Положение о порядке организации и проведения работ по защите конфиденциальной информации ЗАО «Ассоциация специалистов информационных систем», страница 4

-  совместно со специалистом по защите информации разрабатывают документацию по защите информации на строительство, реконструкцию и эксплуатацию объекта.

4.ОБЪЕКТ ЗАЩИТЫ

4.1.  Объектом защиты являются сведения (ресурсы) конфиденциального характера, циркулирующие в организации. Данные сведения определяются перечнями сведений конфиденциального характера организации и защищаемых ресурсов АС организации, утверждаемых Генеральным директором организации.

4.2.  Целью мероприятий по ЗИ в организации является предотвращение либо существенное затруднение добывания злоумышленниками сведений конфиденциального характера.

Для реализации указанной цели:

-  все мероприятия по работе со сведениями конфиденциального характера должны быть строго регламентированы Генеральным директором организации;

-  проведение всех работ, связанных с обработкой конфиденциальных сведений, осуществляется только на аттестованных объектах информатизации, с использованием сертифицированных средств защиты информации;

-  своевременно должен осуществляться комплексный технический контроль за выполнением требований действующих руководящих документов в области защиты информации.

4.3.  Защите должны подвергаться:

-  средства и системы информатизации (СВТ, АС различного уровня и назначения на базе СВТ, в том числе информационно-вычислительные комплексы, сети и системы, средства и системы связи и передачи данных, технические средства приема, передачи и обработки информации (телефонии, звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), средства защиты информации, используемые для обработки конфиденциальной информации;

-  технические средства и системы, не обрабатывающие непосредственно конфиденциальную информацию, но размещенные в помещениях, где она обрабатывается (циркулирует);

-  защищаемые помещения.

5.ДЕМАСКИРУЮЩИЕ ПРИЗНАКИ И

ТЕХНИЧЕСКИЕ КАНАЛЫ УТЕЧКИ ИНФОРМАЦИИ

5.1.  Основными демаскирующими признаками деятельности, по которым могут быть определены охраняемые сведения, являются физические поля, возникающие в процессе эксплуатации основных и вспомогательных технических средств и систем.

5.2.  При проведении мероприятий с использованием конфиденциальной информации и эксплуатации технических средств возможны следующие каналы утечки или угрозы безопасности информации:

-  акустическое излучение информативного речевого сигнала;

-  электрические сигналы, возникающие при преобразовании информативного сигнала из акустического в электрический за счет микрофонного эффекта и распространяющийся по проводам и линиям, выходящим за пределы КЗ;

-  виброакустические сигналы, возникающие при преобразовании информативного акустического сигнала за счет воздействия его строительные конструкции и инженерно-технические коммуникации ЗП;

-  НСД к обрабатываемой в АС информации и несанкционированные действия с ней;

-  воздействие на технические или программные средства АС в целях нарушения конфиденциальности, целостности и доступности информации посредством специально внедренных программных средств;

-  ПЭМИ от технических средств и линий передачи информации;

-  наводки информативного сигнала, обрабатываемого ТС на провода и линии выходящие за пределы КЗ;

-  радиоизлучения, модулированные информативным сигналом, возникающие при работе различных генераторов, входящих в состав технических средств (ТС), или при наличии паразитной генерации в узлах ТС;

-  радиоизлучения или электрические сигналы от внедренных в ТС и ЗП закладочных устройств, модулированные информативным сигналом;

-  радиоизлучения или электрические сигналы от электронных устройств перехвата информации, подключенных к каналам или ТС обработки информации;

-  хищение технических средств с хранящейся в них информацией или отдельных носителей информации;