Положение по технической защите конфиденциальной информации. ПСБ-004 положение по защите КИ. Акционерное общество научнопроизводственное объединение

Название	Акционерное общество научнопроизводственное объединение
Анкор	Положение по технической защите конфиденциальной информации
Дата	10.11.2021
Размер	276.5 Kb.
Формат файла
Имя файла	ПСБ-004 положение по защите КИ.doc
Тип	Документы #268743
страница	1 из 5

1 2 3 4 5

АКЦИОНЕРНОЕ ОБЩЕСТВО

НАУЧНО-ПРОИЗВОДСТВЕННОЕ ОБЪЕДИНЕНИЕ

« К В А Н Т »

для служебного

пользования

ПОЛОЖЕНИЕ

ПО ТЕХНИЧЕСКОЙ ЗАЩИТЕ

КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ
ПСБ - 004 - 2021

Введено в действие

приказом № …….…

от ……………….….. г.
Срок действия

устанавливается

до ………….............. г.

г. Санкт-Петербург

2021 год

«УТВЕРЖДАЮ»

Генеральный директор

АО «НПО «КВАНТ»

В.

« ….. » …………………… 2021 г.

ЛИСТ СОГЛАСОВАНИЙ

«СОГЛАСОВАНО»

Главный инженер

АО «НПО «КВАНТ» ……………………………..

Серебрянский В.С.

« …… » …………….…….. 2021 г.

«СОГЛАСОВАНО»

Заместитель генерального

директора по производству ……………………………..

Сафронов А.В.

« …… » …………….…….. 2021 г.

«СОГЛАСОВАНО»

Начальник отдела

режима и защиты информации ……………………………..

Лавров В.В.

« …… » …………….…….. 2021 г.

«СОГЛАСОВАНО»

Начальник

юридического отдела ……………………………..

Кришкевич С.А.

« …… » …….…………….. 2021 г.

С О Д Е Р Ж А Н И Е
Глава 1. Термины, определения и сокращения ………………………………..…… 5

Глава 2. Общие положения …………………………………..………….…...….......…. 7

Глава 3. Организация работ по защите информации …........……...……….....….. 10

Глава 4. Требования и рекомендации по защите речевой информации

4.1. Общие положения ………………………………………...…………….…......…. 13

4.2. Требования по защите информации в защищаемых помещениях ........… 14

4.3. Защита информации при проведении звукозаписи ………………..…….…. 15

4.4. Защита речевой информации при ее передаче по каналам связи ......….. 16

Глава 5. Требования по защите информации при работе на ПК

5.1. Общие требования и рекомендации ………………………………...…..…….. 16

5.2. Требования по защите служебной тайны и персональных данных …...…. 17

5.3. Рекомендации по защите сведений, содержащих коммерческую тайну .... 18

5.4. Порядок защиты конфиденциальной информации при эксплуатации АС .. 19

5.5. Защита конфиденциальной информации при работе на ПЭВМ ….....…….. 20

5.6. Защита информации при использовании съемных накопителей ..........….. 20

5.7. Защита информации в локальных вычислительных сетях ......…………..… 21

5.8. Защита информации при межсетевом взаимодействии ………….……..…. 21

5.9. Защита информации при работе с базами данных …...………………..…… 22

Глава 6. Обеспечение защиты информации в информационных сетях

6.1. Общие положения …….………………………………………..…………….……. 22

6.2. Условия подключения абонентского пункта объединения к ИС ...…...……. 23

6.3. Подключение АПО и обеспечение безопасности информации ….…...…... 23

Глава 7. Лист внесения изменений …………………..….….……………….……..…. .28

Глава 8. Лист ознакомления …………………..….….…………………….….……..…. 29
Приложение:

1. Памятка по обеспечению режима безопасности информации при эксплуатации

оборудования, установленного в защищаемом помещении.
ПОЛОЖЕНИЕ

ПО ТЕХНИЧЕСКОЙ ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ

Глава 1. Термины, определения и сокращения.

1. В настоящем положении по технической защите конфиденциальной информации приняты следующие термины, определения и сокращения:

Абонент информационной сети - сотрудник объединения, имеющий оформленное разрешение и возможности на подключение и взаимодействие с сетью информации.

Абонентский пункт объединения (АПО) - комплекс средств обработки и передачи информации, подключаемый к сети с помощью коммуникационного оборудования.

АПП может быть создан на базе автономной ПЭВМ с модемом, не имеющей каналов связи с другими средствами вычислительной техники, или на базе одной или нескольких локальных вычислительных сетей (ЛВС), соединенных с информационными сетями общего пользования.

Автоматизированная система (АС) - система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

Администратор АПП - ответственный за функционирование комплекса средств, подключаемого к информационной сети с помощью коммуникационного оборудования.

Администратор АС - ответственный за функционирование автоматизированной системы в установленном штатном режиме обработки информации.

Администратор защиты информации - ответственный за защиту автоматизированной системы от несанкционированного доступа к информации.

Безопасность информации - обеспечение персоналом, техническими средствами и информационными технологиями объединения конфиденциальности информации при ее обработке техническими средствами.

Основные технические средства и системы (ОТС) - технические средства и системы различного уровня и назначения на базе средств вычислительной техники, а также средства и системы связи и передачи данных, используемые для обработки, хранения и передачи конфиденциальной информации.

Вспомогательные технические средства (ВТС) - технические средства и системы, не предназначенные для передачи, обработки и хранения конфиденциальной информации, устанавливаемые совместно с основными техническими средствами и системами или в защищаемых помещениях, в том числе:

различного рода телефонные средства и системы;
средства и системы передачи данных в системе радиосвязи;
средства и системы охранной и пожарной сигнализации;

средства и системы оповещения и сигнализации;
контрольно-измерительная аппаратура;
средства и системы кондиционирования;
сеть радиотрансляции, сеть приема программ радиовещания и телевидения;
средства электронной организационной техники;
средства и системы электрической индикации времени;
иные технические средства и системы.

Доступ к информации - ознакомление с информацией, ее обработка, в том числе ее копирование, модификация или уничтожение информации.

Доступность информации - способность технических средств и технологий обеспечить беспрепятственный доступ к информации лиц, имеющих на это полномочия.

Защита информации от несанкционированного доступа - деятельность, направленная на предотвращение получения информации субъектом с нарушением установленных правил допуска к информации.

Специальный защитный знак (СЗЗ) - зарегистрированное в установленном порядке изделие, предназначенное для контроля несанкционированного доступа к объектам защиты путем определения подлинности и целостности СЗЗ.

Защищаемые помещения (ЗП) - помещения, специально предназначенные для проведения конфиденциальных совещаний, конференций и переговоров.

Информативный сигнал - электрические, акустические, электромагнитные и другие физические поля и сигналы, по параметрам которых может быть раскрыта конфиденциальная информация, передаваемая, хранимая или обрабатываемая в основных технических средствах и обсуждаемая в защищаемых помещениях.

Информационные ресурсы - отдельные документы и массивы документов в информационных системах (библиотеках, архивах, банках данных других систем).

Информационные сети общего пользования (ИС) - телекоммуникационные сети, открытые для пользования всем физическим и юридическим лицам.

Контролируемая зона (КЗ) - часть территории или здания, в которой исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового допуска.

Границей контролируемой зоны может являться:

периметр охраняемой территории учреждения объединения;
ограждающая конструкция охраняемого здания или охраняемой части здания.

Конфиденциальная информация (КИ) - документированная информация, доступ к которой ограничивается в соответствии с действующим законодательством.

Локальная вычислительная сеть (ЛВС) - сеть, поддерживающая в пределах ограниченной территории один или несколько каналов передачи информации.

Межсетевой экран (МЭ) - локальное или распределенное программное средство, контролирующее поступающую или выходящую из АС информацию.

Несанкционированный доступ (НСД) - доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств.

Система защиты информации от НСД (СЗИ) - комплекс организационных мер и технических средств защиты от несанкционированного доступа к информации.

Служебная информация СЗИ - информационная база, необходимая для работы СЗИ (уровень полномочий персонала, матрица доступа, ключи, пароли и т.д.).

Провайдер сети - организация, выполняющая функции поставщика услуг ИС для абонентского пункта объединения и непосредственно для абонентов сети.

Технический канал утечки информации - совокупность объекта технической разведки, физической среды и средств технической разведки для получения КИ.

Услуги сети - комплекс функциональных возможностей, предоставляемых абонентам сети провайдером сети с помощью прикладных протоколов.

Целостность информации - устойчивость информации к уничтожению или искажению при несанкционированном или случайном воздействии на нее.

Глава 2. Общие положения.

1. Настоящее положение устанавливает порядок организации работ, требования и рекомендации по обеспечению технической защиты конфиденциальной информации обособленных производств, структурных подразделений и объединения в целом.

2. Требования и рекомендации настоящего положения распространяются на защиту конфиденциальной информации объединения, за исключением:

информации, отнесенной к государственной тайне;
информации, защищаемой в интересах государства (служебная тайна);
информации, содержащейся в государственных информационных ресурсах;
информации, отнесенной к персональным идентификационным данным граждан.

3. Настоящим положением определяются основные вопросы защиты информации:

организация работ по защите информации и разработке систем ее защиты;
содержание проектной, эксплуатационной документации по защите информации;
требования по защите речевой информации при осуществлении переговоров;
требования по защите информации при ее автоматизированной обработке;
требования по защите информации при передаче техническими средствами;
обеспечение защиты информации при эксплуатации объектов информатизации;
обеспечение защиты информации при работе в информационных сетях.

4. Защита информации, обрабатываемой с использованием технических средств, является частью работ по созданию и эксплуатации объектов информатизации и осуществляется в установленном порядке в виде подсистемы защиты информации во взаимосвязи с другими мерами по защите информации.

5. Защите подлежит следующие виды информации:

речевая информация;
информация, обрабатываемая техническими средствами;
информация в виде информативных электрических сигналов;
информация в виде информативных физических полей;
информация носителей на бумажной, магнитной, оптической и иной основе.

6. Защищаемыми объектами информатизации являются:

средства вычислительной техники и автоматизированные системы;
средства и системы связи и передачи конфиденциальной информации;
технические средства приема, передачи и обработки информации;
переговорные и телевизионные устройства;
средства изготовления и тиражирования документов;
средства обработки речевой, видео, графической и цифровой информации;
операционные системы и системы управления базами данных;
программное обеспечение для обработки конфиденциальной информации;
технические средства, не обрабатывающие конфиденциальную информацию, но размещенные в помещениях, где обрабатывается конфиденциальная информация;
защищаемые помещения.

7. Защита информации осуществляется выполнением комплекса мероприятий и применением средств защиты информации в целях:

предотвращения утечки информации при несанкционированном доступе;
предупреждения воздействия на информацию при несанкционированном доступе;
предупреждения преднамеренных программных и технических воздействий в целях нарушения целостности информации;
предупреждения уничтожения или искажения информации в процессе обработки, передачи и хранения;
предупреждения нарушений работоспособности технических средств.

8. При ведении переговоров, обработке или передаче информации, возможны следующие каналы утечки и источники угроз безопасности информации:

акустическое излучение информативного речевого сигнала;
преобразование информативного сигнала из акустического в электрический за счет микрофонного эффекта с распространением сигнала за пределы КЗ;
несанкционированный доступ или несанкционированные действия по отношению к информации с использованием информационных сетей общего пользования;
воздействие на технические или программные средства в целях нарушения конфиденциальности, целостности и доступности информации;
воздействие на работоспособность технических средств или средств защиты информации посредством специально внедренных программных средств;
электрические сигналы от внедренных в технические средства устройств перехвата речевой информации;
электрические сигналы от внедренных в защищаемые помещения специальных электронных устройств перехвата речевой информации;
электрические сигналы от электронных устройств перехвата информации, подключенных к каналам связи или техническим средствам обработки информации;
прослушивание телефонных переговоров и мобильных средств связи;
съем информации с экранов дисплеев, бумажных и иных носителей информации;
хищение технических средств или носителей с хранящейся в них информацией.

9. Перехват конфиденциальной информации или воздействие на нее технических средств могут вестись:

из-за границы КЗ объединения из близлежащих строений и транспортных средств;
из смежных помещений, принадлежащих другим предприятиям и расположенным в том же здании, что и объект защиты информации;
при посещении объектов объединения посторонними лицами;
за счет несанкционированного доступа к информации с помощью технических средств или через информационные сети общего пользования.

10. В качестве аппаратуры перехвата или воздействия на информацию и технические средства могут использоваться портативные устройства, размещаемые вблизи объекта защиты либо подключаемые к каналам связи или техническим средствам обработки информации, а также электронные устройства перехвата информации, размещаемые внутри или вне защищаемых помещений.

11. Кроме перехвата информации техническими средствами возможно случайное попадание защищаемой информации к лицам, не допущенным к ней, но находящимся в пределах контролируемой зоны, что возможно вследствие следующего:

непреднамеренного прослушивания конфиденциальных разговоров без использования технических средств из-за недостаточной звукоизоляции ограждающих конструкций защищаемых помещений и их инженерно-технических систем;
случайного прослушивания телефонных разговоров во время профилактических работ в сетях телефонной связи;
некомпетентных или ошибочных действий пользователей и администраторов АС при работе вычислительных сетей;
просмотра информации с экранов дисплеев и других средств ее отображения.

12. Выявление и учет факторов, воздействующих на защищаемую информацию (угроз безопасности), составляют основу для планирования и осуществления мероприятий, направленных на защиту информации.

Перечень мер, необходимых для защиты информации, определяется с учетом возможного ущерба от ее разглашения, утраты, искажения или несанкционированного доступа, а также возможностей перехвата и раскрытия содержания информации.

13. Основное внимание следует уделить защите информации, несанкционированный доступ к которой возможен без применения специальных технических средств перехвата информации:

речевой информации, циркулирующей в защищаемых помещениях;
информации, обрабатываемой средствами вычислительной техники;
информации, выводимой на экраны видеомониторов;
информации, передаваемой по каналам связи, выходящим за пределы КЗ.

14. Для защиты информации используются технические средства обработки и передачи информации, технические и программные средства защиты информации, сертифицированные по требованиям безопасности информации.

1 2 3 4 5