ГОСУДАРСТВЕННЫЙ СТАНДАРТ УКРАИНЫ
Защита информации
ТЕХНИЧЕСКАЯ ЗАЩИТА ИНФОРМАЦИИ
Основные положения
Издание официальное
Киев
ГОССТАНДАРТ УКРАИНЫ
1996ПРЕДИСЛОВИЕ
РАЗРАБОТАН И ВНЕСЕН Государственной службой Украины по вопросам технической защиты информации
УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ приказом Госстандарта Украины от 11 октября 1996 г. № 423
В настоящем стандарте реализованы нормы законов Украины «Об информации», «О государственной тайне», «О защите информации в автоматизированных системах»
ВВЕДЕН ВПЕРВЫЕ
РАЗРАБОТЧИКИ: А. Баранов, А. Новиченко, В. Гелевера, И. Арутюнова
Настоящий стандарт не может быта полностью или частично аоспроизаеден,
тиражирован и распространен а качестве официального издания без разрешения
Госстандарта Украин
ыСОДЕРЖАНИЕ С.
Область применения 1
Нормативные ссылки 2
Общие положения 2
Построение системы защиты информации 3
Определение и анализ угроз 3
Разработка системы защиты информации .......... 4
Реализация плана защиты информации 5
Контроль функционирования и управления системой защиты информации 5
Нормативные документы по ТЗИ бДСТУ 3396.0-96
ГОСУДАРСТВЕННЫЙ СТАНДАРТ УКРАИНЫ
ЗАЩИТА ИНФОРМАЦИИ
ТЕХНИЧЕСКАЯ ЗАЩИТА ИНФОРМАЦИИ
Основные положения
ЗАХИСТ ІНФОРМАЦІЇ
ТЕХНІЧНИЙ ЗАХИСТ ІНФОРМАЦІЇ
Основні положення
INFORMATION PROTECTION
TECHNICAL PROTECTION OF INFORMATION
Basic principles
Дота «ведения 1997—01—01
ОБЛАСТЬ ПРИМЕНЕНИЯ
Настоящий стандарт устанавливает объект защиты, цель, основные ованизационно-техническис положения технической защиты информа- (ТЗИ), неправомерный доступ к которой может нанести ущерб гражданам, организациям (юридическим лицам) и государству, а также категории нормативных документов по ТЗИ.
Требования стандарта обязательны для предприятий и учреждений всех форм собственности и подчинения, граждан — субъектов предпринимательской деятельности, органов государственной власти, органов местного самоуправления, войсковых частей всех воинских формирований, представительств Украины за рубежом, которые владеют, пользуются и распоряжаются информацией, подлежащей технической защите.
Издание официальноеНОРМАТИВНЫЕ ССЫЛКИ
В настоящем стандарте приведены ссылки на следующие документы: ДСТУ 1.0—93 Государственная система стандартизации Украины. Основные положения;
ДСТУ 1.2—93 Государственная система стандартизации Украины Порядок разработки государственных стандартов;
ДСТУ 1.3—93 Государственная система стандартизации Украины. Порядок разработки, построения, изложения, оформления, согласования, утверждения, обозначения и регистрации технических условий;
ДСТУ 1.4—93 Государственная система стандартизации Украины. Стандарт предприятия. Основные положения;
ДСТУ 1.5—93 Государственная система стандартизации Украины. Общие требования к построению, изложению, оформлению и содержанию стандартов;
ДБН А.1.1—1—93 Система стандартизации и нормирования в строительстве. Основные положения;
ДБН А, 1.1—2—93 Система стандартизации и нормирования в строительстве. Порядок разработки, требования к построению, ихюжению и оформлению нормативных документов. ,
3 ОБЩИЕ ПОЛОЖЕНИЯ
Объектом технической защиты является информация, которая составляет государственную или иную предусмотренную законодательством Украины тайну, конфиденциальная информация, являющаяся государственной собственностью или переданная государству во владение пользование, распоряжс ние (далее— информация с ограниченным досту пом — ИсОД).
Объект защиты, цель и задачи ТЗИ определяют и устанавливают лица, которые владеют, пользуются, распоряжаются ИсОД в рамках прав и полномочий, предоставленных законами Украины, подзаконными актами и нормативными документами по ТЗИ.
Носителями ИсОД могут быть физические поля, сигналы, химические вещества, образующиеся в процессе информационной деятельности, производства и эксплуатации продукции различного назнначения (далее— информационная деятельность).
Средой распространения носителей ИсОД могут быть линии связи, сигнализации, управления, энергетические сети, оконечное и промежуточное оборудование, инженерные коммуникации и сооружения, ограждающие строительные конструкции, а также светопроницаемые элементы зданий и сооружений (проемы), воздушная, водная и другие среды, почва, растительность и т. п.
Утечка или нарушение целостности ИсОД (искажение, модификация, разрушение, уничтожение) могут произойти в результате реализа- ’Тйи угроз безопасности информации (далее—угроза).
Целью ТЗИ является предотвращение утечки или нарушения целостности ИсОД.
Цель ТЗИ может быть достигнута построением системы защиты информации, которая представляет собой организованную совокупность методов и средств обеспечения ТЗИ.
Техническая защита информации осуществляется поэтапно:
этап — определение и анализ угроз;
этап — разработка системы зашиты информации;
этап — реализация плана защиты информации;
этап — контроль фукционирования и управление системой защиты информации.
ПОСТРОЕНИЕ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ
Определение и анализ угроз
На первом этапе необходимо осуществить анализ объектов защиты, ситуационного плана, условий функционирования предприятия, учреждения, организации, оценить вероятность проявления угроз и ожидаемый ущерб от их реализации, подготовить исходныеданныедля построен частной модели угроз.
Источниками угроз может быть деятельность иностранных разведок, а также преднамеренные или непреднамеренные действия юридических и физических лиц.
Угрозы могут осуществляться;
по техническим каналам, включающим каналы побочных электромагнитных излучений и наводок, акустические, оптические, радио-, радиотехнические, химические и другие каналы;
по каналам специального воздействия путем формирования полей и сигналов в целях разрушения системы защиты или нарушения целостности информации:
несанкционированным доступом путем подключения к аппаратуре и линиям связи, маскировки под зарегистрирк энного пользователя, преодоления мер защиты для использования информации или навязывания ложной информации, применения закладных устройств и программ, внедрения компьютерных вирусов.
Описание угроз и схематическое представление путей их осуществления составляют частную модель угроз.
Разработка системы защиты информации
На втором этапе следует осуществить разработку плана T3w, включающего организационные, первичные технические и основные технические меры защиты ИсОД, определить зоны безопасности информации.
Организационные меры регламентируют порядок информационной деятельности с учетом норм и требований по ТЗИ для всех периодов жизненного цикла объекта защиты.
Первичные технические меры предусматривают защиту информации блокированием угроз без использования средств ТЗИ.
Основные технические меры предусматривают защиту информации с использованием средств обеспечения ТЗИ.
Для технической зашиты информации следует применять способ скрытия или способ технической дезинформации.
Меры защиты информации должны:
быть адекватны угрозам;
быть разработаны с учетом возможного ущерба от их реализации и стоимости защитных мер и вносимых ими ограничений;
обеспечивать заданную эффективность защиты информации на установленном уровне в течение времени ограничения доступа к ней или возможности осуществления угроз.
Уровень защиты ин<|юрмации определяется системой количественных и качественны'' показателей, обеспечивающих решение зад защиты информации на основе норм и требований ТЗИ.
Минимально необходимый уровень защиты информации обеспечивается ограничительными и фрагментарными мерами противодействия наиболее опасной угрозе.
Повышение уровня защиты информации достигается наращиванием технических мер противодействия множеству угроз.
Порядок расчета и инструментального определения зон безопасности информации, реализации мер ТЗИ, расчета эффективности защиты и порядок аттестации технических средств обеспечения информационной деятельности, рабочих мест (помещений} устанавливаются нормативными документами по ТЗИ.
Реализация плана защиты информации
На третьем этапе следует реализовать организационные, первичные технические и основные техничсские меры защиты ИсОД, установить необходимые зоны безопасности информации, провести аттестацию технических средств обеспечения информационной деятельности, рабочих *ст (помещений) на соответствие требованиям по безопасности информации.
Техническая защита информации обеспечивается применением защищенных программ и технических средств обеспечения информационной деятельности, программных и технических средств защиты информации (далее — средства ТЗИ) и средств контроля, имеющих сертификат соответствия требованиям нормативных документов по технической защите системы УкрСЕПРО или разрешение на их использование органа, уполномоченного Кабинетом Министров Украины, а также применением специальных инженерно-технических сооружений, средств и систем (далее— средства обеспечения ТЗИ).
Средства ТЗИ могут функционировать автономно или совместно с технически м и средства ми обеспечения ннформа ционной деятсл ьно- сти в виде самостоятельных устройств или встроенных в них составных элементов.
Состав средств обеспечения ТЗИ, перечень их поставщиков, а также услуг по установке, монтажу, наладке и обслуживанию определяются лицами, которые владеют, пользуются и распоряжаются ИсОД самостоятельно или по рекомендациям специалистов по ТЗИ в соответствии с нормативными документами по ТЗИ.
Предоставление услуг по ТЗИ, аттестацию и сервисное обслу- >«аине средств обеспечения ТЗИ могут осуществлять юридические и физические лица, имеющие лицензию на право проведения этих работ, выданную органом, уполномоченным Кабинетом Министров Украины.
Контроль функционирования и управление системой защиты информации
На четвертом этапе следует провести анализ функционирования системы защиты информации, проверку выполнения мер ТЗИ, контроль эффективности защиты, подготовить и выдать исходные данные для управления системой зашиты информации.
. 4.4.2 Управление системой защиты информации заключается в адаптации мер ТЗИ к текущей задаче защиты информации.
Пофактам изменения условий осу щсствлсни . или выявления новых угроз меры ТЗИ реализуются в кратчайший срок.
В случае необходимости повышения уровня защиты информации необходимо выполнить работы, предусмотренные 1, 2 и 3 этапами построения системы защиты информации.
Порядок проведения проверок и контроля эффективности защиты информации устанавливается нормативными документами по ТЗИ.
НОРМАТИВНЫЕ ДОКУМЕНТЫ ПО ТЗИ
Нормативные документы разрабатываются в ходе проведения комплекса работ по стандартизации и нормированию в области ТЗИ.
Нормативные документы должны обеспечивать:
проведение единой технической политики;
создание и развитие единой терминологической системы;
функционирование многоуровневых систем защиты информации на основе взаимоувязанных положений, правил, методик, требований и норм;
функционирование систем сертификации, лицензирования и аттестации согласно требованиям безопасности информации;
развитие сферы услуг в области ТЗИ;
установление порядка разработки, производства, эксплуатации средств обеспечения ТЗИ;
организацию проектирования строительных работ в част-й обеспечения ТЗИ; •
подготовку и переподготовку кадров в системе ТЗИ.
Нормативные документы по ТЗИ подразделяются на;
нормативные документы по стандартизации в области ТЗИ;
государственные стандарты или приравненные к ним нормати ные документы;
нормативные акты межведомственного значения, регистрируемые в Министерстве юстиции Украины;
нормативные документы межведомственного значения технического характера, регистрируемые органом, уполномоченным Кабинетом Министров Украины;
нормативные документы ведомственного значения органов государственной власти и органов местного самоуправления.
