Главная      Учебники - Газпром     

 поиск по сайту

 

 

 

 

 

 

 

 

 

содержание   ..   270  271  272  273  274  275  ..

 

 

ОТКРЫТОЕ АКЦИОНЕРНОЕ ОБЩЕСТВО "ГАЗПРОМ"

Федеральное государственное учреждение "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю"

СТАНДАРТ ОРГАНИЗАЦИИ

СИСТЕМА ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ

БЕЗОПАСНОСТИ ОАО "ГАЗПРОМ"

ТРЕБОВАНИЯ ПО ТЕХНИЧЕСКОЙ ЗАЩИТЕ ИНФОРМАЦИИ ПРИ ИСПОЛЬЗОВАНИИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ

СТО Газпром 4.2-3-002-2009

OКС 01.120

Дата введения - 2009-12-28

Предисловие

1 РАЗРАБОТАН

Федеральным государственным учреждением "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю"

 

2 ВНЕСЕН

Службой корпоративной защиты ОАО "Газпром"

 

3 УТВЕРЖДЕН

распоряжением ОАО "Газпром" от 11 марта 2009 г. № 56

И ВВЕДЕН В ДЕЙСТВИЕ

 

4 ВВЕДЕН ВПЕРВЫЕ

 

Содержание

1 Область применения

2 Нормативные ссылки

3 Термины, определения и сокращения

4 Общие положения

5 Общие требования по технической защите информации

5.1 Виды защищаемой информации

5.2 Порядок задания и исполнения требований по обеспечению технической защиты информации к используемым (создаваемым) изделиям информационных технологий

5.3 Требования и рекомендации по защите речевой конфиденциальной информации

5.4 Требования по технической защите информации от специальных электромагнитных воздействий на информацию и средства вычислительной техники

6 Общие требования по взаимодействию информационных систем Общества с открытыми (общего пользования) информационными системами и сетями

7 Общие требования по использованию средств криптографической защиты информации

Библиография

 

1 Область применения

1.1 Настоящий стандарт устанавливает требования по технической защите информации от утечки по техническим каналам (далее - ТЗИ от утечки по ТК), от специальных электромагнитных воздействий на информацию и на средства вычислительной техники при использовании информационных технологий в ОАО "Газпром", его дочерних обществах и организациях (далее - Общество), а также требования к оборудованию и рекомендации по порядку проведения аттестации защищаемых помещений.

1.2 Положения настоящего стандарта не распространяются на вопросы обеспечения безопасности информации, распространение которой в Российской Федерации ограничивается или запрещается на основании соответствующих федеральных законов и требования по защите которой в соответствии с федеральными законами устанавливаются федеральными органами исполнительной власти.

1.3 Настоящий стандарт предназначен для использования при задании требований, разработке, поставке и эксплуатации систем информационных технологий.

2 Нормативные ссылки

В настоящем документе использованы нормативные ссылки на следующие стандарты:

СТО Газпром 4.2-0-003-2009 Система обеспечения информационной безопасности ОАО "Газпром". Общие положения

СТО Газпром 4.2-3-001-2009 Система обеспечения информационной безопасности ОАО "Газпром". Руководство по разработке требований к объектам защиты

СТО Газпром 4.2-1-001-2009 Система обеспечения информационной безопасности ОАО "Газпром". Основные термины и определения

СТО Газпром 4.2-0-004-2009 Система обеспечения информационной безопасности ОАО "Газпром". Базовая модель информационной безопасности корпоративных информационно-управляющих систем

Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов по соответствующим указателям, составленным на 1 января текущего года, и информационным указателям, опубликованным в текущем году. Если ссылочный документ заменен (изменен), то при пользовании настоящим стандартом следует руководствоваться замененным (измененным) стандартом. Если ссылочный документ отменен без замены, то положение, в котором дана ссылка на него, применяется в части, не затрагивающей эту ссылку.

3 Термины, определения и сокращения

В настоящем стандарте применены термины по СТО Газпром 4.2-1-001 и следующие сокращения:

АТС - автоматическая телефонная станция;

ВТСС - вспомогательные технические средства и системы;

ЗП - защищаемое помещение;

ИТ - информационная технология;

КЗ - контролируемая зона;

ОТСС - основные технические средства и системы;

ПЗУ - постоянное запоминающее устройство;

ПЭВМ - персональная электронная вычислительная машина;

СЗСК - система звукового сопровождения кинофильмов;

СЗУ - система звукоусиления;

СОБИ - система обеспечения безопасности информации;

ТА - телефонный аппарат;

ТЗИ - техническая защита информации;

ТК - технический канал утечки информации.

4 Общие положения

4.1 Целью формирования общих требований по ТЗИ при использовании ИТ в Обществе является регламентация его деятельности в интересах предотвращения возможных угроз безопасности информации или минимизации ущерба от их реализации и сохранения тем самым устойчивого и безопасного функционирования Общества.

4.2 Требования по ТЗИ при использовании ИТ должны обеспечивать решение задач защиты информации от утечки по ТК, от специальных электромагнитных воздействий на информацию и на средства вычислительной техники на всех стадиях жизненного цикла ИТ, применяемых в деятельности Общества.

4.3 В общем случае в соответствии с СТО Газпром 4.2-0-004 в жизненном цикле изделия ИТ выделяются следующие периоды:

- задание требований к изделию ИТ;

- разработка изделия ИТ;

- ввод в действие изделия ИТ;

- эксплуатация изделия ИТ;

- снятие с эксплуатации.

Для каждого из периодов жизненного цикла должны быть установлены определенные и адекватные требования по обеспечению ТЗИ при использовании ИТ.

4.4 При задании требований к изделию ИТ на основе анализа требований пользователя к защите информационных ресурсов, угроз информационной безопасности, политики информационной безопасности Общества должны быть сформулированы исходные требования по обеспечению ТЗИ от утечки по ТК к изделию ИТ.

4.5 При разработке изделия ИТ должны выполняться следующие работы:

- уточнение состава функций безопасности;

- выбор механизмов безопасности и их реализации в изделии ИТ;

- планирование и проведение мероприятий по обеспечению безопасности при разработке изделия ИТ;

- детальное проектирование функциональных элементов обеспечения ТЗИ для изделия ИТ;

- определение порядка поддержки его жизненного цикла;

- разработка (приобретение), интеграция, конфигурирование изделия ИТ, тестирование его функций безопасности и разработка документации;

- подготовка изделия ИТ к сертификации;

- подготовка к обучению персонала.

4.6 При вводе в действие изделия ИТ (первоначальной поставке и модификациях) должны быть предусмотрены специальные процедуры подтверждения подлинности поставленного изделия ИТ, а также регламентирован порядок установки, генерации и запуска изделия ИТ.

4.7 При эксплуатации изделия ИТ должны осуществляться:

- планирование и организация применения мер и средств обеспечения ТЗИ при использовании ИТ в соответствии с нормативными документами и эксплуатационной документацией;

- оценка эффективности обеспечения ТЗИ с применением изделия ИТ;

- анализ возникающих проблем и выявленных недостатков;

- оценка потребностей в совершенствовании ТЗИ при использовании ИТ;

- доработка и модернизация изделия ИТ;

- поддержка пользователей изделия ИТ, обеспечение их консультациями и методическими материалами;

- определение порядка допуска сторонних организаций и их представителей к обслуживанию и модернизации изделий ИТ и их элементов;

- регламентация действий в случае возникновения нештатных ситуаций.

4.8 При снятии с эксплуатации осуществляются планирование и реализация мероприятий по архивированию информационных ресурсов и очистке носителей информации, использовавшихся в изделии ИТ.

4.9 Реализация мер по обеспечению ТЗИ для всех периодов жизненного цикла изделия ИТ должна обеспечиваться необходимыми административными, организационными и финансовыми ресурсами с определением персональной ответственности за их выполнение.

5 Общие требования по технической защите информации

5.1 Виды защищаемой информации

Формирование требований по защите информации в Обществе осуществляется на основе нормативно-методических документов федеральных органов исполнительной власти по вопросам защиты информации.

Технической защите при использовании информационных технологий, применяемых в деятельности Общества, подлежит информация, используемая в процессе управленческой деятельности Общества, в том числе:

- документированная информация, обеспечивающая ведение повседневной хозяйственной деятельности Общества, для которой соответствующими документами Общества установлено требование конфиденциальности;

- открытая документированная информация, используемая при управлении технологическими процессами;

- информация, доступ к которой ограничен на основании соответствующих федеральных законов, в том числе содержащая сведения, составляющие государственную или служебную тайну (в настоящем стандарте не рассматривается).

В настоящем стандарте рассматриваются следующие требования по технической защите информации:

- порядок задания и исполнения требований по обеспечению технической защиты информации к используемым (создаваемым) изделиям информационных технологий;

- требования и рекомендации по защите речевой конфиденциальной информации в информационных технологиях Общества;

- требования по технической защите информации в информационных технологиях Общества от специальных электромагнитных воздействий на информацию и средства вычислительной техники.

5.2 Порядок задания и исполнения требований по обеспечению технической защиты информации к используемым (создаваемым) изделиям информационных технологий

5.2.1 Требования по обеспечению технической защиты информации к используемым (создаваемым) изделиям информационных технологий в подразделениях Общества должны формироваться на основе выбора модели жизненного цикла, охватывающей все стадии разработки и сопровождения изделия информационных технологий,

В общем случае задание требований по обеспечению технической защиты информации к изделию ИТ производится применительно к следующим этапам его жизненного цикла:

- обоснование требований к изделию ИТ;

- разработка (модернизация) изделия ИТ;

- ввод в действие изделия ИТ;

- эксплуатация изделия ИТ;

- снятие с эксплуатации.

Для каждого из периодов жизненного цикла должны быть установлены однозначно сформулированные требования по обеспечению технической защиты информации, адекватные ожидаемым угрозам безопасности информации и соответствующие возможным последствиям реализации этих угроз.

5.2.2 На этапе обоснования требований к изделию ИТ на основе принятой в Обществе политики информационной безопасности, анализа спектра возможных угроз безопасности информации и последствий, которые могут возникать вследствие реализации этих угроз, должны быть сформулированы исходные требования по обеспечению технической защиты информации к изделию ИТ.

Требования по обеспечению технической защиты информации к изделию ИТ в обязательном порядке должны быть заданы в техническом задании (ТЗ) на разработку (модернизацию) изделия ИТ в соответствии с требованиями СТО Газпром 4.2-3-001.

Ответственность за включение в ТЗ требований по обеспечению технической защиты информации к изделию ИТ и контроль их выполнения в процессе разработки (модернизации), испытаний и приемки несет заказчик изделия ИТ.

ТЗ на изделия ИТ в части требований по обеспечению технической защиты информации подлежат согласованию с подразделениями службы корпоративной защиты Общества, ответственными за обеспечение информационной безопасности.

5.2.3 При разработке (модернизации) изделия ИТ должны осуществляться:

- разработка программы обеспечения технической защиты информации для изделия ИТ;

- организация безопасности среды разработки.

5.2.3.1 Программа обеспечения технической защиты информации для изделия ИТ разрабатывается с учетом принятой модели жизненного цикла, для каждого периода жизненного цикла изделия ИТ, в соответствии с правилами, приведенными в СТО Газпром 4.2-3-001.

5.2.3.2 Организация безопасности среды разработки осуществляется разработчиком изделия ИТ и должна быть направлена на устранение или уменьшение угроз безопасности, актуальных в процессе разработки изделия ИТ.

Организация безопасности среды разработки изделия ИТ осуществляется в соответствии с правилами, приведенными в СТО Газпром 4.2-3-001.

5.2.4 При вводе в действие изделия ИТ (первоначальной поставке и модификациях) должны быть предусмотрены специальные процедуры подтверждения подлинности поставленного изделия ИТ, регламентированы порядок установки, генерации и запуска изделия ИТ, определены соответствующими документами порядок установки, тестирования СОБИ изделия ИТ и контроля эффективности этой системы.

Обеспечение технической защиты информации в изделии ИТ на этапе ввода в эксплуатацию осуществляется в соответствии с правилами, приведенными в СТО Газпром 4.2-3-001.

5.2.5 Техническая защита информации в изделии ИТ в процессе его эксплуатации обеспечивается строгим выполнением работниками требований организационно-распорядительной и эксплуатационной документации, соблюдением всех условий, определенных для среды СОБИ изделия ИТ, и заключается:

- в защищенности информации от несанкционированного доступа, осуществляемого с целью ее хищения, блокировки, уничтожения и несанкционированной модификации;

- защищенности информации от утечки по техническим каналам.

5.2.6 При снятии изделия ИТ с эксплуатации осуществляются планирование и реализация мероприятий по архивированию необходимых информационных ресурсов и очистке носителей информации, использовавшихся в изделии ИТ.

Ответственность за обеспечение безопасности информации при снятии изделия ИТ с эксплуатации возлагается на руководителя структурного подразделения Общества, в котором используется изделие.

Безопасность информации при снятии изделия ИТ с эксплуатации осуществляется в соответствии с правилами, приведенными в СТО Газпром 4.2-3-001.

5.3 Требования и рекомендации по защите речевой конфиденциальной информации

5.3.1 Общие положения

5.3.1.1 Требования и рекомендации настоящего раздела направлены на исключение (существенное затруднение) возможности перехвата конфиденциальной речевой информации, циркулирующей в ЗП и обрабатываемой с помощью технических средств.

5.3.1.2 Утечка речевой информации возможна за счет:

- акустического излучения информативного речевого сигнала;

- виброакустических сигналов, возникающих посредством преобразования информативного акустического сигнала при воздействии его на строительные конструкции и инженерно-технические системы ЗП;

- прослушивания разговоров, ведущихся в ЗП, по информационным каналам общего пользования (городская телефонная сеть, сотовая, транкинговая и пейджинговая связь, радиотелефоны) путем скрытного подключения оконечных устройств этих видов связи;

- электрических сигналов, возникающих в результате преобразования информативного сигнала из акустического в электрический за счет микрофонного эффекта и распространяющихся по проводам и линиям передачи информации, выходящим за пределы КЗ;

- побочных электромагнитных излучений информативного сигнала от обрабатывающих информацию технических средств, в том числе возникающих за счет паразитной генерации, и линий передачи информации;

- электрических сигналов, наводимых от обрабатывающих информацию технических средств и линий ее передачи на провода и линии, выходящие за пределы КЗ;

- радиоизлучений, модулированных информативным сигналом, возникающих при работе различных генераторов, входящих в состав технических средств, установленных в ЗП, или при наличии паразитной генерации в их узлах (элементах);

- радиоизлучений, электрических или инфракрасных сигналов, модулированных информативным сигналом от специальных электронных устройств съема речевой информации ("закладочных устройств"), закладываемых в ЗП, в технические средства и системы обработки информации.

Также следует учитывать возможность хищения технических средств с хранящейся в них записанной речевой информацией или отдельных носителей с такой информацией.

5.3.2 Основные требования и рекомендации по защите информации, циркулирующей в защищаемых помещениях

5.3.2.1 В Обществе должен быть документально определен перечень ЗП и лиц, ответственных за их эксплуатацию, в соответствии с установленными требованиями по защите информации, а также составлен технический паспорт на ЗП (форма технического паспорта в соответствии с требованиями нормативно-методических документов ФСТЭК России).

5.3.2.2 Защищаемые помещения должны размещаться в пределах КЗ организации. При этом рекомендуется размещать их на максимальном удалении от ее границ, ограждающие конструкции ЗП (стены, полы, потолки) не должны являться смежными с помещениями других организаций. Не рекомендуется располагать ЗП на первых этажах зданий. Окна ЗП рекомендуется закрывать шторами (жалюзи).

5.3.2.3 Защищаемые помещения оснащаются сертифицированными по требованиям безопасности информации ОТСС и ВТСС или соответствующими средствами защиты. Эксплуатация ОТСС, ВТСС и средств защиты должна осуществляться в соответствии с эксплуатационной документацией на них.

5.3.2.4 Специальная проверка ЗП и установленного в нем оборудования на предмет выявления внедренных в них электронных устройств съема информации ("закладочных устройств") проводится, при необходимости, по решению руководства Общества.

5.3.2.5 Во время проведения конфиденциальных мероприятий запрещается использование в ЗП радиотелефонов, оконечных устройств сотовой, пейджинговой и транкинговой связи, незащищенных переносных магнитофонов и других средств аудио- и видеозаписи. При установке в ЗП телефонных и факсимильных аппаратов с автоответчиком или спикерфоном, а также телефонных аппаратов (ТА) с автоматическим определителем номера их следует отключать из сети на время проведения этих мероприятий или использовать соответствующие средства защиты.

5.3.2.6 Для исключения возможности утечки информации за счет электроакустического преобразования рекомендуется оконечные устройства телефонной связи, имеющие прямой выход в городскую АТС, оборудовать сертифицированными средствами защиты информации от утечки за счет электроакустического преобразования.

5.3.2.7 Для исключения возможности скрытного подключения к телефонной сети и прослушивания ведущихся в ЗП разговоров не рекомендуется устанавливать в них цифровые ТА цифровых АТС, имеющих выход в городскую АТС, и (или) абонентов из сторонних организаций.

В случае необходимости рекомендуется использовать сертифицированные по требованиям безопасности информации цифровые АТС, либо устанавливать в эти ЗП аналоговые аппараты или цифровые ТА с вмонтированными в них сертифицированными средствами защиты, либо временно отключать ТА от телефонной сети.

5.3.2.8 Ввод системы городского радиотрансляционного вещания в пределах КЗ рекомендуется осуществлять через радиотрансляционный узел (буферный усилитель).

5.3.2.9 При вводе, системы городского радиовещания без буферного усилителя в ЗП следует использовать абонентские громкоговорители в защищенном от утечки информации исполнении, а также трехпрограммные абонентские громкоговорители в режиме приема 2-й и 3-й программы (с усилителем).

В случае использования в не защищенном от утечки информации исполнении однопрограммного или трехпрограммного абонентского громкоговорителя в режиме приема первой программы (без усиления) необходимо его отключать на период проведения конфиденциальных переговоров.

5.3.2.10 Системы пожарной и охранной сигнализации ЗП должны строиться только по проводной схеме сбора информации (связи с пультом) и, как правило, размещаться в пределах одной с ЗП контролируемой зоны.

В качестве оконечных устройств пожарной и охранной сигнализации в ЗП рекомендуется использовать изделия, сертифицированные по требованиям безопасности информации.

5.3.2.11 Звукоизоляция ограждающих конструкций ЗП, их систем вентиляции и кондиционирования в местах возможного перехвата информации должна исключать возможность прослушивания ведущихся в нем разговоров из-за пределов ЗП. Для обеспечения необходимого уровня звукоизоляции помещений рекомендуются оборудование дверных проемов тамбурами с двойными дверями, установка дополнительных рам в оконных проемах, уплотнительных прокладок в дверных и оконных притворах и применение шумопоглотителей на выходах вентиляционных каналов.

Если предложенными выше методами не удается обеспечить необходимую акустическую защиту, следует применять организационные меры, ограничивая на период проведения конфиденциальных мероприятий доступ посторонних лиц в места возможного прослушивания разговоров, ведущихся в ЗП.

5.3.2.12 Для снижения вероятности перехвата информации по виброакустическому каналу рекомендуется организационными мерами исключить возможность установки посторонних (внештатных) предметов на внешней стороне ограждающих конструкций ЗП и выходящих из них инженерных коммуникаций (систем отопления, вентиляции, кондиционирования).

Для снижения уровня виброакустического сигнала рекомендуется расположенные в ЗП элементы инженерно-технических систем отопления, вентиляции оборудовать звукоизолирующими экранами.

5.3.2.13 Если при проведении технического контроля будет обнаружено, что указанные выше меры защиты информации от утечки по акустическому и виброакустическому каналам недостаточны или нецелесообразны, то рекомендуется применять метод активного акустического или виброакустического маскирующего зашумления.

Для этой цели должны применяться сертифицированные средства активной защиты.

5.3.2.14 При эксплуатации ЗП необходимо предусматривать организационные меры, направленные на исключение несанкционированного доступа в помещение:

- двери ЗП в период между мероприятиями, а также в нерабочее время необходимо запирать на ключ;

- выдача ключей от ЗП должна производиться лицам, работающим в нем или ответственным за это помещение;

- установка и замена оборудования, мебели, ремонт ЗП должны производиться только по согласованию и под контролем подразделения (специалиста) по защите информации.

5.3.3 Защита информации; циркулирующей в системах звукоусиления и звукового сопровождения кинофильмов

5.3.3.1 В качестве оборудования систем звукоусиления, предназначенных для обслуживания проводимых в ЗП конфиденциальных мероприятий, и систем звукового сопровождения видео- и кинофильмов, содержащих конфиденциальные сведения, необходимо использовать оборудование, удовлетворяющее требованиям национальных стандартов Российской Федерации по электромагнитной совместимости.

В случае необходимости для повышения уровня защищенности рекомендуется применять оборудование, сертифицированное по требованиям безопасности информации в Системе добровольной сертификации ГАЗПРОМСЕРТ [1].

5.3.3.2 Системы звукоусиления должны выполняться по проводной схеме передачи информации экранированными проводами и располагаться в пределах КЗ. С целью уменьшения побочных электромагнитных излучений целесообразно использовать систему звукоусиления с рассредоточенной системой звукоизлучателей, т.е. следует отдавать предпочтение системам с большим количеством оконечных устройств малой мощности перед системами с малым количеством оконечных устройств большой мощности.

В качестве оконечных устройств рекомендуется использовать звуковые колонки, выпускаемые в защищенном исполнении.

Допускается использовать выпускаемые в обычном исполнении громкоговорители с экранированными магнитными цепями (например, 0,5ГДШ-5) или укомплектованные ими звуковые колонки (например, 2КЗ-7), В этом случае звуковые колонки (громкоговорители) следует заэкранировать по электрическому полю с помощью металлической сетки с ячейкой не более 1 мм2, заземляемой через экранирующую оплетку подводящего кабеля.

5.3.3.3 В системах звукоусиления рекомендуется применять аппаратуру с симметричными входными и выходными цепями. В случае использования аппаратуры с несимметричным выходом линии оконечных устройств следует подключать к оконечным усилителям через симметрирующие трансформаторы, устанавливаемые в непосредственной близости от оконечных усилителей.

5.3.3.4 В качестве усилительного оборудования рекомендуется использовать усилители в металлических экранах с возможностью их заземления.

5.3.3.5 Коммутационное и распределительное оборудование (распределительные, входные и выходные щитки подключения) следует размещать в металлических шкафах (коробках). На корпусах шкафов (коробок) необходимо предусмотреть клеммы (винты) для их заземления и приспособления для опечатывания.

5.3.3.6 Усилительное и оконечное оборудование СЗУ, СЗСК следует размещать на возможно большем расстоянии относительно границы КЗ.

5.3.3.7 Электропитание аппаратуры СЗУ и СЗСК рекомендуется осуществлять от подстанции, а заземление - от контура, расположенных в пределах КЗ, Сопротивление заземления в любой точке системы не должно превышать 4 Ом. На контур заземления должны быть посажены третий провод трехпроводной линии электропитания и экранирующие оболочки сетевых линий. На щитках электропитания необходимо выводить "землю" отдельной клеммой.

5.3.4 Защита информации при проведении звуко- и видеозаписи

5.3.4.1 Запись и воспроизведение информации с помощью аппаратуры звуко- и видеозаписи разрешается производить только в ЗП.

5.3.4.2 Для записи (воспроизведения) информации должны применяться магнитофоны (диктофоны, видеомагнитофоны), удовлетворяющие требованиям национальных стандартов Российской Федерации по электромагнитной совместимости. Для повышения уровня защищенности информации рекомендуется использовать магнитофоны (диктофоны), сертифицированные по требованиям безопасности информации в Системе добровольной сертификации ГАЗПРОМСЕРТ.

5.3.4.3 Носители информации (магнитные ленты, аудио- и видеокассеты и др.) должны учитываться и храниться в подразделениях организации в порядке, установленном для конфиденциальной информации.

Должно быть назначено должностное лицо, ответственное за хранение и использование аппаратуры звуко- и видеозаписи информации, и обеспечено хранение и использование этой аппаратуры, исключающее несанкционированный доступ к ней.

5.3.5 Защита речевой информации при ее передаче по каналам связи

Передача речевой информации по открытым проводным каналам связи, выходящим за пределы КЗ, и радиоканалам должна быть исключена.

При необходимости передачи информации следует использовать защищенные линии связи.

Используемые средства защиты информации должны быть сертифицированы по требованиям безопасности информации в Системе добровольной сертификации ГАЗПРОМСЕРТ.

5.4 Требования по технической защите информации от специальных электромагнитных воздействий на информацию и средства вычислительной техники

5.4.1 Под специальным (деструктивным) электромагнитным воздействием на информацию и средства вычислительной техники понимается несанкционированное информационное воздействие на обрабатываемую информацию в информационной (телекоммуникационной) системе и (или) ее программное (программно-аппаратное) обеспечение, приводящее к выводу системы из строя ил и к нарушению ее функционирования, осуществляемое с использованием преднамеренно создаваемых электромагнитных полей.

5.4.2 Внешними признаками наличия деструктивных электромагнитных воздействий являются:

- сбои и увеличение времени считывания информации с магнитных носителей;

- нарушения процесса системного тестирования оперативной памяти ПЭВМ (при этом выполнение прикладных программ на ПЭВМ становится невозможным, на мониторе индицируется ошибка в какой-либо ячейке оперативной памяти);

- нарушения выполнения основной системной программы тестирования ЭВМ, записанной в ПЗУ, и блокировка работы ПЭВМ (компьютер не реагирует на команды управления);

- "зависание" ПЭВМ вследствие нарушения общей синхронизации работы компьютера.

При прекращении деструктивного электромагнитного воздействия возможно самопроизвольное восстановление нормальной работы ПЭВМ, однако, как правило, для восстановления требуется перезагрузка компьютера.

5.4.3 В ходе выполнения работ по технической защите информации от деструктивных электромагнитных воздействий основной задачей является обеспечение выявления источников угроз таких воздействий с целью предотвращения возможных изменений параметров элементов объектов ИТ или алгоритмов их функционирования.

5.4.4 К источникам угроз электромагнитных воздействий на информацию относятся:

- передатчики непрерывных и импульсных электромагнитных излучений;

- генераторы электрических импульсов;

- генераторы импульсного магнитного поля.

Путями распространения воздействующих сигналов от источников угроз до объектов воздействия могут быть:

- для электромагнитных излучений - свободное пространство, оконные и дверные проемы зданий, конструктивные и технологические отверстия экранированных корпусов аппаратуры;

- для электрических импульсов - линии электропитания, заземления, электросвязи и др.;

- для магнитного поля - свободное пространство и любые материальные конструкции, кроме магнитных экранов.

5.4.5 Для обнаружения деструктивных электромагнитных воздействий на объект используются индикаторы электромагнитных полей и широкополосные сканирующие приемники.

6 Общие требования по взаимодействию информационных систем Общества с открытыми (общего пользования) информационными системами и сетями

6.1 Ресурсы открытых (общего пользования) информационных систем и сетей, включая сеть Интернет, в Обществе могут использоваться для получения и распространения информации, связанной с деятельностью Общества, информационно-аналитической работы в интересах Общества, обмена почтовыми сообщениями с внешними организациями.

6.2 Информационные системы Общества, его дочерних обществ и организаций должны быть разграничены с информационными системами и сетями других организаций, а также сетями общего пользования, включая сеть Интернет. Особенности разграничения определяются нормативными документами Общества в сфере обеспечения безопасности информации при взаимодействии с сетями общего пользования,

6.3 Ни один элемент информационно-управляющих систем Общества либо систем, используемых для управления технологическими процессами в сфере хозяйственной деятельности Общества, не может быть подключен к сети Интернет и иным подобным открытым информационным сетям без применения соответствующих мер защиты.

6.4 Пользователи, которым предоставляется доступ в Интернет, должны быть ознакомлены с нормативными документами Общества в сфере обеспечения безопасности информации при взаимодействии с сетями общего пользования и предупреждены об ответственности пользователей за представление Общества в мировой сети.

6.5 При подключении информационных систем Общества к открытым (общего пользования) информационным системам и сетям должны быть реализованы следующие требования:

- по установлению адресов внутренней сети Общества;

- по ограничению доступа к сетевым конференциям;

- по организации электронной почты;

- по загрузке программного обеспечения из открытых информационных сетей;

- по антивирусной защите;

- по организации модемного доступа к сети.

6.5.1 Требования по установлению адресов внутренней сети Общества

Адреса внутренней сети Общества должны оставаться скрытыми. Когда системам необходим доступ к другим сетям, то перед передачей скрытый адрес может быть преобразован в открытый, зарегистрированный адрес.

6.5.2 Требования по ограничению доступа к сетевым конференциям

Общество должно поддерживать ограниченный доступ к сетевым конференциям. Поддержка должна распространяться на подсписок конференций, которые могут быть использованы для обеспечения деятельности структурных подразделений Общества.

Список конференций, к которым пользователи могут иметь доступ, регламентируется администраторами сети по решению руководства Общества.

6.5.3 Требования по организации электронной почты

Номенклатура информации об Обществе и его деятельности, которая разрешена к свободной рассылке (передаче) с использованием открытых информационных сетей, определяется нормативными документами Общества. Пересылка информации, не входящей в указанную номенклатуру, по открытым информационным сетям в незашифрованном виде запрещается.

В Обществе должны быть реализованы следующие требования по организации электронной почты:

- организация контроля трафика электронной почты и содержимого посланий;

- обеспечение сохранения и архивирования всех входящих и исходящих сообщений электронной почты;

- организация сканирования электронной почты с целью проверки ее на наличие вирусов и иных вредоносных программ;

- сканирование содержимого каждого сообщения электронной почты на основе заранее установленных критериев;

- определение ограничений на размер сообщений электронной почты; исключения должны быть оговорены в индивидуальном порядке;

- шифровка перед отправлением конфиденциальной и иной защищаемой информации, отправляемой сторонним пользователям;

- использование цифровой подписи при передаче конфиденциальной или иной защищаемой информации.

6.5.4 Требования по загрузке программного обеспечения из открытых информационных сетей

Загрузка программного обеспечения (в том числе обновлений уже установленных программ) из открытых информационных сетей должна осуществляться только с разрешения администратора системы. Установка его в информационно-управляющие системы Общества либо системы, используемые для управления технологическими процессами, без санкции администратора системы не допускается.

6.5.5 Требования по антивирусной защите

При загрузке программного обеспечения или любых необходимых для служебной деятельности файлов через Интернет пользователи должны делать это в системе, которая защищена постоянно обновляющимися антивирусными программами.

Запрещается отключать антивирусное программное обеспечение при запуске загружаемого из Интернета в систему пользователя программного обеспечения.

6.5.6 Требования по организации модемного доступа к сети

Установка модема на рабочем месте отдельного пользователя или на рабочей станции, входящей в сеть Общества, допускается только по согласованию с подразделением безопасности Общества.

Категорически запрещается устанавливать модемы для подключения к открытым информационным сетям на рабочих станциях сети и на отдельных рабочих местах без реализации средств защиты, если на них предусмотрена обработка конфиденциальной информации.

При организации модемного доступа к сети должна быть обеспечена возможность централизованного мониторинга и управления установленными модемами, а также возможность блокирования передачи и приема информации с их использованием.

7 Общие требования по использованию средств криптографической защиты информации

7.1 Режим защиты информации путем использования средств криптографической защиты информации устанавливается обладателем информации конфиденциального характера, собственником (владельцем) информационных ресурсов (информационных систем) или уполномоченными ими лицами на основании законодательства Российской Федерации. В Обществе должен быть установлен единый порядок применения средств криптографической защиты информации.

7.2 Для криптографической защиты информации конфиденциального характера в Обществе должны использоваться средства криптографической защиты информации, удовлетворяющие требованиям по безопасности информации, устанавливаемым в соответствии с законодательством Российском Федерации. Средства криптографической защиты информации должны быть реализованы на основе алгоритмов, соответствующих национальным стандартам Российской Федерации, и иметь документальное подтверждение соответствия установленным требованиям (например, пройти сертификацию в Системе добровольной сертификации ГАЗПРОМСЕРТ).

Библиография

[1] Система добровольной сертификации ГАЗПРОМСЕРТ POCC RU.3022.04 ГO 00

Ключевые слова: требования по технической защите информации, нормы технической защиты информации, критерии технической защиты информации