Положение о ГСЗИ является документом, обязательным для выполнения при проведении работ по защите информации, содержащей сведения, составляющие государственную или служебную тайну, в органах государственной власти, на предприятиях и в организациях независимо от организационно-правовой формы и формы собственности.
Информация, содержащая сведения, отнесенные к государственной или служебной тайне, подлежит защите.
СТР определяют организацию, основные требования и рекомендации по защите информации, циркулирующей в технических средствах и помещениях, и является основным руководящим техническим документом при проведении на территории Российской Федерации работ со сведениями, составляющими государственную тайну.
СТР-К устанавливают порядок организации работ, требования и рекомендации по обеспечению технической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (конфиденциальной информации) , на территории Российской Федерации.
Руководство по ЗИ от технических разведок и от ее утечки по техническим каналам
Типовые требования к содержанию и порядку разработки Руководства по защите информации от технических разведок и от её утечки по техническим каналам на объекте, одобрены решением Гостехкомиссии России от 3 октября 1995 г. № 42
Положение о подразделении по ЗИ
Типовое положение о подразделении по защите информации от иностранных технических разведок и от ее утечки по техническим каналам в министерствах и ведомствах, в органах государственной власти субъектов РФ (на предприятии (в учреждении, организации), одобрено решением Гостехкомиссии России от 14 марта 1995 г. № 32
Инструкция по обеспечению режима секретности при обработке секретной информации (по обеспечению безопасности информации) с использованием СВТ
Типовая инструкция по обеспечению режима секретности при обработке секретной информации (по обеспечению безопасности информации) с использованием средств вычислительной техники, одобрена решением Межведомственной комиссии по защите государственной тайны от 9 октября 2009 г. № 172
Инструкция о порядке приема иностранных граждан и защите информации
Инструкция по обеспечению режима секретности в Российской Федерации, утверждена постановлением Правительства Российской Федерации от 5 января 2004 г. № 3-1 (раздел 9)
Положения о ПДТК по защите государственной тайны
Положение о постоянно действующих технических комиссиях по защите государственной тайны, утверждено совместным приказом Гостехкомиссии России и ФСБ России от 28 июля 2001 г. № 309/405
Положение об экспертной комиссии
Рекомендации по проведению экспертизы материалов, предназначенных к открытому опубликованию, одобрены решением Межведомственной комиссии по защите государственной тайны от 30 октября 2014 г. № 293
Положение о порядке организации и проведения работ по защите конфиденциальной информации на объекте
Типовые требования к содержанию и порядку разработки Руководства по защите информации от технических разведок и от её утечки по техническим каналам на объекте, одобрены решением Гостехкомиссии России от 3 октября 1995 г. № 42
Документы заявителя для проведения аттестационных испытаний
Специальные требования и рекомендации по защите информации, составляющей государственную тайну, от утечки по техническим каналам (СТР), утверждены решением Гостехкомиссии России от 23 мая 1997 г. № 55
Согласно пункту 45 положения о государственной системе защиты информации в Российской Федерации, содержание и порядок осуществления мероприятий по защите информации в ходе эксплуатации объекта определяются в Руководстве по защите информации, разрабатываемом на каждом объекте.
Согласно пункту 3.5 СТР-К, организация работ по созданию и эксплуатации объектов информатизации и их систем защиты информации определяется в разрабатываемом «Положении о порядке организации и проведения работ по защите конфиденциальной информации» или в приложении к «Руководству по защите информации от технических разведок и от ее утечки по техническим каналам на объекте».
Руководство, Положение разрабатываются на каждом объекте защиты, в котором:
Обработка информации – совокупность операций сбора, накопления, ввода, вывода, приема, передачи, записи, хранения, регистрации, уничтожения, преобразования, отображения, осуществляемых над информацией.
Объект информатизации - совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения секретных и конфиденциальных переговоров.
Все объекты информатизации принято разделять на три класса:
ОИ представляют собой выделенные (защищаемые) помещения, предназначенные только для ведения конфиденциальных переговоров.
Если при ведении переговоров или проведении совещаний обсуждаются сведения, составляющие государственную тайну , то это помещение называется выделенным. При обсуждении конфиденциальной информации – защищаемой помещение
К ним относятся выделенные (защищаемые) помещения, предназначенные для проведения совещаний, переговоров и обмена информацией, в которых устанавливается демонстрационная аппаратура (кино-, видеоаппаратура, проекторы различного принципа действия) и аудиоаппаратура (звукоусиления, звукозаписи и звуковоспроизведения), а также средства и системы защищенной и служебной связи, изготовления и размножения документов.
К ним относятся:
Для разработки Положения по защите конфиденциальной информации на объекте информатизации рекомендуется использовать Типовые требования к содержанию и порядку разработки Руководства по защите информации. Одобрены решением Гостехкомиссии России от 3 октября 1995 г. № 42.
Документ устанавливает единые типовые требования к содержанию и порядку разработки Руководства по защите информации на строящемся (реконструируемом), действующем (находящемся в эксплуатации) объекте.
При использовании Типовых требований следует учесть, что на объекте осуществляется защита конфиденциальной информации.
Руководство и Положение разрабатываются подразделением по защите информации совместно с основными подразделениями объекта.
Структура Положения по защите конфиденциальной информации на объекте информатизации выглядит следующим образом:
Содержание |
|
Раздел I. |
Общие положения |
Раздел II. |
Конфиденциальные сведения об объекте |
Раздел III. |
Технические каналы утечки информации |
Раздел IV. |
Оценка возможностей иностранных технических разведок и других источников угроз безопасности информации |
Раздел V. |
Организационные и технические мероприятия по защите информации |
Раздел VI. |
Обязанности и права должностных лиц |
Раздел VII. |
Планирование работ по защите информации и контролю |
Раздел VIII. |
Контроль состояния защиты информации |
Раздел IХ. |
Аттестация рабочих мест |
Раздел Х. |
Взаимодействие с другими предприятиями (учреждениями, организациями) |
Приложения |
Защита информации, циркулирующей на объектах информатизации, осуществляется:
Разделы I-III Положения отвечают на вопрос: Что защищаем?
Возможные технические каналы утечки конфиденциальных сведений об объекте, включая каналы утечки информации в технических средствах ее обработки.
Технический канал утечки информации – совокупность объекта технической разведки, физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация.
Технические каналы утечки конфиденциальной информации:
Раздел IV Положения отвечает на вопрос: От чего защищаем?
Опасными видами иностранных технических разведок и других угроз считаются:
Раздел V Положения отвечает на вопрос: Как защищаем?
В Положении должна четко прослеживаться взаимосвязь:
Сведения ограниченного распространения - Технический канал утечки информации - Опасные виды и средства разведки - Принятые меры, нейтрализующие угрозу.
Пример:
Существуют конфиденциальные сведения, а именно: сведения конфиденциального характера, обсуждаемые в защищаемом помещении.
Им можно сопоставить следующие каналы утечки информации: Вибрационные сигналы и акустическое излучение информативного речевого сигнала.
Опасными видами и средствами разведки в данном случае будут: акустическая речевая разведка, направленные микрофоны и контактные микрофоны.
Принятые меры, нейтрализующие угрозу: Применение сертифицированного средства защиты информации, например, генератор шума ЛГШ-401.
В заключение приведем Пример оценки возможностей иностранных технических разведок по перехвату информации:
Акустическая речевая разведка.
(провести анализ возможностей АР-Р по перехвату секретной информации)
Вывод: АР-Р опасна (или не опасна).
Фотографическая разведка.
(провести анализ возможностей ФР по перехвату секретной информации)
Вывод: ФР опасна (или не опасна).
Телевизионная разведка.
(провести анализ возможностей ТВР по перехвату секретной информации)
Вывод: ТВР опасна (или не опасна).
Визуальная оптическая разведка.
(провести анализ возможностей ВЗОР по перехвату секретной информации)
Вывод: ВЗОР опасна (или не опасна).
Техническая компьютерная разведка.
(провести анализ возможностей ТКР по перехвату секретной информации)
Вывод: ТКР опасна (или не опасна).
Разведка ПЭМИН.
(провести анализ возможностей РПЭМИН по перехвату секретной информации)
Вывод: РПЭМИН опасна (или не опасна).
Разведка лазерных излучений.
(провести анализ возможностей РЛИ по перехвату секретной информации)
Вывод: РЛИ опасна (или не опасна).
Радиоразведка.
(провести анализ возможностей РР по перехвату секретной информации)
Вывод: РР опасна (или не опасна).
Руководитель подразделения
по технической защите информации
или штатный (назначенный) специалист /подпись/ А.Петров