Главная страница
Навигация по странице:

  • 4.1. Общие положения

  • 4.2. Основные требования и рекомендации по защите информации, циркулирующей в защищаемых помещениях

  • 4.4. Защита информации при проведении звукозаписи

  • 4.5. Защита речевой информации при её передаче по каналам связи

  • 5. ТРЕБОВАНИЯ И РЕКОМЕНДАЦИИ ПО ЗАЩИТЕ ИНФОРМАЦИИ, ОБРАБАТЫВАЕМОЙ СРЕДСТВАМИ ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ 5.1. Общие требования и рекомендации

  • Специальные требования СТР-К. Решение Коллегии Гостехкомиссии России 202. 03. 01г. Утверждено 30. 08. 2002 приказом Председателя Гостехкомиссии России 282


    Скачать 442.71 Kb.
    НазваниеРешение Коллегии Гостехкомиссии России 202. 03. 01г. Утверждено 30. 08. 2002 приказом Председателя Гостехкомиссии России 282
    АнкорСпециальные требования СТР-К
    Дата15.03.2023
    Размер442.71 Kb.
    Формат файлаpdf
    Имя файлаStr-k-.pdf
    ТипРешение
    #992034
    страница3 из 6
    1   2   3   4   5   6
    4. ТРЕБОВАНИЯ И РЕКОМЕНДАЦИИ ПО ЗАЩИТЕ РЕЧЕВОЙ ИНФОРМАЦИИ
    4.1. Общие положения
    4.1.1. Требования и рекомендации настоящего раздела направлены на исключение (существенное затруднение) возможности перехвата конфиденциальной речевой информации, циркулирующей в ЗП, в системах звукоусиления
    (СЗУ) и звукового сопровождения кинофильмов (СЗСК), при осуществлении её магнитной звукозаписи и передачи по каналам связи.
    4.1.2. Требования настоящего раздела, если не оговорено специально, являются обязательными на всех стадиях проектирования, строительства, оснащения, эксплуатации ЗП и размещенных в них ОТСС и ВТСС, для систем СЗУ и
    СЗСК.
    4.1.3. При проведении мероприятий с использованием конфиденциальной речевой информации и технических средств ее обработки возможна утечка информации за счет:

    акустического излучения информативного речевого сигнала;

    виброакустических сигналов, возникающих посредством преобразования информативного акустического сигнала при воздействии его на строительные конструкции и инженерно-технические системы ЗП;

    прослушивания разговоров, ведущихся в ЗП, по информационным каналам общего пользования (городская телефонная сеть, сотовая, транкинговая и пейджинговая связь, радиотелефоны) за счет скрытного подключения оконечных устройств этих видов связи;

    электрических сигналов, возникающих в результате преобразования информативного сигнала из акустического в электрический за счет микрофонного эффекта и распространяющихся по проводам и линиям передачи информации, выходящих за пределы КЗ;

    побочных электромагнитных излучений информативного сигнала от обрабатывающих конфиденциальную информацию технических средств, в т.ч. возникающих за счет паразитной генерации, и линий передачи информации;

    электрических сигналов, наводимых от обрабатывающих конфиденциальную информацию технических средств и линий ее передачи, на провода и линии, выходящих за пределы КЗ;

    радиоизлучений, модулированных информативным сигналом, возникающим при работе различных гене- раторов, входящих в состав технических средств, установленных в ЗП, или при наличии паразитной генерации в их узлах (элементах);

    радиоизлучений, электрических или инфракрасных сигналов, модулированных информативным сигналом, от специальных электронных устройств перехвата речевой информации "закладок", внедренных в ЗП и установленные в них технические средства.
    Также следует учитывать возможность хищения технических средств с хранящейся в них информацией или отдельных носителей информации.
    4.2. Основные требования и рекомендации по защите информации, циркулирующей в защищаемых
    помещениях
    4.2.1. В учреждении (предприятии) должен быть документально определен перечень ЗП и лиц, ответственных за их эксплуатацию в соответствии с установленными требованиями по защите информации, а также составлен технический паспорт на ЗП (форма технического паспорта приведена в приложении № 4).
    4.2.2. Защищаемые помещения должны размещаться в пределах КЗ. При этом рекомендуется размещать их на удалении от границ КЗ, обеспечивающем эффективную защиту, ограждающие конструкции (стены, полы, потолки) не должны являться смежными с помещениями других учреждений (предприятий).
    Не рекомендуется располагать ЗП на первых этажах зданий.
    Для исключения просмотра текстовой и графической конфиденциальной информации через окна помещения рекомендуется оборудовать их шторами (жалюзи).
    4.2.3. Защищаемые помещения рекомендуется оснащать сертифицированными по требованиям безопасности информации ОТСС и ВТСС либо средствами, прошедшими специальные исследования и имеющими предписание на эксплуатацию.
    Эксплуатация ОТСС, ВТСС должна осуществляться в строгом соответствии с предписаниями и эксплутационной документацией на них.
    4.2.4. Специальная проверка ЗП и установленного в нем оборудования с целью выявления возможно внедренных в них электронных устройств перехвата информации "закладок" проводится, при необходимости, по решению руководителя предприятия.

    4.2.5. Во время проведения конфиденциальных мероприятий запрещается использование в ЗП радиотелефонов, оконечных устройств сотовой, пейджинговой и транкинговой связи, переносных магнитофонов и других средств аудио и видеозаписи. При установке в ЗП телефонных и факсимильных аппаратов с автоответчиком или спикерфоном, а также аппаратов с автоматическим определителем номера, следует отключать их из сети на время проведения этих мероприятий.
    4.2.6. Для исключения возможности утечки информации за счет электроакустического преобразования рекомендуется использовать в ЗП в качестве оконечных устройств телефонной связи, имеющих прямой выход в городскую АТС, телефонные аппараты (ТА), прошедшие специальные исследования, либо оборудовать их сертифицированными средствами защиты информации от утечки за счет электроакустического преобразования.
    4.2.7. Для исключения возможности скрытного проключения ТА и прослушивания ведущихся в ЗП разговоров не рекомендуется устанавливать в них цифровые ТА цифровых АТС, имеющих выход в городскую АТС или к которой подключены абоненты, не являющиеся сотрудниками учреждения (предприятия).
    В случае необходимости, рекомендуется использовать сертифицированные по требованиям безопасности информации цифровые АТС либо устанавливать в эти помещения аналоговые аппараты.
    4.2.8. Ввод системы городского радиотрансляционного вещания на территорию учреждения (предприятия) рекомендуется осуществлять через радиотрансляционный узел (буферный усилитель), размещаемый в пределах контролируемой зоны.
    При вводе системы городского радиовещания без буферного усилителя в ЗП следует использовать абонентские громкоговорители в защищенном от утечки информации исполнении, а также трехпрограммные абонентские громкоговорители в режиме приема 2-й и 3-й программы (с усилителем).
    В случае использования однопрограммного или трехпрограммного абонентского громкоговорителя в режиме приема первой программы (без усиления) необходимо их отключать на период проведения конфиденциальных мероприятий.
    4.2.9. В случае размещения электрочасовой станции внутри КЗ использование в ЗП электровторичных часов (ЭВЧ) возможно без средств защиты информации
    При установке электрочасовой станции вне КЗ в линии ЭВЧ, имеющие выход за пределы КЗ, рекомендуется устанавливать сертифицированные средства защиты информации.
    4.2.10. Системы пожарной и охранной сигнализации ЗП должны строиться только по проводной схеме сбора информации (связи с пультом) и, как правило, размещаться в пределах одной с ЗП контролируемой зоне.
    В качестве оконечных устройств пожарной и охранной сигнализации в ЗП рекомендуется использовать изделия, сертифицированные по требованиям безопасности информации, или образцы средств, прошедшие специальные исследования и имеющие предписание на эксплуатацию.
    4.2.11. Звукоизоляция ограждающих конструкций ЗП, их систем вентиляции и кондиционирования должна обеспечивать отсутствие возможности прослушивания ведущихся в нем разговоров из-за пределов ЗП.
    Проверка достаточности звукоизоляции осуществляется аттестационной комиссией путем подтверждения отсутствия возможности разборчивого прослушивания вне ЗП разговоров, ведущихся в нем.
    При этом уровень тестового речевого сигнала должен быть не ниже используемого во время штатного режима эксплуатации помещения.
    Для обеспечения необходимого уровня звукоизоляции помещений рекомендуется оборудование дверных проемов тамбурами с двойными дверями, установка дополнительных рам в оконных проемах, уплотнительных прокладок в дверных и оконных притворах и применение шумопоглотителей на выходах вентиляционных каналов.
    Если предложенными выше методами не удается обеспечить необходимую акустическую защиту, следует применять организационно-режимные меры, ограничивая на период проведения конфиденциальных мероприятий доступ посторонних лиц в места возможного прослушивания разговоров, ведущихся в ЗП.
    4.2.12. Для снижения вероятности перехвата информации по виброакустическому каналу следует организационно- режимными мерами исключить возможность установки посторонних (нештатных) предметов на внешней стороне ограждающих конструкций ЗП и выходящих из них инженерных коммуникаций (систем отопления, вентиляции, кондиционирования).
    Для снижения уровня виброакустического сигнала рекомендуется расположенные в ЗП элементы инженерно- технических систем отопления, вентиляции оборудовать звукоизолирующими экранами.
    4.2.13. В случае, если указанные выше меры защиты информации от утечки по акустическому и виброакустическому каналам недостаточны или нецелесообразны, рекомендуется применять метод активного акустического или виброакустического маскирующего зашумления.
    Для этой цели должны применяться сертифицированные средства активной защиты.
    4.2.14. При эксплуатации ЗП необходимо предусматривать организационно-режимные меры, направленные на исключение несанкционированного доступа в помещение:

    двери ЗП в период между мероприятиями, а также в нерабочее время необходимо запирать на ключ;

    выдача ключей от ЗП должна производиться лицам, работающим в нем или ответственным за это помещение;

    установка и замена оборудования, мебели, ремонт ЗП должны производиться только по согласованию и под контролем подразделения (специалиста) по защите информации учреждения (предприятия).
    4.3. Защита информации, циркулирующей в системах звукоусиления и звукового сопровождения кинофильмов
    4.3.1. В качестве оборудования систем звукоусиления, предназначенных для обслуживания проводимых в ЗП закрытых мероприятий, и систем звукового сопровождения кинофильмов, содержащих конфиденциальные сведения, необходимо использовать оборудование, удовлетворяющее требованиям стандартов по электромагнитной совместимости России, Европейских стран, США (например, ГОСТ 22505-97). В случае необходимости, для повышения уровня защищенности рекомендуется применять оборудование, сертифицированное по требованиям безопасности информации или прошедшее специальные исследования и имеющее предписание на эксплуатацию.

    4.3.2. Системы звукоусиления должны выполняться по проводной схеме передачи информации экранированными проводами и располагаться в пределах КЗ.
    С целью уменьшения побочных электромагнитных излучений целесообразно использовать систему звукоусиления с рассредоточенной системой звукоизлучателей, т.е. следует отдавать предпочтение системам с большим количеством оконечных устройств малой мощности перед системами с малым количеством оконечных устройств большой мощности.
    В качестве оконечных устройств рекомендуется использовать звуковые колонки, выпускаемые в защищенном исполнении.
    Можно использовать выпускаемые в обычном исполнении громкоговорители с экранированными магнитными цепями (например: 0,5ГДШ-5, 0,5ГД-54, 1ГДШ-2, 1ГДШ-6, 1ГДШ-28, 2ГДШ-3, 2ГДШ-4, 3ГДШ-1) или укомплектованные ими звуковые колонки (например: 2КЗ-7, 6КЗ-8, 12КЗ-18).
    В этом случае звуковые колонки (громкоговорители) следует заэкранировать по электрическому полю с помощью металлической сетки с ячейкой не более 1 мм2, заземляемой через экранирующую оплетку подводящего кабеля.
    4.3.3. В системах звукоусиления рекомендуется применять аппаратуру с симметричными входными и выходными цепями. В случае использования аппаратуры с несимметричным выходом, линии оконечных устройств следует подключать к оконечным усилителям через симметрирующие трансформаторы, устанавливаемые в непосредственной близости от оконечных усилителей.
    4.3.4. В качестве усилительного оборудования рекомендуется использовать усилители в металлических экранах с возможностью их заземления.
    4.3.5. Коммутационное и распределительное оборудование (распределительные, входные и выходные щитки подключения) следует размещать в металлических шкафах (коробках). На корпусах шкафов (коробок) необходимо предусмотреть клеммы (винты) для их заземления и приспособления для опечатывания.
    4.3.6. Усилительное и оконечное оборудование СЗУ, СЗСК следует размещать на возможно большем расстоянии относительно границы контролируемой зоны.
    4.3.7. Система электропитания и заземления должна соответствовать требованиям "Правил устройства электроустановок (ПУЭ)".
    Рекомендуется электропитание и заземление аппаратуры СЗУ и СЗСК осуществлять от подстанции и на заземлитель, расположенные в пределах КЗ.
    4.4. Защита информации при проведении звукозаписи
    4.4.1. Запись и воспроизведение конфиденциальной речевой информации аппаратурой звукозаписи разрешается производить только в ЗП.
    4.4.2. Для записи (воспроизведения) конфиденциальной информации должны применяться магнитофоны
    (диктофоны), удовлетворяющие требованиям стандартов по электромагнитной совместимости России, Европейских стран, США (например, ГОСТ 22505-97). Для повышения уровня защищенности информации рекомендуется использовать магнитофоны (диктофоны), сертифицированные по требованиям безопасности информации или прошедшие специальные исследования и имеющие предписание на эксплуатацию.
    4.4.3. Носители информации (магнитные ленты, кассеты) должны учитываться и храниться в подразделениях учреждения (предприятия) в порядке, установленном для конфиденциальной информации.
    В учреждении (предприятии) должно быть назначено должностное лицо, ответственное за хранение и использование аппаратуры звукозаписи конфиденциальной информации, и обеспечено хранение и использование этой аппаратуры, исключающее несанкционированный доступ к ней.
    4.5. Защита речевой информации при её передаче по каналам связи
    Передача конфиденциальной речевой информации по открытым проводным каналам связи, выходящим за пределы
    КЗ, и радиоканалам должна быть исключена.
    При необходимости передачи конфиденциальной информации следует использовать защищенные линии связи
    (например, защищенные волоконно-оптические), устройства скремблирования или криптографической защиты.
    Используемые средства защиты информации должны быть сертифицированы по требованиям безопасности информации.
    5. ТРЕБОВАНИЯ И РЕКОМЕНДАЦИИ ПО ЗАЩИТЕ ИНФОРМАЦИИ, ОБРАБАТЫВАЕМОЙ
    СРЕДСТВАМИ ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ
    5.1. Общие требования и рекомендации
    5.1.1. Система (подсистема) защиты информации, обрабатываемой в автоматизированных системах различного уровня и назначения, должна предусматривать комплекс организационных, программных, технических и, при необходимости, криптографических средств и мер по защите информации при ее автоматизированной обработке и хранении, при ее передаче по каналам связи.
    5.1.2. Основными направлениями защиты информации являются:

    обеспечение защиты информации от хищения, утраты, утечки, уничтожения, искажения и подделки за счет
    НСД и специальных воздействий;

    обеспечение защиты информации от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи.
    5.1.3. В качестве основных мер защиты информации рекомендуются:

    документальное оформление перечня сведений конфиденциального характера с учетом ведомственной и отраслевой специфики этих сведений;

    реализация разрешительной системы допуска исполнителей (пользователей, обслуживающего персонала) к информации и связанным с ее использованием работам, документам;


    ограничение доступа персонала и посторонних лиц в защищаемые помещения и помещения, где размещены средства информатизации и коммуникации, а также хранятся носители информации;

    разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, про- граммным средствам обработки (передачи) и защиты информации;

    регистрация действий пользователей АС и обслуживающего персонала, контроль за несанкционированным доступом и действиями пользователей, обслуживающего персонала и посторонних лиц;

    учет и надежное хранение бумажных и машинных носителей информации, ключей (ключевой документации) и их обращение, исключающее их хищение, подмену и уничтожение;

    использование СЗЗ, создаваемых на основе физико-химических технологий для контроля доступа к объектам защиты и для защиты документов от подделки;

    необходимое резервирование технических средств и дублирование массивов и носителей информации;

    использование сертифицированных серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации;

    использование технических средств, удовлетворяющих требованиям стандартов по электромагнитной совместимости;

    использование сертифицированных средств защиты информации;

    размещение объектов защиты на максимально возможном расстоянии относительно границы КЗ;

    размещение понижающих трансформаторных подстанций электропитания и контуров заземления объектов защиты в пределах КЗ;

    развязка цепей электропитания объектов защиты с помощью защитных фильтров, блокирующих (подав- ляющих) информативный сигнал;

    электромагнитная развязка между линиями связи и другими цепями ВТСС, выходящими за пределы КЗ, и информационными цепями, по которым циркулирует защищаемая информация;

    использование защищенных каналов связи (защищенных ВОЛС и криптографических средств ЗИ;

    размещение дисплеев и других средств отображения информации, исключающее несанкционированный просмотр информации;

    организация физической защиты помещений и собственно технических средств с помощью сил охраны и технических средств, предотвращающих или существенно затрудняющих проникновение в здания, помещения посторонних лиц, хищение документов и информационных носителей, самих средств информатизации, исключающих нахождение внутри контролируемой зоны технических средств разведки или промышленного шпионажа;

    криптографическое преобразование информации, обрабатываемой и передаваемой средствами вычислительной техники и связи (при необходимости, определяемой особенностями функционирования конкретных АС и систем связи);

    предотвращение внедрения в автоматизированные системы программ-вирусов, программных закладок.
    Обязательность тех или иных мер для защиты различных видов конфиденциальной информации конкретизирована в последующих подразделах документа.
    5.1.4. В целях дифференцированного подхода к защите информации, обрабатываемой в АС различного уровня и назначения, осуществляемого в целях разработки и применения необходимых и достаточных мер и средств защиты информации, проводится классификация автоматизированных систем (форма акта классификации АС приведена в приложении № 1).
    5.1.5. Классифицируются АС любого уровня и назначения. Классификация АС осуществляется на основании требований РД Гостехкомиссии России "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации" и настоящего раздела документа.
    5.1.6. Классификации подлежат все действующие, но ранее не классифицированные, и разрабатываемые АС, предназначенные для обработки конфиденциальной информации.
    5.1.7. Если АС, классифицированная ранее, включается в состав вычислительной сети или системы и соединяется с другими техническими средствами линиями связи различной физической природы, образуемая при этом АС более высокого уровня классифицируется в целом, а в отношении АС нижнего уровня классификация не производится.
    Если объединяются АС различных классов защищенности, то интегрированная АС должна классифицироваться по высшему классу защищенности входящих в нее АС, за исключением случаев их объединения посредством межсетевого экрана, когда каждая из объединяющихся АС может сохранять свой класс защищенности. Требования к используемым при этом межсетевым экранам изложены в подразделе 5.9.
    5.1.8. При рассмотрении и определении режима обработки данных в АС учитывается, что индивидуальным
    (монопольным) режимом обработки считается режим, при котором ко всей обрабатываемой информации, к программным средствам и носителям информации этой системы допущен только один пользователь.
    Режим, при котором различные пользователи, в т.ч. обслуживающий персонал и программисты, работают в одной АС, рассматривается как коллективный. Коллективным режимом работы считается также и последовательный во времени режим работы различных пользователей и обслуживающего персонала.
    5.1.9. В случае, когда признаки классифицируемой АС (п. 1.7. РД Гостехкомиссии России "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации") не совпадают с предложенными в РД (п. 1.9) группами по особенностям обработки информации в АС, то при классификации выбирается наиболее близкая группа защищенности с предъявлением к АС соответствующих дополнительных требований по защите информации. (Например,
    однопользовательская АС с информацией различного уровня конфиденциальности по формальным признакам не может быть отнесена к 3 группе защищенности. Однако, если дополнительно реализовать в такой системе управление потоками информации, то необходимый уровень защиты будет обеспечен).
    5.1.10. Конкретные требования по защите информации и мероприятия по их выполнению определяются в зависимости от установленного для АС класса защищенности. Рекомендуемые классы защищенности АС, СЗЗ, средств защиты информации по уровню контроля отсутствия недекларированных возможностей, а также показатели по классам защищенности СВТ и МЭ от несанкционированного доступа к информации приведены в приложении № 7.
    5.1.11. Лица, допущенные к автоматизированной обработке конфиденциальной информации, несут ответственность за соблюдение ими установленного в учреждении (на предприятии) порядка обеспечения защиты этой информации.
    Для получения доступа к конфиденциальной информации они должны изучить требования настоящего документа, других нормативных документов по защите информации, действующих в учреждении (на предприятии) в части их касающейся.
    1   2   3   4   5   6


    написать администратору сайта