений Рё элементов защиты информации РїСЂРё создании Рё эксплуатации вооружения Рё военной техники, РїСЂРё проектировании, строительстве (реконструкции) Рё эксплуатации объектов, систем Рё средств информатизации Рё СЃРІСЏР·Рё; - разработка средств защиты информации Рё контроля Р·Р° ее эффективностью (специального Рё общего применения) Рё РёС… использование; - применение специальных методов, технических мер Рё средств защиты, исключающих перехват информации, передаваемой РїРѕ каналам СЃРІСЏР·Рё. 8. Конкретные методы, приемы Рё меры защиты информации разрабатываются РІ зависимости РѕС‚ степени возможного ущерба РІ случае ее утечки, разрушения (уничтожения). 9. Проведение любых мероприятий Рё работ СЃ использованием сведений, отнесенных Рє государственной или служебной тайне, без принятия необходимых мер РїРѕ защите информации РЅРµ допускается. II. ГОСУДАРСТВЕННАЯ РЎРСТЕМА Р—РђР©РРўР« РНФОРМАЦРР 10. Основные задачи государственной системы защиты информации: - проведение единой технической политики, организация Рё координация работ РїРѕ защите информации РІ РѕР±РѕСЂРѕРЅРЅРѕР№, экономической, политической, научно-технической Рё РґСЂСѓРіРёС… сферах деятельности; - исключение или существенное затруднение добывания информации техническими средствами разведки, Р° также предотвращение ее утечки РїРѕ техническим каналам, несанкционированного доступа Рє ней, предупреждение преднамеренных программно-технических воздействий СЃ целью разрушения (уничтожения) или искажения информации РІ процессе ее обработки, передачи Рё хранения; - принятие РІ пределах компетенции правовых актов, регулирующих отношения РІ области защиты информации; - анализ состояния Рё прогнозирование возможностей технических средств разведки Рё СЃРїРѕСЃРѕР±РѕРІ РёС… применения, формирование системы информационного обмена сведениями РїРѕ осведомленности иностранных разведок; - организация СЃРёР», создание средств защиты информации Рё контроля Р·Р° ее эффективностью; - контроль состояния защиты информации РІ органах государственной власти Рё РЅР° предприятиях. 18. Организация работ РїРѕ защите информации РЅР° предприятиях осуществляется РёС… руководителями. Р’ зависимости РѕС‚ объема работ РїРѕ защите информации руководителем предприятия создается структурное подразделение РїРѕ защите информации либо назначаются штатные специалисты РїРѕ этим вопросам (например Администратор информационной безопасности). Подразделения РїРѕ защите информации (штатные специалисты) РЅР° предприятиях: - осуществляют мероприятия РїРѕ защите информации РІ С…РѕРґРµ выполнения работ СЃ использованием сведений, отнесенных Рє государственной или служебной тайне; - определяют совместно СЃ заказчиком работ основные направления комплексной защиты информации; - участвуют РІ согласовании технических (тактико-технических) заданий РЅР° проведение таких работ; - дают заключение Рѕ возможности проведения работ СЃ информацией, содержащей сведения, отнесенные Рє государственной или служебной тайне. Указанные подразделения (штатные специалисты) подчиняются непосредственно руководителю предприятия или его заместителю. Работники этих подразделений (штатные специалисты) приравниваются РїРѕ оплате труда Рє соответствующим категориям работников основных структурных подразделений. Для проведения работ РїРѕ защите информации РјРѕРіСѓС‚ привлекаться РЅР° РґРѕРіРѕРІРѕСЂРЅРѕР№ РѕСЃРЅРѕРІРµ специализированные предприятия, имеющие лицензии РЅР° право проведения работ РІ области защиты информации. 19. Предприятия, имеющие намерения заниматься деятельностью РІ области защиты информации, должны получить соответствующую лицензию РЅР° определенной РІРёРґ этой деятельности. Лицензии выдаются Государственной технической комиссией РїСЂРё Президенте Р РѕСЃСЃРёР№СЃРєРѕР№ Федерации Рё РґСЂСѓРіРёРјРё лицензирующими органами РІ соответствии СЃРѕ своей компетенцией РїРѕ представлению органа государственной власти. 20. Высшие учебные заведения Рё институты повышения квалификации РїРѕ подготовке Рё переподготовке кадров РІ области защиты информации (например: Рнститут криптографии, СЃРІСЏР·Рё Рё информатики ФСБ – http://www.fssr.ru/ ; РГГУ – http://www.fzi.rsuh.ru/ ; Санкт-Петербургский специальный центр защиты информации – http://www.ssl.stu.neva.ru/ ; РќРРџ Рнформзащита –http://www.infosec.ru/) осуществляют: 1) первичную подготовку специалистов РїРѕ комплексной защите информации; 2) переподготовку (повышение квалификации) специалистов РїРѕ защите информации органов государственной власти Рё предприятий; 3) усовершенствование знаний руководителей органов государственной власти Рё предприятий РІ области защиты информации. Подготовка кадров для государственной системы защиты информации осуществляется РїСЂРё методическом руководстве Государственной технической РєРѕРјРёСЃСЃРёРё РїСЂРё Президенте Р РѕСЃСЃРёР№СЃРєРѕР№ Федерации. III. ОРГАНРР—РђР¦РРЇ Р—РђР©РРўР« РНФОРМАЦРР Р’ РЎРСТЕМАХ РСРЕДСТВАХ РНФОРМАТРР—РђР¦РР Р РЎР’РЇР—Р 21. Защита информации РІ системах Рё средствах информатизации Рё СЃРІСЏР·Рё является составной частью работ РїРѕ РёС… созданию, эксплуатации Рё осуществляется РІРѕ всех органах государственной власти Рё РЅР° предприятиях, располагающих информацией, содержащей сведения, отнесенные Рє государственной или служебной тайне. 22. Требования РїРѕ защите информации РІ системах Рё средствах информатизации Рё СЃРІСЏР·Рё определяются заказчиками совместно СЃ разработчиками РЅР° стадии подготовки Рё согласования решений, приказов Рё директив, планов Рё программ работ, технических Рё тактико-технических заданий РЅР° проведение исследований, разработку (модернизацию), испытания, производство Рё эксплуатацию (применение) РЅР° РѕСЃРЅРѕРІРµ стандартов, нормативно-технических Рё методических документов, утверждаемых Комитетом Р РѕСЃСЃРёР№СЃРєРѕР№ Федерации РїРѕ стандартизации, метрологии Рё сертификации, Государственной технической комиссией РїСЂРё Президенте Р РѕСЃСЃРёР№СЃРєРѕР№ Федерации Рё РґСЂСѓРіРёРјРё органами государственной власти РІ соответствии СЃ РёС… компетенцией. Указанные требования согласовываются СЃ подразделениями РїРѕ защите информации. 23. Организация защиты информации РІ системах Рё средствах информатизации Рё СЃРІСЏР·Рё возлагается РЅР° руководителей органов государственной власти Рё предприятий, заказчиков Рё разработчиков систем Рё средств информатизации Рё СЃРІСЏР·Рё, руководителей подразделений, эксплуатирующих эти системы Рё средства, Р° ответственность Р·Р° обеспечение защиты информации – непосредственно РЅР° пользователя (потребителя) информации. 24. Р’ интересах обеспечения защиты информации РІ системах Рё средствах информатизации Рё СЃРІСЏР·Рё защите подлежат: 1) информационные ресурсы, содержащие сведения, отнесенные Рє государственной или служебной тайне, представленные РІ РІРёРґРµ носителей РЅР° магнитной Рё оптической РѕСЃРЅРѕРІРµ, информативных физических полей, информативных массивов Рё баз данных; 2) средства Рё системы информатизации (средства вычислительной техники, информационно-вычислительные комплексы, сети Рё системы), программные средства (операционные системы, системы управления базами данных, РґСЂСѓРіРѕРµ общесистемное Рё прикладное программное обеспечение), автоматизированные системы управления, системы СЃРІСЏР·Рё Рё передачи данных, технические средства приема, передачи Рё обработки информации (звукозаписи, звукоусиления, звуковоспроизведения, переговорные Рё телевизионные устройства, средства изготовления, тиражирования документов Рё РґСЂСѓРіРёРµ технические средства обработки графической, смысловой Рё буквенно-цифровой информации), используемые для обработки информации, содержащей сведения, отнесенные Рє государственной или служебной тайне; 3) технические средства Рё системы, РЅРµ обрабатывающие информацию, РЅРѕ размещенные РІ помещениях, РіРґРµ обрабатывается (циркулирует) информация, содержащая сведения, отнесенные Рє государственной или служебной тайне, Р° также сами помещения, предназначенные для ведения секретных переговоров; 25. Целями защиты информации являются: 1) предотвращение утечки информации РїРѕ техническим каналам; 2) предотвращение несанкционированного уничтожения, искажения, копирования, блокирования информации РІ системах информатизации; 3) соблюдение правового режима использования массивов Рё программ обработки информации, Р° также обеспечение полноты, целостности Рё достоверности информации РІ системах обработки; 4) сохранение возможности управления процессом обработки Рё пользования информацией. 26. Защита информации осуществляется путем: 1) предотвращение перехвата техническими средствами информации, передаваемой РїРѕ каналам СЃРІСЏР·Рё; 2) предотвращение утечки обрабатываемой информации Р·Р° счет побочных электромагнитных излучений Рё наводок, создаваемых функционирующими техническими средствами, Р° также электроакустических преобразований; 3) исключения несанкционированного доступа Рє обрабатываемой или хранящейся РІ технических средствах информации; 4) предотвращения специальных программно-технических воздействий, вызывающих разрушение, уничтожение, искажение информации или СЃР±РѕРё РІ работе средств информатизации; 5) выявления возможно внедренных РЅР° объекты Рё РІ технические средства электронных устройств перехвата информации (закладных устройств); 6) предотвращения перехвата техническими средствами речевой информации РёР· помещений Рё объектов. Предотвращение перехвата техническими средствами информации, передаваемой РїРѕ каналам СЃРІСЏР·Рё, достигается применением криптографических Рё иных методов Рё средств защиты, Р° также проведением организационно-технических Рё режимных мероприятий. Предотвращение утечки обрабатываемой информации Р·Р° счет побочных электромагнитных излучений Рё наводок, Р° также электроакустических преобразований достигаетсяприменением защищенных технических средств, аппаратных средств защиты, средств активного противодействия, экранированием зданий или отдельных помещений, установлением контролируемой Р·РѕРЅС‹ РІРѕРєСЂСѓРі средств информатизации Рё РґСЂСѓРіРёРјРё организационными Рё техническими мерами. Рсключение несанкционированного доступа Рє обрабатываемой или хранящейся РІ технических средствах информации достигается применением специальных программно-технических средств защиты, использованием криптографических СЃРїРѕСЃРѕР±РѕРІ защиты, Р° также организационными Рё режимными мероприятиями. Предотвращение специальных программно-технических воздействий, вызывающих разрушение, уничтожение, искажение информации или СЃР±РѕРё РІ работе средств информатизации, достигается применением специальных программных Рё аппаратных средств защиты (антивирусных процессоров, антивирусных программ), организацией системы контроля безопасности программного обеспечения. Выявление возможно внедренных РЅР° объекты Рё РІ технические средства электронных устройств перехвата информации (закладных устройств) достигается проведением специальных проверок РїРѕ выявлению этих устройств. Предотвращение перехвата техническими средствами речевой информации РёР· помещений Рё объектов достигается применением специальных средств защиты, проектными решениями, обеспечивающими звукоизоляцию помещений, выявлением специальных устройств подслушивания Рё РґСЂСѓРіРёРјРё организационными Рё режимными мероприятиями. 27. Рнформация, содержащая сведения, отнесенные Рє государственной или служебной тайне, должна обрабатываться СЃ использованием защищенных систем Рё средств информатизации Рё СЃРІСЏР·Рё или СЃ использованием технических Рё программных средств защиты, сертифицированных РІ установленном РїРѕСЂСЏРґРєРµ. Соответствие технического средства Рё его программного обеспечения требованиям защищенности подтверждается: 1) сертификатом, выдаваемым предприятием, имеющим лицензию РЅР° этот РІРёРґ деятельности; 2) РїРѕ результатам сертификационных испытаний; 3) предписанием РЅР° эксплуатацию, оформляемым РїРѕ результатам специальных исследований Рё специальных проверок технических средств Рё программного обеспечения. Для оценки готовности систем Рё средств информатизации Рё СЃРІСЏР·Рё Рє обработке (передаче) информации, содержащей сведения, отнесенные Рє государственной или служебной тайне, проводится аттестование указанных систем Рё средств РІ реальных условиях эксплуатации РЅР° предмет соответствия принимаемых методов, мер Рё средств защиты требуемому СѓСЂРѕРІРЅСЋ безопасности информации. VI. КОНТРОЛЬ РЎРћРЎРўРћРЇРќРРЇ Р—РђР©РРўР« РНФОРМАЦРР 47. Контроль состояния защиты информации (далее именуется – контроль) осуществляется СЃ целью своевременного выявления Рё предотвращения утечки информации РїРѕ техническим каналам, несанкционированного доступа Рє ней, преднамеренных программно-технических воздействий РЅР° информацию Рё оценки защиты ее РѕС‚ иностранных технических разведок. Контроль заключается РІ проверке выполнения актов законодательства Р РѕСЃСЃРёР№СЃРєРѕР№ Федерации РїРѕ вопросам защиты информации, решений Государственной технической РєРѕРјРёСЃСЃРёРё РїСЂРё Президенте Р РѕСЃСЃРёР№СЃРєРѕР№ Федерации, Р° также РІ оценке обоснованности Рё эффективности принятых мер защиты для обеспечения выполнения утвержденных требований Рё РЅРѕСЂРј РїРѕ защите информации. 48. Контроль организуется Государственной технической комиссией РїСЂРё Президенте Р РѕСЃСЃРёР№СЃРєРѕР№ Федерации, Федеральной службой безопасности Р РѕСЃСЃРёР№СЃРєРѕР№ Федерации, Министерством внутренних дел Р РѕСЃСЃРёР№СЃРєРѕР№ Федерации, Министерством РѕР±РѕСЂРѕРЅС‹ Р РѕСЃСЃРёР№СЃРєРѕР№ Федерации, Службой внешней разведки Р РѕСЃСЃРёР№СЃРєРѕР№ Федерации Рё Федеральным агентством правительственной СЃРІСЏР·Рё Рё информации РїСЂРё Президенте Р РѕСЃСЃРёР№СЃРєРѕР№ Федерации, структурными Рё межотраслевыми подразделениями органов государственной власти, входящими РІ государственную систему защиты информации, Рё предприятиями РІ соответствии СЃ РёС… компетенцией. Акты проверок предприятий рассылаются РёС… руководителями РІ орган, проводивший поверку, Рё РІ орган государственной власти РїРѕ подчиненности предприятия. 49. Государственная техническая РєРѕРјРёСЃСЃРёСЏ РїСЂРё Президенте Р РѕСЃСЃРёР№СЃРєРѕР№ Федерации организует контроль силами центрального аппарата Рё подчиненных ей РІ специальном отношении Специальных центров. РћРЅР° может привлекать для этих целей подразделения РїРѕ защите информации органов государственной власти. Центральный аппарат Государственной технической комиссией РїСЂРё Президенте Р РѕСЃСЃРёР№СЃРєРѕР№ Федерации осуществляет РІ пределах своей компетенции контроль РІ органах государственной власти Рё РЅР° предприятиях, обеспечивает методическое руководство работами РїРѕ контролю (Р·Р° исключением объектов Рё технических средств, защита которых РІС…РѕРґРёС‚ РІ компетенцию Федеральной службой безопасности Р РѕСЃСЃРёР№СЃРєРѕР№ Федерации, Министерства внутренних дел Р РѕСЃСЃРёР№СЃРєРѕР№ Федерации, Министерства РѕР±РѕСЂРѕРЅС‹ Р РѕСЃСЃРёР№СЃРєРѕР№ Федерации, Службы внешней разведки Р РѕСЃСЃРёР№СЃРєРѕР№ Федерации, Федерального агентства правительственной СЃРІСЏР·Рё Рё информации РїСЂРё Президенте Р РѕСЃСЃРёР№СЃРєРѕР№ Федерации, Главного управления охраны Р РѕСЃСЃРёР№СЃРєРѕР№ Федерации). Специальные центры, подчиненные РІ специальном отношении Государственной технической комиссией РїСЂРё Президенте Р РѕСЃСЃРёР№СЃРєРѕР№ Федерации, РІ пределах своей компетенции осуществляют контроль РІ органах государственной власти Рё РЅР° предприятиях, расположенных РІ зонах ответственности этих центров. Контроль РІ органах государственной власти силами центрального аппарата Государственной технической РєРѕРјРёСЃСЃРёРё РїСЂРё Президенте Р РѕСЃСЃРёР№СЃРєРѕР№ Федерации Рё специальных центров, подчиненных РІ специальном отношении Государственной технической РєРѕРјРёСЃСЃРёРё РїСЂРё Президенте Р РѕСЃСЃРёР№СЃРєРѕР№ Федерации, осуществляется РїРѕ согласованию СЃ соответствующими органами государственной власти. 50. Органы государственной власти организуют Рё осуществляют контроль РЅР° подчиненных РёРј предприятиях через СЃРІРѕРё подразделения РїРѕ защите информации. Повседневный контроль засостоянием защиты информации РЅР° предприятиях проводится силами РёС… подразделений РїРѕ защите информации. 51. Контроль РЅР° предприятиях негосударственного сектора РїСЂРё выполнении работ СЃ использованием сведений, отнесенных Рє государственной или служебной тайне, осуществляется органами государственной власти, Государственной технической комиссией РїСЂРё Президенте Р РѕСЃСЃРёР№СЃРєРѕР№ Федерации, Федеральной службой безопасности Р РѕСЃСЃРёР№СЃРєРѕР№ Федерации, Федеральным агентством правительственной СЃРІСЏР·Рё Рё информации РїСЂРё Президенте Р РѕСЃСЃРёР№СЃРєРѕР№ Федерации Рё заказчиком работ РІ соответствии СЃ РёС… компетенцией. 52. Защита информации считается эффективной, если принимаемые меры соответствуют установленным требованиям или нормам. Несоответствие мер установленным требованиям или нормам РїРѕ защите информации является нарушением. Нарушения РїРѕ степени важности делятся РЅР° три категории: первая – невыполнение требований или РЅРѕСЂРј РїРѕ защите информации, РІ результате чего имелась или имеется реальная возможность ее утечки РїРѕ техническим каналам; вторая – невыполнение требований РїРѕ защите информации, РІ результате чего создаются предпосылки Рє ее утечки РїРѕ техническим каналам; третья – невыполнение РґСЂСѓРіРёС… требований РїРѕ защите информации. 53. РџСЂРё обнаружении нарушений первой категории руководители органов государственной власти Рё предприятий обязаны: 1) немедленно прекратить работы РЅР° участке (рабочем месте), РіРґРµ обнаружены нарушения Рё принять меры РїРѕ РёС… устранению; 2) организовать РІ установленном РїРѕСЂСЏРґРєРµ расследование причин Рё условий появления нарушений СЃ целью недопущения РёС… РІ дальнейшем Рё привлечения Рє ответственности виновных лиц; 3) сообщить РІ Государственную техническую РєРѕРјРёСЃСЃРёСЋ РїСЂРё Президенте Р РѕСЃСЃРёР№СЃРєРѕР№ Федерации, руководству органа государственной власти, федеральному органу государственной безопасности Рё заказчику Рѕ вскрытых нарушениях Рё принятых мерах. Возобновление работ разрешается после устранения нарушений Рё проверки достаточности Рё эффективности принятых мер, РїСЂРѕРІРѕРґРёРјРѕР№ Государственной технической комиссией РїСЂРё Президенте Р РѕСЃСЃРёР№СЃРєРѕР№ Федерации или РїРѕ ее поручению подразделениями РїРѕ защите информации органов государственной власти. РџСЂРё обнаружении нарушений второй Рё третьей категорий руководители проверяемых органов государственной власти Рё предприятий обязаны принять необходимые меры РїРѕ РёС… устранению РІ СЃСЂРѕРєРё, согласованные СЃ органом, проводившим проверку, или заказчиком (представителем заказчика). Контроль Р·Р° устранением этих нарушений осуществляется подразделениями РїРѕ защите информации этих органов государственной власти Рё предприятий. 54… Допуск представителей центрального аппарата Государственной технической РєРѕРјРёСЃСЃРёРё РїСЂРё Президенте Р РѕСЃСЃРёР№СЃРєРѕР№ Федерации, специальных центров, подчиненных ей РІ специальном отношении, РЅР° объекты для проведения контроля состояния защиты информации, доступ Рє работам Рё документам, необходимым для проведения контроля, осуществляется РІ установленном РїРѕСЂСЏРґРєРµ РїРѕ предъявлении специального удостоверения представителя Государственной технической РєРѕРјРёСЃСЃРёРё РїСЂРё Президенте Р РѕСЃСЃРёР№СЃРєРѕР№ Федерации Рё предписания РЅР° право проведения проверки данного объекта. Допуск РЅР° военные объекты осуществляется РїРѕ разрешению начальника Генерального штаба Вооруженных СЃРёР» Р РѕСЃСЃРёР№СЃРєРѕР№ Федерации. Предписания РЅР° право проверки состояния защиты информации выдаются: - для объектов органов государственной власти – председателем Государственной технической РєРѕРјРёСЃСЃРёРё РїСЂРё Президенте Р РѕСЃСЃРёР№СЃРєРѕР№ Федерации (заместителем председателя); - для предприятий РЅР° всей территории Р РѕСЃСЃРёР№СЃРєРѕР№ Федерации – начальником инспекции Государственной технической РєРѕРјРёСЃСЃРёРё РїСЂРё Президенте Р РѕСЃСЃРёР№СЃРєРѕР№ Федерации; - для предприятий РІ пределах установленных Р·РѕРЅ ответственности – начальниками специальных центров, подчиненных РІ специальном отношении Государственной технической РєРѕРјРёСЃСЃРёРё РїСЂРё Президенте Р РѕСЃСЃРёР№СЃРєРѕР№ Федерации; - для подведомственных предприятий – руководителями органов государственной власти. VII. Р¤РРќРђРќРЎРР РћР’РђРќРР• МЕРОПРРРЇРўРР™ РџРћ Р—РђР©РРўР• РНФОРМАЦРР 55. Финансирование мероприятий РїРѕ защите информации, содержащей сведения, отнесенные Рє государственной или служебной тайне, Р° также подразделений РїРѕ защите информации РІ органах государственной власти Рё РЅР° бюджетных предприятиях предусматривается РІ сметах расходов РЅР° РёС… содержание. 56. Создание технических средств защиты информации, РЅРµ требующее капитальных вложений, осуществляется РІ пределах средств, выделяемых заказчиком РЅР° научно-исследовательские Рё опытно-конструкторские работы, связанные СЃ разработкой продукции. Расходы РїРѕ разработке технических средств защиты информации включаются РІ стоимость разработки образца продукции. Создание технических средств защиты информации, требующее капитальных вложений осуществляется РІ пределах средств, выделяемых заказчиком РЅР° строительство (реконструкцию) сооружений или объектов.
Государственные стандарты ГОСТ Р 50739-95. Средства вычислительной техники. Защита РѕС‚ несанкционированного доступа Рє информации. Общие технические требования. Госстандарт Р РѕСЃСЃРёРё ГОСТ Р 50922-96. Защита информации. Основные термины Рё определения. Госстандарт Р РѕСЃСЃРёРё ГОСТ Р 51188-98. Защита информации. Рспытания программных средств РЅР° наличие компьютерных РІРёСЂСѓСЃРѕРІ. РўРёРїРѕРІРѕРµ руководство. Госстандарт Р РѕСЃСЃРёРё ГОСТ Р 51275-99. Защита информации. Объект информатизации. Факторы, воздействующие РЅР° информацию. Общие положения. Госстандарт Р РѕСЃСЃРёРё ГОСТ Р РРЎРћ 7498-1-99. Рнформационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель. Госстандарт Р РѕСЃСЃРёРё ГОСТ Р РРЎРћ 7498-2-99. Рнформационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации. Госстандарт Р РѕСЃСЃРёРё ГОСТ Р РРЎРћ/РњРРљ 15408-1-2002. Методы Рё средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение Рё общая модель. Госстандарт Р РѕСЃСЃРёРё ГОСТ Р РРЎРћ/РњРРљ 15408-2-2002. Методы Рё средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности. Госстандарт Р РѕСЃСЃРёРё ГОСТ Р РРЎРћ/РњРРљ 15408-3-2002. Методы Рё средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия Рє безопасности. Госстандарт Р РѕСЃСЃРёРё
Раздел 3. Практическая часть. Рљ нам обратился Ген.Директор компании РћРћРћ "Хельги Лаб" занимающаяся разработками РІ области построения трехмерных фотореалистичных моделей РіРѕСЂРѕРґРѕРІ Рё РіРѕСЂРѕРґСЃРєРёС… объектов СЃ РїСЂРѕСЃСЊР±РѕР№ провести специальную проверку технических средств обработки информации принадлежащих этой организации. Специальные проверки представляют СЃРѕР±РѕР№ проверки технических средств Рё систем (РўРЎРЎ) объекта защиты СЃ целью выявления Рё изъятия специально установленных закладных устройств съема информации непосредственно СЃ РўРЎРЎ, выявление технических доработок РїРѕ изменению свойств РўРЎРЎ, облегчающих умышленный или неумышленный съем информации, выявление различного СЂРѕРґР° программных закладок съема информации. РџСЂРё проведении специальных проверок применяются специализированные технические средства. Данный РІРёРґ работ лицензируется, контролируется Рё проводится РЅР° основании нормативно-методических документов Службы специальной СЃРІСЏР·Рё Рё информации РїСЂРё Федеральной службе охраны Р РѕСЃСЃРёР№СЃРєРѕР№ Федерации. Специальная проверка предшествует специальным исследованиям Рё состоит РёР· нескольких последовательно выполняемых действий: ⦁ прием-передача проверяемого технического средства представителям исследовательских лабораторий или сертификационных центров, формирование исходных данных для программы проверки; ⦁ составление программы проведения специальной проверки технического средства; ⦁ проведение проверки; ⦁ анализ результатов проверки, составление отчетных протоколов. РќР° специальную проверку технические средства должны предъявляться РІ исправном состоянии, РІ штатной упаковке Рё РІ полной комплектации РїРѕ акту приема-передачи. РђРєС‚ приема-передачи подписывается только после проверки работоспособности технического средства. Р’ случае неисправности технического средства специальная проверка РЅРµ производится. РљСЂРѕРјРµ технического средства, представители организации, которой РѕРЅРѕ принадлежит, обязаны предоставить для разработки программы проверки информацию следующего РІРёРґР°: ⦁ данные Рѕ техническом средстве; ⦁ сведения Рѕ его планируемом применении; ⦁ данные Рѕ месте размещения технического средства. Данные Рѕ техническом средстве должны содержать сведения Рѕ его назначении Рё полной комплектации, комплект документов РЅР° техническое средство, СЃРїРѕСЃРѕР± приобретения СЃ указанием сведений РѕР± организации-поставщике. Данные Рѕ планируемом применении должны содержать сведения: ⦁ планируется ли техническое средство для обработки закрытой информации; ⦁ есть ли высший РіСЂРёС„ секретности Сѓ обрабатываемой или обсуждаемой информации; ⦁ РІ составе какой информационной системы планируется работа технического средства; ⦁ Рє каким коммуникационным системам планируется подключение технического средства. Сведения Рѕ планируемом размещении технического средства должны содержать: ⦁ описание объекта информатизации, РЅР° котором планируется использовать техническое средство; ⦁ перечень охраняемых сведений объекта информатизации; ⦁ минимальное расстояние РґРѕ границы контролируемой Р·РѕРЅС‹; ⦁ наличие посольств, представительств Рё мест пребывания иностранных граждан СЃ указанием расстояния РґРѕ контролируемой Р·РѕРЅС‹; ⦁ возможность Рё периодичность пребывания иностранных делегаций РЅР° объекте. Программа проведения специальной проверки должна учитывать, что возможно установленные электронные закладные устройства или программные закладки ориентированы РЅР° получение вполне конкретной информации или РЅР° выведение РёР· строя технических средств обработки информации. РџРѕ имеющимся документам проводится анализ схемотехнических особенностей электронного технического средства Рё источника его питания СЃ целью выявления мест циркуляции обрабатываемой информации. Ртогом анализа исходных данных, схемотехнических особенностей Рё иных необходимых сведений СЃ учетом классификации электронного устройства должен явиться перечень каналов утечки информации Рё возможно внедренных аппаратных закладных устройств. Далее РЅР° основании перечня естественных каналов утечки информации Рё возможно внедренных закладных устройств составляется программа проведения специальной проверки технического средства, определяющая РїРѕСЂСЏРґРѕРє выявления демаскирующих признаков закладного устройства Рё самого устройства. Результаты оформляются РІ журнале проведения специальных проверок Рё заверяются РїРѕРґРїРёСЃСЊСЋ руководителя рабочей РіСЂСѓРїРїС‹. РўРёРїРѕРІРѕР№ перечень операций проведения специальных технических проверок состоит РёР·: ⦁ дозиметрического контроля изделия РІ упаковке для обнаружения радиоактивных меток Рё радиоизотопных источников питания; ⦁ вихретокового контроля узлов технических средств обработки информации, РЅРµ содержащих металлических включений; ⦁ контроля упаковки, которая РїРѕ назначению РЅРµ должна иметь полупроводниковых РїСЂРёР±РѕСЂРѕРІ, нелинейным локатором для выявления специального электронного устройства, выполняющего роль маяка для определения местоположения технического средства; ⦁ проведения радиоконтроля для выявления активных закладных устройств передачи информации РїРѕ радиоканалу; ⦁ проверки возможности съема информации методом высокочастотного навязывания; ⦁ разборки технического средства СЃ последующим осмотром его узлов для выявления отклонения РѕС‚ схемотехнических Рё конструкторских решений; ⦁ измерений импедансов некоторых узлов технических средств для выявления РёС… отклонений РѕС‚ РЅРѕСЂРјС‹ РёР·-Р·Р° возможно внедренных аппаратных закладок; ⦁ рентгенографии или рентгеноскопии неразборных узлов Рё элементов технических средств СЃ целью выявления схемных изменений; ⦁ рентгенотелевизионного Рё визуально-оптического контроля внешнего РІРёРґР° Рё внутренней структуры узлов Рё элементов технических средств. Сложные РІРёРґС‹ контроля (визуально-оптический контроль, рентгеновский контроль, контроль методами нелинейной локации, электротехнических измерений Рё высокочастотного «навязывания») проводятся РїРѕ специальным методикам. Проверенные технические средства Рё оборудование маркируются РїРѕ специальной методике. РџРѕ результатам проведения специальной проверки руководитель проверяющей РіСЂСѓРїРїС‹ делает вывод Рѕ наличии или отсутствии закладных электронных устройств Рё оформляет акт СЃ перечислением проверенных элементов, РІРёРґРѕРІ технических проверок Рё фамилий Рё инициалов проводивших отдельные РІРёРґС‹ проверок лиц. РђРєС‚ оформляется РІ единственном экземпляре Рё хранится Сѓ исполнителя. Заключение составляется РІ РґРІСѓС… экземплярах - (для исполнителя Рё заказчика). РђРєС‚ Рё заключение утверждаются руководителем организации-исполнителя. Проведение специальных проверок охватывает выделенные помещения, технические средства, используемые РІ процессе обработки информации СЃ ограниченным доступом, вспомогательные технические средства, используемые РЅР° объектах информационной деятельности Рё РІ выделенных помещениях.
Рспользованные материалы: 1. Багриновский Рљ. Рђ., Хрусталев Р•. Р®. Новые информационные технологии. Рњ.: “РКО”. 1996. 2. Гончаров Р .Р’., Любимов Рњ.Р¤., Савельева Рќ.Р“. Рнформатика. Компьютерные системы Рё сети: учебное РїРѕСЃРѕР±РёРµ/ Р Р“РРђ, - Ростов РЅ\Р”, 1998, - 255СЃ. 3. Майоров РЎ. Р. Рнформационный бизнес: коммерческое распостронение Рё маркетинг. Рњ.: «Финансы Рё статистика» 1993Рі. 4. Макарова Рќ. Р’., Матвеева Р›. Рђ., Бройдо Р’. Р›. Рнформатика. Учебное РїРѕСЃРѕР±РёРµ. Рњ.: «Финансы Рё статистика» 1997. 5. Хольденберг Р’.Рђ. Введение РІ программирование. Учебное РїРѕСЃРѕР±РёРµ. РњРЅ.: РћРћРћ «Харвест», 1997. – 528СЃ. 6. ТЕХНРЧЕСКРР• СРЕДСТВА РМЕТОДЫ Р—РђР©РРўР« РНФОРМАЦРР: УЧЕБНРРљ ДЛЯ Р’РЈР—РћР’ Автор/создатель: Зайцев Рђ.Рџ., Шелупанов Рђ.Рђ., Мещеряков Р .Р’., Скрыль РЎ.Р’., Голубятников Р.Р’.
Заключение.
Специальные проверки проводится РІ лабораторных условиях перед установкой технических средств РЅР° объектах Заказчика. РџРѕ результатам специальных проверок составляется акт Рё заключение, РІ котором указывается возможность применения технических средств РїРѕ назначению, Р° также ограничения РїРѕ его применению. Установка технических средств обработки конфиденциальной информации, Р° также средств защиты информации должна выполняться РІ соответствии СЃ техническим проектом или техническим решением. Разработка технических решений Рё технических проектов РЅР° установку Рё монтаж РўРЎРћР, Р° также средств защиты информации производится подразделениями РїРѕ защите информации (службами безопасности предприятий) или проектными организациями, имеющими лицензию ФСТРРљ, РЅР° основании технических заданий РЅР° проектирование, выдаваемых заказчиками. |
|
Последнее изменение этой страницы: 2016-06-09 lectmania.ru. Все права принадлежат авторам данных материалов. В случае нарушения авторского права напишите нам сюда... |