Большая энциклопедия промышленного шпионажа - Каторин Юрий Федорович Страница 111

Настоящий стандарт распространяется на требования по организации защиты информации при создании и эксплуатации объектов информатизации, используемых в различных областях деятельности (обороны, экономики, науки и других областях).

Положения настоящего стандарта подлежат применению на территории Российской Федерации органами государственной власти, местного самоуправления, предприятиями и учреждениями независимо от их организационно-правовой формы и формы собственности, должностными лицами и гражданами Российской Федерации, взявшими на себя обязательства либо обязанными по статусу исполнять требования правовых документов Российской Федерации по защите информации.

2. Определения и сокращения

2.1. В настоящем стандарте применяют следующие термины с соответствующими определениями:

информация — сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления;

защищаемая информация — информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации;

фактор, воздействующий на защищаемую информацию, — явление, действие или процесс, результатом которого могут быть утечка, искажение, уничтожение защищаемой информации, блокирование доступа к ней;

объект информатизации — совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров;

информационные ресурсы — отдельные документы и отдельные массивы документов, документы и массивы документов, содержащиеся в информационных системах (библиотеках, архивах, фондах, банках данных, информационных системах других видов);

информационная технология — приемы, способы и методы применения технических и программных средств при выполнении функций обработки информации;

обработка информации — совокупность операций сбора, накопления, ввода, вывода, приема, передачи, записи, хранения, регистрации, уничтожения, преобразования, отображения информации;

система обработки информации — совокупность технических средств и программного обеспечения, а также методов обработки информации и действий персонала, обеспечивающая выполнение автоматизированной обработки информации;

средства обеспечения объекта информатизации — технические средства и системы, их коммуникации, не предназначенные для обработки информации, но устанавливаемые вместе со средствами обработки информации на объекте информатизации;

побочное электромагнитное излучение — электромагнитное излучение, вызванное паразитной генерацией в электрических цепях технических средств обработки информации;

паразитное электромагнитное излучение — электромагнитное излучение, вызванное паразитной генерацией в электрических цепях технических средств обработки информации;

наводки — токи и напряжения в токопроводящих элементах, вызванные электромагнитными излучением, емкостными и индуктивными связями;

закладочное устройство — элемент средства съема информации, скрытно внедряемый (закладываемый или вносимый) в места возможного съема информации (в том числе в ограждение, конструкцию, оборудование, предметы интерьера, транспортные средства, а также в технические средства и системы обработки информации);

программная закладка — внесенные в программное обеспечение функциональные объекты, которые при определенных условиях (входных данных) инициируют выполнение не описанных в документации функций программного обеспечения, позволяющих осуществлять несанкционированные воздействия на информацию;

программный вирус — исполняемый программный код или интерпретируемый набор инструкций, обладающий свойством несанкционированного распространения и самовоспроизведения (репликации). В процессе распространения вирусные субъекты могут себя модифицировать. Некоторые программные вирусы могут изменять, копировать или удалять программы или данные.

2.2. В настоящем стандарте приняты следующие сокращения:

ОИ — объект информатизации;

ПЭМИ — побочные электромагнитные излучения;

ТС — техническое средство.

3. Основные положения

3.1. Выявление и учет факторов, воздействующих или могущих воздействовать на защищаемую информацию в конкретных условиях, составляют основу для планирования и осуществления эффективных мероприятий, направленных на защиту информации на ОИ.

3.2. Полнота и достоверность выявления факторов, воздействующих на защищаемую информацию, должны быть достигнуты путем рассмотрения полного множества факторов, воздействующих на все элементы ОИ (технические и программные средства обработки информации, средства обеспечения ОИ и т. д.) и на всех этапах обработки информации.

3.3. Выявление факторов, воздействующих на защищаемую информацию, должно быть осуществлено с учетом следующих требований:

>• достаточности уровней классификации факторов, воздействующих на защищаемую информацию, позволяющей формировать их полное множество;

>• гибкости классификации, позволяющей расширять множества классифицируемых факторов, группировок и признаков, а также вносить изменения без нарушения структуры классификации.

3.4. Основными методами классификации факторов, воздействующих на защищаемую информацию, являются иерархический и фасетный методы.

4. Классификация факторов, воздействующих на защищаемую информацию

4.1. Факторы, воздействующие на защищаемую информацию и подлежащие учету при организации защиты информации, по признаку отношения к природе возникновения делят па классы:

>• субъективные;

>• объективные.

4.2. По отношению к ОИ факторы, воздействующие на защищаемую информацию, подразделяют на внутренние и внешние.

4.3. Принцип классификации факторов, воздействующих на защищаемую информацию, следующий:

>• подкласс;

>• группа;

>• подгруппа;

>• подвид.

4.3.1. Перечень объективных факторов, воздействующих на защищаемую информацию, в соответствии с установленным принципом их классификации (4.3.)

4.3.1.1. Внутренние факторы

4.3.1.1.1. Передача сигналов по проводным линиям связи

4.3.1.1.2. Передача сигналов по оптико-волоконным линиям связи

4.3.1.1.3. Излучения сигналов, функционально присущих ОИ

4.3.1.1.3.1. Излучения акустических сигналов

4.3.1.1.3.1.1. Излучения неречевых сигналов

4.3.1.1.3.1.2. Излучения речевых сигналов

4.3.1.1.3.2. Электромагнитные излучения и поля

4.3.1.1.3.2.1. Излучения в радиодиапазоне

4.3.1.1.3.2.2. Излучения в оптическом диапазоне

4.3.1.1.4. ПЭМИ

4.3.1.1.4.1. ПЭМИ сигналов (видеоимпульсов) от информационных цепей

4.3.1.1.4.2. ПЭМИ сигналов (радиоимпульсов) от всех электрических цепей ТС ОИ

4.3.1.1.4.2.1. Модуляция ПЭМИ электромагнитным сигналам от информационных цепей

4.3.1.1.4.2.2. Модуляция ПЭМИ акустическим сигналам

4.3.1.1.5. Паразитное электромагнитное излучение

4.3.1.1.5.1. Модуляция паразитного электромагнитного излучения информационными сигналами

4.3.1.1.5.2. Модуляция паразитного электромагнитного излучения акустическими сигналами

4.3.1.1.6. Наводки

4.3.1.1.6.1. Наводки в электрических цепях ТС, имеющих выход за пределы ОИ

4.3.1.1.6.1.1. Наводки в линиях связи

4.3.1.1.6.1.1.1. Наводки, вызванные побочными и (или) паразитными электромагнитными излучениями, несущими информацию

4.3.1.1.6.1.1.2. Наводки, вызванные внутренними емкостными и (или) индуктивными связями

4.3.1.1.6.1.2. Наводки в цепях электропитания

4.3.1.1.6.1.2.1. Наводки, вызванные побочными и (или) паразитными электромагнитными излучениями, несущими информацию