Большая энциклопедия промышленного шпионажа - Юрий Федорович Каторин

При несоответствии результатов испытаний требованиям нормативных и методических документов по защите информации орган по сертификации средств защиты информации принимает решение об отказе в выдаче сертификата и направляет изготовителю мотивированное заключение. В случае несогласия с отказом в выдаче сертификата изготовитель имеет право обратиться в центральный орган системы сертификации, федеральный орган по сертификации или в Межведомственную комиссию для дополнительного рассмотрения полученных при испытаниях результатов.

10. Федеральный орган по сертификации и органы по сертификации средств защиты информации имеют право приостанавливать или аннулировать действие сертификата в следующих случаях:

>• изменение нормативных и методических документов по защите информации в части требований к средствам защиты информации, методам испытаний и контроля;

>• изменение технологии изготовления, конструкции (состава), комплектности средств защиты информации и системы контроля их качества;

>• отказ изготовителя обеспечить беспрепятственное выполнение своих полномочий лицами, осуществляющими государственные контроль и надзор, инспекционный контроль за сертификацией и сертифицированными средствами защиты информации.

11. Порядок оплаты работ по обязательной сертификации средств защиты информации определяется федеральным органом по сертификации по согласованию с Министерством финансов Российской Федерации. Оплата работ по сертификации конкретных средств защиты информации осуществляется на основании договоров между участниками сертификации.

12. Инспекционный контроль за сертифицированными средствами защиты информации осуществляют органы, проводившие сертификацию этих средств защиты информации.

13. При возникновении спорных вопросов в деятельности участников сертификации заинтересованная сторона может подать апелляцию в орган по сертификации средств защиты информации, в центральный орган системы сертификации, в федеральный орган по сертификации или в Межведомственную комиссию. Указанные организации в месячный срок рассматривают апелляцию с привлечением заинтересованных сторон и извещают подателя апелляции о принятом решении.

14. Органы, осуществляющие сертификацию средств защиты информации, несут ответственность, установленную законодательством Российской Федерации, за выполнение возложенных на них обязанностей.

ГОСТ Р 51275-99 ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Защита информации.

Объект информации. Факторы, воздействующие на информацию

Общие положения

Дата введения: 2000-01-01

1. Область применения

Настоящий стандарт устанавливает классификацию и перечень факторов, воздействующих на защищаемую информацию, в интересах обоснования требований защиты информации на объекте информатизации.

Настоящий стандарт распространяется на требования по организации защиты информации при создании и эксплуатации объектов информатизации, используемых в различных областях деятельности (обороны, экономики, науки и других областях).

Положения настоящего стандарта подлежат применению на территории Российской Федерации органами государственной власти, местного самоуправления, предприятиями и учреждениями независимо от их организационно-правовой формы и формы собственности, должностными лицами и гражданами Российской Федерации, взявшими на себя обязательства либо обязанными по статусу исполнять требования правовых документов Российской Федерации по защите информации.

2. Определения и сокращения

2.1. В настоящем стандарте применяют следующие термины с соответствующими определениями:

информация — сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления;

защищаемая информация — информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации;

фактор, воздействующий на защищаемую информацию, — явление, действие или процесс, результатом которого могут быть утечка, искажение, уничтожение защищаемой информации, блокирование доступа к ней;

объект информатизации — совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров;

информационные ресурсы — отдельные документы и отдельные массивы документов, документы и массивы документов, содержащиеся в информационных системах (библиотеках, архивах, фондах, банках данных, информационных системах других видов);

информационная технология — приемы, способы и методы применения технических и программных средств при выполнении функций обработки информации;

обработка информации — совокупность операций сбора, накопления, ввода, вывода, приема, передачи, записи, хранения, регистрации, уничтожения, преобразования, отображения информации;

система обработки информации — совокупность технических средств и программного обеспечения, а также методов обработки информации и действий персонала, обеспечивающая выполнение автоматизированной обработки информации;

средства обеспечения объекта информатизации — технические средства и системы, их коммуникации, не предназначенные для обработки информации, но устанавливаемые вместе со средствами обработки информации на объекте информатизации;

побочное электромагнитное излучение — электромагнитное излучение, вызванное паразитной генерацией в электрических цепях технических средств обработки информации;

паразитное электромагнитное излучение — электромагнитное излучение, вызванное паразитной генерацией в электрических цепях технических средств обработки информации;

наводки — токи и напряжения в токопроводящих элементах, вызванные электромагнитными излучением, емкостными и индуктивными связями;

закладочное устройство — элемент средства съема информации, скрытно внедряемый (закладываемый или вносимый) в места возможного съема информации (в том числе в ограждение, конструкцию, оборудование, предметы интерьера, транспортные средства, а также в технические средства и системы обработки информации);

программная закладка — внесенные в программное обеспечение функциональные объекты, которые при определенных условиях (входных данных) инициируют выполнение не описанных в документации функций программного обеспечения, позволяющих осуществлять несанкционированные воздействия на информацию;

программный вирус — исполняемый программный код или интерпретируемый набор инструкций, обладающий свойством несанкционированного распространения и самовоспроизведения (репликации). В процессе распространения вирусные субъекты могут себя модифицировать. Некоторые программные вирусы могут изменять, копировать или удалять программы или данные.

2.2. В настоящем стандарте приняты следующие сокращения:

ОИ — объект информатизации;

ПЭМИ — побочные электромагнитные излучения;

ТС — техническое средство.

3. Основные положения

3.1. Выявление и учет факторов, воздействующих или могущих воздействовать на защищаемую информацию в конкретных условиях, составляют основу для планирования и осуществления эффективных мероприятий, направленных на защиту информации на ОИ.

3.2. Полнота и достоверность выявления факторов, воздействующих на защищаемую информацию, должны быть достигнуты путем рассмотрения полного множества факторов, воздействующих на все элементы ОИ (технические и программные средства обработки информации, средства обеспечения ОИ и т. д.) и на всех этапах обработки информации.

3.3. Выявление факторов, воздействующих на защищаемую информацию, должно быть осуществлено с учетом следующих требований:

>• достаточности уровней классификации факторов, воздействующих на защищаемую информацию, позволяющей формировать их полное множество;

>• гибкости классификации, позволяющей расширять множества классифицируемых факторов, группировок и признаков, а также вносить изменения без нарушения структуры классификации.

3.4. Основными методами классификации факторов, воздействующих на защищаемую информацию, являются иерархический и фасетный методы.

4. Классификация факторов, воздействующих на защищаемую информацию

4.1. Факторы, воздействующие на защищаемую информацию и подлежащие учету при организации защиты информации, по признаку отношения к природе возникновения делят па классы:

>• субъективные;

>• объективные.

4.2. По отношению к ОИ факторы, воздействующие на защищаемую информацию, подразделяют на внутренние и внешние.

4.3. Принцип классификации факторов, воздействующих на защищаемую информацию, следующий:

>• подкласс;

>• группа;

>• подгруппа;

>• подвид.

4.3.1. Перечень объективных факторов, воздействующих на защищаемую информацию, в соответствии с установленным принципом их классификации (4.3.)

4.3.1.1.