Техническая политика в области использования импортных технических средств информатизации
Одним из методов технической разведки, промышленного шпионажа является внедрение в конструкцию технических средств информатизации специальных электронных (закладных) устройств для съема, перехвата, ретрансляции информации или вывода технических средств из строя.
В целях противодействия такому методу воздействия для технических средств информатизации, предназначенных для обработки информации, составляющей государственную тайну, должен осуществляться специальный порядок приобретения импортных технических средств, проведение специальных проверок этих средств, осуществляемых специализированными организациями в соответствии с требованиями и по методикам ФАПСИ, осуществление радионаблюдения на объектах ОРГАНИЗАЦИИ.
Использование технических средств иностранного производства для обработки, и хранения конфиденциальной информации, или устанавливаемых в выделенных помещениях возможно при выполнении следующих условий:
проведены специальные исследования (сертификационные испытания) технических средств и выполнен полный комплекс работ по их специальной защите;
проведена специальная проверка технических средств на отсутствие в их составе возможно внедренных электронных устройств перехвата информации.
Специальная проверка технических средств иностранного производства может не проводиться при условии:
если суммарное затухание сигналов при их распространении от места установки технического средства до границ контролируемой зоны объекта составляет величину не менее 60 дБ в диапазоне частот 10 МГц - 10 ГГц;
при массовых поставках технических средств (к массовым относятся поставки, объем которых превышает 50 шт.), используемых в городах, не имеющих постоянных представительств иностранных государств, обладающих правом экстерриториальности (г.Зеленоград, г.Королев).
Обеспечение защиты информации от утечки по техническим каналам при ее обработке (обсуждении), хранении и передаче по каналам связи предусматривает:
предотвращение утечки обрабатываемой техническими средствами информации за счет побочных электромагнитных излучений и наводок, а также электроакустических преобразований, создаваемых функционирующими техническими средствами;
выявление возможно внедренных в импортные технические средства специальных электронных устройств съема (ретрансляции) или разрушения информации (закладных устройств);
предотвращение утечки информации в линиях связи;
исключение перехвата техническими средствами речевой информации при ведении конфиденциальных переговоров.
Предотвращение утечки обрабатываемой информации за счет побочных электромагнитных излучений и наводок, а также за счет электроакустических преобразований реализуется путем применения защищенных технических средств, сертифицированных по требованиям безопасности информации, внедрением объектовых мер защиты, в том числе установлением контролируемой зоны вокруг объектов АС ОРГАНИЗАЦИИ, средств активного противодействия (при необходимости) и др. Конкретные требования к мерам объектовой защиты определяются по результатам специальных исследований технических средств с учетом установленной категории защищаемого объекта в зависимости от степени конфиденциальности обрабатываемой информации и условий ее размещения.
Исключение перехвата техническими средствами речевой информации достигается проектными решениями, обеспечивающими необходимую звукоизоляцию помещений, применением технических средств и организационных мер защиты оборудования, расположенного в помещениях.
Основными направлениями снижения уровня и информативности ПЭМИН являются:
1) разработка и выбор оптимальных схем и элементов, основанных на применении устройств с низким уровнем излучения типа:
жидкокристаллических и газоразрядных экранов отображения;
оптико-электронных и волоконно-оптических линий передачи данных;
запоминающих устройств на магнитных доменах, голографических запоминающих устройств и т.п.;
2) экранирование (развязка) отдельных элементов и устройств АС, реализуемое путем:
локального экранирования излучающих элементов СВТ и средств связи;
экранирование кабелей и устройств заземления;
применение развязывающих фильтров в цепях питания и т.п.;
3) использование специальных программ и кодов, базирующихся:
на применении мультипрограммных режимов обработки данных, обеспечивающих минимальные интервалы обращения к защищаемой информации;
на применении параллельных многоразрядных кодов, параллельных кодов с малой избыточностью, а также симметричных кодов;
на ограничении регулярности вывода и времени отображения информации на устройствах отображения;
4) применение активных мешающих воздействий, основанных на использовании встроенных синхронизированных генераторов:
генераторов импульсных помех;
специальных (инверсных) схем заполнения интервалов;
5) использование специальных схем нарушения регулярности вывода информации на устройства отображения.
- Наименование организации
- Концепция обеспечения безопасности информации в автоматизированной системе организации
- Содержание
- 1. Общие положения 5
- 2. Объекты защиты 6
- 3. Цели и задачи обеспечения безопасности информации 12
- 4. Основные угрозы безопасности информации ас организации 16
- 5. Основные положения технической политики в области обеспечения безопасности информации ас организации 28
- 6. Основные принципы построения системы комплексной защиты информации 34
- 7. Меры, методы и средства обеспечения требуемого уровня защищенности информационных ресурсов 38
- 8. Первоочередные мероприятия по обеспечению безопасности информации ас организации 59
- Введение
- 1.Общие положения
- 1.1.Назначение и правовая основа документа
- 2.Объекты защиты
- 2.1.Назначение, цели создания и эксплуатации ас организации как объекта информатизации
- 2.2.Структура, состав и размещение основных элементов ас организации, информационные связи с другими объектами
- 2.3.Категории информационных ресурсов, подлежащих защите
- 2.4.Категории пользователей ас организации, режимы использования и уровни доступа к информации
- 2.5.Уязвимость основных компонентов ас организации
- 3.Цели и задачи обеспечения безопасности информации
- 3.1.Интересы затрагиваемых при эксплуатации ас организации субъектов информационных отношений
- 3.2.Цели защиты
- 3.3.Основные задачи системы обеспечения безопасности информации ас организации
- 3.4.Основные пути достижения целей защиты (решения задач системы защиты)
- 4.Основные угрозы безопасности информации ас организации
- 4.1.Угрозы безопасности информации и их источники
- 4.2.Пути реализации непреднамеренных искусственных (субъективных) угроз безопасности информации в ас организации
- 4.3.Умышленные действия сторонних лиц, зарегистрированных пользователей и обслуживающего персонала
- 4.4.Утечка информации по техническим каналам
- 4.5.Неформальная модель возможных нарушителей
- 5.Основные положения технической политики в области обеспечения безопасности информации ас организации
- 5.1.Техническая политика в области обеспечения безопасности информации
- 5.2.Формирование режима безопасности информации
- 5.3.Оснащение техническими средствами хранения и обработки информации
- 6.Основные принципы построения системы комплексной защиты информации
- 7.Меры, методы и средства обеспечения требуемого уровня защищенности информационных ресурсов
- 7.1.Меры обеспечения безопасности
- 7.1.1.Законодательные (правовые) меры защиты
- 7.1.2.Морально-этические меры защиты
- 7.1.3.Организационные (административные) меры защиты
- Формирование политики безопасности
- Регламентация доступа в помещения ас организации
- Регламентация допуска сотрудников к использованию ресурсов ас организации
- Регламентация процессов ведения баз данных и осуществления модификации информационных ресурсов
- Регламентация процессов обслуживания и осуществления модификации аппаратных и программных ресурсов ас организации
- Обеспечение и контроль физической целостности (неизменности конфигурации) аппаратных ресурсов ас организации
- Подразделения технической защиты информации
- Ответственность за нарушения установленного порядка использования ас организации. Расследование нарушений.
- 7.2.Физические средства защиты
- 7.2.1.Разграничение доступа на территорию и в помещения
- 7.3.Технические (программно-аппаратные) средства защиты
- 7.3.1.Средства идентификации (опознавания) и аутентификации (подтверждения подлинности) пользователей
- 7.3.2.Средства разграничения доступа зарегистрированных пользователей системы к ресурсам ас
- 7.3.3.Средства обеспечения и контроля целостности программных и информационных ресурсов
- 7.3.4.Средства оперативного контроля и регистрации событий безопасности
- 7.3.5.Криптографические средства защиты информации
- 7.4.Защита информации от утечки по техническим каналам
- Техническая политика в области использования импортных технических средств информатизации
- 7.5.Защита речевой информации при проведении закрытых переговоров
- 7.6.Управление системой обеспечения безопасности информации
- 7.7.Контроль эффективности системы защиты
- 8.Первоочередные мероприятия по обеспечению безопасности информации ас организации
- Перечень нормативных документов, регламентирующих деятельность в области защиты информации
- Список использованных сокращений
- Термины и определения