- просмотр информации с экранов дисплеев и других средств ее отображения с помощью оптических средств;
- прослушивание телефонных и радиопереговоров.
5.3. Перехват информации или воздействие на нее с использованием технических средств может вестись:
- из-за границы КЗ, из ближайших строений и транспортных средств;
- из смежных помещений, принадлежащих другим организациям и расположенных в том же здании, что и объект защиты;
- при посещении организации посторонними лицами;
- за счет НСД к информации, циркулирующей в АС, как с помощью технических средств АС, так и через сети.
5.4. В качестве аппаратуры разведок или воздействия на информацию и технические средства могут использоваться портативные возимые и носимые устройства, размещаемые вблизи объекта защиты либо подключаемые к каналам связи и ТС обработки информации, а также закладочные устройства размещаемые внутри или вне ЗП.
5.5. Кроме перехвата информации техническими средствами, возможно непреднамеренное попадание защищаемой информации к лицам, не допущенным к ней, но находящимся в пределах КЗ, за счет следующих действий:
- непреднамеренного прослушивания без использования технических средств конфиденциальных разговоров из-за недостаточной звукоизоляции ограждающих конструкций ЗП и их инженерно-технических систем;
- некомпетентных или ошибочных действий пользователей или администраторов АС.
6.ФОРМИРОВАНИЕ МОДЕЛИ УГРОЗ И МОДЕЛИ НАРУШИТЕЛЯ
6.1. Модель угроз формируется в результате выявления и учета факторов, которые воздействуют или могут воздействовать на информацию (угроз безопасности информации) в конкретных условиях.
6.2. Формирование модели угроз проводятся в соответствии с ГОСТ Р 51275-99 и составляют основу для планирования мероприятий, направленных на защиту информации на ОИ организации.
6.3. Анализ конкретных условий предполагает:
- определение условий расположения объекта информатизации относительно границ КЗ;
- определения порядка доступа персонала и лиц, представителей сторонних организаций, на территорию организации;
- определение конфигурации и топологии АС и систем связи в целом и их отдельных компонентов, физических, функциональных и технологических связей как внутри этих систем, так и с другими системами различного уровня и назначения;
- определение технических средств и систем, предполагаемых к использованию при обработке конфиденциальной информации, условий их расположения;
- определение степени участия персонала организации в обработке (обсуждении, передаче, хранении) информации, характер их взаимодействия между собой.
6.4. Сформированная модель угроз ресурсам конфиденциального характера определяет модель нарушителя и, как следствие, перечень организационных и технических мероприятий необходимых для обеспечения выполнения действующих норм и требований руководящих документов по защите информации.
6.5. Уровень технической защиты конфиденциальной информации, а также перечень необходимых мер защиты определяется дифференцировано по результатам обследования объекта информатизации, с учетом сформированной модели угроз и нарушителя, а также соотношения затрат на организацию защиты информации и величины ущерба, который может быть нанесен организации.
6.6. Обследование с целью формирования модели угроз и модели нарушителя проводится комиссией из числа сотрудников организации, назначаемых приказом Генерального директора организации. Для проведения обследования также могут привлекаться специализированные организации, имеющие соответствующую лицензию.
7.ПОРЯДОК ДОПУСКА К РАБОТАМ В АС
7.1. Допуск к работам в АС осуществляется только на основании утвержденной «Матрицы доступа субъектов по отношению к защищаемым ресурсам АС», содержащей перечень всех лиц, допущенных к работам в АС с указанием их полномочий или утвержденного «Списка лиц, допущенных к работам в АС».
7.2. Утверждать «Матрицу доступа субъектов по отношению к защищаемым ресурсам АС» или «Список лиц, допущенных к работам в АС» имеют права только должностные лица организации, определенные в «Списке должностных лиц организации, которым предоставлено право допуска к работам в АС, предназначенной(ых) для обработки конфиденциальной информации».
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.