Файл: 1 Политика информационной безопасности ооо смк ресомед г. Москва, 2014 2 Содержание 1.pdf
Добавлен: 29.11.2023
Просмотров: 102
Скачиваний: 3
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
45
• сообщений, передаваемых по сетям передачи данных;
• программно-информационного продукта, являющегося результатом генерации новой или обработки исходной документированной информации, представляемого непосредственно на экранах мониторов ОИ, на внешних носителях данных (магнитные диски, магнитные ленты, оптические диски, дискеты, бумага для распечатки и т.п.) или через сети передачи данных;
• электронных записей о субъектах прав.
Контролируемая зона (КЗ) – это пространство, в котором исключено неконтролируе- мое пребывание лиц, не имеющих постоянного или разового допуска, и посторонних транс- портных средств.
Границей КЗ могут являться:
• периметр охраняемой территории предприятия (учреждения);
• ограждающие конструкции охраняемого здания, охраняемой части зда- ния, выделенного помещения.
В отдельных случаях на период обработки техническими средствами секретной ин- формации (проведения закрытого мероприятия) КЗ временно может устанавливаться большей, чем охраняемая территория предприятия. При этом должны приниматься ор- ганизационно-режимные и технические меры, исключающие или существенно затруд- няющие возможность ведения перехвата информации в этой зоне;
Зона 2 - пространство вокруг ОТСС, на границе и за пределами которого напряжен- ность электромагнитного поля информативного сигнала не превышает нормированного значения;
Зона 1 - пространство вокруг ОТСС, на границе и за пределами которого уровень наве- денного от ОТСС информативного сигнала в ВТСС, а также в посторонних проводах и линиях передачи информации, имеющих выход за пределы контролируемой зоны, не превышает нормированного значения.
Конфиденциальная информация – информация, содержащая сведения, составляющие врачебную, коммерческую, служебную тайну или персональные данные, являющаяся пред- метом собственности и подлежащая защите в соответствии с требованиями правовых доку- ментов или требованиями, устанавливаемыми собственником информации.
Конфиденциальность информации – субъективно определяемая (приписываемая) ин- формации характеристика (свойство), указывающая на необходимость введения ограничений на круг субъектов, имеющих доступ к данной информации, и обеспечиваемая способностью системы (среды) сохранять указанную информацию в тайне от субъектов, не имеющих пол- номочий на право доступа к ней.
Лицензия в области защиты информации – разрешение на право проведения тех или иных работ в области защиты информации (в соответствии с Постановление Правительства
РФ от 15.08.2006 № 504 «О лицензировании деятельности по технической защите конфиден- циальной информации»).
Нарушитель – это лицо (субъект), которое предприняло (пыталось предпринять) по- пытку несанкционированного доступа к ресурсам системы (попытку выполнения запрещен- ных ему действий с данным ресурсом) по ошибке, незнанию или осознанно со злым умыс- лом (из корыстных интересов) или без такового (ради игры или с целью самоутверждения и т.п.) и использовавшее для этого различные возможности, методы и средства (чисто агентур- ные методы получения сведений, технические средства перехвата без модификации компо- нентов системы, штатные средства и недостатки систем защиты, подключение к каналам пе- редачи данных, внедрение программных закладок и использование специальных инструмен- тальных и технологических программ и т.п.).
46
Несанкционированное действие – действие субъекта в нарушение установленных в системе правил обработки информации.
Несанкционированный доступ (НСД) – доступ субъекта к объекту в нарушение установленных в системе правил разграничения доступа.
Обработка информации в АС – совокупность операций (сбор, накопление, хранение, преобразование, отображение, выдача и т.п.), осуществляемых над информацией (сведения- ми, данными) с использованием средств АС.
Объект– пассивный компонент системы, единица ресурса автоматизированной систе- мы (устройство, диск, каталог, файл и т.п.), доступ к которому регламентируется правилами разграничения доступа.
Основные технические средства и системы (ОТСС) защищаемого объекта информа- тизации – технические средства и системы, а также их коммуникации, используемые для об- работки, хранения и передачи секретной информации. К ним могут относиться средства и системы информатизации (средства вычислительной техники, автоматизированные системы различного уровня и назначения на базе средств вычислительной техники, в том числе ин- формационно-вычислительные комплексы, сети и системы, средства и системы связи и пе- редачи данных), технические средства приема, передачи и обработки информации (телефо- нии, звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические сред- ства обработки речевой, графической, видео-, смысловой и буквенно-цифровой информа- ции), используемые для обработки секретной информации.
Пароль – служебное слово, которое считается известным узкому кругу лиц (одному лицу) и используется для ограничения доступа к информации, в помещение, на территорию.
Показатель эффективности защиты информации – мера или характеристика для оценки эффективности защиты информации (ГОСТ Р 50992).
Правила разграничения доступа – совокупность правил, регламентирующих права доступа субъектов к объектам в некоторой системе.
Разграничение доступа к ресурсам АС – это такой порядок использования ресурсов системы, при котором субъекты получают доступ к объектам в строгом соответствии с уста- новленными правилами.
Руководящие документы ФСБ России – включают:
• Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных дан- ных с использованием средств автоматизации;
• Типовые требования по организации и обеспечению функционирования шифровальных
(криптографических) средств, предназначенных для защиты информации, не содержащих сведений, составляющих государственную тайну в случае их использования для обеспе- чения безопасности персональных данных при их обработке в информационных системах персональных данных.
Руководящие документы ФСТЭК России – включают:
• Методика определения актуальных угроз безопасности персональных данных при их об- работке, в информационных системах персональных данных;
• Базовая модель угроз безопасности персональных данных при их обработке, в информа- ционных системах персональных данных;
• Основные мероприятия по организации и техническому обеспечению безопасности пер- сональных данных, обрабатываемых в информационных системах персональных данных;
• Рекомендации по обеспечению безопасности персональных данных при их обработке, в
47 информационных системах персональных данных.
• Специальные требования и рекомендации по технической защите конфиденциальной ин- формации (СТР-К)
Субъект – активный компонент системы (пользователь, процесс, программа), действия которого регламентируются правилами разграничения доступа.
Субъект информационных отношений – государство, государственные органы, госу- дарственные, общественные или коммерческие организации (объединения) и предприятия
(юридические лица), отдельные граждане (физические лица) и иные субъекты, взаимодей- ствующие с целью совместной обработки информации.
Угроза – реально или потенциально возможные действия по реализации опасных воз- действующих факторов на АС с целью преднамеренного или случайного (неумышленного) нарушения режима функционирования объекта и нарушения свойств защищаемой информа- ции или других ресурсов объекта.
Естественные угрозы – это угрозы, вызванные воздействиями на АС и ее эле- менты объективных физических процессов техногенного характера или стихийных природных явлений, не зависящих от человека;
Искусственные угрозы – это угрозы АС, вызванные деятельностью человека.
Среди них, исходя из мотивации действий, можно выделить:
•
непреднамеренные (неумышленные, случайные) угрозы, вызванные ошибками в проектировании АС и ее элементов, ошибками в программном обеспе- чении, ошибками в действиях персонала и т.п.;
•
преднамеренные (умышленные) угрозы, связанные с корыстными устремлениями людей (злоумышленников).
Угроза автоматизированной системе – потенциально возможное событие, действие, процесс или явление, которое может привести к нанесению ущерба ресурсам АС.
Угроза информационной безопасности – случайное (неумышленное) или преднаме- ренное (злоумышленное) воздействие, приводящее к нарушению целостности, доступности и конфиденциальности информации или поддерживающей ее инфраструктуры, которое нано- сит ущерб собственнику, распорядителю или пользователю информации.
Угроза информационной безопасности – потенциально возможное событие, дей- ствие, процесс или явление, которое может привести к нарушению конфиденциальности, це- лостности, доступности информации, а также неправомерному ее тиражированию.
Угроза интересам субъектов информационных отношений – потенциально возмож- ное событие, действие, процесс или явление, которое посредством воздействия на информа- цию и другие компоненты АС может привести к нанесению ущерба интересам данных субъ- ектов.
Уровень защиты (класс и категория защищенности) ОИ – характеристика, описыва- емая в нормативных документах определенной группой требований к данному классу и кате- гории защищенности.
Уязвимость автоматизированной системы – любая характеристика АС, использо- вание которой может привести к реализации угрозы.
Уязвимость информации – подверженность информации воздействию различных де- стабилизирующих факторов, которые могут привести к нарушению ее конфиденциальности, целостности, доступности, или неправомерному ее тиражированию.
Уязвимость субъекта информационных отношений – потенциальная подвержен- ность субъекта нанесению ущерба его жизненно важным интересам посредством воздей- ствия на критичную для него информацию, ее носители и процессы обработки.
48
Физический канал утечки информации – неконтролируемый физический путь от ис- точника информации за пределы организации или круга лиц, обладающих охраняемыми све- дениями, посредством которого возможно неправомерное (несанкционированное) овладение нарушителем защищаемой информацией.
Целостность информации – свойство информации, заключающееся в ее существова- нии в неискаженном виде (неизменном по отношению к некоторому фиксированному ее со- стоянию).
1 2 3 4 5 6 7 8 9
Информационные способы нарушения информационной безопасности – включают:
• противозаконный сбор, распространение и использование информации;
• манипулирование информацией (дезинформация, сокрытие или искажение информации);
• незаконное копирование информации (данных и программ);
• незаконное уничтожение информации;
• хищение информации из баз данных;
• нарушение адресности и оперативности информационного обмена;
• нарушение технологии обработки данных и информационного обмена.
Программно-математические способы нарушения информационной безопасности –
включают:
• внедрение программ-вирусов;
• внедрение программных закладок как на стадии проектирования системы (в том числе пу- тем заимствования "зараженного" закладками программного продукта), так и на стадии ее эксплуатации, позволяющих осуществить несанкционированный доступ или действия по отношению к информации и системам ее защиты (блокирование, обход и модификация систем защиты, извлечение, подмена идентификаторов и т.д.) и приводящих к компроме- тации системы защиты информации.
Физические способы нарушения информационной безопасности – включают:
• уничтожение, хищение и разрушение средств обработки и защиты информации, средств связи, целенаправленное внесение в них неисправностей;
• уничтожение, хищение и разрушение машинных или других оригиналов носителей ин- формации;
• хищение ключей (ключевых документов) средств криптографической защиты информа- ции, программных или аппаратных ключей средств защиты информации от несанкциони- рованного доступа;
• воздействие на обслуживающий персонал и пользователей системы с целью создания бла- гоприятных условий для реализации угроз информационной безопасности;
• диверсионные действия по отношению к объектам информационной безопасности (взры- вы, поджоги, технические аварии и т.д.).
Радиоэлектронные способы нарушения информационной безопасности – включают:
• перехват информации в технических каналах ее утечки (побочных электромагнитных из- лучений, создаваемых техническими средствами обработки и передачи информации, наводок в коммуникациях (сети электропитания, заземления, радиотрансляции, пожарной и охранной сигнализации и т.д.) и линиях связи, путем прослушивания конфиденциаль- ных разговоров с помощью акустических, виброакустических и лазерных технических средств разведки, прослушивания конфиденциальных телефонных разговоров, визуально- го наблюдения за работой средств отображения информации);
• перехват и дешифрование информации в сетях передачи данных и линиях связи;
• внедрение электронных устройств перехвата информации в технические средства и по- мещения;
• противозаконный сбор, распространение и использование информации;
• манипулирование информацией (дезинформация, сокрытие или искажение информации);
• незаконное копирование информации (данных и программ);
• незаконное уничтожение информации;
• хищение информации из баз данных;
• нарушение адресности и оперативности информационного обмена;
• нарушение технологии обработки данных и информационного обмена.
Программно-математические способы нарушения информационной безопасности –
включают:
• внедрение программ-вирусов;
• внедрение программных закладок как на стадии проектирования системы (в том числе пу- тем заимствования "зараженного" закладками программного продукта), так и на стадии ее эксплуатации, позволяющих осуществить несанкционированный доступ или действия по отношению к информации и системам ее защиты (блокирование, обход и модификация систем защиты, извлечение, подмена идентификаторов и т.д.) и приводящих к компроме- тации системы защиты информации.
Физические способы нарушения информационной безопасности – включают:
• уничтожение, хищение и разрушение средств обработки и защиты информации, средств связи, целенаправленное внесение в них неисправностей;
• уничтожение, хищение и разрушение машинных или других оригиналов носителей ин- формации;
• хищение ключей (ключевых документов) средств криптографической защиты информа- ции, программных или аппаратных ключей средств защиты информации от несанкциони- рованного доступа;
• воздействие на обслуживающий персонал и пользователей системы с целью создания бла- гоприятных условий для реализации угроз информационной безопасности;
• диверсионные действия по отношению к объектам информационной безопасности (взры- вы, поджоги, технические аварии и т.д.).
Радиоэлектронные способы нарушения информационной безопасности – включают:
• перехват информации в технических каналах ее утечки (побочных электромагнитных из- лучений, создаваемых техническими средствами обработки и передачи информации, наводок в коммуникациях (сети электропитания, заземления, радиотрансляции, пожарной и охранной сигнализации и т.д.) и линиях связи, путем прослушивания конфиденциаль- ных разговоров с помощью акустических, виброакустических и лазерных технических средств разведки, прослушивания конфиденциальных телефонных разговоров, визуально- го наблюдения за работой средств отображения информации);
• перехват и дешифрование информации в сетях передачи данных и линиях связи;
• внедрение электронных устройств перехвата информации в технические средства и по- мещения;