Защита информации. Халяпин д. Б. Защита информации. Вас подслушивают Защищайтесь!Москва

34.
ГОСТ Р ИСО 7498-2-99. Информационная технология.Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Архитектура за­
щиты информации.
35.
ГОСТ 28147-89. Системы обработки информации.Защита криптогра­
фическая. Алгоритм криптографического преобразования.
36.
ГОСТ Р 50840-95. Методы оценки качества, разборчивости, узнавае­
мости.
37.
ГОСТ Р 51583-2000 «Порядок создания автоматизированных систем в защищенном исполнении».
38.
ГОСТ Р 51624 -2000 “Защита информации.Автоматизированные сис­
темы в защищенном исполнении. Общие положения”.
39.
ГОСТ Р 51241-98 «Средства и системы контроля и управления досту­
пом. Классификация. Общие технические требования. Методы испы­
таний».
40.
ГОСТ Р 51241 “Средства и системы контроля и управления досту­
пом. Классификация. Общие технические требования. Методы испы­
таний”.
41.
ГОСТ Р 50739-95 «Средства вычислительной техники. Защита от не­
санкционированного доступа к информации».
42.
ГОСТ 45.127-99. Система обеспечения инфомационной безопасности
Взаимоувязанной сети связи Российской Федерации.Термины и опре­
деления.
43.
ГОСТ Р 51558-2000.“Системы охранные телевизионные. Общие тех­
нические требования и методы испытаний”.
44.
ГОСТ 12.1.050-86 «Методы измерения шума на рабочих местах».
45.
ГОСТ 34.602-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание ав­
томатизированных систем».
46. ГОСТ 34.003-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Тер­
мины и определения».
47.
РД Госстандарта СССР 50-682-89 «Методические указания. Инфор­
мационная технология. Комплекс стандартов и руководящих докумен­
тов на автоматизированные системы. Общие положения».
48.
РД Госстандарта СССР 50-34.698-90 «Методические указания. Инфор­
мационная технология. Комплекс стандартов и руководящих докумен­
тов на автоматизированные системы. Автоматизированные системы.
Требования к содержанию документов».
49.
РД Госстандарта СССР 50-680-89 «Методические указания. Автома­
тизированные системы. Основные положения».
50.
ГОСТ 34.601- 90 «Информационная технология. Комплекс стандар­
тов на автоматизированные системы. Автоматизированные системы.
Стадия создания».
51.
ГОСТ 6.38-90 «Система организационно-распорядительной докумен­
тации. Требования к оформлению».
401

52.
ГОСТ 6.10- 84 «Унифицированные системы документации. Придание юридической силы документам на машинном носителе и машинограм­
ме, создаваемым средствами вычислительной техники, ЕСКД, ЕСПД и ЕСТД».
53. ГОСТ Р-92 «Система сертификации ГОСТ. Основные положения».
54.
ГОСТ Р 50460-92 “Знак соответствия при обязательной сертификации.
Форма, размеры и технические требования”.
55.
ГОСТ Р 51000.5-96 “Общие требования к органам по сертификации продукции и услуг”.
56.
ГОСТ 28195-89 «Оценка качества программных средств. Общие поло­
жения».
57.
ГОСТ Р ИСО\МЭК 9126- 90 «Информационная технология. Оценка программной продукции. Характеристика качества и руководства по их применению».
58. ГОСТ 2.111-68 «Нормоконтроль».
59.
РД Гостехкомиссии России «Защита от несанкционированного досту­
па к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля ^декларирован­
ных возможностей», Москва, 1999 г.
60.
РД Гостехкомиссии России «Средства защиты информации. Специ­
альные общие технические требования, предъявляемые к сетевым по­
мехоподавляющим фильтрам», Москва, 2000 г.
61.
ГОСТ 13661-92 «Совместимость технических средств электромагнит­
ная. Пассивные помехоподавляющие фильтры и элементы. Методы из­
мерения вносимого затухания».
62.
«Временная методика оценки защищенности основных технических средств и систем, предназначенных для обработки, хранения и (или) передачи по линиям связи конфиденциальной информации», Гостех­
комиссия России, Москва, 2001 г.
63.
«Временная методика оценки защищённости конфиденциальной ин­
формации, обрабатываемой основными техническими средствами и системами, от утечки за счёт наводок на вспомогательные техничес­
кие средства и системы и их коммуникации», Гостехкомиссия России,
Москва, 2001 г.
64.
«Временная методика оценки защищенности речевой конфиденциаль­
ной информации от утечки по акустическому и виброакустическому каналам», Гостехкомиссия России, Москва, 2001 г.
65.
«Временная методика оценки защищенности речевой конфиденциаль­
ной информации от утечки за счет электроакустических преобразова­
ний з вспомогательных технических средствах и системах», Гостехко­
миссия России, Москва, 2001 г.
66.
ГОСТ 29216-91 «Совместимость технических средств электромагнит­
ная. Радиопомехи индустриальные от оборудования информационной техники. Нормы и методы испытаний».
67.
СанПиН 2.2.2.542-96 «Гигиенические требования к видеодисплейным терминалам, персональным электронно-вычислительным машинам и организация работы».
402

68.
ГОСТ Р 50948-96. «Средства отображения информации индивидуаль­
ного пользования. Общие эргономические требования и требования безопасности».
69.
ГОСТ Р 50949-96 «Средства отображения информации индивидуаль­
ного пользования. Методы измерений и оценки эргономических па­
раметров и параметров безопасности».
70.
ГОСТ Р 50923-96 «Рабочее место оператора. Общие эргономические требования и требования к производственной среде. Методы измере­
ния».
71.
ГОСТ 22505-83 «Радиопомехи индустриальные от приемников теле­
визионных и приемников радиовещательных частотно модулирован­
ных сигналов в диапазоне УКВ. Нормы и методы измерений».
72.
ГОСТ Р 50628-93 «Совместимость электромагнитная машин электрон­
ных вычислительных персональных. Устойчивость к электромагнит­
ным помехам. Технические требования и методы испытаний».
73.
ГОСТ Р 51319-99 «Совместимость технических средств электромагнит­
ная. Радиопомехи индустриальные. Методы испытаний технических средств - источников индустриальных радиопомех».
74. ГОСТ Р 51320-99 «Совместимость технических средств электромагнит­
ная. Приборы для измерения радиопомех. Технические требования и методы испытаний».
75. ПУЭ-76 «Правила устройства электроустановок».
76.
Решение Гостехкомиссии России от 14 марта 1995 г. № 32 «Типовое положение о Совете (Технической комиссии) министерства, ведомства, органа государственной власти субъекта Российской Федерации по защите информации от иностранных технических разведок и от ее утеч­
ки по техническим каналам».
77.
Решение Гостехкомиссии России от 14 марта 1995 г. № 32 «Типовое положение о подразделении по защите информации от иностранных технических разведок и от ее утечки по техническим каналам в мини­
стерствах и ведомствах, в органах государственной власти субъектов
Российской Федерации».
78.
Решение Гостехкомиссии России от 14 марта 1995 г. № 32 «Типовое положение о подразделении по защите информации от иностранных технических разведок и от ее утечки по техническим каналам на пред­
приятии (в учреждении, организации)».
79.
Решение Гостехкомиссии России от 3 октября 1995 г. № 42 «Типовые требования к содержанию и порядку разработки Руководства по за­
щите информации от технических разведок и ее утечки по техничес­
ким каналам на объекте».
80.
Положения о государственной системе защиты информации в Россий­
ской Федерации от иностранных технических разведок и от ее утечки по техническим каналам. Утверждено постановлением Правительства
РФ от15.09.93 № 912.
81.
Специальные требования и рекомендации по защите конфиденциаль­
ной информации (СТР-К) Одобрены решением коллегии Гостехкомис- сии России от 2 марта 2001 г. № 7.2.
403

82.
Положение по аттестации объектов информатизации по требованиям безопасности информации.Утверждено
Председателем
Государствен- ной технической комиссии при Президенте РФ 25 ноября 1994 г.
83. Постановление Правительства Российской Федерации от 26 июня
1995 г. № 608 “О сертификации средств защиты информации”.
84. Правила сертификации работ и услуг в Российской Федерации.
85.
Порядок проведения сертификации продукции в Российской Федера­
ции.
86.
Положение о системе сертификации средств защиты информации Ми­
нистерства обороны Российской Федерации.
87.
Приказ ФАПСИ от 13 июня 2001 г. № 152 “Об утверждении Инструк­
ции об организации и обеспечении безопасности хранения, обработ­
ки и передачи по каналам связи с использованием средств криптогра­
фической защиты информации с ограниченным доступом, не содер­
жащей сведений, составляющих государственную тайну”.
88. Положение о порядке разработки, производства, реализации и исполь­
зования средств криптографической защиты информации с ограни­
ченным доступом, не содержащей сведений, составляющих государ­
ственную тайну (Положение ПКЗ-99), утвержденным приказом ФАП­
СИ от 23 сентября 1999 г. № 158, зарегистрированным Министерством юстиции Российской Федерации 28 декабря 1999 г., регистрационный
№ 2029.
404

Пример документального оформления перечня сведений
конфиденциального характера
Для служебного пользования
Экз. №
Утверждаю
Руководитель организации
Приложение № 2
(Ф.И.О.)
ПЕРЕЧЕНЬ
сведений конфиденциального характера
№ п/п
Наименование сведений
Примечание
1.
Сведения, раскрывающие систему, сред­
ства защиты информации ЛВС организа­
ции от НСД, а также значения действую­
щих кодов и паролей.
2.
Сводный перечень работ организации на перспективу, на год (квартал).
3.
Сведения, содержащиеся в лицевых счетах пайщиков страховых взносов.
4.
Сведения, содержащиеся в индивидуаль­
ном лицевом счете застрахованного лица.
5.
Основные показатели задания на проек­
тирование комплекса (установки). НОУ-
ХАУ технологии - различные техничес­
кие, коммерческие и другие сведения, оформленные в виде технической доку­
ментации.
6.
Методические материалы, типовые техно­
логические и конструктивные решения, разработанные организацией и использу­
емые при проектировании.
7.
Требования по обеспечению сохранения служебной тайны при выполнении работ в организации.
8.
Порядок передачи служебной информа­
ции ограниченного распространения дру­
гим организациям.
405

Приложение № 3
Форма технического паспорта на автоматизированную систему
УТВЕРЖДАЮ
Руководитель организации
________________ (Ф.И.О.)
ТЕХНИЧЕСКИМ ПАСПОРТ
(указывается полное наименование автоматизированной системы)
СОГЛАСОВАНО
РАЗРАБОТАЛ
(Представитель подразделения по защите информации)
“
” г.
1. Общие сведения об АС
1.1 .Наименование АС:____
(Год)
1.2. Расположение АС:
(полное наименование АС)
1.3. Класс АС:
(адрес, здание, строение, этаж, комнаты)
(номер и дата акта классификации АС, класс АС)
2. Состав оборудования АС
2.1. Состав ОТСС:
П Е Р Е Ч Е Н Ь
основных технических средств и систем,
входящих в состав АС__________________
Таблица 1
№ п/п
Тип ОТСС
Заводской номер
Сведения по сертификации, специсследованиям и спецпроверкам
406

2.2. Состав ВТСС объекта:
П Е Р Е Ч Е Н Ь
вспомогательных технических средств, входящих в состав АС_________
__________________________ (средств вычислительной техники, не участву­
ющих в обработке конфиденциальной информации)
Таблица 2
№ п/п
Тип ВТСС
Заводской номер
Примечание
2.3. Структура, топология и размещение ОТСС относительно границ контролируемой зоны объекта:
структурная (топологическая) схема с указанием информационных связей между устройствами; схема размещения и расположения ОТСС на объекте с привязкой к границам контролируемой зоны, схема прокладки линий передачи конфиденциальной информации с привязкой к границам контролируемой зоны объекта.
2.4. Системы электропитания и заземления:
схемы электропитания и заземления ОТСС объекта. Схемы прокладки кабелей и шины заземления. Схемы расположения трансформаторной под­
станции и заземляющих устройств с привязкой к границам контролируемой зоны объекта. Схемы электропитания розеточной и осветительной сети объек­
та. Сведения о величине сопротивления заземляющего устройства.
2.5. Состав средств защиты информации:
Таблица 3
ПЕРЕЧЕНЬ
средств защиты информации, установленных на АС________________
№ п/п
Наименование и тип технического средства
Заводской номер
Сведения о сертификате
Место и дата установки
3. Сведения об аттестации объекта информатизации на соответствие требованиям по безопасности информации:
инвентарные номера аттестата соответствия, заключения по резуль­
татам аттестационных испытаний, протоколов испытаний и даты их реги­
страции.
4. Результаты периодического контроля.
Таблица 4
Дата проведения
Наименование организации, проводившей проверку
Результаты проверки, номер отчетного документа
Лист регистрации изменений
407

УТВЕРЖДАЮ
Руководитель организации
________________ (Ф.И.О.)
Приложение № 4
Форма технического паспорта на защищаемое помещение
ТЕХНИЧЕСКИЙ ПАСПОРТ
на защищаемое помещение №______
Составил
(Подпись специалиста подразделения по защите информации)
Ознакомлен__________________________________________________
(Подпись лица, ответственного за помещение)
(Год)
Перечень оборудования, установленного в помещении
Вид оборудования
Тип
Учетный
(зав.)
номер
Дата установки
Класс тс
(ОТСС или BTCC)
Сведения по сертификации, специсследованиям и спецпроверкам
Меры защиты информации
(пример)
1. Телефонный аппарат коммутатора директора (инв.№ 7).
Выполнены требования предписания на эксплуатацию:
(Перечень предусмотренных мер защиты согласно предписанию).
2. Телефонный аппарат № 7-17.
На линию установлено защитное устройство “Сигнал-5”, зав.№ 017.
3. Пульт коммутатора.
Выполнены требования предписания на эксплуатацию.
408

4. Часы электронные.
Выполнены требования предписания на эксплуатацию.
5. Вход в помещение оборудован тамбуром, двери двойные, обшиты слоем ваты и дермантина. Дверные притворы имеют резиновые уплотне­
ния.
6. Доступ к вентиляционным каналам, выходящим на чердак здания, посторонних лиц исключен (приводятся предусмотренные для этого меры).
Отметка о проверке средств защиты
Вид оборудования
Учетный номер
Дата проверки
Результаты проверки и
№ отчетного документа
Результаты аттестационного и периодического
контроля помещения
Дата проведения Результаты аттестации или периодического контроля,
№ отчетного документа
Подпись проверяющего
Приложение 4а
П А М Я Т К А
по обеспечению режима безопасности и эксплуатации
оборудования, установленного в защищаемом
помещении №________
(Примерный текст)
1. Ответственность за режим безопасности в защищаемом помещении
(ЗП) и правильность использования установленных в нем технических средств несет лицо, которое постоянно в нем работает, или лицо, специаль­
но на то уполномоченное.
2. Установка нового оборудования, мебели и т.п. или замена их, а так­
же ремонт помещения должны проводиться только по согласованию с под­
разделением (специалистом) по защите информации предприятия.
3. В нерабочее время помещение должно закрываться на ключ.
4. В рабочее время, в случае ухода руководителя, помещение должно быть закрыто на ключ или оставлять его под ответственность лиц, назна­
ченных руководителем подразделения.
5. При проведении конфиденциальных мероприятий бытовая радио­
аппаратура, установленная в помещении (телевизоры, радиоприемники и т.п.), должна отключаться от сети электропитания.
409

6. Для исключения просмотра текстовой и графической конфиденци­
альной информации через окна помещения рекомендуется оборудовать их шторами (жалюзи).
7. Должны выполняться предписания на эксплуатацию средств связи, вычислительной техники, оргтехники, бытовых приборов и другого обо­
рудования, установленного в помещении.
8. Запрещается использование в ЗП радиотелефонов, оконечных уст­
ройств сотовой, пейджинговой и транкинговой связи. При установке в ЗП телефонных и факсимильных аппаратов с автоответчиком, спикерфоном и имеющих выход в городскую АТС, следует отключать эти аппараты на вре­
мя проведения конфиденциальных мероприятий.
9. Повседневный контроль за выполнением требований по защите по­
мещения осуществляют лица, ответственные за помещение, и служба безо­
пасности организации.
10. Периодический контроль эффективности мер защиты помещения осуществляется специалистами по защите информации.
Примечание: В памятку целесообразно включать и другие сведения, учитыва­
ющие особенности установленного в ЗП оборудования; действия персонала в слу­
чае срабатывания установленной в помещении сигнализации, порядок включения средств защиты, организационные меры защиты и т.п.
Приложение № 5
Форма аттестата соответствия автоматизированной системы
АТТЕСТАТ СООТВЕТСТВИЯ
№____
(указывается полное наименование автоматизированной системы)
требованиям по безопасности информации
Выдан “____ ”________ ”_____ г.
1. Настоящим АТТЕСТАТОМ удостоверяется, что:
(приводится полное наименование автоматизированной системы) класса защищенности_______________ соответствует требованиям норматив­
ной документации по безопасности информации.
Состав комплекса технических средств автоматизированной системы
(АС), с указанием заводских номеров, модели, изготовителя, номеров сер­
тификатов соответствия, схема размещения в помещениях и относительно границ контролируемой зоны, перечень используемых программных