- 4 основные положения
- Введение
- 1 область применения
- 2 нормативные ссылки
- 3 системы координат
- 3 термины и определения
- 9 Требования по устойчивости к НСД
- 5 классификация факторов, воздействующих на безопасность защищаемой информации
- 1 Перечень объективных факторов, воздействующих на безопасность защищаемой информации
- 2 Перечень субъективных факторов, воздействующих на безопасность защищаемой информации
- Наши события
- Предисловие
4 основные положения
4.1 Выявление и
учет факторов, воздействующих или могущих воздействовать на защищаемую
информацию в конкретных условиях, составляют основу для планирования и
проведения эффективных мероприятий, направленных на защиту информации на
объекте информатизации (далее — ОИ).
4.2 Полнота и
достоверность выявленных факторов, воздействующих или могущих воздействовать на
защищаемую информацию, достигаются путем рассмотрения полного множества
факторов, воздействующих на все элементы ОИ (технические и программные средства
обработки информации, средства обеспечения ОИ и т.д.) и на всех этапах
обработки информации.
4.3 Выявление
факторов, воздействующих на защищаемую информацию, должно осуществляться с
учетом следующих требований:
— достаточности уровней
классификации факторов, воздействующих на защищаемую информацию, позволяющих
формировать их полное множество;
— гибкости
классификации, позволяющей расширять множества классифицируемых факторов,
группировок и признаков, а также вносить необходимые изменения без нарушения
структуры классификации.
Введение
Введение
Установленные настоящим стандартом термины расположены в систематизированном порядке, отражающем систему понятий в данной области знания.Для каждого понятия установлен один стандартизованный термин.Наличие квадратных скобок в терминологической статье означает, что в нее входят два термина, имеющих общие терминоэлементы.
В алфавитном указателе данные термины приведены отдельно. Цифра, заключенная в квадратные скобки, означает ссылку на документ, приведенный в структурном элементе «Библиография».Заключенная в круглые скобки часть термина может быть опущена при использовании термина в документах по стандартизации, при этом не входящая в круглые скобки часть термина образует его краткую форму.
За стандартизованными терминами приведены отделенные точкой с запятой их краткие формы, представленные аббревиатурой.Приведенные определения можно при необходимости изменять, вводя в них производные признаки, раскрывая значения используемых в них терминов, указывая объекты, входящие в объем определяемого понятия.
Изменения не должны нарушать объем и содержание понятий, определенных в настоящем стандарте.Стандартизованные термины набраны полужирным шрифтом, их краткие формы, представленные аббревиатурой, — светлым, а синонимы — курсивом.Термины и определения общетехнических понятий, которые необходимы для понимания текста основной части настоящего стандарта, приведены в приложении А.
1 область применения
Настоящий стандарт
устанавливает классификацию и перечень факторов, воздействующих на безопасность
защищаемой информации, в целях обоснования угроз безопасности информации и
требований по защите информации на объекте информатизации.
Настоящий стандарт
распространяется на объекты информатизации, создаваемые и эксплуатируемые в
различных областях деятельности (обороны, экономики, науки и других областях).
2 нормативные ссылки
В настоящем
стандарте использована нормативная ссылка на следующий стандарт: ГОСТ
Р 50922-2006 Защита информации. Основные термины и определения
Примечание — При пользовании настоящим стандартом целесообразно
проверить действие ссылочного стандарта в информационной системе общего
пользования — на официальном сайте Федерального агентства по техническому
регулированию и метрологии в сети Интернет или по ежегодно издаваемому
информационному указателю «Национальные стандарты», который опубликован по
состоянию на 1 января текущего года, и по соответствующим ежемесячно издаваемым
информационным указателям, опубликованным в текущем году.
Если ссылочный
стандарт заменен (изменен), то при пользовании настоящим стандартом следует
руководствоваться заменяющим (измененным) стандартом. Если ссылочный стандарт
отменен без замены, то положение, в котором дана ссылка на него, применяется в
части, не затрагивающий эту ссылку.
3 системы координат
3.1Система геодезических параметров «Параметры Земли»
Система ПЗ включает в себя: фундаментальные геодезические постоянные, параметры ОЗЭ, систему координат ПЗ, закрепляемую координатами пунктов космической геодезической сети, характеристики модели ГПЗ и элементы трансформирования между системой координат ПЗ и национальными референцными системами России, приведенные в приложении А.
Теоретическое определение системы координат ПЗ основывается на следующих положениях:
а) начало системы координат расположено в центре масс Земли;
б) ось Z направлена в Международное условное начало;
в) ось Xлежит в плоскости начального астрономического меридиана, установленного Международным бюро времени;
г) ось Yдополняет систему до правой.
Положения точек в системе ПЗ могут быть получены в виде пространственных прямоугольных или геодезических координат.
Геодезические координаты относятся к ОЗЭ, размеры которого определяются значениями большой полуоси аПЗ = 6378136 м и сжатия aПЗ = 1/298,25784.
Центр ОЗЭ совпадает с началом системы координат ПЗ, ось вращения эллипсоида — с осью Z, а плоскость начального меридиана — с плоскостью XOZ.
3.2Система геодезических параметров «Мировая Геодезическая Система»
Система параметров МГС включает в себя: фундаментальные геодезические постоянные, систему координат МГС, закрепляемую координатами пунктов космической геодезической сети, параметры ОЗЭ, характеристики модели ГПЗ, элементы трансформирования между геоцентрической системой координат МГС и различными национальными системами координат.
Численные значения элементов трансформирования между системой координат ПЗ и системой координат МГС, а также порядок использования элементов трансформирования приведены в приложении Б.
Теоретическое определение системы координат МГС основывается на положениях, аналогичных определению системы координат ПЗ, приведенных в 3.1.
Положения точек в системе МГС могут быть получены в виде пространственных прямоугольных или геодезических координат.
Геодезические координаты относятся к ОЗЭ, размеры которого определяются значениями большой полуоси аМГС = 6378137 м и сжатия aМГС = 1/298,257223563.
Центр эллипсоида совпадает с началом системы координат МГС, ось вращения эллипсоида совпадает с осью Z, а плоскость начального меридиана — с плоскостью XOZ.
3.3 Координатная основа Российской Федерации
Координатная основа Российской Федерации представлена референцной системой координат, реализованной в виде ГГС, закрепляющей систему координат на территории страны, и государственной нивелирной сети, распространяющей на всю территорию страны систему нормальных высот (Балтийская система), исходным началом которой является нуль Кронштадтского футштока.
Положения определяемых точек относительно координатной основы могут быть получены в виде пространственных прямоугольных или геодезических координат либо в виде плоских прямоугольных координат и высот.
За отсчетную поверхность в референцной системе координат РФ принят эллипсоид Красовского с большой полуосью аКр = 6378245 м и сжатием aКр = 1/298,3.
Центр эллипсоида Красовского совпадает с началом референцной системы координат, ось вращения эллипсоида параллельна оси вращения Земли, а плоскость нулевого меридиана определяет положение начала счета долгот.
3 термины и определения
В настоящем
стандарте применены термины по ГОСТ
Р 50922, а также следующие термины с соответствующими определениями:
3.1 объект
информатизации: Совокупность информационных ресурсов, средств и систем
обработки информации, используемых в соответствии с заданной информационной
технологией, а также средств их обеспечения, помещений или объектов (зданий,
сооружений, технических средств), в которых эти средства и системы установлены,
или помещений и объектов, предназначенных для ведения конфиденциальных
переговоров.
3.2 система
обработки информации: Совокупность технических средств и программного
обеспечения, а также методов обработки информации и действий персонала, необходимых
для выполнения автоматизированной обработки информации.
3.3 побочное
электромагнитное излучение: Электромагнитное излучение, наблюдаемое при
работе технических средств обработки информации.
3.4 паразитное
электромагнитное излучение: Электромагнитное излучение, являющееся
результатом паразитной генерации в электрических цепях технических средств
обработки информации.
3.5 наведенный
в токопроводящих линейных элементах технических средств сигнал; наводка:
Ток и напряжение в токопроводящих элементах, вызванные электромагнитным
излучением, емкостными и индуктивными связями.
3.6 закладочное
средство [устройство]: Техническое средство [устройство] приема, передачи и
обработки информации, преднамеренно устанавливаемое на объекте информатизации
или в контролируемой зоне в целях перехвата информации или несанкционированного
воздействия на информацию и (или) ресурсы автоматизированной информационной
системы.
Примечание — Местами установки закладочных средств [устройств]
на охраняемой территории могут быть любые элементы контролируемой зоны,
например: ограждение, конструкции, оборудование, предметы интерьера,
транспортные средства [1].
3.7 программная
закладка: Преднамеренно внесенный в программное обеспечение функциональный
объект, который при определенных условиях инициирует реализацию недекларированных
возможностей программного обеспечения.
Примечание — Программная закладка может быть реализована в виде
вредоносной программы или программного кода [1].
3.8 недекларированные
возможности (программного обеспечения): Функциональные возможности
программного обеспечения, не описанные в документации [1], [2].
3.9 вредоносная
программа: Программа, используемая для осуществления несанкционированного
доступа к информации и (или) воздействия на информацию или ресурсы
автоматизированной информационной системы [1],
[2].
3.10 (компьютерный)
вирус: Вредоносная программа, способная создавать свои копии и (или) другие
вредоносные программы [1].
3.11 компьютерная
атака: Целенаправленное несанкционированное воздействие на информацию, на
ресурс автоматизированной информационной системы или получение
несанкционированного доступа к ним с применением программных или
программно-аппаратных средств [1], [2].
3.12 сетевая
атака: Компьютерная атака с использованием протоколов межсетевого
взаимодействия [1], [2].
3.13 программное
воздействие: Несанкционированное воздействие на ресурсы автоматизированной
информационной системы, осуществляемое с использованием вредоносных программ [1].
9 Требования по устойчивости к НСД
4.9.1 Устойчивость УПУ к НСД — по ГОСТР 51241 и настоящему стандарту.
4.9.2 Требования устойчивости УПУ к НСД подразделяют наустойчивость к разрушающим и неразрушающим действиям.
4.9.3 Устойчивость к неразрушающимдействиям для УПУ и УИ классифицируют по устойчивости к вскрытию согласно ГОСТР 51241. Устойчивость УПУ к вскрытию определяют возможностьюнесанкционированного доступа к УИ УПУ, т. е. доступом в помещение операторовУПУ (охраны).
Устойчивость данных помещений к неразрушающим НСД определяютустойчивостью их замков к криминальному открыванию по ГОСТР 52582.
Кроме того, УПУ с частичным перекрытием проема нормируют повозможности их несанкционированного преодоления (например, путемперепрыгивания), которую также определяют как устойчивость к неразрушающимвоздействиям.
Данные УПУ классифицируют как устойчивые, частичноустойчивые и неустойчивые к такому виду НСД, как несанкционированноепреодоление.
4.9.4 Устойчивость УПУ к разрушающим действиям подразделяют:
— на устойчивость к статическим нагрузкам;
— на устойчивость к взлому инструментами;
— на устойчивость к взлому механическими ударами;
— на пулестойкость (для УПУ со сплошным перекрытием проема).
4.9.4.1 УПУ по устойчивости к НСД разрушающего действияподразделяют на уровни устойчивости по ГОСТР 51241 и классы устойчивости по настоящему стандарту.
Показатели, по которым устанавливают классы и уровниустойчивости УПУ к разрушающим воздействиям, приведены в таблице .
Таблица3
Уровень устойчивости УПУ | |||||
Нормальный | Повышенный | Высокий | |||
Класс устойчивости УПУ | |||||
1 | 2 | 3 | 4 | 5 | |
Устойчивость к статическим | — | — | |||
Устойчивость к взлому | |||||
Устойчивость к взлому | — | — | — | ||
Пулестойкость (для УПУ со | — | — |
| ||
Примечание — Знак « » |
4.9.4.2Дополнительно к показателям устойчивости, указанным в ГОСТР 51241, на УПУ повышенной и высокой устойчивости также могут бытьустановлены требования по устойчивости к статическим нагрузкам.
Устойчивость к статическим нагрузкам определяется значениемнагрузки, приложенной перпендикулярно к плоскости или параллельно плоскостидверного полотна в зависимости от конструкции УПУ. Значения статическихнагрузок по классам устойчивости УПУ указаны в таблице .
Таблица4
Значение нагрузки, перпендикулярной к плоскости | Значение нагрузки, параллельной плоскости дверного | |||
Зона замка | Зона петли | Зона свободного угла полотна | ||
3 | 6 | 6 | 5 | 1 |
4 | 8 | 8 | 6 | 3 |
5 | 10 | 10 | 8 | 5 |
4.9.4.3Устойчивость УПУ к взлому инструментами определяют возможностьюнесанкционированного доступа к УИ УПУ, расположенных внутри помещенияоператоров УПУ (охраны). Требования к устойчивости такого помещения должнысоответствовать: ГОСТР 51072 — полотно двери помещения; ГОСТР 52582 — замок двери помещения.
4.9.4.4 Устойчивость к взлому УПУ состеклением дверных полотен механическими ударами должна соответствоватьклассам защиты стекла по ГОСТ Р 51136.
Классы устойчивости УПУ в зависимости от классовустойчивости дверей и замков защитных кабин (помещений операторов УПУ),защитного остекления указаны в таблице .
Таблица5
УПУ по настоящему стандарту | Класс устойчивости дверей по | Класс защиты по ГОСТ Р 51072* | Класс устойчивости замков по | Класс защиты стекла по ГОСТ Р 51136*** |
1 | — | — | — | А1 |
2 | — | — | — | А2 |
3 | — | 1 | — | A3 |
2 | ||||
2а | ||||
4 | Н0 | 3 | U1 | Б1 |
4 | U2 | |||
I | ||||
5 | II | 5 | U3 | |
III | 5а | U4 | Б2 | |
IV | 6 | БЗ | ||
6а | ||||
* ** Для помещений операторов *** Для УПУ с защитным |
Турникеты (с поворотными или вращающимися планками),вращающиеся двери кабин и шлюзов должны быть устойчивы к динамическимвоздействиям (воздействие неупругим телом) по ГОСТ 30109.
КП вращающегося типа (турникеты с вращающимися планками и вращающиесядвери шлюзовых кабин), находящиеся в нормально закрытом состоянии, должнывыдерживать динамические воздействия на КП энергией 500 Дж.
4.9.4.6 Пулестойкость УПУ нормируется дляУПУ со сплошным перекрытием проема и должна устанавливаться в НД на УПУконкретного типа по ГОСТР 51072. Классы устойчивости УПУ в зависимости от классов по ГОСТР 51072 указаны в таблиценастоящего стандарта.
5 классификация факторов,
воздействующих на безопасность защищаемой информации
5.1 Факторы,
воздействующие или могущие воздействовать на безопасность защищаемой информации
и подлежащие учету при организации защиты информации, по признаку отношения к
природе возникновения подразделяют на классы:
— объективные;
— субъективные.
5.2 По отношению к
ОИ факторы, воздействующие на безопасность защищаемой информации, подразделяют
на внутренние и внешние.
5.3 Факторы, воздействующие
на безопасность защищаемой информации, в соответствии с признаками
классификации подразделяют на:
— подклассы;
— группы;
— подгруппы;
— виды;
— подвиды.
5.4 Перечень
основных подклассов (групп, подгрупп и т.д.) факторов, воздействующих на безопасность
защищаемой информации (объективных и субъективных), в соответствии с их
классификацией, приведенной в 5.3, представлен в разделе 6.
1 Перечень объективных факторов, воздействующих на безопасность
защищаемой информации
6.1.1
Внутренние факторы
6.1.1.1 Передача
сигналов:
а) по проводным
линиям связи;
б) по
оптико-волоконным линиям связи;
в) в диапазоне
радиоволн и в оптическом диапазоне длин волн.
6.1.1.2 Излучения
сигналов, функционально присущие техническим средствам [устройствам] (далее
-ТС) ОИ:
а) излучения
акустических сигналов:
1)
сопутствующие работе технических средств [устройств] обработки и передачи
информации (далее — ТС ОП И);
2) сопутствующие
произносимой или воспроизводимой ТС речи;
б)
электромагнитные излучения и поля:
1) излучения
в радиодиапазоне;
2) излучения
в оптическом диапазоне.
6.1.1.3 Побочные
электромагнитные излучения:
а) элементов
(устройств) ТС ОПИ;
б) на частотах работы
высокочастотных генераторов устройств, входящих в состав ТС ОПИ:
1) модуляция
побочных электромагнитных излучений информативным сигналом, сопровождающим
работу ТС ОПИ;
2) модуляция
побочных электромагнитных излучений акустическим сигналом, сопровождающим
работу ТС ОПИ;
в) на частотах
самовозбуждения усилителей, входящих в состав ТС ОПИ.
6.1.1.4 Паразитное
электромагнитное излучение:
а) модуляция
паразитного электромагнитного излучения информационными сигналами;
б) модуляция
паразитного электромагнитного излучения акустическими сигналами.
6.1.1.5 Наводка:
а) в электрических
цепях ТС, имеющих выход за пределы ОИ;
б) в линиях связи:
1) вызванная
побочными и (или) паразитными электромагнитными излучениями, несущими
информацию;
2) вызванная
внутренними емкостными и (или) индуктивными связями;
в) в цепях
электропитания:
1) вызванная
побочными и (или) паразитными электромагнитными излучениями, несущими
информацию;
2) вызванная
внутренними емкостными и (или) индуктивными связями;
3) через
блоки питания ТС ОИ;
г) в цепях
заземления:
1) вызванная
побочными и (или) паразитными электромагнитными излучениями, несущими
информацию;
2) вызванная
внутренними емкостными и (или) индуктивными связями;
3) обусловленная
гальванической связью схемной (рабочей) «земли» узлов и блоков ТС ОИ;
д) в технических
средствах, проводах, кабелях и иных токопроводящих коммуникациях и
конструкциях, гальванически не связанных с ТС ОИ, вызванная побочными и (или)
паразитными электромагнитными излучениями, несущими информацию.
6.1.1.6 Наличие
акустоэлектрических преобразователей в элементах ТС ОИ.
6.1.1.7 Дефекты,
сбои и отказы, аварии ТС и систем ОИ.
6.1.1.8 Дефекты,
сбои и отказы программного обеспечения ОИ.
6.1.2 Внешние факторы
6.1.2.1 Явления
техногенного характера:
а)
непреднамеренные электромагнитные облучения ОИ;
б) радиационные
облучения ОИ;
в) сбои, отказы и
аварии систем обеспечения ОИ.
6.1.2.2 Природные
явления, стихийные бедствия:
а) термические
факторы (пожары и т.д.);
б) климатические
факторы (наводнения и т.д.);
в) механические
факторы (землетрясения и т.д.);
г)
электромагнитные факторы (грозовые разряды и т.д.);
д) биологические
факторы (микробы, грызуны и т.д.);
е) химические
факторы (химически агрессивные среды и т.д.).
2 Перечень субъективных
факторов, воздействующих на безопасность защищаемой информации
6.2.1
Внутренние факторы
6.2.1.1
Разглашение защищаемой информации лицами, имеющими к ней право доступа, через:
а) лиц, не имеющих
права доступа к защищаемой информации;
б) передачу
информации по открытым линиям связи;
в) обработку
информации на незащищенных ТС обработки информации;
г) опубликование
информации в открытой печати и других средствах массовой информации;
д) копирование
информации на незарегистрированный носитель информации;
е) передачу
носителя информации лицам, не имеющим права доступа к ней;
ж) утрату носителя
информации.
6.2.1.2
Неправомерные действия со стороны лиц, имеющих право доступа к защищаемой
информации, путем:
а)
несанкционированного изменения информации;
б)
несанкционированного копирования защищаемой информации.
6.2.1.3
Несанкционированный доступ к информации путем:
а) подключения к
техническим средствам и системам ОИ;
б) использования
закладочных средств [устройств];
в) использования
программного обеспечения технических средств ОИ через:
1) маскировку
под зарегистрированного пользователя;
2) дефекты и
уязвимости программного обеспечения ОИ;
3) внесение
программных закладок;
4) применение
вирусов или другого вредоносного программного кода (троянские программы,
клавиатурные шпионы, активное содержимое документов);
г) хищения
носителя защищаемой информации;
д) нарушения
функционирования ТС обработки информации.
6.2.1.4 Недостатки
организационного обеспечения защиты информации при:
а) задании
требований по защите информации (требования противоречивы, не обеспечивают
эффективную защиту информации и т.д.);
б) несоблюдении
требований по защите информации;
в) контроле
эффективности защиты информации.
6.2.1.5 Ошибки
обслуживающего персонала ОИ при:
а) эксплуатации
ТС;
б) эксплуатации
программных средств;
в) эксплуатации
средств и систем защиты информации.
6.2.2 Внешние
факторы
6.2.2.1 Доступ к
защищаемой информации с применением технических средств:
а) разведки:
1) радиоэлектронной;
2)
оптико-электронной;
3)
фотографической;
4)
визуально-оптической;
5)
акустической;
6)
гидроакустической;
7)
технической компьютерной;
б) съема
информации.
6.2.2.2
Несанкционированный доступ к защищаемой информации путем:
а) подключения к
техническим средствам и системам ОИ;
б) использования
закладочных средств [устройств];
в) использования
программного обеспечения технических средств ОИ через:
1) маскировку
под зарегистрированного пользователя;
2) дефекты и
уязвимости программного обеспечения ОИ;
3) внесение
программных закладок;
4) применение
вирусов или другого вредоносного программного кода (троянские программы,
клавиатурные шпионы, активное содержимое документов);
г)
несанкционированного физического доступа к ОИ;
д) хищения
носителя информации.
6.2.2.3
Блокирование доступа к защищаемой информации путем перегрузки технических
средств обработки информации ложными заявками на ее обработку.
6.2.2.4 Действия
криминальных групп и отдельных преступных субъектов:
а) диверсия в
отношении ОИ;
б) диверсия в
отношении элементов ОИ.
6.2.2.5 Искажение,
уничтожение или блокирование информации с применением технических средств
путем:
а) преднамеренного
силового электромагнитного воздействия:
1) по сети электропитания
на порты электропитания постоянного и переменного тока;
2) по
проводным линиям связи на порты ввода-вывода сигналов и порты связи;
3) по
металлоконструкциям на порты заземления и порты корпуса;
4)
посредством электромагнитного быстроизменяющегося поля на порты корпуса, порты
ввода-вывода сигналов и порты связи;
б) преднамеренного
силового воздействия различной физической природы;
в) использования
программных или программно-аппаратных средств при осуществлении:
1)
компьютерной атаки;
2) сетевой
атаки;
г) воздействия
программными средствами в комплексе с преднамеренным силовым электромагнитным
воздействием.
Наши события
20 октября 2020, 20:55Журнал RusCable Insider #194. «Ункомтех» о кабелях для армии, русский водород, электродельфины и история развития «Пластполимер»
12 октября 2020, 13:16Итоги сессии КАБЕЛЬНЫЙ БИЗНЕС 2020
12 октября 2020, 12:55Журнал RusCable Insider #193 — Ассоциация «Электрокабель», анти-солнечные панели, кальмар-фотограф и итоги «Кабельного бизнеса-2020»
9 октября 2020, 12:02Изменился ли кабельный мир в 2020 году?
7 октября 2020, 12:31Начался прямой эфир сессии «КАБЕЛЬНЫЙ БИЗНЕС-2020»
5 октября 2020, 15:49Журнал RusCable Insider #192 — шкафы IEK FORMAT, Ассоциация «Электрокабель» проверят школы, супертурбина и «Кабельный бизнес — 2020»
Предисловие
Предисловие
1 РАЗРАБОТАН Федеральным государственным учреждением «Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю» (ФГУ «ГНИИИ ПТЗИ ФСТЭК России»)
2 ВНЕСЕН Управлением технического регулирования и стандартизации Федерального агентства по техническому регулированию и метрологии
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 27 декабря 2006 г. N 374-ст