- •Законодательные основы обеспечения информационной безопасности
- •Основные направления правового обеспечения информационной безопасности
- •Министр Российской Федерации по атомной энергии
- •Первый заместитель председателя Госкомоборонпрома России
- •3. Ответственность за преступления в области информационных технологий
- •Содержание.
- •1.2 Защита информации.
- •1.3 Эффективность защиты информации.
- •2. Защита информации от технических разведок.
- •2.1. Технические разведки.
- •2.2. Объекты защиты.
- •2.3. Технические средства и способы защиты.
- •3.1. Общие понятия.
- •3.2. Безопасность информации.
- •3.3. Защита информации. Основные понятия.
- •3.6. Защита информации от воздействия специальных электронных закладных устройств (аппаратных закладок) и внешних воздействий.
- •4. Защита акустической информации
- •4.1. Общие понятия
- •4.2. Каналы утечки акустической (речевой) информации
- •4.3. Защита "выделенных" помещений
- •Алфавитный указатель терминов
- •1. Национальные интересы Российской Федерации в информационной сфере и их обеспечение
- •2. Виды угроз информационной безопасности Российской Федерации
- •3. Источники угроз информационной безопасности Российской Федерации
- •4. Состояние информационной безопасности Российской Федерации и основные задачи по ее обеспечению
- •5. Общие методы обеспечения информационной безопасности Российской Федерации
- •6. Особенности обеспечения информационной безопасности Российской Федерации в различных сферах общественной жизни
- •7. Международное сотрудничество Российской Федерации в области обеспечения информационной безопасности
- •8. Основные положения государственной политики обеспечения информационной безопасности Российской Федерации
- •9. Первоочередные мероприятия по реализации государственной политики обеспечения информационной безопасности Российской Федерации
- •10. Основные функции системы обеспечения информационной безопасности Российской Федерации
- •11. Основные элементы организационной основы системы обеспечения информационной безопасности Российской Федерации
- •Глава 1. Общие положения
- •Глава 2. Информационные ресурсы
- •Глава 3. Пользование информационными ресурсами
- •Глава 4. Информатизация, информационные системы, технологии и средства их обеспечения
- •Глава 5. Защита информации и прав субъектов в области информационных процессов и информатизации
- •Раздел I. Общие положения
- •Раздел II. Перечень сведений, составляющих государственную тайну
- •Раздел III. Отнесение сведений к государственной тайне и их засекречивание
- •Раздел IV. Рассекречивание сведений и их носителей
- •Раздел V. Распоряжение сведениями, составляющими государственную тайну
- •Раздел VI. Защита государственной тайны
- •Раздел VII. Финансирование мероприятий по защите государственной тайны
- •Раздел VIII. Контроль и надзор за обеспечением защиты государственной тайны
- •19 Сентября 1997 года
- •24 Сентября 1997 года
- •Госстандарт россии Москва 1996 Предисловие
- •3 Введен впервые
- •Введение
- •Гост р 50922-96
- •4 Классификация факторов, воздействующих на защищаемую информацию
3.3. Защита информации. Основные понятия.
3.3.1. Защита информации при ее обработке техническими средствами Действия, направленные на обеспечение безопасности информации при ее обработке техническими средствами от всех видов угроз и факторов опасности. При обработке информации техническими средствами различают организационную и техническую защиты.
3.3.2. Организационная защита информации Защита информации при ее обработке техническими средствами, осуществляемая путем принятия административных мер. Административные меры включают выбор места расположения объекта, не подверженного внешним воздействиям, организацию контролируемой (проверяемой) зоны, выполнение правил учета, хранения и обращения секретных (конфиденциальных) документов на различных носителях и другие меры.
3.3.3. Техническая защита информации Защита информации при ее обработке техническими средствами, осуществляемая с использованием технических средств и способов защиты. К техническим средствам и способам защиты информации при ее обработке техническими средствами в общем случае относятся аппаратные, автономные (инженерные) и программные средства, а также криптографические методы.
3.3.4. Аппаратное средство защиты информации Специальное защитное устройство или приспособление, входящее в комплект технического средства обработки информации.
3.3.5. Автономное (инженерное) средство устройство защиты информации Специальное защитное сооружение, или приспособление, не входящее в комплект технического средства обработки информации, а также устройство общего назначения, используемое для целей защиты.
3.3.6. Программное средство защиты информации Специальная программа, входящая в комплект программного обеспечения и предназначенная для защиты информации.
3.3.7. Криптографический метод защиты информации Метод защиты информации, основанный на принципе ее шифрования. Криптографический метод может быть реализован как программными, так и аппаратными средствами.
3.3.8. Защищенное техническое средство обработки информации Техническое средство обработки информации, в котором средства и способы защиты реализованы на стадиях его разработки и изготовления.
3.3.9. Защищенный объект информатики Объект информатики, соответствующий требованиям стандартов и других нормативных документов по обеспечению безопасности обрабатываемой информации.
3.3.10. Гарантия защиты Наличие сертификата соответствия для технического средства обработки информации или аттестата на объект информатики, подтверждающих, что безопасность обрабатываемой информации соответствует требованиям стандартов и других нормативных документов.
3.3.11. Администратор защиты Субъект информационных отношений, ответственный за защиту информации.
3.4. Защита информации от утечки за счет побочных электромагнитных излучений и наводок.
3.4.1. Информативность побочных электромагнитных излучений и наводок Наличие в составе побочных электромагнитных излучений и наводок, создаваемых техническими средствами обработки информации, признаков обрабатываемой информации.
3.4.2. Задача перехвата Задача получения информации, которая решается на основе обработки перехваченных побочных электромагнитных излучений и наводок.
3.4.3. Случайная антенна Электрическая цепь вспомогательного технического средства или системы (ВТСС), способная принимать побочные электромагнитные излучения. Случайные антенны могут быть сосредоточенными (3.4.4) и распределенными (3.4.5).
3.4.4. Сосредоточенная случайная антенна Случайная антенна, представляющая собой компактное техническое средство. К сосредоточенным случайным антеннам относятся телефонные аппараты, громкоговорители радиотрансляционной сети и другие компактные технические устройства и приспособления.
3.4.5. Распределенная случайная антенна Случайная антенна с распределенными параметрами. К распределенным случайным антеннам относятся кабели, провода, металлические трубопроводы и другие токопроводящие коммуникации.
3.4.6. (Опасная) зона I Пространство вокруг технического средства обработки информации, в пределах которого на случайных антеннах наводится опасный сигнал выше допустимого нормированного уровня. В зоне I запрещается размещение случайных антенн, имеющих выход по токопроводящим коммуникациям за пределы контролируемой зоны.
3.4.7. (Опасная) зона 2 Пространство вокруг технического средства обработки информации, в пределах которого отношение опасный сигнал/помеха для составляющих напряженности электромагнитного поля превышает допустимое нормированное значение. Зона 2 должна быть контролируемой, так как в этой зоне возможен перехват побочных электромагнитных излучений с помощью идеального (квазиидеального) приемника и последующая расшифровка содержащейся в них информации.
3.4.8. Радиус (опасной) зоны Радиус сферы, охватывающий зону 1 или зону 2.
3.4.9. Контролируемая зона Территория вокруг технического средства обработки информации, в пределах которой не допускается несанкционированное пребывание посторонних лиц и транспортных средств. Размер контролируемой зоны должен быть не менее размера зоны 2 (3.4.7).
3.4.10. Проверяемая зона Временная контролируемая зона, устанавливаемая на период обработки секретной или конфиденциальной информации.
3.4.11. Устройство электромагнитного зашумления. Широкополосный излучатель (генератор) электромагнитного шума, предназначенный для маскировки (подавления) информационного электромагнитного поля, создаваемого техническими средствами обработки информации, или наводок в токопроводящих коммуникациях, в заданной полосе частот.
3.4.12. Зона электромагнитного зашумления Пространство вокруг устройства электромагнитного зашумления, в пределах которого уровень создаваемых маскирующих помех выше уровня электромагнитного фона (уровня стабильных индустриальных помех).
3.4.13. Развязывающие устройства и приспособления Устройства и приспособления в цепях электроснабжения, линиях связи и других токопроводящих коммуникациях, предназначенные для предотвращения выхода опасного сигнала за пределы контролируемой зоны объекта. К развязывающим устройствам и приспособлениям относятся мотор-генераторы, фильтры различного назначения и изолирующие вставки.
3.4.14. Мотор-генератор Развязывающее устройство в цепи электроснабжения, представляющее собой электротехнический комплекс, состоящий из электромотора и электрогенератора, посаженных на одну ось.
3.4.15. Электрический фильтр Электротехническое развязывающее устройство в цепях электроснабжения, линиях связи и других токопроводящих коммуникациях, предназначенное для пропускания определенного диапазона частот электрических колебаний.
3.4.16. Изолирующая вставка Развязывающее приспособление, представляющее собой токонепроводящую вставку в токопроводящих коммуникациях (например, отрезок керамической трубы в металлическом трубопроводе).
3.4.17. Заземляющее устройство Устройство, предназначенное для снижения уровня побочных электромагнитных излучений технических средств обработки информации и наводок от них путем соединения металлических корпусов (экранов) изделий, экранирующих оплеток кабелей и других токопроводящих коммуникаций с нулевым потенциалом Земли.
3.4.18. Специальные исследования Исследования, которые проводятся на объекте эксплуатации технических средств обработки информации с целью определения соответствия принятой системы защиты информации требованиям стандартов и других нормативных документов, а также для выработки соответствующих рекомендаций по доведению системы защиты до требуемого уровня. Специальные исследования проводятся с использованием необходимых средств и методов измерений. По результатам специсследований разрабатывается предписание на эксплуатацию. Специальные исследования могут предшествовать аттестации объекта комиссией или совмещаться с нею.
3.5. Защита информации от несанкционированного доступа штатными техническими средствами.
3.5.1. Штатное техническое средство (информационного доступа) Техническое средство, входящее в комплект - средств вычислительной техники, установленный на объекте, или другое СВТ, используемое для проведения диалога с вычислительной системой и осуществления доступа к информационному ресурсу.
3.5.2. Доступ к информации Процесс ознакомления с информацией, ее документирование, модификация или уничтожение, осуществляемые с использованием штатных технических средств.
3.5.3. Объект доступа Единица информационного ресурса, к которой осуществляется доступ штатными техническими средствами.
3.5.4. Субъект доступа Лицо или процесс, осуществляющие доступ к информационному ресурсу с использованием штатных технических средств.
3.5.5. Правила доступа Правила, установленные для осуществления доступа субъекта к информационному ресурсу с использованием штатных технических средств.
3.5.6. Санкционированный доступ (к информации) Доступ к информационному ресурсу, который осуществляется штатными техническими средствами в соответствии с установленными правилами.
3.5.7. Несанкционированный (см. 3.2.16.) доступ (к информации)
3.5.8. Компьютерное преступление Осуществление несанкционированного доступа к информационному ресурсу, его модификация (подделка) или уничтожение с целью получения имущественных выгод для себя или для третьего лица, а также для нанесения имущественного ущерба своему конкуренту.
3.5.9. Нарушитель правил доступа Лицо, осуществляющее несанкционированный доступ к информационному ресурсу с использованием штатных технических средств.
3.5.10. Модель нарушителя правил доступа Абстрактное (формализованное или неформализованное) описание нарушителя правил доступа к информационному ресурсу. Примерами моделей нарушителя правил доступа являются такие программы как троянский конь (3.5.11.), логическая бомба (3.5.12.), компьютерный вирус (3.5.13.) и другие.
3.5.11. Троянский конь Программа, содержащая дополнительные скрытые функции, с помощью которых используются законные полномочия субъекта для осуществления несанкционированного доступа к информации.
3.5.12. Логическая бомба Программа, которая запускается при определенных временных или информационных условиях для осуществления несанкционированного доступа к информации.
3.5.13. Компьютерный вирус Программа, которая обладает следующими свойствами:
возможностью копирования себя в другие файлы, диски, ЭВМ;
возможностью выполнения без явного вызова;
возможностью осуществления несанкционированного доступа к информации;
возможностью маскировки от попыток обнаружения.
3.5.14. Модель защиты информации от несанкционированного доступа Абстрактное (формализованное или неформализованное) описание комплекса организационных мер и программно-аппаратных средств защиты от несанкционированного доступа штатными техническими средствами, являющееся основой для разработки системы защиты информации. Основными способами защиты информации от НСД являются разграничение доступа (3.5.16.) идентификация (3.5.25.) и аутентификация (3.5.28.) пользователя. В свою очередь, основой разграничения доступа (ядро защиты) (3.5.15.).
3.5.15. Диспетчер доступа (ядро защиты) Совокупность программных и аппаратных средств контроля доступа субъектов к информационным ресурсам в соответствии с установленными правилами, защищенная от внешних воздействий.
3.5.16. Разграничение доступа Наделение каждого пользователя (субъекта доступа) индивидуальными правами по доступу к информационному ресурсу и проведению операций по ознакомлению с информацией, ее документированию, модификации и уничтожению. Разграничение доступа может осуществляться по различным моделям, построенным по тематическому признаку или по грифу секретности разрешенной к пользованию информации.
3.5.17. Уровень полномочий субъекта доступа Совокупность прав доступа субъекта к информационному ресурсу.
3.5.18. Концепция доступа Модель управления доступом, осуществляемая в абстрактной ЭВМ, которая посредничает при всех обращениях субъектов к информационным ресурсам. Существуют следующие концепции доступа: дискреционное управление, мандатное управление, многоуровневая защита.
3.5.19. Дискреционное управление доступом Концепция (модель) доступа к объектам по тематическому признаку, при которой субъект доступа с определенным уровнем полномочий может передать свое право любому другому субъекту.
3.5.20. Мандатное управление доступом Концепция (модель) доступа субъектов к информационным ресурсам по грифу секретности разрешенной к пользованию информации, определяемому меткой секретности (конфиденциальности) (3.5.24.).
3.5.21. Многоуровневая защита Концепция (модель) доступа субъектов с различными правами к объектам различных уровней секретности.
3.5.22. Средство разграничения доступа Программно-аппаратное средство, обеспечивающее разграничение доступа субъектов к информационным ресурсам в соответствии с принятой моделью. Средствами разграничения доступа являются матрица доступа (3.5.23.) и метка секретности (конфиденциальности) (3.5.24.).
3.5.23. Матрица доступа Таблица, отображающая правила доступа субъектов к информационным ресурсам, данные о которых хранятся в диспетчере доступа.
3.5.24. Метка секретности (конфиденциальности) Элемент информации (бит), который характеризует степень секретности (конфиденциальности) информации, содержащейся в объекте.
3.5.25. Идентификация доступа Присвоение субъектам и объектам доступа идентификаторов (3.5.26) и сравнение предъявленного идентификатора с утвержденным перечнем.
3.5.26. Идентификатор Средство идентификации доступа, представляющее собой отличительный признак субъекта или объекта доступа. Основным средством идентификации доступа для пользователей является пароль (3.5.27).
3.5.27. Пароль Средство идентификации доступа, представляющее собой кодовое слово в буквенной, цифровой или буквенно-цифровой форме, которое вводится в ЭВМ перед началом диалога с нею с клавиатуры терминала или при помощи идентификационной (кодовой) карты (3.5.32.).
3.5.28. Аутентификация пользователя Подтверждение подлинности пользователя с помощью предъявляемого им аутентификатора (3.5.29.).
3.5.29. Аутентификатор Средство аутентификации, представляющее отличительный признак пользователя. Средствами аутентификации пользователя могут быть дополнительные кодовые слова, биометрические данные и другие отличительные признаки пользователя, которые вводятся в ЭВМ с клавиатуры дисплея, с идентификационной карты или при помощи специального устройства аутентификации по биометрическим данным.
3.5.30. Дополнительное кодовое слово Средство аутентификации, представляющее собой кодовое слово, которое запрашивается у пользователя дополнительно после предъявления пароля. Дополнительные кодовые слова могут представлять собой ответы на такие вопросы, которые едва ли известны нарушителю правил доступа. Например, год рождения отца (матери), имя племянника сестры и т.д.
3.5.31. Биометрические данные Средства аутентификации, представляющие собой такие личные отличительные признаки пользователя как тембр голоса, форма кисти руки, отпечатки пальцев и т.д., оригиналы которых в цифровом виде хранятся в памяти ЭВМ.
3.5.32. Идентификационная (кодовая) карта Перфорированная бумажная или магнитная карта с нанесенным на ней кодовым словом (паролем), предназначенная для идентификации доступа пользователя к информационному ресурсу.
3.5.33. Устройство регистрации доступа пользователей Программно-аппаратное устройство, обеспечивающее регистрацию пользователей при всех их обращениях к вычислительной системе с указанием номера терминала, даты и времени обращения.
3.5.34. Устройство прерывания программы Программно-аппаратное устройство, обеспечивающее прерывание (блокирование) пользователя программы пользователя в случае попыток несанкционированного доступа.
3.5.35. Устройство выдачи сигнала тревоги Программно-аппаратное устройство, обеспечивающее выдачу звукового и/или светового сигнала на контрольный пост в случае попыток несанкционированного доступа.
3.5.36. Устройство стирания Программно-аппаратное устройство, данных обеспечивающее стирание оставшихся после обработки данных в ОЗУ путем записи нулей во все ячейки соответствующего блока памяти.
3.5.37. Устройство повышения достоверности идентификации Программно-аппаратное устройство, обеспечивающее корректировку ошибок идентификации, переданных с удаленных терминалов по каналам связи. Для корректировки ошибок используются различные способы: обратная посылка сообщений на передающий конец для сравнения его с оригиналом, посылка одновременно с сообщением контрольных разрядов, использование избыточных кодов (код Хемминга, циклические коды) и т.д.
3.5.38. Модульный диалог Способ защиты управляющей программы, основанный на расчленении ее на отдельные элементы (модули), доступ к каждому из которых осуществляется путем ввода соответствующего кодового слова.
3.5.39. Программная интерпретация Способ защиты управляющей программы от несанкционированной модификации путем загрузки ее в измененной форме с помощью кодового оптимизатора.