ГОСТ Р 51275-99 Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения

ГОСТ Р 51275-99

ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Защитаинформации

ОБЪЕКТИНФОРМАТИЗАЦИИ.
ФАКТОРЫ, ВОЗДЕЙСТВУЮЩИЕ
НА ИНФОРМАЦИЮ

Общие положения

ГОССТАНДАРТ РОССИИ

Москва
Предисловие

1 РАЗРАБОТАН 5 ЦНИИИ МО РФ

2 ВНЕСЕН Техническим комитетом по стандартизации «Защитаинформации» (ТК 362Р)

3 ПРИНЯТ И ВВЕДЕН В ДЕЙСТВИЕ Постановлением ГосстандартаРоссии от 12 мая 1999 г. № 160

4 ВВЕДЕН ВПЕРВЫЕ

5 ПЕРЕИЗДАНИЕ. Декабрь 2003 г.

Содержание
ГОСТ Р 51275-99

ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Защита информации

ОБЪЕКТ ИНФОРМАТИЗАЦИИ. ФАКТОРЫ, ВОЗДЕЙСТВУЮЩИЕ НА ИНФОРМАЦИЮ

Общие положения

Protection ofinformation.
Object of informatization. Factors influencing the information. Generaloutlines

Дата введения 2000-01-01
1 Область применения

Настоящий стандарт устанавливает классификацию и переченьфакторов, воздействующих на защищаемую информацию, в интересах обоснованиятребований защиты информации на объекте информатизации.

Настоящий стандарт распространяется на требования поорганизации защиты информации при создании и эксплуатации объектовинформатизации, используемых в различных областях деятельности (обороны, экономики, науки и других областях).

Положения настоящего стандарта подлежат применению натерритории Российской Федерации органами государственной власти,местного самоуправления, предприятиями и учреждениями независимо от ихорганизационно-правовой формы и формы собственности, должностными лицами и гражданами Российской Федерации, взявшими на себя обязательства либообязанными по статусу исполнять требования правовыхдокументов Российской Федерации по защите информации.

2 Определения и сокращения

2.1В настоящем стандарте применяют следующие термины с соответствующимиопределениями:

информация:Сведенияо лицах, предметах, фактах, событиях, явлениях и процессах независимо от формыих представления;

защищаемаяинформация: Информация, являющаяся предметом собственности и подлежащая защитев соответствии с требованиями правовых документов или требованиями,устанавливаемыми собственником информации;

фактор,воздействующий на защищаемую информацию: Явление, действие или процесс,результатом которых могут быть утечка, искажение, уничтожение защищаемойинформации, блокирование доступа к ней;

объектинформатизации: Совокупность информационных ресурсов, средств и системобработки информации, используемых в соответствии с заданной информационнойтехнологией, средств обеспечения объекта информатизации, помещений или объектов(зданий, сооружений, технических средств), в которых они установлены, илипомещения и объекты, предназначенные для ведения конфиденциальных переговоров;

информационныересурсы: Отдельные документы и отдельные массивы документов, документы имассивы документов, содержащиеся в информационных системах (библиотеках,архивах, фондах, банках данных, информационных системах других видов);

информационнаятехнология: Приемы, способы и методы применения технических и программныхсредств при выполнении функций обработки информации;

обработкаинформации: Совокупность операций сбора, накопления, ввода, вывода, приема,передачи, записи, хранения, регистрации, уничтожения, преобразования,отображения информации;

системаобработки информации: Совокупность технических средств и программногообеспечения, а также методов обработки информации и действий персонала,обеспечивающая выполнение автоматизированной обработки информации;

средстваобеспечения объекта информатизации: Технические средства и системы, ихкоммуникации, не предназначенные для обработки информации, но устанавливаемыевместе со средствами обработки информации на объекте информатизации;

побочноеэлектромагнитное излучение: Электромагнитное излучение, возникающеепри работе технических средств обработки информации;

паразитноеэлектромагнитное излучение: Электромагнитное излучение, вызванноепаразитной генерацией в электрических цепях технических средств обработкиинформации;

наводки:Токии напряжения в токопроводящих элементах, вызванные электромагнитным излучением,емкостными и индуктивными связями;

закладочноеустройство: Элемент средства съема информации, скрытно внедряемый(закладываемый или вносимый) в места возможного съема информации (в том числе вограждение, конструкцию, оборудование, предметы интерьера, транспортныесредства, а также в технические средства и системы обработки информации);

программнаязакладка: Внесенные в программное обеспечение функциональные объекты,которые при определенных условиях (входных данных) инициируют выполнение неописанных в документации функций программного обеспечения, позволяющихосуществлять несанкционированные воздействия на информацию;

программныйвирус: Исполняемый программный код или интерпретируемый набор инструкций,обладающий свойством несанкционированного распространения и самовоспроизведения(репликации). В процессе распространения вирусные субъекты могут себямодифицировать. Некоторые программные вирусы могут изменять, копировать или удалятьпрограммы или данные.

2.2 В настоящемстандарте приняты следующие сокращения:

ОИ - объектинформатизации;

ПЭМИ - побочныеэлектромагнитные излучения;

ТС - техническоесредство.

3 Основные положения

3.1 Выявление и учет факторов, воздействующих или могущихвоздействовать на защищаемую информацию в конкретных условиях, составляютоснову для планирования и осуществления эффективных мероприятий, направленныхна защиту информации на ОИ.

3.2 Полнота и достоверность выявления факторов,воздействующих на защищаемую информацию, должны быть достигнуты путемрассмотрения полного множества факторов, воздействующих на все элементы ОИ(технические и программные средства обработки информации, средства обеспеченияОИ и т.д.) и на всех этапах обработки информации.

3.3 Выявление факторов, воздействующих на защищаемуюинформацию, должно быть осуществлено с учетом следующих требований:

- достаточности уровней классификации факторов,воздействующих на защищаемую информацию, позволяющей формировать их полноемножество;

- гибкости классификации, позволяющей расширять множестваклассифицируемых факторов, группировок и признаков, а также вносить необходимыеизменения без нарушения структуры классификации.

3.4 Основными методами классификации факторов,воздействующих на защищаемую информацию, являются иерархический и фасетныйметоды.

4 Классификация факторов,воздействующих на защищаемую информацию

4.1 Факторы, воздействующие на защищаемую информацию иподлежащие учету при организации защиты информации, по признаку отношения кприроде возникновения делят на классы:

- объективные;

- субъективные.

4.2 По отношению к ОИ факторы, воздействующие назащищаемую информацию, подразделяют на внутренние и внешние.

4.3 Принцип классификации факторов, воздействующих назащищаемую информацию, следующий:

- подкласс;

- группа;

- подгруппа;

- вид;

- подвид.

4.3.1 Перечень объективных факторов,воздействующих на защищаемую информацию, в соответствии с установленнымпринципом их классификации (4.3)

4.3.1.1 Внутренние факторы

4.3.1.1.1 Передача сигналов по проводным линиям связи.

4.3.1.1.2 Передача сигналов по оптико-волоконным линиямсвязи.

4.3.2.2.3 Излучения сигналов, функционально присущих ОИ.

4.3.1.1.3.1 Излучения акустических сигналов.

4.3.1.1.3.1.1 Излучения неречевых сигналов.

4.3.1.1.3.1.2 Излучения речевых сигналов.

4.3.1.1.3.2 Электромагнитные излучения и поля.

4.3.1.1.3.2.1 Излучения в радиодиапазоне.

4.3.1.1.3.2.2 Излучения в оптическом диапазоне.

4.3.1.1.4 ПЭМИ

4.3.1.1.4.1 ПЭМИ сигналов (видеоимпульсов) от информационныхцепей.

4.3.1.1.4.2 ПЭМИ сигналов (радиоимпульсов) от всехэлектрических цепей ТС ОИ.

4.3.1.1.4.2.1 Модуляция ПЭМИ электромагнитными сигналамиот информационных цепей.

4.3.1.1.4.2.2 Модуляция ПЭМИ акустическими сигналами.

4.3.1.1.5 Паразитное электромагнитное излучение.

4.3.1.1.5.1 Модуляция паразитного электромагнитногоизлучения информационными сигналами.

4.3.1.1.5.2 Модуляция паразитного электромагнитногоизлучения акустическими сигналами.

4.3.1.1.6 Наводки.

4.3.1.1.6.1 Наводки в электрических цепях ТС, имеющихвыход за пределы ОИ.

4.3.1.1.6.1.1 Наводки в линиях связи.

4.3.1.1.6.1.1.1 Наводки, вызванные побочными и (или)паразитными электромагнитными излучениями, несущими информацию.

4.3.1.1.6.1.1.2 Наводки, вызванные внутренними емкостнымии (или) индуктивными связями.

4.3.1.1.6.1.2 Наводки в цепях электропитания.

4.3.1.1.6.1.2.1 Наводки, вызванные побочными и (или)паразитными электромагнитными излучениями, несущими информацию.

4.3.1.1.6.1.2.2 Наводки, вызванные внутренними емкостнымии (или) индуктивными связями.

4.3.1.1.6.1.2.3 Наводки через блоки питания ТС ОИ.

4.3.1.1.6.1.3 Наводки в цепях заземления.

4.3.1.1.6.1.3.1 Наводки, вызванные побочными и (или)паразитными электромагнитными излучениями, несущими информацию.

4.3.1.1.6.1.3.2 Наводки, вызванные внутренними емкостнымии (или) индуктивными связями.

4.3.1.1.6.1.3.3 Наводки, обусловленные гальваническойсвязью схемной (рабочей) «земли» узлов и блоков ТС ОИ.

4.3.1.1.6.2 Наводки на ТС, провода, кабели и иныетокопроводящие коммуникации и конструкции, гальванически не связанные с ТС ОИ,вызванные побочными и (или) паразитными электромагнитными излучениями, несущимиинформацию.

4.3.1.1.7 Акустоэлектрические преобразования в элементахТС ОИ.

4.3.1.1.8 Дефекты, сбои, отказы, аварии ТС и систем ОИ.

4.3.1.1.9 Дефекты, сбои и отказы программного обеспеченияОИ.

4.3.1.2 Внешние факторы

4.3.1.2.1 Явления техногенного характера.

4.3.1.2.1.1 Непреднамеренные электромагнитные облученияОИ.

4.3.1.2.1.2 Радиационные облучения ОИ.

4.3.1.2.1.3 Сбои, отказы и аварии систем обеспечения ОИ.

4.3.1.2.2 Природные явления, стихийные бедствия.

4.3.1.2.2.1 Термические факторы (пожары и т.д.).

4.3.1.2.2.2 Климатические факторы (наводнения и т.д.).

4.3.1.2.2.3 Механические факторы (землетрясения и т.д.).

4.3.1.2.2.4 Электромагнитные факторы (грозовые разряды и т.д.).

4.3.1.2.2.5 Биологические факторы (микробы, грызуны и т.д.).

4.3.2 Перечень субъективных факторов,воздействующих на защищаемую информацию, в соответствии с установленнымпринципом их классификации (4.3)

4.3.2.1 Внутренние факторы

4.3.2.1.1 Разглашение защищаемой информации лицами,имеющими к ней право доступа.

4.3.2.1.1.1 Разглашение информации лицам, не имеющимправа доступа к защищаемой информации.

4.3.2.1.1.2 Передача информации по открытым линиям связи.

4.3.2.1.1.3 Обработка информации на незащищенных ТСобработки информации.

4.3.2.1.1.4 Опубликование информации в открытой печати идругих средствах массовой информации.

4.3.2.1.1.5 Копирование информации на незарегистрированныйноситель информации.

4.3.2.1.1.6 Передача носителя информации лицу, неимеющему права доступа к ней.

4.3.2.1.1.7 Утрата носителя с информацией.

4.3.2.1.2 Неправомерные действия со стороны лиц, имеющихправо доступа к защищаемой информации.

4.3.2.1.2.1 Несанкционированное изменение информации.

4.3.2.1.2.2 Несанкционированное копирование информации.

4.3.2.1.3 Несанкционированный доступ к защищаемойинформации.

4.3.2.1.3.1 Подключение к техническим средствам исистемам ОИ.

4.3.2.1.3.2 Использование закладочных устройств.

4.3.2.1.3.3 Использование программного обеспечениятехнических средств ОИ.

4.3.2.1.3.3.1 Маскировка под зарегистрированногопользователя.

4.3.2.1.3.3.2 Использование дефектов программногообеспечения ОИ.

4.3.2.1.3.3.3 Использование программных закладок.

4.3.2.1.3.3.4 Применение программных вирусов.

4.3.2.1.3.4 Хищение носителя защищаемой информации.

4.3.2.1.3.5 Нарушение функционирования ТС обработкиинформации.

4.3.2.1.4 Неправильное организационное обеспечение защитыинформации.

4.3.2.1.4.1 Неправильное задание требований по защитеинформации.

4.3.2.1.4.2 Несоблюдение требований по защите информации.

4.3.2.1.4.3 Неправильная организация контроляэффективности защиты информации.

4.3.2.1.5 Ошибки обслуживающего персонала ОИ.

4.3.2.1.5.1 Ошибки при эксплуатации ТС.

4.3.2.1.5.2 Ошибки при эксплуатации программных средств.

4.3.2.1.5.3 Ошибки при эксплуатации средств и системзащиты информации.

4.3.2.2 Внешние факторы

4.3.2.2.1 Доступ к защищаемой информации с применением техническихсредств.

4.3.2.2.1.1 Доступ к защищаемой информации с применениемтехнических средств разведки.

4.3.2.2.1.1.1 Доступ к защищаемой информации сприменением средств радиоэлектронной разведки.

4.3.2.2.1.1.2 Доступ к защищаемой информации с применениемсредств оптико-электронной разведки.

4.3.2.2.1.1.3 Доступ к защищаемой информации сприменением средств фотографической разведки.

4.3.2.2.1.1.4 Доступ к защищаемой информации сприменением средств визуально-оптической разведки.

4.3.2.2.1.1.5 Доступ к защищаемой информации сприменением средств акустической разведки.

4.3.2.2.1.1.6 Доступ к защищаемой информации сприменением средств гидроакустической разведки.

4.3.2.2.1.1.7 Доступ к защищаемой информации сприменением средств компьютерной разведки.

4.3.2.2.1.2 Доступ к защищаемой информации сиспользованием эффекта «высокочастотного навязывания».

4.3.2.2.1.2.1 Доступ к защищаемой информации сприменением генератора высокочастотных колебаний.

4.3.2.2.1.2.2 Доступ к защищаемой информации сприменением генератора высокочастотного электромагнитного поля.

4.3.2.2.2 Несанкционированный доступ к защищаемойинформации.

4.3.2.2.2.1 Подключение к техническим средствам исистемам ОИ.

4.3.2.2.2.2 Использование закладочных устройств.

4.3.2.2.2.3 Использование программного обеспечениятехнических средств ОИ.

4.3.2.2.2.3.1 Маскировка под зарегистрированногопользователя.

4.3.2.2.2.3.2 Использование дефектов программногообеспечения ОИ.

4.3.2.2.2.3.3 Использование программных закладок.

4.3.2.2.2.3.4 Применение программных вирусов.

4.3.2.2.2.4 Несанкционированный физический доступ на ОИ.

4.3.2.2.2.5 Хищение носителя с защищаемой информацией.

4.3.2.2.3 Блокирование доступа к защищаемой информациипутем перегрузки технических средств обработки информации ложными заявками на ееобработку.

4.3.2.2.4 Действия криминальных групп и отдельныхпреступных субъектов.

4.3.2.2.4.1 Диверсия в отношении ОИ.

Ключевые слова: информация; защищаемая информация;факторы, воздействующие на информацию; объект информатизации; фактор, воздействующийна защищаемую информацию

Stroy.Expert
63,14 73,47