Основные понятия

Вступительное слово

 

Защита информации должна осуществляться посредством выполнения комплекса мероприятий и применение (при необходимости) средств ЗИ по предотвращению утечки информации или воздействия на нее по техническим каналам, за счет несанкционированного доступа к ней, по предупреждению преднамеренных программно-технических воздействий с целью нарушения целостности (уничтожения, искажения) информации в процессе ее обработки, передачи и хранения, нарушения ее доступности и работоспособности технических средств.

Организация технической защиты информации сложный и объемный процесс, который требует наличия определенных знаний и опыта. Не вникая в технические аспекты рассмотрим только организационную составляющую. Для этого остановимся на изучении основных терминов и определений.

Абонентский пункт (АП) ‑ средства вычислительной техники учреждения (предприятия), подключаемые к сетям с помощью коммуникационного оборудования.

АП могут быть в виде автономных персональных электронно-вычислительных машин (ПЭВМ) с модемом и не иметь физических каналов связи с другими средствами вычислительной техники (СВТ) организации, а также в виде одной или нескольких объединенных локальных вычислительных сетей (ЛВС) с рабочими станциями и серверами, соединенных с сетями через коммуникационное оборудование (модемы, мосты, шлюзы, маршрутизаторы-роутеры, мультиплексоры, коммуникационные серверы и т.п.).

Автоматизированная система (АС) ‑ система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

Вспомогательные технические средства и системы (ВТСС) ‑ технические средства и системы, не предназначенные для передачи, обработки и хранения конфиденциальной информации, устанавливаемые совместно с основными техническими средствами и системами или в защищаемых помещениях.

К ним относятся:

- различные телефонные средства и системы;

- средства и системы передачи данных в системе радиосвязи;

- средства и системы охранной и пожарной сигнализации;

- средства и системы оповещения и сигнализации;

- контрольно-измерительная аппаратура;

- средства и системы кондиционирования;

- средства и системы проводной радиотрансляционной сети и приема программ радиовещания и телевидения (абонентские громкоговорители, системы радиовещания, телевизоры и радиоприемники и т.д.);

- средства электронной оргтехники;

- средства и системы электрочасофикации;

- иные технические средства и системы.

Защита информации от несанкционированного доступа (защита от НСД) или воздействия ‑ деятельность, направленная на предотвращение получения информации заинтересованным субъектом (или воздействия на информацию) с нарушением установленных прав или правил.

Специальный защитный знак (СЗЗ) ‑ сертифицированное и зарегистрированное в установленном порядке изделие, предназначенное для контроля несанкционированного доступа к объектам защиты путем определения подлинности и целостности СЗЗ, путем сравнения самого знака или композиции "СЗЗ - подложка" по критериям соответствия характерным признакам визуальными, инструментальными и другими методами.

Защищаемые помещения (ЗП) ‑ помещения (служебные кабинеты, актовые, конференц-залы и т.д.), специально предназначенные для проведения конфиденциальных мероприятий (совещаний, обсуждений, конференций, переговоров и т.п.).

Контролируемая зона (КЗ) ‑ это пространство (территория, здание, часть здания), в котором исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового допуска, и посторонних транспортных средств.

Границей КЗ могут являться:

- периметр охраняемой территории учреждения (предприятия);

- ограждающие конструкции охраняемого здания или охраняемой части здания, если оно размещено на неохраняемой территории.

В отдельных случаях на период обработки техническими средствами конфиденциальной информации КЗ временно может устанавливаться большей, чем охраняемая территория организации. При этом должны приниматься организационно-режимные и технические меры, исключающие или существенно затрудняющие возможность ведения перехвата информации в этой зоне.

Основные технические средства и системы (ОТСС) ‑ технические средства и системы, а также их коммуникации, используемые для обработки, хранения и передачи конфиденциальной информации. В контексте настоящего документа к ним относятся технические средства и системы автоматизированных систем различного уровня и назначения на базе средств вычислительной техники, средства и системы связи и передачи данных, используемые для обработки конфиденциальной информации.

Система защиты информации от НСД (СЗИ НСД) ‑ комплекс организационных мер и программно-технических (при необходимости криптографических) средств защиты от несанкционированного доступа к информации (несанкционированных действий с ней) в автоматизированной системе.

Технический канал утечки информации‑ совокупность объекта технической разведки, физической среды и средства технической разведки, которыми добываются разведывательные данные.

Требования по организации технической защиты информации распространяются на федеральные органы государственной власти, органы государственной власти субъектов Российской Федерации и органы местного самоуправления, предприятия, учреждения и организации независимо от их организационно-правовой формы и формы собственности, должностных лиц и граждан Российской Федерации, взявшим на себя обязательства либо обязанными по статусу исполнять требования правовых документов Российской Федерации по защите информации.

Требования и рекомендации настоящих правил распространяются на защиту:

­ конфиденциальной информации ‑ информации с ограниченным доступом, за исключением сведений, отнесенных к государственной тайне и персональным данным, содержащейся в государственных (муниципальных) информационных ресурсах, накопленной за счет государственного (муниципального) бюджета и являющейся собственностью государства (к ней может быть отнесена информация, составляющая служебную тайну и другие виды тайн в соответствии с законодательством Российской Федерации, а также сведения конфиденциального характера в соответствии с "Перечнем сведений конфиденциального характера", утвержденного Указом Президента Российской Федерации от 06.03.97 №188), защита которой осуществляется в интересах государства (далее - служебная тайна);

­ информации о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющей идентифицировать его личность (персональные данные).

Для защиты конфиденциальной информации, содержащейся в негосударственных информационных ресурсах, режим защиты которой определяет собственник этих ресурсов (например, информации, составляющей коммерческую, банковскую тайну и т.д.) (далее - коммерческая тайна), данные правила носят рекомендательный характер.

Данные правила определяют следующие основные вопросы защиты информации:

- организацию работ по защите информации, в том числе при разработке и модернизации объектов информатизации и их систем защиты информации;

- состав и основное содержание организационно-распорядительной, проектной, эксплуатационной и иной документации по защите информации;

- порядок обеспечения защиты информации при эксплуатации объектов информатизации;

- порядок обеспечения защиты информации при взаимодействии абонентов с информационными сетями общего пользования.

Защита информации, обрабатываемой с использованием технических средств, является составной частью работ по созданию и эксплуатации объектов информатизации различного назначения и должна осуществляться в установленном настоящими правилами порядке в виде системы защиты информации во взаимосвязи с другими мерами по защите информации.

Защите подлежит информация, как речевая, так и обрабатываемая техническими средствами, а также представленная в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, оптической и иной основе, в виде информационных массивов и баз данных в АС.

Защищаемыми объектами информатизации являются:

- средства и системы информатизации (средства вычислительной техники, автоматизированные системы различного уровня и назначения на базе средств вычислительной техники, в том числе информационно-вычислительные комплексы, сети и системы, средства и системы связи и передачи данных, технические средства приема, передачи и обработки информации (телефонии, звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), используемые для обработки конфиденциальной информации;

- технические средства и системы, не обрабатывающие непосредственно конфиденциальную информацию, но размещенные в помещениях, где она обрабатывается (циркулирует);

- защищаемые помещения.