Keperluan khas dan cadangan untuk perlindungan teknikal. Keperluan khas dan cadangan untuk perlindungan teknikal maklumat sulit

PENGUMUMAN

MENGENAI ISU PERLINDUNGAN MAKLUMAT DAN MEMASTIKAN KESELAMATAN DATA PERIBADI SEMASA MEREKA MEMPROSES DALAM SISTEM MAKLUMAT BERHUBUNGAN DENGAN PENERBITAN PESANAN FSTEC RUSIA 11 FEBRUARI 2013 N 17 “ATAS KELULUSAN SEMULA SECRET, TANPA PERSETUJUAN SECRET. TERKANDUNG DALAM SISTEM MAKLUMAT NEGERI" DAN PERINTAH FSTEC RUSIA BERTARIKH 18 FEBRUARI 2013 N 21 "ATAS KELULUSAN KOMPOSISI DAN KANDUNGAN LANGKAH ORGANISASI DAN TEKNIKAL UNTUK MEMASTIKAN KESELAMATAN DATA PRODUK DATA PERIBADI"

bertarikh 15 Julai 2013 N 240/22/2637

Selaras dengan undang-undang Persekutuan Russia mengenai maklumat, teknologi maklumat dan perlindungan maklumat dan perundangan mengenai data peribadi Perkhidmatan persekutuan mengenai kawalan teknikal dan eksport ( FSTEC Rusia) dalam had kuasanya, Keperluan untuk perlindungan maklumat yang bukan merupakan rahsia negara yang terkandung dalam negara. sistem maklumat akh (perintah FSTEC Rusia bertarikh 11 Februari 2013 N 17, didaftarkan oleh Kementerian Kehakiman Rusia pada 31 Mei 2013, reg. N 28608) dan komposisi dan kandungan langkah-langkah organisasi dan teknikal untuk memastikan keselamatan data peribadi semasa pemprosesannya dalam sistem maklumat data peribadi ( Perintah FSTEC Rusia bertarikh 18 Februari 2013 No. 21, yang didaftarkan oleh Kementerian Kehakiman Rusia pada 14 Mei 2013, No. pendaftaran 28375).

Sehubungan dengan penerbitan tindakan undang-undang pengawalseliaan ini, FSTEC Rusia menerima permintaan untuk penjelasan peruntukan tertentu Keperluan yang diluluskan oleh Perintah FSTEC Rusia bertarikh 11 Februari 2013 N 17, dan Komposisi dan kandungan langkah-langkah yang diluluskan oleh Perintah FSTEC Rusia bertarikh 18 Februari 2013 N 21. Soalan ini dibincangkan oleh pakar dalam bidang keselamatan maklumat dalam pelbagai forum dan platform elektronik dalam internet.

Memandangkan jenis isu yang paling kerap dibincangkan dan untuk menjelaskan peruntukan tertentu perintah FSTEC Rusia ini, kami menganggap wajar untuk melaporkan perkara berikut.

1. Mengenai isu kemasukan berkuat kuasa Keperluan yang diluluskan oleh Perintah FSTEC Rusia bertarikh 11 Februari 2013 N 17, dan Komposisi dan kandungan langkah-langkah yang diluluskan oleh Perintah FSTEC Rusia bertarikh 18 Februari 2013 N 21, serta keperluan untuk pensijilan semula (penilaian kecekapan ) sistem maklumat yang diperakui (lulus penilaian keberkesanan) sebelum berkuatkuasanya perintah yang ditetapkan FSTEC Rusia.

Selaras dengan perenggan 12 Dekri Presiden Persekutuan Rusia pada 23 Mei 1996 N 763 "Mengenai prosedur untuk penerbitan dan mula berkuat kuasa tindakan Presiden Persekutuan Rusia, Kerajaan Persekutuan Rusia dan undang-undang peraturan tindakan badan persekutuan kuasa eksekutif» tindakan undang-undang kawal selia pihak berkuasa eksekutif persekutuan mula berkuat kuasa serentak di seluruh wilayah Persekutuan Rusia sepuluh hari selepas penerbitan rasmi mereka, melainkan akta itu sendiri menetapkan prosedur yang berbeza untuk kemasukannya.

Oleh itu, komposisi dan kandungan langkah-langkah yang diluluskan oleh perintah FSTEC Rusia bertarikh 18 Februari 2013 N 21 berkuat kuasa pada 2 Jun 2013. Keperluan yang diluluskan oleh perintah FSTEC Rusia bertarikh 11 Februari 2013 N 17 berkuat kuasa pada 1 September 2013

Berdasarkan prinsip am peraturan undang-undang untuk tindakan dalam masa, diterbitkan dalam mengikut cara yang ditetapkan akta undang-undang kawal selia tidak mempunyai kuasa surut dan terpakai kepada perhubungan yang timbul selepas akta itu mula berkuat kuasa (melainkan jika ditetapkan sebaliknya oleh undang-undang persekutuan).

Dengan mengambil kira perkara di atas, sistem maklumat diperakui (lulus penilaian prestasi) mengikut keperluan keselamatan maklumat sebelum berkuat kuasanya Keperluan yang diluluskan oleh Perintah FSTEC Rusia bertarikh 11 Februari 2013 N 17, dan Komposisi dan kandungan langkah diluluskan oleh Perintah FSTEC Rusia bertarikh 18 Februari 2013. N 21, tidak tertakluk kepada pensijilan semula (penilaian kecekapan) berkaitan dengan penerbitan tindakan undang-undang pengawalseliaan ini.

2. Mengenai isu keperluan yang mesti diikuti untuk memastikan keselamatan data peribadi semasa pemprosesan mereka dalam sistem maklumat negeri, serta menentukan kelas keselamatan sistem maklumat negeri di mana data peribadi diproses.

Selaras dengan perenggan 7 Komposisi dan kandungan langkah-langkah yang diluluskan oleh Perintah FSTEC Rusia bertarikh 18 Februari 2013 N 21, langkah-langkah untuk memastikan keselamatan data peribadi semasa pemprosesannya dalam sistem maklumat negeri diambil mengikut keperluan untuk perlindungan maklumat yang terkandung dalam sistem maklumat negeri , yang ditubuhkan oleh FSTEC Rusia dalam had kuasanya mengikut Bahagian 5 Perkara 6 Undang-undang Persekutuan 27 Julai 2006 N 149-FZ "Mengenai Maklumat, Maklumat Teknologi dan Perlindungan Maklumat”. Keperluan ini telah diluluskan oleh perintah FSTEC Rusia bertarikh 11 Februari 2013 No. 17.

Memandangkan langkah-langkah untuk memastikan keselamatan data peribadi dan prosedur untuk pemilihannya, ditubuhkan oleh komposisi dan kandungan langkah-langkah yang diluluskan oleh Perintah FSTEC Rusia bertarikh 18 Februari 2013 N 21, adalah serupa dengan langkah perlindungan maklumat dan prosedur untuk pemilihannya yang ditetapkan oleh Keperluan yang diluluskan oleh Perintah FSTEC Rusia bertarikh 11 Februari , 2013 N 17, untuk memastikan keselamatan data peribadi yang diproses dalam sistem maklumat negeri, cukup untuk dipandu hanya oleh Keperluan yang diluluskan oleh Perintah FSTEC Rusia bertarikh 11 Februari 2013 No. 17.

Pada masa yang sama, mengikut perenggan 5 Keperluan yang diluluskan oleh Perintah FSTEC Rusia bertarikh 11 Februari 2013 N 17, apabila memproses maklumat yang mengandungi data peribadi dalam sistem maklumat negara, keperluan untuk perlindungan maklumat yang tidak merupakan rahsia negara dalam sistem maklumat negeri digunakan bersama-sama dengan Keperluan untuk perlindungan data peribadi semasa pemprosesannya dalam sistem maklumat data peribadi, yang diluluskan oleh Dekri Kerajaan Persekutuan Rusia pada 1 November 2012 N 1119.

Oleh itu, untuk memastikan keselamatan data peribadi semasa pemprosesannya dalam sistem maklumat negeri, sebagai tambahan kepada Keperluan yang diluluskan oleh Perintah FSTEC Rusia bertarikh 11 Februari 2013 N 17, adalah perlu untuk dipandu oleh keperluan (termasuk dalam syarat menentukan tahap keselamatan data peribadi) yang ditubuhkan Dekri Kerajaan Persekutuan Rusia bertarikh 1 November 2012 N 1119. Pada masa yang sama, mengikut perenggan 27 Keperluan yang diluluskan oleh Perintah FSTEC Rusia bertarikh 11 Februari 2013 N 17, nisbah yang sesuai bagi kelas keselamatan sistem maklumat negeri dengan tahap keselamatan data peribadi mesti dipastikan . Jika tahap keselamatan data peribadi yang ditentukan mengikut cara yang ditetapkan adalah lebih tinggi daripada kelas keselamatan yang ditetapkan bagi sistem maklumat negeri, maka kelas keselamatan dinaikkan kepada nilai yang memastikan pematuhan dengan klausa 27 Keperluan yang diluluskan oleh Perintah FSTEC Rusia bertarikh 11 Februari 2013 No. 17.

3. Mengenai isu borang untuk menilai keberkesanan langkah-langkah yang diambil untuk memastikan keselamatan data peribadi, bentuk dan kandungan bahan untuk menilai keberkesanan, serta kemungkinan menjalankan penilaian keberkesanan semasa pensijilan sistem maklumat .

Selaras dengan perenggan 4 bahagian 2 Perkara 19 Undang-undang Persekutuan 27 Julai 2006 N 152-FZ "Mengenai Data Peribadi", memastikan keselamatan data peribadi dicapai khususnya dengan menilai keberkesanan langkah-langkah yang diambil untuk memastikan keselamatan data peribadi sebelum menjalankan sistem maklumat data peribadi.

Selaras dengan perenggan 6 Komposisi dan kandungan langkah-langkah yang diluluskan oleh Perintah No. 21 FSTEC Rusia bertarikh 18 Februari 2013, penilaian keberkesanan langkah-langkah yang dilaksanakan dalam sistem perlindungan data peribadi untuk memastikan keselamatan peribadi data dijalankan oleh pengendali secara bebas atau dengan penglibatan entiti undang-undang secara kontrak dan usahawan individu yang mempunyai lesen untuk menjalankan aktiviti di perlindungan teknikal maklumat sulit. Pada masa yang sama, komposisi dan kandungan langkah-langkah yang diluluskan oleh Perintah FSTEC Rusia bertarikh 18 Februari 2013 N 21, tidak menetapkan bentuk penilaian prestasi, serta bentuk dan kandungan dokumen yang dibangunkan berdasarkan keputusan (dalam proses) penilaian.

Oleh itu, keputusan mengenai bentuk penilaian prestasi dan dokumen yang dibangunkan berdasarkan keputusan (dalam proses) penilaian prestasi dibuat oleh pengendali secara bebas dan (atau) dengan persetujuan dengan orang yang terlibat untuk menilai keberkesanan langkah-langkah yang dilaksanakan untuk memastikan keselamatan data peribadi.

Penilaian keberkesanan langkah-langkah yang dilaksanakan boleh dilakukan sebagai sebahagian daripada pensijilan sistem maklumat data peribadi mengikut standard kebangsaan GOST RO 0043-003-2012 “Perlindungan Maklumat. Pensijilan objek pemformatan. Peruntukan am».

Dari segi sistem maklumat negeri di mana data peribadi diproses, penilaian keberkesanan langkah-langkah yang diambil untuk memastikan keselamatan data peribadi dijalankan sebagai sebahagian daripada pensijilan mandatori sistem maklumat negeri untuk keperluan keselamatan maklumat selaras dengan Keperluan yang diluluskan oleh Perintah Perkhidmatan Persekutuan untuk Kawalan Teknikal dan Eksport Rusia bertarikh 11 Februari 2013 N 17 , piawaian kebangsaan GOST RO 0043-003-2012 dan GOST RO 0043-004-2013 "Perlindungan maklumat. Pensijilan objek pemformatan. Program dan kaedah ujian pensijilan."

4. Mengenai isu permohonan Keperluan yang diluluskan oleh Perintah FSTEC Rusia bertarikh 11 Februari 2013 N 17, berhubung dengan sistem maklumat perbandaran.

Selaras dengan Bahagian 4 Perkara 13 Undang-undang Persekutuan 27 Julai 2006 N 149-FZ "Mengenai Maklumat, Teknologi Maklumat dan Perlindungan Maklumat", keperluan untuk sistem maklumat negeri yang ditubuhkan oleh Undang-undang Persekutuan tersebut terpakai kepada sistem maklumat perbandaran, melainkan jika diperuntukkan sebaliknya oleh perundangan Persekutuan Rusia mengenai pemerintahan sendiri tempatan.

Oleh itu, Keperluan yang diluluskan oleh Perintah FSTEC Rusia bertarikh 11 Februari 2013 N 17 terpakai kepada sistem maklumat perbandaran, melainkan jika diperuntukkan sebaliknya oleh perundangan Persekutuan Rusia mengenai pemerintahan sendiri tempatan (khususnya, Undang-undang Persekutuan bertarikh 6 Oktober, 2003 N 131-FZ "Mengenai prinsip umum kerajaan sendiri tempatan di Persekutuan Rusia" dan tindakan undang-undang peraturan lain Persekutuan Rusia yang diterima pakai mengikutnya).

5. Mengenai isu penggunaan "Keperluan khas dan cadangan untuk perlindungan teknikal maklumat sulit", dengan mengambil kira penerbitan Perintah No. 17 FSTEC Rusia bertarikh 11 Februari 2013.

Penerbitan Perintah No. 17 FSTEC Rusia bertarikh 11 Februari 2013 tidak membatalkan kesahihan dokumen metodologi " Keperluan Khas dan cadangan untuk perlindungan teknikal maklumat sulit" (selepas ini dirujuk sebagai STR-K) dan "Sistem automatik. Perlindungan terhadap akses tanpa kebenaran kepada maklumat. Pengelasan sistem automatik dan keperluan untuk perlindungan maklumat" (selepas ini dirujuk sebagai RD AS).

STR-K digunakan sebagai dokumen metodologi dalam pelaksanaan langkah perlindungan cara teknikal sistem maklumat negeri (ZTS.1), dipilih mengikut perenggan 21 dan Lampiran No. 2 kepada Keperluan yang diluluskan melalui perintah FSTEC Rusia bertarikh 11 Februari 2013 No. 17, untuk meneutralkan ancaman keselamatan maklumat yang berkaitan dengan perlindungan maklumat yang dibentangkan dalam bentuk isyarat elektrik bermaklumat dan medan fizikal (perlindungan kebocoran saluran teknikal).

Peruntukan lain STR-K (seksyen 3 "Organisasi kerja untuk melindungi maklumat sulit", seksyen 5 "Keperluan dan syor untuk perlindungan maklumat sulit yang diproses dalam sistem automatik") boleh digunakan melalui keputusan pemilik maklumat, pelanggan dan pengendali sistem maklumat negeri dari segi, tidak bercanggah dengan Keperluan yang diluluskan oleh Perintah FSTEC Rusia bertarikh 11 Februari 2013 No. 17.

Di samping itu, peruntukan STR-K dan RD AS digunakan oleh keputusan pemilik maklumat (pelanggan, pengendali sistem maklumat) untuk melindungi maklumat yang mengandungi maklumat. sulit(Dekri Presiden Persekutuan Rusia bertarikh 6 Mac 1997 N 188 "Mengenai kelulusan senarai maklumat sulit") diproses dalam sistem maklumat yang, mengikut Undang-undang Persekutuan bertarikh
27 Julai 2006 N 149-FZ "Mengenai maklumat, teknologi maklumat dan perlindungan maklumat" tidak diklasifikasikan sebagai sistem maklumat negeri.

6. Mengenai isu penggunaan konsep "sistem maklumat" dan "sistem automatik".

Keperluan yang diluluskan oleh Perintah FSTEC Rusia bertarikh 11 Februari 2013 N 17, dan Komposisi dan kandungan langkah-langkah yang diluluskan oleh Perintah FSTEC Rusia bertarikh 18 Februari 2013 N 21, menggunakan konsep "sistem maklumat" yang ditubuhkan oleh Undang-undang Persekutuan 27 Julai 2006 N 149-FZ "Mengenai maklumat, teknologi maklumat dan perlindungan maklumat". Pada masa yang sama, konsep "sistem maklumat negeri", matlamat dan prosedur untuk penciptaannya, serta prosedur untuk operasi ditetapkan oleh Perkara 13 dan 14 Undang-undang Persekutuan tersebut.

Dokumen metodologi lain dan piawaian kebangsaan dalam bidang keselamatan maklumat menggunakan konsep "sistem automatik", yang ditakrifkan oleh standard kebangsaan GOST 34.003-90 "Teknologi maklumat. Set piawaian untuk sistem automatik. Sistem automatik. Terma dan Definisi".

Memandangkan Keperluan yang diluluskan oleh Perintah FSTEC Rusia bertarikh 11 Februari 2013 N 17, dan Komposisi dan kandungan langkah yang diluluskan oleh Perintah FSTEC Rusia bertarikh 18 Februari 2013 N 21, telah dibangunkan menurut undang-undang persekutuan bertarikh 27 Julai 2006 N 149 -FZ "Mengenai maklumat, teknologi maklumat dan perlindungan maklumat" dan bertarikh 27 Julai 2006 N 152-FZ "Mengenai data peribadi", masing-masing, yang menggunakan konsep "sistem maklumat", dalam tindakan undang-undang pengawalseliaan FSTEC Rusia konsep yang dinyatakan juga digunakan.

Berdasarkan definisi berkaitan konsep "sistem maklumat" yang ditubuhkan oleh Undang-undang Persekutuan pada 27 Julai 2006 N 149-FZ "Mengenai maklumat, teknologi maklumat dan perlindungan maklumat", dan konsep "sistem automatik" yang ditubuhkan oleh standard kebangsaan GOST 34.003-90, serta daripada kandungan Keperluan yang diluluskan oleh Perintah FSTEC Rusia bertarikh 11 Februari 2013 N 17, dan Komposisi dan kandungan langkah yang diluluskan oleh Perintah FSTEC Rusia bertarikh 18 Februari 2013 N 21, penggunaan konsep "sistem maklumat" dalam tindakan undang-undang pengawalseliaan FSTEC Rusia tidak menjejaskan matlamat akhir perlindungan maklumat.

7. Mengenai isu mencerminkan dalam sijil pematuhan untuk keselamatan maklumat bermakna hasil pengesahan mereka untuk ketiadaan keupayaan yang tidak diisytiharkan, serta mencerminkan dalam reka bentuk dan dokumentasi operasi kemungkinan menggunakan cara keselamatan maklumat dalam sistem maklumat negeri dan peribadi sistem maklumat data.

Selaras dengan Keperluan yang diluluskan oleh Perintah FSTEC Rusia bertarikh 11 Februari 2013 N 17, dan Komposisi dan kandungan langkah-langkah yang diluluskan oleh Perintah FSTEC Rusia bertarikh 18 Februari 2013 N 21, dalam sistem maklumat negeri 1 dan 2 kelas keselamatan, serta untuk Untuk memastikan tahap pertama, tahap kedua keselamatan dan tahap ke-3 keselamatan data peribadi dalam sistem maklumat yang ancaman jenis ke-2 diklasifikasikan sebagai semasa, alat keselamatan maklumat digunakan, perisian yang telah diuji sekurang-kurangnya pada tahap 4 untuk mengawal ketiadaan keupayaan yang tidak diisytiharkan. Pada masa yang sama, pemilihan kelas perlindungan alat keselamatan maklumat yang diperakui, bergantung pada kelas keselamatan sistem maklumat negeri dan tahap keselamatan data peribadi, dijalankan mengikut perenggan 26 Keperluan yang diluluskan oleh Perintah FSTEC Rusia bertarikh 11 Februari 2013 N 17, dan perenggan 12 Komposisi dan Kandungan Langkah , yang diluluskan oleh perintah FSTEC Rusia bertarikh 18 Februari 2013 N 21, masing-masing.

Kami ambil perhatian bahawa keperluan keselamatan maklumat untuk alat keselamatan maklumat, yang diluluskan oleh FSTEC Rusia dalam had kuasanya sejak Disember 2011, termasuk keperluan untuk tahap kawalan yang sesuai ke atas ketiadaan keupayaan yang tidak diisytiharkan untuk kelas keselamatan alat ini.

Khususnya, sistem dan alatan pengesanan pencerobohan perlindungan antivirus, diperakui untuk mematuhi Keperluan untuk sistem pengesanan pencerobohan, yang diluluskan melalui perintah FSTEC Rusia bertarikh 6 Disember 2011 N 638, dan Keperluan untuk produk perlindungan anti-virus, yang diluluskan melalui perintah FSTEC Rusia bertarikh 20 Mac, 2012 N 28, untuk kelas 4 perlindungan sepadan dengan kawalan tahap 4 ke atas ketiadaan keupayaan yang tidak diisytiharkan.

Apabila digunakan dalam sistem maklumat kerajaan kelas keselamatan yang sesuai dan untuk memastikan tahap yang ditetapkan keselamatan data peribadi alat keselamatan maklumat yang diperakui untuk mematuhi keperluan keselamatan maklumat yang ditetapkan dalam keadaan teknikal(tugas keselamatan) dan (atau) lain-lain dokumen peraturan FSTEC Rusia, pematuhan dengan tahap kawalan ke atas ketiadaan keupayaan yang tidak diisytiharkan ditunjukkan dalam sijil pematuhan dengan keperluan keselamatan maklumat untuk alat keselamatan maklumat ini.

Kemungkinan menggunakan alat keselamatan maklumat yang diperakui untuk mematuhi keperluan keselamatan maklumat yang ditetapkan dalam spesifikasi teknikal (spesifikasi keselamatan) dalam sistem maklumat negeri dan untuk memastikan tahap perlindungan data peribadi yang ditetapkan ditunjukkan oleh pemohon (pembangun, pengilang) dalam operasi. dan dokumentasi reka bentuk untuk dana ini (borang dan syarat teknikal).

8. Mengenai isu penggunaan langkah perlindungan maklumat tambahan yang bertujuan untuk meneutralkan ancaman semasa keselamatan data peribadi jenis 1 dan 2.

Selaras dengan perenggan 11 Komposisi dan kandungan langkah-langkah yang diluluskan oleh Perintah FSTEC Rusia bertarikh 18 Februari 2013 N 21, untuk mengurangkan kemungkinan ancaman terhadap keselamatan data peribadi jenis 1 dan 2, langkah tambahan berkaitan dengan pengujian sistem maklumat boleh digunakan pada penembusan dan penggunaan sistem dan (atau) aplikasi dalam sistem maklumat perisian, dibangunkan menggunakan teknik pengaturcaraan selamat.

Langkah-langkah ini digunakan untuk memastikan keselamatan data peribadi mengikut budi bicara pengendali. Pada masa yang sama, sebelum FSTEC Rusia membangunkan dan meluluskan dokumen metodologi untuk pelaksanaan langkah-langkah ini, prosedur untuk permohonan mereka, serta bentuk dan kandungan dokumen, ditentukan oleh pengendali secara bebas.

9. Mengenai isu pembangunan dokumen metodologi FSTEC Rusia untuk melaksanakan Keperluan yang diluluskan oleh Perintah FSTEC Rusia bertarikh 11 Februari 2013 No. 17.

Perintah FSTEC Rusia bertarikh 18 Februari 2013 No. 21 telah dikeluarkan menurut Bahagian 4 Perkara 19 Undang-undang Persekutuan 27 Julai 2006 No. 152-FZ "Mengenai Data Peribadi". Undang-undang Persekutuan yang dinyatakan tidak memperuntukkan pembangunan dokumen lain oleh FSTEC Rusia untuk memastikan keselamatan data peribadi, termasuk memodelkan ancaman terhadap keselamatan data peribadi. Penentuan jenis ancaman terhadap keselamatan data peribadi dijalankan oleh pengendali mengikut perenggan 7 Keperluan untuk perlindungan data peribadi semasa pemprosesannya dalam sistem maklumat data peribadi, yang diluluskan oleh Dekri Kerajaan Persekutuan Rusia pada 1 November 2012 N 1119.

Pada masa yang sama, dalam rangka kerja pihak berkuasa untuk panduan metodologi dalam bidang keselamatan maklumat teknikal, serta untuk melaksanakan klausa 14.3 dan 21 Keperluan yang diluluskan oleh Perintah FSTEC Rusia bertarikh 11 Februari 2013 N 17, FSTEC Rusia sedang menyiapkan pembangunan dokumen metodologi untuk menerangkan langkah-langkah kandungan untuk melindungi maklumat dalam sistem maklumat dan prosedur untuk memodelkan ancaman kepada keselamatan maklumat dalam sistem maklumat. Tarikh anggaran kelulusan dokumen ialah suku keempat 2013.

Di samping itu, ia dirancang untuk membangunkan dokumen metodologi yang mentakrifkan prosedur untuk mengemas kini perisian dalam sistem maklumat yang diperakui, prosedur untuk mengenal pasti dan menghapuskan kelemahan dalam sistem maklumat, prosedur untuk bertindak balas terhadap insiden yang boleh membawa kepada kegagalan atau gangguan fungsi sistem maklumat. sistem maklumat dan (atau) kemunculan maklumat ancaman keselamatan, serta beberapa dokumen metodologi lain yang bertujuan untuk melaksanakan Keperluan yang diluluskan oleh Perintah FSTEC Rusia bertarikh 11 Februari 2013 No. 17.

Pada masa yang sama, kami memaklumkan kepada anda bahawa FSTEC Rusia tidak diberi kuasa untuk menjelaskan Keperluan untuk perlindungan data peribadi semasa pemprosesannya dalam sistem maklumat data peribadi yang diluluskan oleh Dekri Kerajaan Persekutuan Rusia pada 1 November 2012 N 1119, termasuk dari segi menentukan jenis ancaman kepada data peribadi dan prosedur untuk menentukan tahap perlindungan data peribadi.

Ketua Jabatan 2

FSTEC Rusia

PENGUMUMAN

bertarikh 15 Julai 2013 N 240/22/2637

Selaras dengan undang-undang Persekutuan Rusia mengenai maklumat, teknologi maklumat dan mengenai perlindungan maklumat dan undang-undang mengenai data peribadi, Perkhidmatan Persekutuan untuk Kawalan Teknikal dan Eksport (FSTEC Rusia), dalam had kuasanya, telah meluluskan Keperluan untuk perlindungan maklumat yang tidak membentuk rahsia negara yang terkandung dalam sistem maklumat negara (perintah FSTEC Rusia bertarikh 11 Februari 2013 N 17, didaftarkan oleh Kementerian Kehakiman Rusia pada 31 Mei 2013, reg. N 28608 ) dan komposisi dan kandungan langkah-langkah organisasi dan teknikal untuk memastikan keselamatan data peribadi semasa pemprosesannya dalam sistem maklumat data peribadi ( Perintah FSTEC Rusia bertarikh 18 Februari 2013 No. 21, yang didaftarkan oleh Kementerian Kehakiman Rusia pada 14 Mei 2013, No pendaftaran 28375).

Sehubungan dengan penerbitan tindakan undang-undang pengawalseliaan ini, FSTEC Rusia menerima permintaan untuk penjelasan peruntukan tertentu Keperluan yang diluluskan oleh Perintah FSTEC Rusia bertarikh 11 Februari 2013 N 17, dan Komposisi dan kandungan langkah-langkah yang diluluskan oleh Perintah FSTEC Rusia bertarikh 18 Februari 2013 N 21. Isu ini dibincangkan oleh pakar dalam bidang keselamatan maklumat di pelbagai forum dan platform elektronik di Internet.

Memandangkan jenis isu yang paling kerap dibincangkan dan untuk menjelaskan peruntukan tertentu perintah FSTEC Rusia ini, kami menganggap wajar untuk melaporkan perkara berikut.

Selaras dengan perenggan 12 Dekri Presiden Persekutuan Rusia 23 Mei 1996 N 763 "Mengenai prosedur untuk penerbitan dan mula berkuat kuasa tindakan Presiden Persekutuan Rusia, Kerajaan Persekutuan Rusia dan undang-undang normatif akta badan eksekutif persekutuan,” tindakan undang-undang normatif badan eksekutif persekutuan mula berkuat kuasa serentak di seluruh wilayah Persekutuan Rusia sepuluh hari selepas penerbitan rasmi mereka, melainkan akta itu sendiri menetapkan prosedur yang berbeza untuk kemasukannya berkuat kuasa.

Berdasarkan prinsip am peraturan undang-undang untuk tindakan dari semasa ke semasa, akta undang-undang normatif yang dikeluarkan mengikut cara yang ditetapkan tidak mempunyai kuasa retroaktif dan terpakai kepada hubungan yang timbul selepas akta itu mula berkuat kuasa (kecuali ditetapkan sebaliknya oleh undang-undang persekutuan).

Memandangkan langkah-langkah untuk memastikan keselamatan data peribadi dan prosedur untuk pemilihannya, yang ditetapkan oleh Komposisi dan kandungan langkah-langkah yang diluluskan oleh Perintah FSTEC Rusia bertarikh 18 Februari 2013 N 21, adalah serupa dengan langkah-langkah perlindungan maklumat dan prosedur untuk pemilihan mereka ditetapkan oleh Keperluan yang diluluskan oleh Perintah FSTEC Rusia bertarikh 11 Februari 2013 N 17, untuk memastikan keselamatan data peribadi yang diproses dalam sistem maklumat negeri, sudah cukup untuk dipandu hanya oleh Keperluan diluluskan oleh Perintah FSTEC Rusia bertarikh 11 Februari 2013 N 17.

Selaras dengan perenggan 6 Komposisi dan kandungan langkah-langkah yang diluluskan oleh Perintah No. 21 FSTEC Rusia bertarikh 18 Februari 2013, penilaian keberkesanan langkah-langkah yang dilaksanakan dalam sistem perlindungan data peribadi untuk memastikan keselamatan peribadi data dijalankan oleh pengendali secara bebas atau dengan penglibatan entiti undang-undang secara kontrak dan usahawan individu yang mempunyai lesen untuk menjalankan aktiviti yang berkaitan dengan perlindungan teknikal maklumat sulit. Pada masa yang sama, komposisi dan kandungan langkah-langkah yang diluluskan oleh Perintah FSTEC Rusia bertarikh 18 Februari 2013 N 21, tidak menetapkan bentuk penilaian prestasi, serta bentuk dan kandungan dokumen yang dibangunkan berdasarkan keputusan (dalam proses) penilaian.

4. Mengenai isu permohonan Keperluan yang diluluskan oleh Perintah FSTEC Rusia bertarikh 11 Februari 2013 N 17, berhubung dengan sistem maklumat perbandaran.

Oleh itu, Keperluan yang diluluskan oleh Perintah FSTEC Rusia bertarikh 11 Februari 2013 N 17 terpakai kepada sistem maklumat perbandaran, melainkan jika diperuntukkan sebaliknya oleh perundangan Persekutuan Rusia mengenai pemerintahan sendiri tempatan (khususnya, Undang-undang Persekutuan bertarikh 6 Oktober, 2003 N 131-FZ "Mengenai prinsip umum pemerintahan sendiri tempatan di Persekutuan Rusia" dan tindakan undang-undang peraturan lain Persekutuan Rusia yang diterima pakai mengikutnya).

5. Mengenai isu penggunaan "Keperluan khas dan cadangan untuk perlindungan teknikal maklumat sulit", dengan mengambil kira penerbitan Perintah No. 17 FSTEC Rusia bertarikh 11 Februari 2013.

Penerbitan Perintah No. 17 FSTEC Rusia bertarikh 11 Februari 2013 tidak membatalkan kesahihan dokumen metodologi "Keperluan dan cadangan khas untuk perlindungan teknikal maklumat sulit" (selepas ini dirujuk sebagai STR-K) dan " Sistem automatik. Perlindungan terhadap akses tanpa kebenaran kepada maklumat. Klasifikasi sistem automatik dan keperluan untuk perlindungan maklumat” (selepas ini dirujuk sebagai RD AS).

STR-K digunakan sebagai dokumen metodologi dalam pelaksanaan langkah-langkah untuk melindungi cara teknikal sistem maklumat negeri (ZTS.1), dipilih mengikut perenggan 21 dan Lampiran No. 2 kepada Keperluan yang diluluskan oleh perintah FSTEC daripada Rusia bertarikh 11 Februari 2013 No. 17, untuk meneutralkan ancaman keselamatan maklumat yang berkaitan dengan perlindungan maklumat yang dibentangkan dalam bentuk isyarat elektrik bermaklumat dan medan fizikal (perlindungan terhadap kebocoran melalui saluran teknikal).

Di samping itu, peruntukan STR-K dan RD AS digunakan oleh keputusan pemilik maklumat (pelanggan, pengendali sistem maklumat) untuk melindungi maklumat yang mengandungi maklumat sulit (Dekri Presiden Persekutuan Rusia pada 6 Mac 1997 N 188 "Apabila diluluskan senarai maklumat sulit "), diproses dalam sistem maklumat yang, menurut Undang-undang Persekutuan bertarikh
27 Julai 2006 N 149-FZ "Mengenai maklumat, teknologi maklumat dan perlindungan maklumat" tidak diklasifikasikan sebagai sistem maklumat negeri.

6. Mengenai isu penggunaan konsep "sistem maklumat" dan "sistem automatik".

Khususnya, sistem pengesanan pencerobohan dan alat perlindungan anti-virus yang diperakui untuk mematuhi Keperluan untuk sistem pengesanan pencerobohan, yang diluluskan oleh Perintah FSTEC Rusia bertarikh 6 Disember 2011 N 638, dan Keperluan untuk alat perlindungan anti-virus, diluluskan oleh Perintah FSTEC Rusia bertarikh 20 Mac 2012. N 28, mengikut kelas perlindungan ke-4, mereka sepadan dengan tahap kawalan ke-4 ke atas ketiadaan keupayaan yang tidak diisytiharkan.

Apabila digunakan dalam sistem maklumat negeri kelas keselamatan yang sesuai dan untuk memastikan tahap perlindungan data peribadi yang ditetapkan, alat keselamatan maklumat diperakui untuk mematuhi keperluan keselamatan maklumat yang ditetapkan dalam spesifikasi teknikal (spesifikasi keselamatan) dan (atau) dokumen pengawalseliaan lain bagi FSTEC Rusia, pematuhan dengan tahap kawalan ketiadaan keupayaan yang tidak diisytiharkan ditunjukkan dalam sijil pematuhan dengan keperluan keselamatan maklumat untuk alat keselamatan maklumat ini.

8. Mengenai isu penggunaan langkah perlindungan maklumat tambahan yang bertujuan untuk meneutralkan ancaman semasa terhadap keselamatan data peribadi jenis 1 dan 2.

Selaras dengan perenggan 11 Komposisi dan kandungan langkah-langkah yang diluluskan oleh Perintah FSTEC Rusia bertarikh 18 Februari 2013 N 21, untuk mengurangkan kemungkinan ancaman terhadap keselamatan data peribadi jenis 1 dan 2, langkah tambahan berkaitan dengan pengujian sistem maklumat boleh digunakan pada penembusan dan penggunaan dalam sistem maklumat sistem dan (atau) perisian aplikasi yang dibangunkan menggunakan kaedah pengaturcaraan selamat.

9. Mengenai isu pembangunan dokumen metodologi FSTEC Rusia untuk melaksanakan Keperluan yang diluluskan oleh Perintah FSTEC Rusia bertarikh 11 Februari 2013 No. 17.

Ketua Jabatan 2

FSTEC Rusia

SURUHANJAYA TEKNIKAL NEGERI DI BAWAH PRESIDEN RUSIA

PERSEKUTUAN

MAKLUMAT SULIT

(STR-K)

1. Istilah, takrifan dan singkatan

2. Peruntukan am

3. Organisasi kerja mengenai perlindungan maklumat

4.1. Peruntukan am

4.3. Perlindungan maklumat yang beredar dalam sistem pengukuhan bunyi dan runut bunyi wayang

4.4. Perlindungan maklumat semasa rakaman bunyi..

4.5. Perlindungan maklumat suara semasa penghantarannya melalui saluran komunikasi

Teknologi komputer

5.4. Prosedur untuk memastikan perlindungan maklumat sulit semasa operasi RFN

5.5. Perlindungan maklumat sulit di stesen kerja automatik berdasarkan PC autonomi

5.6. Melindungi maklumat semasa digunakan pemacu boleh tanggal kapasiti besar untuk stesen kerja automatik berdasarkan PC autonomi

5.7. Perlindungan maklumat dalam rangkaian komputer tempatan

5.8. Perlindungan maklumat apabila kerja internet

5.9. Melindungi maklumat apabila bekerja dengan sistem pengurusan pangkalan data 6. Cadangan untuk memastikan perlindungan maklumat yang terkandung dalam bukan negeri sumber maklumat, apabila pelanggan berinteraksi dengan rangkaian maklumat penggunaan biasa

6.1. Peruntukan am

6.2. Syarat untuk menyambungkan pelanggan ke Rangkaian

6.3. Prosedur untuk menyambung dan berinteraksi mata pelanggan dengan Rangkaian, keperluan dan cadangan untuk memastikan keselamatan maklumat 7, Aplikasi:

1 . Akta klasifikasi sistem pemprosesan maklumat automatik

2. Sijil pematuhan sistem automatik dengan keperluan keselamatan

3. Sijil pematuhan premis yang dilindungi dengan keperluan keselamatan maklumat

4. Bentuk pasport teknikal untuk premis yang dilindungi

5. Bentuk pasport teknikal untuk sistem automatik

6. Contoh mendokumentasikan senarai maklumat sulit watak

7. Kelas keselamatan terhadap akses tanpa kebenaran kepada maklumat

8. Akta perundangan kawal selia asas dan dokumen metodologi mengenai perlindungan

1. ISTILAH, DEFINISI DAN SINGKATAN

Istilah asas, takrifan dan singkatan berikut digunakan dalam dokumen ini:

1.1. Pelanggan rangkaian (lihat juga klausa 1.14) - seseorang yang merupakan pekerja institusi (perusahaan) yang mempunyai permit yang dikeluarkan dengan betul dan keupayaan teknikal untuk berhubung dan berinteraksi dengan Rangkaian.

1.2. Titik pelanggan (AP) - peralatan komputer institusi (perusahaan) yang disambungkan ke Rangkaian menggunakan peralatan komunikasi. AP boleh dalam bentuk komputer elektronik peribadi (PC) autonomi dengan modem dan tidak mempunyai saluran fizikal sambungan dengan peralatan komputer lain (CT) perusahaan, serta dalam bentuk satu atau lebih tempatan bersepadu jaringan komputer(LAN) dengan stesen kerja dan pelayan yang disambungkan ke Rangkaian melalui peralatan komunikasi (modem, jambatan, get laluan, penghala, pemultipleks, pelayan komunikasi, dll.).

1.3. Sistem automatik (AS) - sistem yang terdiri daripada kakitangan dan satu set alat automasi untuk aktiviti mereka, melaksanakan teknologi maklumat untuk melaksanakan fungsi yang ditetapkan.

1.4. AS pentadbir - orang yang bertanggungjawab untuk berfungsi sistem automatik dalam ditubuhkan mod biasa kerja.

1.5. Pentadbir perlindungan maklumat (keselamatan) ialah orang yang bertanggungjawab untuk melindungi sistem automatik daripada akses tanpa kebenaran kepada maklumat.

1.6. Keselamatan maklumat ialah keadaan keselamatan maklumat yang dicirikan oleh keupayaan kakitangan, cara teknikal dan teknologi maklumat untuk memastikan kerahsiaan (iaitu merahsiakannya daripada subjek yang tidak mempunyai kuasa untuk membiasakan diri dengannya), integriti dan kebolehcapaian maklumat apabila diproses dengan cara teknikal.

1.7. Cara dan sistem teknikal tambahan (ATSS) - cara dan sistem teknikal yang tidak bertujuan untuk penghantaran, pemprosesan dan penyimpanan maklumat sulit, dipasang bersama-sama dengan cara dan sistem teknikal utama atau di dalam premis yang dilindungi. Ini termasuk:

Pelbagai jenis kemudahan telefon dan sistem;

Cara dan sistem untuk penghantaran data dalam sistem komunikasi radio;

Keselamatan dan sistem penggera kebakaran dan peralatan;

Cara dan sistem amaran dan penggera;

Peralatan kawalan dan pengukuran;

Produk dan sistem penyaman udara;

Alat dan sistem untuk rangkaian penyiaran radio berwayar dan penerimaan program radio dan televisyen (pembesar suara pelanggan, sistem penyiaran radio, televisyen dan radio, dsb.);

peralatan pejabat elektronik;

Peralatan dan sistem jam elektrik;

Cara dan sistem teknikal lain.

1.8. Akses kepada maklumat (akses) - membiasakan diri dengan maklumat, pemprosesannya, khususnya, penyalinan, pengubahsuaian atau pemusnahan maklumat.

1.9. Ketersediaan (authorized availability) maklumat ialah keadaan maklumat yang dicirikan oleh keupayaan cara teknikal dan teknologi maklumat untuk menyediakan akses tanpa halangan kepada maklumat kepada subjek yang mempunyai kuasa untuk berbuat demikian.

1.10. Perlindungan maklumat daripada capaian yang tidak dibenarkan (perlindungan daripada capaian yang tidak dibenarkan) atau pengaruh - aktiviti yang bertujuan untuk menghalang pihak yang berminat daripada mendapatkan maklumat (atau mempengaruhi maklumat) yang melanggar hak yang ditetapkan atau peraturan.

1.11. Istimewa tanda pelindung(SPZ) - produk yang disahkan dan didaftarkan dengan sewajarnya yang direka untuk mengawal akses tanpa kebenaran kepada objek yang dilindungi dengan menentukan ketulenan dan integriti SPZ, dengan membandingkan tanda itu sendiri atau komposisi "SPZ - substrat" mengikut kriteria pematuhan ciri ciri kaedah visual, instrumental dan lain-lain.

1.12. Premis terlindung (SP) - premis (pejabat, bilik perhimpunan, bilik persidangan, dsb.) yang direka khas untuk mengadakan acara sulit (mesyuarat, perbincangan, persidangan, rundingan, dsb.).

1.13. Isyarat bermaklumat - isyarat elektrik, akustik, elektromagnet dan medan fizikal lain, yang parameternya boleh mendedahkan maklumat sulit yang dihantar, disimpan atau diproses dalam cara dan sistem teknikal asas dan dibincangkan dalam PO.

1.14. Sumber maklumat - dokumen individu dan susunan berasingan dokumen, dokumen dan tatasusunan dokumen dalam sistem maklumat (perpustakaan, arkib, dana, bank data, sistem maklumat lain).

1.15. Rangkaian maklumat awam (selepas ini dirujuk sebagai Rangkaian) adalah pengkomputeran (rangkaian maklumat dan telekomunikasi) terbuka untuk digunakan oleh semua fizikal dan entiti undang-undang, perkhidmatan yang tidak boleh dinafikan kepada mereka ini.

1.16. Zon terkawal (CA) ialah ruang (wilayah, bangunan, sebahagian daripada bangunan) di mana kehadiran tidak terkawal orang yang tidak mempunyai akses tetap atau sekali sahaja, dan orang asing dikecualikan kenderaan. Sempadan litar pintas boleh:

Perimeter wilayah perlindungan institusi (perusahaan);

Melampirkan struktur bangunan yang dilindungi atau bahagian bangunan yang dilindungi, jika ia terletak di kawasan yang tidak dilindungi.

DALAM dalam beberapa kes untuk tempoh pemprosesan maklumat sulit melalui cara teknikal, zon keselamatan boleh ditubuhkan buat sementara waktu lebih besar daripada wilayah yang dilindungi perusahaan. Dalam kes ini, langkah organisasi, operasi dan teknikal mesti diambil yang mengecualikan atau merumitkan dengan ketara kemungkinan memintas maklumat dalam zon ini.

1.17. maklumat sulit - maklumat yang didokumenkan, akses yang terhad mengikut undang-undang Persekutuan Rusia.

1.18. Rangkaian kawasan setempat - rangkaian komputer yang menyokong satu atau lebih saluran berkelajuan tinggi pemindahan maklumat digital, disediakan kepada peranti yang disambungkan untuk kegunaan eksklusif jangka pendek.

1.19. Firewall(ME) - alat (kompleks) (komponen tunggal) atau perisian teragih fungsi (perkakasan dan perisian) setempat yang melaksanakan kawalan ke atas maklumat yang memasuki AS dan/atau meninggalkan AS.

1.20. Akses tanpa kebenaran (tindakan tidak dibenarkan) (NSD) - akses kepada maklumat atau tindakan dengan maklumat yang melanggar peraturan kawalan akses menggunakan dana biasa disediakan oleh teknologi komputer atau sistem automatik.

1.21. Cara dan sistem teknikal asas (OTSS) - cara dan sistem teknikal, serta komunikasinya, digunakan untuk memproses, menyimpan dan menghantar maklumat sulit. Dalam konteks dokumen ini, ini termasuk cara teknikal dan sistem sistem automatik pelbagai peringkat dan tujuan berdasarkan teknologi komputer, cara dan sistem komunikasi serta penghantaran data yang digunakan untuk memproses maklumat sulit.

1.22. Pembekal Rangkaian ialah organisasi yang diberi kuasa yang melaksanakan fungsi pembekal perkhidmatan Rangkaian untuk titik pelanggan dan terus untuk pelanggan Rangkaian.

1.23. Sistem perlindungan maklumat daripada NSD (SZI NSD) - kompleks langkah-langkah organisasi dan perisian dan perkakasan (jika perlu, kriptografi) cara perlindungan terhadap akses tanpa kebenaran kepada maklumat (tindakan tanpa kebenaran dengannya) dalam sistem automatik.

1.24. Maklumat perkhidmatan SZI NSD - pangkalan maklumat SEPERTI yang diperlukan untuk fungsi sistem keselamatan maklumat NSD (tahap kuasa kakitangan pengendalian AS, matriks akses, kunci, kata laluan, dll.).

1.25. Saluran teknikal kebocoran maklumat ialah gabungan objek risikan teknikal, persekitaran fizikal dan cara risikan teknikal yang mana data risikan diperoleh.

1.26. Perkhidmatan rangkaian - kompleks kefungsian diberikan kepada pelanggan rangkaian menggunakan protokol aplikasi(protokol E-mel,FTP- Pemindahan fail Protokol - penerimaan/pemindahan fail, HTTP - Hiper Text Transfer Protocol - akses kepada pelayan Web, IRC - Internet Relay Chat - dialog masa nyata, Telnet - akses terminal pada rangkaian, WAIS - Pelayan Maklumat Kawasan Luas - sistem untuk menyimpan dan mendapatkan semula dokumen pada rangkaian, dsb.).

1.27. Integriti maklumat ialah penentangan maklumat terhadap pengaruh yang tidak dibenarkan atau tidak sengaja ke atasnya semasa pemprosesan melalui cara teknikal, yang boleh mengakibatkan kemusnahan dan penyelewengan maklumat.

1.28. Pelayan web - tersedia secara umum di Internet pelayan maklumat, menggunakan teknologi hiperteks.

2. PERUNTUKAN AM

kawasan ini untuk pihak berkuasa persekutuan kuasa negeri, badan kerajaan entiti konstituen Persekutuan Rusia dan kerajaan tempatan, perusahaan, institusi dan organisasi (selepas ini dirujuk sebagai institusi dan perusahaan), tanpa mengira bentuk dan bentuk pemilikan organisasi dan undang-undang mereka, pegawai dan warganegara Persekutuan Rusia yang telah memikul kewajipan atau diwajibkan oleh status mematuhi keperluan dokumen undang-undang Persekutuan Rusia mengenai perlindungan maklumat.

Maklumat sulit - maklumat daripada akses terhad, dengan pengecualian maklumat yang diklasifikasikan sebagai rahsia negara dan data peribadi yang terkandung dalam sumber maklumat negeri (perbandaran), terkumpul dengan mengorbankan belanjawan negeri (perbandaran) dan yang menjadi hak milik negeri (ini mungkin termasuk maklumat yang membentuk rahsia rasmi dan jenis rahsia lain mengikut undang-undang Persekutuan Rusia, serta maklumat yang bersifat sulit mengikut "Senarai maklumat sulit" yang diluluskan oleh Dekri Presiden Persekutuan Rusia bertarikh 6 Mac 1997 No . 188), yang perlindungannya dilakukan demi kepentingan negara (selepas ini dirujuk sebagai rahsia rasmi);

Maklumat tentang fakta, peristiwa dan keadaan privasi warganegara, membolehkan dia dikenal pasti (data peribadi) (Selaras dengan Undang-undang Persekutuan "Mengenai Maklumat, Pemberitahuan dan Perlindungan Maklumat", rejim untuk perlindungan data peribadi mesti ditentukan oleh undang-undang persekutuan. Sebelum pelaksanaannya, dokumen ini harus digunakan untuk menubuhkan rejim untuk perlindungan sedemikian maklumat., kecuali maklumat yang tertakluk kepada penyebaran dalam media massa media mengikut undang-undang persekutuankes.)

2.3. Untuk melindungi maklumat sulit yang terkandung dalam sumber maklumat bukan negara, rejim perlindungannya ditentukan oleh pemilik sumber ini (contohnya, maklumat yang membentuk komersial, rahsia bank, dll.) (selepas ini - rahsia perdagangan), dokumen ini bersifat nasihat.

2.4. Dokumen itu dibangunkan berdasarkan undang-undang persekutuan "Mengenai maklumat, maklumat dan perlindungan maklumat", "Mengenai penyertaan dalam antarabangsa. pertukaran maklumat", Dekri Presiden Persekutuan Rusia bertarikh 03/06/97 No. 188 "Senarai maklumat sulit", "Doktrin keselamatan maklumat Persekutuan Rusia", diluluskan oleh Presiden Persekutuan Rusia pada 9 September 2000 No. Pr.-1895, "Peraturan mengenai prosedur untuk mengendalikan maklumat rasmi pengedaran terhad dalam pihak berkuasa eksekutif persekutuan", diluluskan oleh Dekri Kerajaan Persekutuan Rusia bertarikh 3 November 1994 No. 1233, tindakan undang-undang peraturan lain mengenai perlindungan maklumat (Lampiran No. 8), serta pengalaman dalam melaksanakan langkah perlindungan maklumat di kementerian dan jabatan, institusi dan perusahaan 2.5 Dokumen ini mentakrifkan isu utama keselamatan maklumat berikut:

Organisasi kerja mengenai perlindungan maklumat, termasuk pembangunan dan pemodenan objek pemformatan dan sistem perlindungan maklumatnya,

Komposisi dan kandungan utama dokumentasi organisasi, pentadbiran, reka bentuk, operasi dan lain-lain mengenai perlindungan maklumat;

rundingan, termasuk menggunakan cara teknikal;

Prosedur untuk memastikan perlindungan maklumat semasa operasi objek pemformatan;

Ciri perlindungan maklumat semasa pembangunan dan pengendalian sistem automatik menggunakan Pelbagai jenis kemudahan komputer dan Teknologi maklumat;

Prosedur untuk memastikan perlindungan maklumat apabila pelanggan berinteraksi dengan rangkaian maklumat awam.

Prosedur untuk pembangunan, pengeluaran, penjualan dan penggunaan dana perlindungan kriptografi maklumat ditentukan oleh "Peraturan mengenai prosedur untuk pembangunan, pengeluaran (pembuatan), penjualan, pemerolehan dan penggunaan cara perlindungan kriptografi maklumat dengan akses terhad yang tidak mengandungi maklumat yang membentuk rahsia negara" (Peraturan PKZ-99) , dan juga oleh "Arahan untuk mengatur dan memastikan penyimpanan keselamatan, pemprosesan dan penghantaran maklumat sulit melalui saluran komunikasi teknikal di Persekutuan Rusia menggunakan FAPSI yang diperakui. cara kriptografi".

2.6. Perlindungan maklumat yang diproses menggunakan cara teknikal adalah sebahagian berfungsi pada penciptaan dan pengendalian objek pemformatan untuk pelbagai tujuan dan mesti dilaksanakan mengikut cara yang ditetapkan oleh dokumen ini dalam bentuk sistem perlindungan maklumat (subsistem) bersama-sama dengan langkah-langkah perlindungan maklumat yang lain.

2.7. Maklumat tertakluk kepada perlindungan, kedua-dua ucapan dan diproses dengan cara teknikal, serta maklumat yang dibentangkan dalam bentuk isyarat elektrik bermaklumat, medan fizikal, media di atas kertas, asas magnetik, optik dan lain-lain, dalam bentuk tatasusunan maklumat dan pangkalan data dalam AS. Objek pemformatan yang dilindungi ialah:

Alat dan sistem teknologi maklumat (teknologi komputer,

sistem automatik pelbagai peringkat dan tujuan berdasarkan teknologi komputer, termasuk maklumat dan kompleks pengkomputeran, rangkaian dan sistem, cara dan sistem komunikasi dan penghantaran data, cara teknikal untuk menerima, menghantar dan memproses maklumat (telefoni, rakaman bunyi, amplifikasi bunyi, bunyi pengeluaran semula, bilik mesyuarat dan peranti televisyen, cara menghasilkan, mereplikasi dokumen dan cara teknikal lain memproses maklumat ucapan, grafik, video dan abjad angka), perisian (OS, sistem pengurusan pangkalan data, seluruh sistem dan perisian aplikasi lain) yang digunakan untuk memproses maklumat sulit;

Cara dan sistem teknikal yang tidak memproses maklumat sulit secara langsung, tetapi terletak di dalam premis di mana ia diproses (diedarkan);

Premis yang dilindungi.

2.8. Perlindungan maklumat hendaklah dijalankan melalui pelaksanaan satu set langkah dan penggunaan (jika perlu) langkah keselamatan maklumat untuk mencegah

kebocoran maklumat atau kesan ke atasnya melalui saluran teknikal, disebabkan capaian yang tidak dibenarkan kepadanya, untuk mengelakkan pengaruh perisian dan perkakasan yang disengajakan dengan tujuan untuk melanggar integriti (pemusnahan, herotan) maklumat semasa pemprosesan, penghantaran dan penyimpanan, mengganggu ketersediaannya dan kebolehkendalian cara teknikal.

2.9. Apabila menjalankan rundingan dan menggunakan cara teknikal untuk memproses dan menghantar maklumat, adalah mungkin saluran berikut Kebocoran dan sumber ancaman keselamatan maklumat:

Sinaran akustik isyarat pertuturan bermaklumat;

Isyarat elektrik yang timbul melalui penukaran isyarat bermaklumat daripada akustik kepada elektrik disebabkan oleh kesan mikrofon dan merambat sepanjang wayar dan talian melangkaui litar pintas;

Isyarat vibroakustik yang timbul melalui transformasi

isyarat akustik bermaklumat apabila terdedah kepada pembinaan bangunan dan komunikasi kejuruteraan dan teknikal premis yang dilindungi;

Akses tanpa kebenaran dan tindakan tidak dibenarkan berhubung dengan maklumat dalam sistem automatik, termasuk menggunakan rangkaian maklumat awam;

Kesan ke atas perkakasan atau perisian sistem maklumat untuk melanggar kerahsiaan, integriti dan ketersediaan maklumat, prestasi cara teknikal, dan cara keselamatan maklumat melalui perisian yang dilaksanakan khas;

Kesan sampingan radiasi elektromagnetik isyarat bermaklumat daripada cara teknikal memproses maklumat sulit dan talian penghantaran maklumat ini;

Aruhan isyarat bermaklumat, diproses dengan cara teknikal, ke litar bekalan kuasa dan talian komunikasi yang melampaui litar pintas;

Pelepasan radio atau isyarat elektrik daripada peranti elektronik khas untuk memintas maklumat pertuturan "penanda halaman" yang dibenamkan dalam cara teknikal dan premis yang dilindungi, dimodulasi oleh isyarat bermaklumat;

Pelepasan radio atau isyarat elektrik daripada peranti pemintasan maklumat elektronik yang disambungkan kepada saluran komunikasi atau cara teknikal pemprosesan maklumat;

Mendengar perbualan telefon dan radio yang berterusan;

Melihat maklumat daripada skrin paparan dan cara lain untuk memaparkannya, kertas dan media lain, termasuk menggunakan cara optik;

Kecurian peralatan teknikal dengan maklumat yang disimpan di dalamnya atau individu

pembawa maklumat.

2.10. Pemintasan maklumat atau pengaruh ke atasnya menggunakan teknik
dana boleh dikekalkan:

Dari luar negara, litar pintas dari bangunan dan kenderaan berdekatan;

Dari premis bersebelahan kepunyaan institusi lain (perusahaan) dan terletak di bangunan yang sama dengan objek yang dilindungi;

Apabila melawat institusi (perusahaan) oleh orang yang tidak dikenali;

Disebabkan oleh akses yang tidak dibenarkan (tindakan tidak dibenarkan) kepada

maklumat yang beredar dalam AS, kedua-duanya dengan bantuan cara teknikal AS, dan melalui rangkaian maklumat penggunaan biasa.

2.11. Peranti mudah alih, mudah alih dan boleh pakai yang diletakkan berhampiran objek yang dilindungi atau disambungkan kepada saluran komunikasi atau cara teknikal pemprosesan maklumat boleh digunakan sebagai peralatan untuk memintas atau mempengaruhi maklumat dan cara teknikal, serta peranti elektronik memintas maklumat "penanda buku" yang diletakkan di dalam atau di luar premis yang dilindungi.

2.12. Sebagai tambahan kepada pemintasan maklumat dengan cara teknikal, ada kemungkinan maklumat yang dilindungi mungkin secara tidak sengaja mencapai orang yang tidak dibenarkan mengaksesnya, tetapi berada dalam zon keselamatan. Ini mungkin, sebagai contoh, disebabkan oleh:

Mendengar secara tidak sengaja tanpa menggunakan cara teknikal perbualan sulit kerana penebat bunyi yang tidak mencukupi bagi struktur penutup premis yang dilindungi dan sistem kejuruteraan dan teknikalnya;

Mendengar secara rawak perbualan telefon semasa menjalankan kerja pencegahan dalam rangkaian komunikasi telefon;

Tindakan pengguna dan pentadbir AS yang tidak cekap atau salah semasa operasi rangkaian komputer;

Melihat maklumat daripada skrin paparan dan cara lain untuk memaparkannya.

2.13. Pengenalpastian dan pertimbangan faktor yang mempengaruhi atau mampu menjejaskan maklumat yang dilindungi (ancaman terhadap keselamatan maklumat) dalam keadaan tertentu, menurut GOST R 51275-99, membentuk asas untuk merancang dan melaksanakan langkah-langkah yang bertujuan untuk melindungi maklumat di kemudahan maklumat.

Tatal langkah-langkah yang perlu perlindungan maklumat ditentukan berdasarkan hasil pemeriksaan objek pemformatan, dengan mengambil kira nisbah kos melindungi maklumat dengan kemungkinan kerosakan daripada pendedahan, kehilangan, kemusnahan, herotan, pelanggaran ketersediaan maklumat yang dibenarkan dan kebolehkendaliannya. cara teknikal memproses maklumat ini, serta mengambil kira peluang sebenar pemintasan dan pendedahan kandungannya.

2.14. Perhatian utama harus diberikan kepada perlindungan maklumat yang berkaitan dengan ancaman terhadap keselamatan maklumat dilaksanakan tanpa menggunakan cara teknikal yang kompleks untuk memintas maklumat:

Maklumat suara yang beredar di premis yang dilindungi;

Maklumat yang diproses oleh teknologi komputer daripada capaian yang tidak dibenarkan dan tindakan yang tidak dibenarkan;

Maklumat yang dipaparkan pada skrin monitor video;

Maklumat yang dihantar melalui saluran komunikasi yang melangkaui litar pintas.

2.15. Pembangunan langkah-langkah dan memastikan perlindungan maklumat dijalankan oleh unit perlindungan maklumat (perkhidmatan keselamatan) atau pakar individu yang dilantik oleh pengurusan perusahaan (institusi) untuk menjalankan kerja tersebut. Pembangunan langkah keselamatan maklumat juga boleh dilakukan oleh syarikat pihak ketiga yang mempunyai lesen yang sesuai daripada Suruhanjaya Teknikal Negeri Rusia dan/atau FAPSI untuk hak untuk menyediakan perkhidmatan dalam bidang keselamatan maklumat.

2.16. Untuk melindungi maklumat, adalah disyorkan untuk menggunakan cara teknikal memproses dan menghantar maklumat, perkakasan dan alatan perisian untuk keselamatan maklumat yang diperakui mengikut keperluan keselamatan maklumat. Apabila memproses maklumat sulit yang didokumenkan di kemudahan maklumat di badan kerajaan Persekutuan Rusia dan badan kerajaan entiti konstituen Persekutuan Rusia, yang lain Agensi-agensi kerajaan, perusahaan dan institusi, cara untuk melindungi sistem maklumat adalah tertakluk kepada pensijilan mandatori.

2.17. Objek pemformatan mesti diperakui untuk mematuhi keperluan perlindungan maklumat (Selepas ini, pensijilan bermaksud komisenpenerimaan objek pemformatan oleh perusahaan dengan penyertaan wajib pakar keselamatan maklumat.)

2.18. Tanggungjawab untuk memastikan keperluan untuk perlindungan teknikal maklumat sulit terletak pada ketua institusi dan perusahaan yang mengendalikan kemudahan maklumat.

Versi penuh dokumen boleh dimuat turun dari.

(STR-K)

Moscow 2001

KANDUNGAN

1. Istilah, takrifan dan singkatan
2. Peruntukan am
3. Organisasi kerja mengenai perlindungan maklumat
4. Keperluan dan cadangan untuk perlindungan maklumat pertuturan
4.1. Peruntukan am
4.2. Keperluan asas dan cadangan untuk melindungi maklumat yang beredar di premis yang dilindungi
4.3. Perlindungan maklumat yang beredar dalam tetulang bunyi dan sistem bunyi filem
4.4. Perlindungan maklumat semasa rakaman bunyi..
4.5. Perlindungan maklumat suara semasa penghantarannya melalui saluran komunikasi
5. Keperluan dan cadangan untuk perlindungan maklumat yang diproses oleh teknologi komputer
5.1. Keperluan am dan cadangan
5.2. Keperluan asas dan cadangan untuk melindungi rahsia rasmi dan data peribadi
5.3. Cadangan asas untuk melindungi maklumat yang membentuk rahsia perdagangan
5.4. Prosedur untuk memastikan perlindungan maklumat sulit semasa operasi RFN
5.5. Perlindungan maklumat sulit di stesen kerja automatik berdasarkan PC autonomi
5.6. Perlindungan maklumat apabila menggunakan peranti storan boleh tanggal berkapasiti tinggi untuk stesen kerja automatik berdasarkan PC autonomi
5.7. Perlindungan maklumat dalam rangkaian komputer tempatan
5.8. Perlindungan maklumat semasa kerja internet
5.9. Melindungi maklumat apabila bekerja dengan sistem pengurusan pangkalan data
6. Cadangan untuk memastikan perlindungan maklumat yang terkandung dalam sumber maklumat bukan negeri apabila pelanggan berinteraksi dengan rangkaian maklumat awam
6.1. Peruntukan am
6.2. Syarat untuk menyambungkan pelanggan ke Rangkaian
6.3. Prosedur untuk menyambung dan berinteraksi mata pelanggan dengan Rangkaian, keperluan dan cadangan untuk memastikan keselamatan maklumat
7. Aplikasi:

1.18. Rangkaian kawasan setempat - rangkaian komputer yang menyokong, dalam kawasan terhad, satu atau lebih saluran penghantaran maklumat digital berkelajuan tinggi yang disediakan kepada peranti yang disambungkan untuk kegunaan eksklusif jangka pendek.

1.19. Firewall (FW) ialah alat perisian (perkakasan dan perisian) setempat (komponen tunggal) atau diedarkan secara berfungsi yang melaksanakan kawalan ke atas maklumat yang memasuki tembok api dan/atau meninggalkan tembok api.

1.20. Capaian tidak dibenarkan (tindakan tidak dibenarkan) (UA) - akses kepada maklumat atau tindakan dengan maklumat yang melanggar peraturan kawalan capaian menggunakan cara standard yang disediakan oleh teknologi komputer atau sistem automatik.

1.22. Pembekal Rangkaian ialah organisasi yang diberi kuasa yang melaksanakan fungsi pembekal perkhidmatan Rangkaian untuk titik pelanggan dan terus untuk pelanggan Rangkaian.

1.23. Sistem perlindungan maklumat daripada NSD (IPS NSD) ialah satu set langkah organisasi dan perisian dan perkakasan (kriptografi jika perlu) cara perlindungan terhadap akses tanpa kebenaran kepada maklumat (tindakan tanpa kebenaran dengannya) dalam sistem automatik.

1.24. Maklumat perkhidmatan sistem keselamatan maklumat NSD - pangkalan maklumat loji yang diperlukan untuk berfungsi sistem keselamatan maklumat NSD (tahap kuasa kakitangan pengendalian NSD, matriks akses, kunci, kata laluan, dll.).

1.25. Saluran teknikal kebocoran maklumat ialah gabungan objek risikan teknikal, persekitaran fizikal dan cara risikan teknikal yang mana data risikan diperoleh.

1.26. Perkhidmatan rangkaian - satu set fungsi yang disediakan kepada pelanggan rangkaian menggunakan protokol aplikasi (protokol e-mel, FTP - Protokol Pemindahan Fail - penerimaan/pemindahan fail, HTTP - Protokol Pemindahan Teks Hiper - akses kepada pelayan Web, IRC - Sembang Geganti Internet - dialog dalam masa nyata, Telnet - akses terminal pada rangkaian, WAIS - Pelayan Maklumat Kawasan Luas - sistem untuk menyimpan dan mendapatkan semula dokumen pada rangkaian, dsb.).

1.28. Pelayan web ialah pelayan maklumat yang tersedia secara umum di Internet yang menggunakan teknologi hiperteks.

2. PERUNTUKAN AM

2.1. Dokumen ini menetapkan prosedur untuk mengatur kerja, keperluan dan cadangan untuk memastikan perlindungan teknikal maklumat sulit di wilayah Persekutuan Rusia dan merupakan dokumen panduan utama dalam bidang ini untuk badan kerajaan persekutuan, badan kerajaan entiti konstituen Persekutuan Rusia dan kerajaan tempatan, perusahaan, institusi dan organisasi (selepas ini dirujuk sebagai institusi dan perusahaan) tanpa mengira bentuk dan bentuk pemilikan organisasi dan undang-undang mereka, pegawai dan warganegara Persekutuan Rusia yang telah melaksanakan kewajipan atau diwajibkan oleh status untuk memenuhi keperluan dokumen undang-undang Persekutuan Rusia mengenai perlindungan maklumat.

· maklumat sulit - maklumat dengan akses terhad, dengan pengecualian maklumat yang diklasifikasikan sebagai rahsia negara dan data peribadi yang terkandung dalam sumber maklumat negeri (perbandaran), terkumpul dengan mengorbankan belanjawan negeri (perbandaran) dan yang menjadi hak milik negara ( ini mungkin termasuk maklumat yang membentuk rahsia rasmi dan jenis rahsia lain mengikut perundangan Persekutuan Rusia, serta maklumat yang bersifat sulit menurut "Senarai maklumat sulit" yang diluluskan oleh Dekri Presiden Persekutuan Rusia. bertarikh 6 Mac 1997 No. 000), perlindungan yang dijalankan demi kepentingan negara (selepas ini - rahsia rasmi);

· maklumat tentang fakta, peristiwa dan keadaan kehidupan peribadi warganegara, yang membolehkan identitinya dikenal pasti (data peribadi) (Selaras dengan Undang-undang Persekutuan "Mengenai Maklumat, Pemberitahuan dan Perlindungan Maklumat", rejim untuk perlindungan data peribadi mesti ditentukan oleh undang-undang persekutuan. Sebelum ia berkuat kuasa untuk menubuhkan rejim untuk melindungi maklumat tersebut, seseorang itu harus dipandu oleh dokumen ini, kecuali maklumat yang tertakluk kepada penyebaran dalam media dalam kes-kes yang ditetapkan oleh undang-undang persekutuan.)

2.3. Untuk melindungi maklumat sulit yang terkandung dalam sumber maklumat bukan negeri, yang rejim perlindungannya ditentukan oleh pemilik sumber ini (contohnya, maklumat yang membentuk rahsia komersial, perbankan, dll.) (selepas ini dirujuk sebagai rahsia komersial), dokumen ini bersifat nasihat.

2.4. Dokumen itu dibangunkan berdasarkan undang-undang persekutuan "Mengenai maklumat, maklumat dan perlindungan maklumat", "Mengenai penyertaan dalam pertukaran maklumat antarabangsa", Dekri Presiden Persekutuan Rusia bertarikh 03/06/97. No. 000 "Senarai Maklumat Sulit", "Doktrin Keselamatan Maklumat Persekutuan Rusia", diluluskan oleh Presiden Persekutuan Rusia pada 09.09.2000. No. Pr.-1895, "Peraturan mengenai prosedur untuk mengendalikan maklumat rasmi pengedaran terhad dalam pihak berkuasa eksekutif persekutuan," yang diluluskan oleh Dekri Kerajaan Persekutuan Rusia bertarikh 3 November 1994. No. 000, tindakan undang-undang peraturan lain mengenai perlindungan maklumat (Lampiran No. 8), serta pengalaman dalam melaksanakan langkah perlindungan maklumat di kementerian dan jabatan, institusi dan perusahaan.

2.5. Dokumen itu mentakrifkan isu keselamatan maklumat utama berikut:

· organisasi kerja mengenai perlindungan maklumat, termasuk pembangunan dan pemodenan objek pemformatan dan sistem perlindungan maklumatnya;

· komposisi dan kandungan utama dokumentasi organisasi, pentadbiran, reka bentuk, operasi dan lain-lain mengenai perlindungan maklumat;

· prosedur untuk memastikan perlindungan maklumat semasa operasi objek pemformatan;

· ciri keselamatan maklumat semasa pembangunan dan pengendalian sistem automatik menggunakan pelbagai jenis peralatan komputer dan teknologi maklumat;

· prosedur untuk memastikan perlindungan maklumat apabila pelanggan berinteraksi dengan rangkaian maklumat awam.

Prosedur untuk pembangunan, pengeluaran, penjualan dan penggunaan cara perlindungan maklumat kriptografi ditentukan oleh “Peraturan mengenai prosedur untuk pembangunan, pengeluaran (pembuatan), penjualan, pemerolehan dan penggunaan cara perlindungan maklumat kriptografi dengan akses terhad yang tidak mengandungi maklumat yang membentuk rahsia negara" (Peraturan PKZ-99 ), serta "Arahan untuk mengatur dan memastikan keselamatan penyimpanan, pemprosesan dan penghantaran maklumat sulit melalui saluran komunikasi teknikal di Persekutuan Rusia menggunakan cara kriptografi yang diperakui oleh FAPSI."

2.6. Perlindungan maklumat yang diproses menggunakan cara teknikal adalah bahagian penting dalam penciptaan dan operasi objek pemformatan untuk pelbagai tujuan dan mesti dijalankan mengikut cara yang ditetapkan oleh dokumen ini dalam bentuk sistem perlindungan maklumat (subsistem) bersama-sama dengan yang lain. langkah perlindungan maklumat.

Objek pemformatan yang dilindungi ialah:

· alat dan sistem teknologi maklumat (alat teknologi komputer, sistem automatik pelbagai peringkat dan tujuan berdasarkan alat teknologi komputer, termasuk kompleks maklumat dan pengkomputeran, rangkaian dan sistem, alat dan sistem komunikasi dan penghantaran data, cara teknikal untuk menerima, menghantar dan memproses maklumat (telefoni, rakaman bunyi, penguatan bunyi, pembiakan bunyi, peranti interkom dan televisyen, alat pengeluaran, replikasi dokumen dan cara teknikal lain untuk memproses maklumat pertuturan, grafik, video dan abjad angka), perisian (sistem pengendalian, sistem pengurusan pangkalan data, sistem lain -wide dan perisian aplikasi) yang digunakan untuk memproses maklumat sulit;

· cara teknikal dan sistem yang tidak memproses maklumat sulit secara langsung, tetapi terletak di dalam premis di mana ia diproses (diedarkan);

· premis yang dilindungi.

2.8. Perlindungan maklumat hendaklah dijalankan melalui pelaksanaan satu set langkah dan penggunaan (jika perlu) alat keselamatan maklumat untuk mencegah kebocoran maklumat atau kesan ke atasnya melalui saluran teknikal, disebabkan capaian yang tidak dibenarkan kepadanya, untuk mengelakkan perisian dan perkakasan yang disengajakan. pengaruh dengan tujuan untuk melanggar integriti (kemusnahan, herotan ) maklumat dalam proses pemprosesan, penghantaran dan penyimpanan, gangguan ketersediaan dan prestasi cara teknikal.

2.9. Semasa menjalankan rundingan dan menggunakan cara teknikal untuk memproses dan menghantar maklumat, saluran kebocoran dan sumber ancaman kepada keselamatan maklumat berikut adalah mungkin:

· sinaran akustik isyarat pertuturan yang bermaklumat;

· isyarat elektrik yang timbul dengan menukar isyarat bermaklumat daripada akustik kepada elektrik disebabkan oleh kesan mikrofon dan merambat sepanjang wayar dan talian melepasi litar pintas;

· isyarat vibroakustik yang timbul melalui transformasi isyarat akustik bermaklumat apabila terdedah kepada struktur bangunan dan komunikasi kejuruteraan premis yang dilindungi;

· akses tidak dibenarkan dan tindakan yang tidak dibenarkan berhubung dengan maklumat dalam sistem automatik, termasuk menggunakan rangkaian maklumat awam;

· kesan ke atas perkakasan atau perisian sistem maklumat untuk melanggar kerahsiaan, integriti dan ketersediaan maklumat, prestasi cara teknikal, dan cara keselamatan maklumat melalui perisian yang dilaksanakan khas;

· sinaran elektromagnet sisi isyarat bermaklumat daripada cara teknikal memproses maklumat sulit dan talian penghantaran maklumat ini;

· mendorong isyarat bermaklumat, diproses dengan cara teknikal, ke litar bekalan kuasa dan talian komunikasi yang melangkaui litar pintas;

· pelepasan radio atau isyarat elektrik daripada peranti elektronik khas untuk memintas maklumat pertuturan “penanda buku” yang dibenamkan dalam cara teknikal dan premis yang dilindungi, dimodulasi oleh isyarat bermaklumat;

· pelepasan radio atau isyarat elektrik daripada peranti pemintasan maklumat elektronik yang disambungkan kepada saluran komunikasi atau cara teknikal pemprosesan maklumat;

· mendengar perbualan telefon dan radio yang berterusan;

· melihat maklumat daripada skrin paparan dan cara lain untuk memaparkannya, kertas dan media lain, termasuk menggunakan cara optik;

· kecurian peralatan teknikal dengan maklumat yang disimpan di dalamnya atau media storan individu.

2.10. Pemintasan maklumat atau pengaruh ke atasnya menggunakan cara teknikal boleh dilakukan:

· dari luar sempadan litar pintas dari bangunan dan kenderaan berdekatan;

· dari premis bersebelahan kepunyaan institusi lain (perusahaan) dan terletak di dalam bangunan yang sama dengan objek yang dilindungi;

· apabila melawat institusi (perusahaan) oleh orang yang tidak dibenarkan;

· disebabkan oleh akses tanpa kebenaran (tindakan tidak dibenarkan) kepada maklumat yang beredar dalam AS, kedua-duanya menggunakan cara teknikal AS dan melalui rangkaian maklumat awam.

2.11. Peranti mudah alih dan boleh pakai mudah alih yang diletakkan berhampiran objek yang dilindungi atau disambungkan kepada saluran komunikasi atau cara teknikal pemprosesan maklumat, serta "penanda halaman" peranti pemintasan maklumat elektronik yang diletakkan di dalam atau di luar premis yang dilindungi boleh digunakan sebagai peralatan untuk memintas atau mempengaruhi maklumat dan teknikal. bermakna. .

· mendengar secara tidak sengaja tanpa menggunakan cara teknikal perbualan sulit kerana penebat bunyi yang tidak mencukupi bagi struktur penutup premis yang dilindungi dan sistem kejuruteraan dan teknikalnya;

· penyadapan telefon secara tidak sengaja semasa penyelenggaraan pencegahan pada rangkaian telefon;

· tindakan tidak cekap atau salah pengguna dan pentadbir AS semasa operasi rangkaian komputer;

· melihat maklumat daripada skrin paparan dan cara lain untuk memaparkannya.

2.13. Pengenalpastian dan pertimbangan faktor yang mempengaruhi atau mampu menjejaskan maklumat yang dilindungi (ancaman terhadap keselamatan maklumat) dalam keadaan tertentu, menurut GOST R, menjadi asas untuk merancang dan melaksanakan langkah yang bertujuan untuk melindungi maklumat di kemudahan pemformatan.

Senarai langkah perlindungan maklumat yang diperlukan ditentukan berdasarkan hasil tinjauan objek pemformatan, dengan mengambil kira nisbah kos untuk melindungi maklumat dengan kemungkinan kerosakan daripada pendedahan, kehilangan, kemusnahan, herotan, pelanggaran ketersediaan yang dibenarkan. maklumat dan kebolehkendalian cara teknikal memproses maklumat ini, serta mengambil kira kemungkinan sebenar pemintasan dan pendedahan kandungannya.

· maklumat pertuturan yang beredar di premis yang dilindungi;

· maklumat yang diproses oleh teknologi komputer daripada capaian yang tidak dibenarkan dan tindakan yang tidak dibenarkan;

· maklumat dipaparkan pada skrin monitor video;

· maklumat dihantar melalui saluran komunikasi yang melangkaui litar pintas.

Apabila memproses maklumat sulit yang didokumenkan di kemudahan maklumat di badan kerajaan Persekutuan Rusia dan badan kerajaan entiti konstituen Persekutuan Rusia, badan kerajaan lain, perusahaan dan institusi, cara melindungi sistem maklumat tertakluk kepada pensijilan mandatori.

2.17. Objek pemformatan mesti diperakui untuk mematuhi keperluan keselamatan maklumat (Selepas ini, pensijilan bermaksud penerimaan komisen objek pemformatan oleh perusahaan dengan penyertaan wajib pakar keselamatan maklumat.)

2.18. Tanggungjawab untuk memastikan keperluan untuk perlindungan teknikal maklumat sulit terletak pada ketua institusi dan perusahaan yang mengendalikan kemudahan maklumat.

3. ORGANISASI KERJA PERLINDUNGAN MAKLUMAT

3.1. Organisasi dan pelaksanaan kerja mengenai perlindungan teknikal maklumat dengan akses terhad yang tidak mengandungi maklumat yang merupakan rahsia negara, apabila diproses dengan cara teknikal, ditentukan oleh dokumen ini, piawaian keadaan semasa dan dokumen peraturan dan metodologi lain dari Teknikal Negeri. Suruhanjaya Rusia.

3.2. Organisasi kerja mengenai perlindungan maklumat diamanahkan kepada ketua institusi dan perusahaan, ketua jabatan yang menjalankan pembangunan projek objek pemformatan dan operasinya, dan bimbingan metodologi dan kawalan ke atas keberkesanan langkah perlindungan maklumat yang disediakan diberikan kepada ketua jabatan perlindungan maklumat (perkhidmatan keselamatan) institusi (perusahaan).

3.3. Pengurusan saintifik dan teknikal dan organisasi langsung kerja pada penciptaan (pemodenan) sistem perlindungan maklumat objek pemformatan dijalankan oleh ketua perekanya atau pegawai lain yang menyediakan pengurusan saintifik dan teknikal penciptaan objek pemformatan.

3.4. Pembangunan keselamatan maklumat boleh dijalankan sama ada oleh jabatan institusi (perusahaan) atau oleh perusahaan khusus yang mempunyai lesen dari Suruhanjaya Teknikal Negeri Rusia dan/atau FAPSI untuk jenis aktiviti yang sepadan dalam bidang keselamatan maklumat. .

Dalam hal pembangunan keselamatan maklumat atau komponen individunya oleh perusahaan khusus, dalam institusi (perusahaan) yang mana pembangunan dijalankan (perusahaan pelanggan), bahagian (atau pakar individu) yang bertanggungjawab untuk mengatur dan melaksanakan (pelaksanaan dan operasi) langkah perlindungan maklumat ditentukan semasa menjalankan kerja menggunakan maklumat sulit.

Pembangunan dan pelaksanaan keselamatan maklumat dijalankan dengan kerjasama antara pemaju dan perkhidmatan keselamatan perusahaan pelanggan, yang menyediakan panduan metodologi dan mengambil bahagian dalam pembangunan keperluan khusus untuk perlindungan maklumat, justifikasi analitik untuk keperluan mewujudkan keselamatan maklumat, penyelarasan pilihan teknologi komputer dan komunikasi, perkakasan dan alat perlindungan perisian, kerja organisasi untuk mengenal pasti peluang dan mencegah kebocoran dan pelanggaran integriti maklumat yang dilindungi, dalam pensijilan objek pemformatan.

3.5. Organisasi kerja mengenai penciptaan dan pengendalian objek maklumat dan keselamatan maklumatnya ditentukan dalam "Panduan Perlindungan Maklumat" yang dibangunkan di perusahaan atau dalam "Peraturan khas mengenai prosedur untuk mengatur dan menjalankan kerja mengenai perlindungan maklumat" dan harus mengadakan peruntukan bagi:

· prosedur untuk menentukan maklumat yang dilindungi;

· prosedur untuk menarik bahagian perusahaan, khusus organisasi pihak ketiga kepada pembangunan dan pengendalian objek pemformatan dan keselamatan maklumat, tugas dan fungsinya dalam pelbagai peringkat penciptaan dan pengendalian objek pemformatan;

· prosedur untuk interaksi semua organisasi, jabatan dan pakar yang terlibat dalam kerja ini;

· prosedur untuk pembangunan, pentauliahan dan pengendalian objek pemformatan;

· tanggungjawab pegawai untuk ketepatan masa dan kualiti pembentukan keperluan untuk perlindungan maklumat teknikal, untuk kualiti dan tahap saintifik dan teknikal pembangunan keselamatan maklumat.

3.6. Institusi (perusahaan) mesti mendokumenkan senarai maklumat sulit (Lampiran No. 6) yang tertakluk kepada perlindungan selaras dengan tindakan undang-undang kawal selia, dan juga membangunkan sistem kebenaran yang sesuai untuk akses kakitangan kepada jenis maklumat ini.

3.7. Peringkat berikut untuk mewujudkan sistem keselamatan maklumat diwujudkan:

· peringkat pra-projek, termasuk pemeriksaan pra-projek objek pemformatan, pembangunan justifikasi analisis untuk keperluan untuk mencipta sistem keselamatan maklumat dan spesifikasi teknikal (teknikal persendirian) untuk penciptaannya;

· peringkat reka bentuk (pembangunan projek) dan pelaksanaan objek pemformatan, termasuk pembangunan maklumat keselamatan maklumat sebagai sebahagian daripada objek pemformatan;

· peringkat pentauliahan sistem perlindungan maklumat, termasuk operasi percubaan dan ujian penerimaan alat keselamatan maklumat, serta pensijilan objek maklumat untuk pematuhan keperluan keselamatan maklumat.

3.8. Pada peringkat pra-projek meninjau objek pemformatan:

· keperluan untuk pemprosesan (perbincangan) maklumat sulit diwujudkan objek ini maklumat;

· senarai maklumat sulit yang tertakluk kepada perlindungan daripada kebocoran melalui saluran teknikal ditentukan;

· ancaman terhadap keselamatan maklumat dan model kemungkinan pelanggar dikenal pasti (diperjelas) berhubung dengan keadaan operasi tertentu;

· syarat untuk lokasi objek pemformatan relatif kepada sempadan litar pintas ditentukan;

· konfigurasi dan topologi sistem automatik dan sistem komunikasi secara umum dan komponen individunya, sambungan fizikal, fungsi dan teknologi ditentukan dalam kedua-dua sistem ini dan dengan sistem lain dari pelbagai peringkat dan tujuan;

· cara teknikal dan sistem yang dimaksudkan untuk digunakan dalam AS yang dibangunkan dan sistem komunikasi, syarat lokasinya, seluruh sistem dan perisian aplikasi yang tersedia di pasaran dan dicadangkan untuk pembangunan ditentukan;

· mod pemprosesan maklumat ditentukan dalam AS secara keseluruhan dan dalam komponen individu;

· kelas perlindungan sistem pembesar suara ditentukan;

· tahap penyertaan kakitangan dalam pemprosesan (perbincangan, penghantaran, penyimpanan) maklumat, sifat interaksi mereka antara satu sama lain dan dengan perkhidmatan keselamatan ditentukan;

· langkah-langkah ditentukan untuk memastikan kerahsiaan maklumat dalam proses mereka bentuk objek pemformatan.

3.9. Berdasarkan hasil tinjauan pra-projek, justifikasi analisis untuk keperluan mewujudkan sistem keselamatan maklumat sedang dibangunkan.

Berdasarkan tindakan undang-undang peraturan semasa dan dokumen metodologi mengenai perlindungan maklumat sulit, termasuk dokumen ini, dengan mengambil kira kelas keselamatan AS yang ditetapkan, keperluan khusus untuk perlindungan maklumat ditentukan, termasuk dalam spesifikasi teknikal (teknikal peribadi) untuk pembangunan keselamatan maklumat.

3.10. Pemeriksaan pra-projek dari segi menentukan maklumat yang dilindungi hendaklah berdasarkan senarai maklumat sulit yang didokumenkan.

Senarai maklumat sulit disusun oleh pelanggan objek pemformatan dan ditandatangani oleh pengurus yang berkaitan.

3.11. Pemeriksaan pra-projek boleh diamanahkan kepada perusahaan khusus yang mempunyai lesen yang sesuai, tetapi walaupun dalam kes ini, adalah dinasihatkan untuk menjalankan analisis sokongan maklumat dari segi maklumat yang dilindungi oleh wakil perusahaan pelanggan dengan bantuan metodologi. daripada perusahaan khusus.

Pembiasaan pakar perusahaan ini dengan maklumat yang dilindungi dijalankan mengikut prosedur yang ditetapkan di perusahaan pelanggan.

3.12. Justifikasi analisis untuk keperluan untuk mencipta sistem keselamatan maklumat harus mengandungi:

· ciri maklumat dan struktur organisasi objek pemformatan;

· ciri-ciri kompleks cara teknikal utama dan tambahan, perisian, mod operasi, proses teknologi pemprosesan maklumat;

· saluran yang mungkin kebocoran maklumat dan senarai langkah untuk menghapuskan dan mengehadkannya;

· senarai alat keselamatan maklumat diperakui yang dicadangkan untuk digunakan;

· justifikasi keperluan untuk menarik organisasi khusus yang mempunyai lesen yang diperlukan untuk menjalankan kerja mengenai perlindungan maklumat;

· penilaian kos material, buruh dan kewangan untuk pembangunan dan pelaksanaan sistem perlindungan maklumat;

· anggaran jangka masa untuk pembangunan dan pelaksanaan sistem perlindungan maklumat;

· senarai langkah untuk memastikan kerahsiaan maklumat pada peringkat reka bentuk objek pemformatan.

Justifikasi analitikal ditandatangani oleh ketua tinjauan pra-reka bentuk, dipersetujui dengan ketua pereka bentuk (pejabat yang menyediakan panduan saintifik dan teknikal untuk penciptaan objek pemformatan), ketua perkhidmatan keselamatan dan diluluskan oleh ketua perusahaan pelanggan.

3.13. Spesifikasi teknikal (teknikal peribadi) untuk pembangunan sistem perlindungan maklumat mesti mengandungi:

· rasional untuk pembangunan;

· data awal objek pemformatan yang dicipta (dimodenkan) dalam aspek teknikal, perisian, maklumat dan organisasi;

· spesifikasi keperluan untuk keselamatan maklumat berdasarkan dokumen kawal selia dan metodologi semasa dan kelas keselamatan loji yang telah ditetapkan;

· senarai alat keselamatan maklumat yang diperakui bertujuan untuk digunakan;

· justifikasi untuk pembangunan alat keselamatan maklumat kami sendiri, kemustahilan atau ketidakupayaan menggunakan alat keselamatan maklumat diperakui yang tersedia di pasaran;

· senarai kontraktor yang melaksanakan jenis kerja;

· senarai produk saintifik dan teknikal serta dokumentasi yang dibentangkan kepada pelanggan.

3.14. Spesifikasi teknikal (teknikal peribadi) untuk pembangunan keselamatan maklumat ditandatangani oleh pemaju, dipersetujui dengan perkhidmatan keselamatan perusahaan pelanggan, kontraktor dan diluluskan oleh pelanggan.

Kelas keselamatan sistem daripada akses tanpa kebenaran kepada maklumat ditubuhkan secara bersama oleh pelanggan dan pembangun sistem dengan penglibatan pakar keselamatan maklumat mengikut keperluan dokumen garis panduan (RD) Suruhanjaya Teknikal Negeri Rusia " Sistem automatik. Perlindungan terhadap akses tanpa kebenaran kepada maklumat. Klasifikasi sistem automatik dan keperluan untuk perlindungan maklumat" dan seksyen 5 dokumen ini dan diformalkan oleh akta.

Rahsia saya

Keperluan khas dan cadangan untuk perlindungan teknikal. Keperluan khas dan cadangan untuk perlindungan teknikal maklumat sulit

PENGUMUMAN

bertarikh 15 Julai 2013 N 240/22/2637

PENGUMUMAN

bertarikh 15 Julai 2013 N 240/22/2637

Kami mengesyorkan

Samsung Charm: penjejak kecergasan yang berpatutan dan bergaya

Perisian tegar untuk telefon pintar Huawei - arahan mudah

Kebaikan dan keburukan fon kepala angker berbanding dengan fon kepala dinamik

Fon kepala wayar berperisai

fail mde Membuka fail MDE. Apakah format fail .MDE digunakan?

Buka fail smf. Bagaimana cara membuka smf? Cara alternatif untuk menukar fail SMF kepada fail PDF

Bagaimana untuk meletakkan kata laluan pada arkib dalam WinRAR Bagaimana untuk mengarkibkan dokumen dan menetapkan kata laluan

Kehidupan baharu untuk komputer lama atau apa yang perlu dilakukan dengan perkakasan lapuk Bagaimana untuk membuat yang baharu daripada papan lama

Program untuk meningkatkan kelajuan Internet

Ulasan Samsung Galaxy A7 – Julat Pertengahan Terbaik dengan Ciri Utama Aksesori Galaxy A7

Bagaimana untuk meletakkan kata laluan pada folder dengan cara yang berbeza Letakkan kod pada fail

Pengesanan automatik enjin forum

Topik php indeks berkaitan dikuasakan oleh smf

OS Windows tidak akan memuatkan Pembaikan permulaan Windows 7 tidak akan bermula

Pemacu cakera pada komputer riba tidak dibuka: apa yang perlu dilakukan, punca masalah Pemacu cakera dalam komputer tidak keluar

Menyambungkan papan induk ke bekalan kuasa

GPS: prinsip operasi sistem dan ketepatan penentuan koordinat

Bagaimana untuk menyekat halaman VK seseorang

World of Tanks mengambil masa yang lama untuk berperang Mengapa kereta kebal mengambil masa yang lama untuk dimuatkan?

Bagaimana untuk mencari lebih banyak repositori Cydia Repositori baharu untuk cydia ios 9

Samsung Charm: penjejak kecergasan yang berpatutan dan bergaya

Perisian tegar untuk telefon pintar Huawei - arahan mudah

Kebaikan dan keburukan fon kepala angker berbanding dengan fon kepala dinamik

Fon kepala wayar berperisai

fail mde Membuka fail MDE. Apakah format fail .MDE digunakan?