Защита информации
.pdf34.ГОСТ Р ИСО 7498-2-99. Информационная технология.Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Архитектура за щиты информации.
35.ГОСТ 28147-89. Системы обработки информации.Защита криптогра фическая. Алгоритм криптографического преобразования.
36.ГОСТ Р 50840-95. Методы оценки качества, разборчивости, узнавае мости.
37.ГОСТ Р 51583-2000 «Порядок создания автоматизированных систем в защищенном исполнении».
38.ГОСТ Р 51624 -2000 “Защита информации.Автоматизированные сис темы в защищенном исполнении. Общие положения”.
39.ГОСТ Р 51241-98 «Средства и системы контроля и управления досту пом. Классификация. Общие технические требования. Методы испы таний».
40.ГОСТ Р 51241 “Средства и системы контроля и управления досту пом. Классификация. Общие технические требования. Методы испы таний”.
41.ГОСТ Р 50739-95 «Средства вычислительной техники. Защита от не санкционированного доступа к информации».
42.ГОСТ 45.127-99. Система обеспечения инфомационной безопасности Взаимоувязанной сети связи Российской Федерации.Термины и опре деления.
43.ГОСТ Р 51558-2000.“Системы охранные телевизионные. Общие тех нические требования и методы испытаний”.
44.ГОСТ 12.1.050-86 «Методы измерения шума на рабочих местах».
45. |
ГОСТ 34.602-89 «Информационная технология. Комплекс |
стандартов |
|
на автоматизированные системы. Техническое задание на создание ав |
|
|
томатизированных систем». |
|
46. |
ГОСТ 34.003-90 «Информационная технология. Комплекс |
стандартов |
|
на автоматизированные системы. Автоматизированные системы. Тер |
|
|
мины и определения». |
|
47.РД Госстандарта СССР 50-682-89 «Методические указания. Инфор мационная технология. Комплекс стандартов и руководящих докумен тов на автоматизированные системы. Общие положения».
48.РД Госстандарта СССР 50-34.698-90 «Методические указания. Инфор мационная технология. Комплекс стандартов и руководящих докумен тов на автоматизированные системы. Автоматизированные системы. Требования к содержанию документов».
49.РД Госстандарта СССР 50-680-89 «Методические указания. Автома
тизированные системы. Основные положения».
50. ГОСТ 34.60190 «Информационная технология. Комплекс стандар тов на автоматизированные системы. Автоматизированные системы. Стадия создания».
51. ГОСТ 6.38-90 «Система организационно-распорядительной докумен тации. Требования к оформлению».
401
52. ГОСТ 6.1084 «Унифицированные системы документации. Придание юридической силы документам на машинном носителе и машинограм ме, создаваемым средствами вычислительной техники, ЕСКД, ЕСПД
иЕСТД».
53.ГОСТ Р-92 «Система сертификации ГОСТ. Основные положения».
54.ГОСТ Р 50460-92 “Знак соответствия при обязательной сертификации. Форма, размеры и технические требования”.
55.ГОСТ Р 51000.5-96 “Общие требования к органам по сертификации продукции и услуг”.
56.ГОСТ 28195-89 «Оценка качества программных средств. Общие поло жения».
57.ГОСТ Р ИСО\МЭК 912690 «Информационная технология. Оценка
программной продукции. Характеристика качества и руководства по их применению».
58.ГОСТ 2.111-68 «Нормоконтроль».
59. РД Гостехкомиссии России |
«Защита от несанкционированного досту |
|
па к информации. Часть 1. Программное обеспечение средств защиты |
||
информации. Классификация |
по |
уровню контроля ^декларирован |
ных возможностей», Москва, 1999 г. |
|
|
60.РД Гостехкомиссии России «Средства защиты информации. Специ альные общие технические требования, предъявляемые к сетевым по мехоподавляющим фильтрам», Москва, 2000 г.
61.ГОСТ 13661-92 «Совместимость технических средств электромагнит ная. Пассивные помехоподавляющие фильтры и элементы. Методы из мерения вносимого затухания».
62.«Временная методика оценки защищенности основных технических средств и систем, предназначенных для обработки, хранения и (или) передачи по линиям связи конфиденциальной информации», Гостех комиссия России, Москва, 2001 г.
63.«Временная методика оценки защищённости конфиденциальной ин формации, обрабатываемой основными техническими средствами и
системами, от утечки за счёт наводок на вспомогательные техничес кие средства и системы и их коммуникации», Гостехкомиссия России, Москва, 2001 г.
64.«Временная методика оценки защищенности речевой конфиденциаль ной информации от утечки по акустическому и виброакустическому каналам», Гостехкомиссия России, Москва, 2001 г.
65.«Временная методика оценки защищенности речевой конфиденциаль ной информации от утечки за счет электроакустических преобразова ний з вспомогательных технических средствах и системах», Гостехко миссия России, Москва, 2001 г.
66.ГОСТ 29216-91 «Совместимость технических средств электромагнит ная. Радиопомехи индустриальные от оборудования информационной техники. Нормы и методы испытаний».
67.СанПиН 2.2.2.542-96 «Гигиенические требования к видеодисплейным терминалам, персональным электронно-вычислительным машинам и организация работы».
402
68.ГОСТ Р 50948-96. «Средства отображения информации индивидуаль ного пользования. Общие эргономические требования и требования безопасности».
69.ГОСТ Р 50949-96 «Средства отображения информации индивидуаль ного пользования. Методы измерений и оценки эргономических па раметров и параметров безопасности».
70.ГОСТ Р 50923-96 «Рабочее место оператора. Общие эргономические требования и требования к производственной среде. Методы измере ния».
71.ГОСТ 22505-83 «Радиопомехи индустриальные от приемников теле
визионных и приемников радиовещательных частотно модулирован ных сигналов в диапазоне УКВ. Нормы и методы измерений».
72.ГОСТ Р 50628-93 «Совместимость электромагнитная машин электрон ных вычислительных персональных. Устойчивость к электромагнит ным помехам. Технические требования и методы испытаний».
73.ГОСТ Р 51319-99 «Совместимость технических средств электромагнит ная. Радиопомехи индустриальные. Методы испытаний технических средств - источников индустриальных радиопомех».
74.ГОСТ Р 51320-99 «Совместимость технических средств электромагнит ная. Приборы для измерения радиопомех. Технические требования и методы испытаний».
75.ПУЭ-76 «Правила устройства электроустановок».
76.Решение Гостехкомиссии России от 14 марта 1995 г. № 32 «Типовое положение о Совете (Технической комиссии) министерства, ведомства, органа государственной власти субъекта Российской Федерации по защите информации от иностранных технических разведок и от ее утеч ки по техническим каналам».
77.Решение Гостехкомиссии России от 14 марта 1995 г. № 32 «Типовое положение о подразделении по защите информации от иностранных технических разведок и от ее утечки по техническим каналам в мини стерствах и ведомствах, в органах государственной власти субъектов Российской Федерации».
78.Решение Гостехкомиссии России от 14 марта 1995 г. № 32 «Типовое положение о подразделении по защите информации от иностранных технических разведок и от ее утечки по техническим каналам на пред приятии (в учреждении, организации)».
79.Решение Гостехкомиссии России от 3 октября 1995 г. № 42 «Типовые требования к содержанию и порядку разработки Руководства по за щите информации от технических разведок и ее утечки по техничес ким каналам на объекте».
80.Положения о государственной системе защиты информации в Россий
ской Федерации |
от иностранных технических разведок и от ее утечки |
по техническим |
каналам. Утверждено постановлением Правительства |
РФ от15.09.93 № 912.
81. Специальные требования и рекомендации по защите конфиденциаль ной информации (СТР-К) Одобрены решением коллегии Гостехкомиссии России от 2 марта 2001 г. № 7.2.
403
82.Положение по аттестации объектов информатизации по требованиям
безопасности информации.Утверждено Председателем Государственной технической комиссии при Президенте РФ 25 ноября 1994 г.
83.Постановление Правительства Российской Федерации от 26 июня 1995 г. № 608 “О сертификации средств защиты информации”.
84.Правила сертификации работ и услуг в Российской Федерации.
85.Порядок проведения сертификации продукции в Российской Федера ции.
86.Положение о системе сертификации средств защиты информации Ми нистерства обороны Российской Федерации.
87.Приказ ФАПСИ от 13 июня 2001 г. № 152 “Об утверждении Инструк
ции об организации и обеспечении безопасности хранения, обработ ки и передачи по каналам связи с использованием средств криптогра фической защиты информации с ограниченным доступом, не содер жащей сведений, составляющих государственную тайну”.
88.Положение о порядке разработки, производства, реализации и исполь зования средств криптографической защиты информации с ограни ченным доступом, не содержащей сведений, составляющих государ
ственную тайну (Положение ПКЗ-99), утвержденным приказом ФАП СИ от 23 сентября 1999 г. № 158, зарегистрированным Министерством юстиции Российской Федерации 28 декабря 1999 г., регистрационный № 2029.
404
Приложение № 2
Пример документального оформления перечня сведений конфиденциального характера
Для служебного пользования Экз. №
Утверждаю Руководитель организации
(Ф.И.О.)
ПЕРЕЧЕНЬ сведений конфиденциального характера
№ п/п |
|
Наименование сведений |
|
Примечание |
|
|
|
||
1. |
Сведения, раскрывающие систему, сред |
|
||
|
ства защиты информации ЛВС организа |
|
||
|
ции от НСД, а также значения действую |
|
||
|
щих кодов и паролей. |
|
|
|
2. |
Сводный перечень работ организации на |
|
||
|
перспективу, на год (квартал). |
|
|
|
3. |
Сведения, содержащиеся в лицевых счетах |
|
||
|
пайщиков страховых взносов. |
|
|
|
|
|
|
||
4. |
Сведения, содержащиеся в индивидуаль |
|
||
|
ном лицевом счете застрахованного лица. |
|
||
5. |
Основные показатели задания на проек |
|
||
|
тирование комплекса (установки). НОУ- |
|
||
|
ХАУ технологии - различные техничес |
|
||
|
кие, коммерческие и другие сведения, |
|
||
|
оформленные в виде технической доку |
|
||
|
ментации. |
|
|
|
6. |
Методические материалы, типовые техно |
|
||
|
логические и конструктивные решения, |
|
||
|
разработанные организацией и использу |
|
||
|
емые при проектировании. |
|
|
|
7. |
Требования |
по обеспечению сохранения |
|
|
|
служебной |
тайны при выполнении |
работ |
|
|
в организации. |
|
|
|
8. |
Порядок передачи служебной информа |
|
||
|
ции ограниченного распространения дру |
|
||
|
гим организациям. |
|
|
|
|
|
|
|
|
405
Приложение № 3 Форма технического паспорта на автоматизированную систему
УТВЕРЖДАЮ Руководитель организации
________________ (Ф.И.О.)
ТЕХНИЧЕСКИМ ПАСПОРТ
(указывается полное наименование автоматизированной системы)
СОГЛАСОВАНО РАЗРАБОТАЛ
(Представитель подразделения по защите информации)
“ ” г.
(Год)
1. Общие сведения об АС
1.1 .Наименование АС:____
(полное наименование АС)
1.2.Расположение АС:
(адрес, здание, строение, этаж, комнаты)
1.3.Класс АС:
(номер и дата акта классификации АС, класс АС)
2. Состав оборудования АС 2.1.Состав ОТСС:
Таблица 1
П Е Р Е Ч Е Н Ь основных технических средств и систем,
входящих в состав АС__________________
№ п/п |
Тип ОТСС |
Заводской номер |
Сведения по сертификации, |
|
|
|
специсследованиям |
|
|
|
и спецпроверкам |
|
|
|
|
|
|
|
|
406
2.2. Состав ВТСС объекта:
Таблица 2
П Е Р Е Ч Е Н Ь
вспомогательных технических средств, входящих в состав АС_________
__________________________ (средств вычислительной техники, не участву ющих в обработке конфиденциальной информации)
№ п/п |
Тип ВТСС |
Заводской номер |
Примечание |
|
|
|
|
|
|
|
|
2.3. Структура, топология и размещение ОТСС относительно границ контролируемой зоны объекта:
структурная (топологическая) схема с указанием информационных связей между устройствами; схема размещения и расположения ОТСС на объекте с привязкой к границам контролируемой зоны, схема прокладки линий передачи конфиденциальной информации с привязкой к границам контролируемой зоны объекта.
2.4. Системы электропитания и заземления:
схемы электропитания и заземления ОТСС объекта. Схемы прокладки кабелей и шины заземления. Схемы расположения трансформаторной под станции и заземляющих устройств с привязкой к границам контролируемой зоны объекта. Схемы электропитания розеточной и осветительной сети объек та. Сведения о величине сопротивления заземляющего устройства.
2.5. Состав средств защиты информации:
Таблица 3
ПЕРЕЧЕНЬ
средств защиты информации, установленных на АС________________
№ п/п |
Наименование и тип |
Заводской |
Сведения о |
Место и дата |
|
технического средства |
номер |
сертификате |
установки |
|
|
|
|
|
|
|
|
|
|
3. Сведения об аттестации объекта информатизации на соответствие требованиям по безопасности информации:
инвентарные номера аттестата соответствия, заключения по резуль татам аттестационных испытаний, протоколов испытаний и даты их реги страции.
4. Результаты периодического контроля.
|
|
Таблица 4 |
|
|
|
Дата проведения |
Наименование организации, |
Результаты проверки, номер |
|
проводившей проверку |
отчетного документа |
|
|
|
|
|
|
Лист регистрации изменений
407
Приложение № 4 Форма технического паспорта на защищаемое помещение
УТВЕРЖДАЮ Руководитель организации
________________ (Ф.И.О.)
ТЕХНИЧЕСКИЙ ПАСПОРТ
на защищаемое помещение №______
Составил
(Подпись специалиста подразделения по защите информации)
Ознакомлен__________________________________________________
(Подпись лица, ответственного за помещение)
(Год)
Перечень оборудования, установленного в помещении
Вид оборудования |
Тип |
Учетный |
Дата |
Класс |
Сведения по |
|
|
(зав.) |
установки |
тс |
сертификации, |
|
|
номер |
|
(ОТСС |
специсследованиям и |
|
|
|
|
или BTCC) |
спецпроверкам |
|
|
|
|
|
|
|
|
|
|
|
|
Меры защиты информации
(пример)
1. Телефонный аппарат коммутатора директора (инв.№ 7). Выполнены требования предписания на эксплуатацию: (Перечень предусмотренных мер защиты согласно предписанию). 2. Телефонный аппарат № 7-17.
На линию установлено защитное устройство “Сигнал-5”, зав.№ 017. 3. Пульт коммутатора.
Выполнены требования предписания на эксплуатацию.
408
4. Часы электронные.
Выполнены требования предписания на эксплуатацию.
5. Вход в помещение оборудован тамбуром, двери двойные, обшиты слоем ваты и дермантина. Дверные притворы имеют резиновые уплотне ния.
6. Доступ к вентиляционным каналам, выходящим на чердак здания, посторонних лиц исключен (приводятся предусмотренные для этого меры).
Отметка о проверке средств защиты
Вид оборудования |
Учетный |
Дата |
Результаты проверки и |
|
номер |
проверки |
№ отчетного документа |
|
|
|
|
Результаты аттестационного и периодического контроля помещения
Дата проведения |
Результаты аттестации или периодического контроля, |
Подпись |
|
№ отчетного документа |
проверяющего |
|
|
|
|
|
|
Приложение 4а
П А М Я Т К А по обеспечению режима безопасности и эксплуатации
оборудования, установленного в защищаемом помещении №________
(Примерный текст)
1. Ответственность за режим безопасности в защищаемом помещении (ЗП) и правильность использования установленных в нем технических средств несет лицо, которое постоянно в нем работает, или лицо, специаль но на то уполномоченное.
2.Установка нового оборудования, мебели и т.п. или замена их, а так же ремонт помещения должны проводиться только по согласованию с под разделением (специалистом) по защите информации предприятия.
3.В нерабочее время помещение должно закрываться на ключ.
4.В рабочее время, в случае ухода руководителя, помещение должно быть закрыто на ключ или оставлять его под ответственность лиц, назна ченных руководителем подразделения.
5.При проведении конфиденциальных мероприятий бытовая радио
аппаратура, установленная в помещении (телевизоры, радиоприемники и т.п.), должна отключаться от сети электропитания.
409
6.Для исключения просмотра текстовой и графической конфиденци альной информации через окна помещения рекомендуется оборудовать их шторами (жалюзи).
7.Должны выполняться предписания на эксплуатацию средств связи, вычислительной техники, оргтехники, бытовых приборов и другого обо рудования, установленного в помещении.
8.Запрещается использование в ЗП радиотелефонов, оконечных уст ройств сотовой, пейджинговой и транкинговой связи. При установке в ЗП телефонных и факсимильных аппаратов с автоответчиком, спикерфоном и имеющих выход в городскую АТС, следует отключать эти аппараты на вре мя проведения конфиденциальных мероприятий.
9.Повседневный контроль за выполнением требований по защите по мещения осуществляют лица, ответственные за помещение, и служба безо пасности организации.
10.Периодический контроль эффективности мер защиты помещения осуществляется специалистами по защите информации.
Примечание: В памятку целесообразно включать и другие сведения, учитыва ющие особенности установленного в ЗП оборудования; действия персонала в слу чае срабатывания установленной в помещении сигнализации, порядок включения средств защиты, организационные меры защиты и т.п.
Приложение № 5 Форма аттестата соответствия автоматизированной системы
АТТЕСТАТ СООТВЕТСТВИЯ
№____
(указывается полное наименование автоматизированной системы)
требованиям по безопасности информации
Выдан “____ ”________ ”_____ г.
1. Настоящим АТТЕСТАТОМ удостоверяется, что:
(приводится полное наименование автоматизированной системы)
класса защищенности_______________ соответствует требованиям норматив ной документации по безопасности информации.
Состав комплекса технических средств автоматизированной системы (АС), с указанием заводских номеров, модели, изготовителя, номеров сер тификатов соответствия, схема размещения в помещениях и относительно границ контролируемой зоны, перечень используемых программных
410