Иван Трещев - Организационное и правовое обеспечение информационной безопасности. Для студентов и специалистов

4.5. Защита информации на объекте информатизации Организации достигается выполнением комплекса организационных мероприятий с применением сертифицированных средств защиты информации от утечки или воздействия на нее по техническим каналам путем НСД к ней, по предупреждению преднамеренных программно-технических воздействий, предпринятых с целью нарушения целостности (модификации, уничтожения) информации в процессе ее обработки, передачи и хранения, нарушения ее доступности и работоспособности технических средств.

5. Порядок определения защищаемой информации организации

5.1. К защищаемой информации Организации относится:

– информация, содержащая ПДн работников, клиентов, граждан;

– общедоступная информация, уничтожение, изменение, блокирование которой может нанести ущерб Организации.

5.2. По результатам анализа информации обрабатываемой в Организации составляются:

– «Список сотрудников, допущенных к обработке ПДн» (с указанием названия и вида обрабатываемого документа: бумажный, электронный);

– «Перечень информационных ресурсов, содержащих ПДн, подлежащих защите в АС».

5.3. Защищаемая информация Организации может быть представлена:

– на бумажных носителях в виде отдельных документов или дел с документами;

– на машинных носителях в виде файлов, массивов; баз данных, библиотек и пр.;

– в виде речевой информации, при проведении совещаний, переговоров и пр.

5.4. С целью определения технических средств и систем, с помощью которых

обрабатывается информация, содержащая ПДн, а также помещений, где проводятся обсуждения с использованием такой информации, отделом информационных технологий, отделом безопасности или администратором информационной безопасности Организации составляются и утверждаются перечни ТС ИСПДн, защищаемых и специальных помещений.

6. Технические каналы утечки защищаемой информации, циркулирующей на объекте информатизации Организации

6.1. Технический канал утечки информации (ТКУИ) представляет собой совокупность следующих факторов:

– источника информативного сигнала;

– физической среды его распространения;

– приемника, способного зарегистрировать данный сигнал.

6.2. При ведении переговоров и использовании технических средств для обработки и передачи информации на объекте информатизации Организации возможна реализация следующих ТКУИ:

– акустического излучения информативного речевого сигнала;

– электрических сигналов, возникающих при преобразовании информативного сигнала из акустического в электрический за счет микрофонного эффекта и распространяющихся по проводам и линиям, выходящим за пределы КЗ;

– виброакустических сигналов, возникающих при преобразовании информативного акустического сигнала за счет воздействия его на строительные конструкции и инженерно-технические коммуникации защищаемого помещения;

– НСД к обрабатываемой в АС информации и несанкционированные действия с ней;

– воздействия на технические или программные средства ИС в целях нарушения конфиденциальности, целостности и доступности информации посредством специально внедренных программных средств;

– ПЭМИН информативных сигналов от ТС ИСПДн и линий передачи информации;

– наводок информативного сигнала, обрабатываемого ТС ИСПДн, на цепи электропитания и линии связи, выходящие за пределы КЗ;

– радиоизлучений, модулированных информативным сигналом, возникающим при работе различных генераторов, входящих в состав технических средств, или при наличии паразитной генерации в узлах (элементах) технических средств;

– радиоизлучений или электрических сигналов от внедренных в технические средства и защищаемые помещения специальных электронных устройств съема речевой информации («закладочные устройства»), модулированных информативным сигналом;

– радиоизлучений или электрических сигналов от электронных устройств перехвата информации, подключенных к каналам связи или техническим средствам обработки информации;

– просмотра информации с экранов дисплеев и других средств ее отображения, бумажных и иных носителей информации, в том числе с помощью оптических средств;

– прослушивания телефонных и радиопереговоров;

– хищения технических средств с хранящейся в них информацией или носителей информации.

6.3. Перехват информации, циркулирующей на объекте информатизации, или воздействие на нее с использованием технических средств могут вестись:

– из-за границы КЗ из близлежащих строений и транспортных средств;

– из смежных помещений, принадлежащих другим организациям и расположенным в том же здании, что и объект информатизации;

– при посещении Организации посторонними лицами;

– за счет НСД к информации, циркулирующей в АС, как с помощью технических средств автоматизированной системы, так и через сети.

6.4. В качестве аппаратуры перехвата или воздействия на информацию и технические средства объекта информатизации могут использоваться портативные возимые и носимые устройства, размещаемые вблизи объекта либо подключаемые к каналам связи или техническим средствам обработки информации, а также электронные устройства съема информации – «закладочные устройства», размещаемые внутри или вне защищаемого помещения.

6.5. Кроме перехвата информации техническими средствами возможно непреднамеренное попадание защищаемой информации к лицам, не допущенным к ней, но находящимся в пределах контролируемой зоны, вследствие:

– непреднамеренного прослушивания без использования технических средств конфиденциальных разговоров из-за недостаточной звукоизоляции ограждающих конструкций защищаемого помещения и его инженерно- технических систем;

– некомпетентных или ошибочных действий пользователей;

– непреднамеренного просмотра информации с экранов мониторов и пр.

6.6. Выявление и учет факторов, которые воздействуют или могут воздействовать на информацию, циркулирующую на объекте информатизации, проводятся в соответствии с «Базовой моделью угроз безопасности ПДн при их обработке в ИСПДн», утвержденной ФСТЭК России 15.02.2008, и составляют основу для планирования мероприятий, направленных на защиту информации на объекте информатизации.

7. Мероприятия по техническому обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных

7.1. В целях осуществления технического обеспечения безопасности ПДн при их обработке в ИСПДн, в зависимости от класса ИСПДн в Организации реализовываются Следующие мероприятия:

– мероприятия по защите от НСД к ПДн при их обработке в ИСПДн;