Приказ Федеральной службы по экологическому, технологическому и атомному надзору от 26 июня 2006 г. №624 icon

Приказ Федеральной службы по экологическому, технологическому и атомному надзору от 26 июня 2006 г. №624


Смотрите также:
Приказ Федеральной службы по экологическому...
Приказ от 24 августа 2006 г...
Приказ от 13 декабря 2006 г. N 1072 об утверждении и введении в действие руководящих документов...
Приказ от 29 декабря 2006 года n 1155 Об утверждении Типовой программы по курсу Промышленная...
Приказ от 29 декабря 2006 года n 1155 Об утверждении Типовой программы по курсу Промышленная...
Приказ от 29 декабря 2006 г. N 1155 об утверждении типовой программы по курсу "промышленная...
Акт по результатам проведения комплексной проверки деятельности Северо-Уральского управления...
Утверждено приказом Федеральной службы по экологическому...
Северо-Западное управление Федеральной службы по экологическому...
Утверждена Приказом Федеральной службы по экологическому...
Годовой отчет о деятельности федеральной службы по экологическому...
Федеральная служба по экологическому, технологическому и атомному надзору приказ...



Загрузка...
страницы:   1   2
скачать
Приказ

Федеральной службы по экологическому, технологическому и атомному надзору


от 26 июня 2006 г. № 624


"Об утверждении и введении в действие Положения о системе защиты информации в компьютерных и телекоммуникационных сетях Федеральной службы по экологическому, технологическому и атомному надзору"


Приказываю:

Утвердить и ввести в действие с 1 августа 2006 г. прилагаемое Положение о системе защиты информации в компьютерных и телекоммуникационных сетях Федеральной службы по экологическому, технологическому и атомному надзору (РД-21-01-2006).


Руководитель К.Б. Пуликовский


Руководящие документы


^ ПОЛОЖЕНИЕ О СИСТЕМЕ ЗАЩИТЫ ИНФОРМАЦИИ В КОМПЬЮТЕРНЫХ И ТЕЛЕКОММУНИКАЦИОННЫХ СЕТЯХ ФЕДЕРАЛЬНОЙ СЛУЖБЫ ПО ЭКОЛОГИЧЕСКОМУ, ТЕХНОЛОГИЧЕСКОМУ И АТОМНОМУ НАДЗОРУ


(утв. приказом Федеральной службы по экологическому, технологическому и атомному надзору от 26 июня 2006 г. № 624)


РД-21-01-2006


Введено в действие с 1 августа 2006 г.




^ I. Общие положения




1. Положение о системе защиты информации в компьютерных и телекоммуникационных сетях Федеральной службы по экологическому, технологическому и атомному надзору (далее - Положение) разработано в соответствии с федеральными законами от 20 февраля 1995 г. № 24-ФЗ "Об информации, информатизации и защите информации" и от 21 июля 1993 г. № 5485-1 "О государственной тайне", Положением о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам, утвержденным постановлением Правительства Российской Федерации от 15 сентября 1993 г. № 912-51 и государственным стандартом Российской Федерации ГОСТ Р 50922-96 "Защита информации. Основные термины и определения".

2. Положение определяет цели защиты информации, содержащей сведения, составляющие государственную тайну и конфиденциальную информацию, организационную структуру системы защиты информации в Федеральной службе по экологическому, технологическому и атомному надзору (далее - Служба), задачи и функции указанной системы, мероприятия по защите информации и контролю за ее состоянием.

3. Требования Положения являются обязательными для работников центрального аппарата и территориальных органов Службы, а также находящихся в ее ведении организаций (далее - подведомственные организации), на которых возлагаются организация, осуществление и контроль мероприятий по защите информации.

4. В Положении используются термины и их определения, установленные в актах, указанных в п. 1 настоящего документа (приложение № 1 к настоящему Положению).




^ II. Цели защиты информации


5. Основными целями защиты информации в Службе от существующих угроз (приложение № 2 к настоящему Положению) являются:

а) предотвращение неконтролируемого распространения защищаемой информации в результате ее разглашения работниками, несанкционированного доступа к ней и получения защищаемой информации разведками, криминальными и коммерческими структурами;

б) предотвращение несанкционированного уничтожения, искажения, копирования, блокирования информации в информационной системе Службы;

в) предотвращение утрат, уничтожения или сбоев функционирования носителей информации;

г) соблюдение правового режима использования информационных ресурсов и системы, обеспечение полноты, целостности, достоверности информации в информационной системе;

д) сохранение возможности управления процессом обработки и пользования информацией работниками Службы.




^ III. Организационная структура системы защиты информации


6. Головным органом по вопросам защиты информации в Службе является Межрегиональный территориальный округ по информатизации и защите информации Федеральной службы по экологическому, технологическому и атомному надзору (далее - МТОИЗИ).

7. Основные задачи МТОИЗИ:

а) обеспечение единого подхода к организации и осуществлению надзора за соблюдением требований федеральных норм и правил при обеспечении защиты информации в Службе;

б) организация и проведение работ по защите информации в компьютерных и телекоммуникационных сетях центрального аппарата Службы;

в) организация и осуществление контроля и надзора за проведением работ по защите информации в локальных вычислительных сетях и информационно-коммуникационной системе Службы.

8. Основные функции МТОИЗИ:

а) организация работ по защите информации в центральном аппарате Службы, а также методическое руководство и контроль за эффективностью предусмотренных мер защиты информации в Службе;

б) разработка и периодическое уточнение Перечня используемых в Службе сведений конфиденциального характера;

в) анализ угроз безопасности информации и оценка реальной возможности перехвата информации техническими средствами, несанкционированного доступа, разрушения, уничтожения, искажения, блокирования или подделки информации в процессе ее обработки, передачи и хранения в технических средствах обработки информации;

г) предотвращение проникновения к источникам информации с целью ее уничтожения, хищения или изменения;

д) защита носителей информации;

е) выявление возможных технических каналов утечки информации ограниченного доступа (приложение № 3 к настоящему Положению) и фактов разглашения защищаемой информации;

ж) контроль за выполнением требований законодательных, нормативно-правовых, организационно-распорядительных и методических документов как федерального уровня, так и принятых в Службе, в области защиты информации.

9. Систему защиты информации в компьютерных и телекоммуникационных сетях Службы образуют:

- руководитель Службы;

- техническая комиссия по защите информации в компьютерных и телекоммуникационных сетях Службы;

- МТОИЗИ (отделы организации и контроля за защитой информации в автоматизированных системах управления и эксплуатации информационно-коммуникационных систем Службы);

- начальники управлений центрального аппарата Службы;

- руководители территориальных органов и подведомственных организаций;

- подразделения (штатные работники) по защите информации территориальных органов и подведомственных организаций;

- пользователи (потребители) информации.

10. Руководитель Службы организует защиту информации в компьютерных и телекоммуникационных сетях Службы.

Непосредственное руководство работами по защите информации осуществляет руководитель Службы или один из его заместителей.

11. Техническая комиссия по защите информации в компьютерных и телекоммуникационных сетях Службы является постоянно действующим органом при руководителе Службы и осуществляет координацию работ по вопросам обеспечения защиты информации.

Полномочия и порядок работы технической комиссии по защите информации в компьютерных и телекоммуникационных сетях Службы определяются Положением, разрабатываемым МТОИЗИ и утверждаемым руководителем Службы.

12. МТОИЗИ организует работу по защите информации, а также осуществляет методическое руководство и контроль за эффективностью предусмотренных мер защиты информации в Службе.

МТОИЗИ по вопросам защиты информации подчиняется руководителю Службы или, по его решению, одному из заместителей.

Отдел организации и контроля за защитой информации в автоматизированных системах управления МТОИЗИ осуществляет методическое руководство организацией защиты информации, а также контроль за выполнением и эффективностью предусмотренных мер защиты информации в центральном аппарате Службы, ее территориальных органах и подведомственных организациях.

Основные задачи, функции, права и ответственность отдела организации и контроля за защитой информации в автоматизированных системах управления МТОИЗИ определяются соответствующим Положением, утверждаемым руководителем МТОИЗИ.

Отдел эксплуатации информационно-коммуникационных систем Службы МТОИЗИ организует выполнение работ по защите информации в компьютерных и телекоммуникационных системах центрального аппарата Службы.

13. Начальники управлений центрального аппарата Службы контролируют в своих управлениях выполнение предусмотренных мер защиты информации, определенных Общими требованиями к порядку работы пользователей и осуществлению контроля со стороны руководителей структурных подразделений за их действиями в компьютерных и телекоммуникационных сетях Федеральной службы по экологическому, технологическому и атомному надзору (приложение № 4 к настоящему Положению) и отвечают за ее состояние перед руководителем Службы.

14. Руководители территориальных органов и подведомственных организаций организуют проведение работ по защите информации в структурных подразделениях. Отчитываются за состояние защиты информации перед руководителем Службы через МТОИЗИ.

15. В зависимости от объема работ по защите информации руководители территориальных органов и подведомственных организаций создают структурные подразделения по защите информации или назначают штатных работников по этим вопросам.

Положение о подразделении по защите информации разрабатывается на основе Типового положения о подразделении по защите информации от иностранных технических разведок и от ее утечки по техническим каналам на предприятии (в учреждении, организации) с учетом особенностей конкретного территориального органа, подведомственной организации (приложение № 5 к настоящему Положению).

Для работника по защите информации на основе указанного положения разрабатывается должностной регламент.

Подразделения (штатные работники) по защите информации подчиняются непосредственно руководителю территориального органа (подведомственной организации) или его заместителю.

16. Для проведения работ по защите информации могут привлекаться на договорной основе специализированные предприятия, имеющие лицензии на право проведения работ в области защиты информации.

17. Работники подразделений по защите информации приравниваются по оплате труда, льготам и премированию к соответствующим категориям работников основных структурных подразделений. Они имеют право на получение процентных надбавок к должностному окладу должностных лиц и граждан, допущенных к государственной тайне, установленных постановлением Правительства Российской Федерации от 14 октября 1994 г. № 1161.

18. Назначение и освобождение от должности руководителя подразделения (штатного работника) по защите информации производится руководителем территориального органа (подведомственной организации) с уведомлением МТОИЗИ.

19. Пользователи (потребители) информации при работе в локальной вычислительной сети и на своих ПЭВМ обязаны выполнять предусмотренные меры защиты информации, определенные Общими требованиями к порядку работы пользователей и осуществлению контроля со стороны руководителей структурных подразделений за их действиями в компьютерных и телекоммуникационных сетях Федеральной службы по экологическому, технологическому и атомному надзору.

Пользователи (потребители) информации несут непосредственную ответственность за обеспечение защиты информации.

20. Все должностные лица, отвечающие за организацию и выполнение мероприятий по защите информации, несут, в зависимости от степени возможного ущерба в случае ее утечки, разрушения (уничтожения), административную и уголовную ответственность (приложение № 6 к настоящему Положению).




^ IV. Объекты защиты информации. Мероприятия и методы по их защите


21. Объектами защиты в Службе являются информация, ее материальные носители и технические средства обработки информации.

Защите подлежат:

а) информационные ресурсы, содержащие сведения, отнесенные к государственной тайне или конфиденциальной информации, представленные в виде носителей на магнитной или оптической основе, информативных физических полей, информационных массивов и баз данных;

б) средства и системы информатизации (средства вычислительной техники, информационно-вычислительные комплексы, сети и системы), программные средства (операционные системы, системы управления базами данных, другое общесистемное и программное обеспечение), автоматизированные системы управления, системы связи и передачи данных, технические средства приема, передачи и обработки информации (звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки графической, смысловой и буквенно-цифровой информации, используемые для обработки информации, содержащей сведения, отнесенные к государственной тайне или конфиденциальной информации;

в) технические средства и системы, не обрабатывающие информацию, но размещенные в помещениях, где обрабатывается информация, содержащая сведения, отнесенные к государственной тайне или конфиденциальной информации;

г) выделенные (защищаемые) помещения.

22. Мероприятия по защите информации являются составной частью управленческой, научной и производственной деятельности. Они организуются и проводятся, в пределах своей компетенции, всеми должностными лицами, входящими в систему защиты информации Службы.

23. Проведение любых мероприятий и работ с использованием сведений, отнесенных к государственной тайне и конфиденциальной информации, без принятия необходимых мер по защите информации не допускается.

24. В целях предотвращения и нейтрализации угроз безопасности информации применяются правовые, аппаратно-программные методы и организационно-технические мероприятия.

Правовые методы предусматривают разработку организационно-распорядительных и руководящих документов Службы в области защиты информации.

Аппаратно-программные методы включают:

а) аппаратные методы защиты:

- предотвращение утечки обрабатываемой информации за счет побочных электромагнитных излучений и наводок, создаваемых функционирующими средствами, а также за счет электроакустических преобразований;

- исключение или существенное затруднение несанкционированного доступа к обрабатываемой или хранящейся в технических средствах информации за счет применения реквизитов защиты (паролей, идентифицирующих кодов), устройств измерения индивидуальных характеристик человека (голоса, отпечатков) с целью его идентификации;

- применение устройств для шифрования информации;

- выявление возможно внедренных в импортные технические средства специальных устройств съема (ретрансляции) или разрушения информации (закладных устройств);

б) программные методы защиты:

- предотвращение специальных программно-математических воздействий, вызывающих разрушение, уничтожение, искажение информации или сбои в работе средств вычислительной техники (далее - СВТ);

- идентификацию технических средств (терминалов, устройств группового управления вводом-выводом, ЭВМ, носителей информации), задач и пользователей;

- определение прав пользователей (потребителей) информации (дни и время работы, разрешенные к использованию задачи и технические средства обработки информации);

- контроль работы технических средств и пользователей;

- регистрацию работы технических средств и пользователей при обработке информации ограниченного доступа;

- уничтожение информации в записывающем устройстве после использования;

- сигнализацию при несанкционированных действиях;

- вспомогательные программы различного назначения: контроля работы механизма защиты, проставления грифа секретности (конфиденциальности) на выдаваемых документах;

в) резервное копирование (хранение копий информации на различных носителях);

г) криптографическое шифрование информации.

Организационно-технические мероприятия предусматривают:

а) осуществление мероприятий защиты информации при оборудовании и создании вычислительных центров, автоматизированных сетей (далее - АС) и автоматизированных рабочих мест;

б) подбор и подготовку персонала для обслуживания СВТ и АС;

в) разработку и утверждение функциональных обязанностей должностных лиц, отвечающих за защиту информации;

г) контроль за действиями персонала в защищенных автоматизированных системах;

д) создание и обеспечение функционирования систем защиты информации ограниченного доступа;

е) сертификацию этих систем по требованиям безопасности информации;

ж) аттестацию СВТ, автоматизированных систем и помещений;

з) привлечение на договорной основе для проведения работ по защите информации специализированных организаций, имеющих лицензии на право проведения работ в области защиты информации;

и) стандартизацию способов и средств защиты информации;

к) организацию хранения и использования документов и носителей;

л) физическую защиту от внешних воздействующих факторов, вызванных явлениями природы;

м) физические меры защиты (изоляция помещений с СВТ, установка контролируемых зон, пропускной режим, охранная сигнализация).

25. Защите также подлежат технические средства, не обрабатывающие информацию, но размещенные в помещениях, где информация обрабатывается. К ним относятся системы и средства радиотрансляции, пожарной и охранной сигнализации, часофикации и другие.




^ V. Контроль состояния защиты информации


26. Целью контроля состояния защиты информации в Службе является своевременное выявление и предотвращение утечки информации по техническим каналам, несанкционированного доступа к ней, преднамеренных программно-математических воздействий на информацию, оценка эффективности ее защиты.

27. Организация и проведение контроля возлагаются на входящий в состав МТОИЗИ отдел организации и контроля за защитой информации в автоматизированных системах управления.

Осуществляемый указанным отделом контроль распространяется на подразделения центрального аппарата и территориальные органы Службы, на подведомственные организации и предусматривает определение степени соответствия проводимых на местах мероприятий по защите информации положениям федеральных законов, актов Президента Российской Федерации и Правительства Российской Федерации, иных действующих в области защиты информации нормативных правовых актов, а также соответствующих организационно-распорядительных и руководящих документов Службы.

28. Контроль осуществляется посредством комплексных и целевых проверок.

Комплексная проверка предусматривает проверку деятельности территориального органа (подведомственной организации) по всем или большей части вопросов защиты информации, находящихся в компетенции Службы. Данная проверка проводится, как правило, комиссией, включающей специалистов по защите информации и информационных систем. К ее проведению могут привлекаться (по согласованию) представители специализированных предприятий, имеющих лицензии на право проведения работ в области защиты информации.

Целевая проверка предусматривает детальную проверку одного или нескольких вопросов защиты информации. Данная проверка может проводиться как комиссией, так и специалистами по защите информации.

При проведении проверок в обязательном порядке проверяется устранение недостатков, выявленных в ходе предыдущих проверок.

Проверки могут быть плановыми и внеплановыми. О плановых проверках территориальные органы (подведомственные организации) уведомляются заранее (не позднее, чем за 15 дней до ее начала), о внеплановых - непосредственно перед их началом. Внеплановые проверки могут проводиться в связи с невыполнением требований или норм по защите информации, в результате чего в территориальном органе (подведомственной организации) имелась или имеется реальная возможность ее утечки по техническим каналам (нарушение первой категории*) и в других случаях по решению руководителя Службы, технической комиссии при руководителе Службы или руководителя МТОИЗИ.

Продолжительность проверки (независимо от ее вида), как правило, не должна превышать 5 календарных дней.

29. Результаты проверки оформляются актом.

Кроме того, при выявлении в процессе проверки нарушений установленных требований и норм по защите информации (нарушения первой и второй категорий) должно оформляться предписание об устранении этих нарушений (приложение № 7 к настоящему Положению).

Акт и предписание должны быть подписаны руководителем и членами комиссии (специалистами) и выданы под роспись руководителю проверяемого территориального органа (подведомственной организации) или отправлены по почте не позднее 15 дней после окончания проверки.

30. При обнаружении нарушений первой категории руководитель проверяемого территориального органа (подведомственной организации) обязан:

немедленно прекратить работы на участке (рабочем месте), где обнаружены нарушения, и принять меры по их устранению;

организовать в установленном порядке расследование причин и условий появления нарушения с целью недопущения их в дальнейшем и привлечении к ответственности виновных лиц;

сообщить в Службу (через МТОИЗИ) о вскрытых нарушениях и принятых мерах.

Возобновление работ разрешается после устранения нарушений и проверки достаточности принятых мер, проводимой специалистами МТОИЗИ или соответствующим территориальным Управлением Федеральной службы по техническому и экспортному контролю Российской Федерации.

При обнаружении нарушений второй и третьей категорий руководители проверяемых территориальных органов (подведомственных организаций) обязаны принять необходимые меры по их устранению в сроки, согласованные с комиссией (специалистами), проводившей проверку.

31. Территориальные органы и подведомственные организации проверяются МТОИЗИ не менее одного раза в 5 лет, подразделения центрального аппарата - по мере необходимости.

В случае несоответствия в территориальных органах принимаемых мер по защите информации установленным требованиям или нормам и наличии нарушений первой и второй категорий руководитель МТОИЗИ немедленно докладывает руководителю Службы и вносит соответствующие предложения.

32. При проверках территориальных органов и подведомственных организаций Федеральной службой безопасности Российской Федерации или Федеральной службой по техническому и экспортному контролю Российской Федерации один экземпляр акта проверки представляется их руководителями в МТОИЗИ.

33. Обобщенные данные о результатах проведенных проверок и состоянии защиты информации по итогам года территориальные органы и подведомственные организации представляют в МТОИЗИ к 15 января года, следующего за отчетным. Отчет представляется по формам, разрабатываемым МТОИЗИ.

34. Доклад о состоянии защиты информации в центральном аппарате Службы, ее территориальных органах и подведомственных организациях, эффективности принятых мер по ее совершенствованию по итогам года руководитель МТОИЗИ представляет руководителю Службы к 1 февраля года, следующего за отчетным.

В докладе отражается:

- общее состояние защиты информации в Службе, территориальные органы и подведомственные организации, в которых эти вопросы решаются неудовлетворительно;

- общее количество проведенных проверок МТОИЗИ, Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю Российской Федерации;

- основные недостатки, выявленные в ходе проверок;

- наличие нарушений первой и второй категорий;

- укомплектованность территориальных органов и подведомственных организаций специалистами по защите информации;

- предложения по совершенствованию системы защиты информации в Службе.

________________________

* Постановление Совета Министров - Правительства Российской Федерации 1993 г. № 912-51




Приложение № 1

(справочное)


^ Термины и их определения


Автоматизированная система - система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

Аттестация - комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Акта соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации.

Безопасность информации - состояние защищенности информации, обрабатываемой средствами вычислительной техники или автоматизированной системой от внутренних или внешних угроз.

Документированная информация - зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать.

Закладное устройство - элемент средства съема информации, скрытно внедряемый (закладываемый или вносимый) в места возможного съема информации (в том числе в ограждение, конструкцию, оборудование, предметы интерьера, транспортные средства, а также в технические средства и системы обработки информации).

Защита информации - деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.

Защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.

Защищаемые помещения - помещения (служебные кабинеты, актовые, конференц-залы и т.д.), специально предназначенные для проведения конфиденциальных мероприятий (совещаний, обсуждений, конференций, переговоров и т.п.).

Информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.

Информатизация - организационный социально-экономический и научно-технический процесс создания оптимальных условий для удовлетворения информационных потребностей и реализации прав граждан, органов государственной власти, органов местного самоуправления, организаций, общественных объединений на основе формирования и использования информационных ресурсов.

Информационные ресурсы - отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах).

Информационная система - организационно упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих информационные процессы.

Информационная инфраструктура - совокупность систем обработки и анализа информации, каналов информационного обмена и телекоммуникаций, линий связи, систем и средств защиты информации.

Информация ограниченного доступа - информация, для которой установлен специальный режим сбора, хранения, обработки, распространения и использования.

Конфиденциальная информация - документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.

Локальная вычислительная сеть (ЛВС) - совокупность основных технических средств и систем, осуществляющих обмен информацией между собой и с другими информационными системами, в том числе с ЛВС, через определенные точки входа/выхода информации, которые являются границей ЛВС.

Несанкционированный доступ - доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.

Объект защиты информации - информация или носитель информации, или информационный процесс, которые необходимо защищать в соответствии с поставленной целью защиты информации.

Пользователь (потребитель) информации - субъект, обращающийся к информационной системе или посреднику за получением необходимой ему информации и пользующийся ею.

Технический канал утечки информации - совокупность объекта технической разведки, физической среды распространения информационного сигнала и средств, которыми добывается защищаемая информация.


Приложение № 2

(справочное)


^ Угрозы информации.

Способы их воздействия на объекты защиты информации




1. Основными факторами, способствующими повышению уязвимости информации, являются:

а) резкое увеличение объемов информации, накапливаемой, хранимой и обрабатываемой с помощью СВТ и других средств автоматизации;

б) сосредоточение в единых базах данных информации различного назначения;

в) резкое расширение круга пользователей, имеющих непосредственный доступ к ресурсам информационной системы и находящимся в ней данных;

г) усложнение режимов функционирования технических средств вычислительных систем: широкое внедрение многопрограммного режима;

д) автоматизация межмашинного обмена информацией, в том числе и на больших расстояниях.

2. Источники угроз безопасности информации подразделяются на внешние и внутренние.

К внешним источникам относятся:

- недружественная политика иностранных государств в области информационного мониторинга, распространения информации и новых информационных технологий;

- деятельность иностранных разведывательных и специальных служб в сферах, относящихся к ведению Службы, направленная против ее интересов и интересов Российской Федерации в целом;

- деятельность иностранных экономических структур, направленная против интересов Службы в частности и Российской Федерации в целом;

- преступные действия международных групп, формирований и отдельных лиц;

- стихийные бедствия и катастрофы.

Внутренними источниками являются:

- противозаконная деятельность политических, экономических и криминальных структур и отдельных лиц в области формирования, распространения и использования информации, направленная в т.ч. и на нанесение экономического ущерба государству;

- неправомерные действия различных структур и ведомств, приводящие к нарушению законных прав работников и Службы в информационной сфере;

- нарушения установленных регламентов сбора, обработки и передачи информации;

- преднамеренные действия и непреднамеренные ошибки персонала автоматизированных систем, приводящие к утечке, уничтожению, искажению, подделке, блокированию, задержке, несанкционированному копированию информации;

- отказы технических средств и сбои программного обеспечения в информационных и телекоммуникационных системах;

- каналы побочных электромагнитных излучений и наводок технических средств обработки информации.

3. Способы воздействия угроз на объекты защиты информации подразделяются на информационные, аппаратно-программные, физические, радиоэлектронные и организационно-правовые.

К информационным способам относятся:

- нарушение адресности и своевременности информационного обмена;

- несанкционированный доступ к информационным ресурсам;

- незаконное копирование данных в информационных системах;

- хищение информации из банков и баз данных;

- нарушение технологии обработки информации.

Аппаратно-программные способы включают:

- внедрение компьютерных вирусов;

- установку программных и аппаратных закладных устройств;

- уничтожение или модификацию данных в информационных системах.

Физические способы включают:

- уничтожение или разрушение средств обработки информации и связи;

- уничтожение, разрушение или хищение машинных или других оригиналов носителей информации;

- хищение аппаратных или программных ключей и средств криптографической защиты информации;

- воздействие на персонал;

- поставка "зараженных" компонентов информационных систем.

Радиоэлектронными способами являются:

- перехват информации в технических каналах ее утечки;

- внедрение электронных устройств перехвата информации в технические средства передачи информации и помещения;

- перехват, дешифрование и внедрение ложной информации в сетях передачи данных и линиях связи;

- воздействие на парольно-ключевые системы;

- радиоэлектронное подавление линий связи и систем управления.

Организационно-правовые способы включают:

- закупки несовершенных или устаревших информационных технологий и компьютерных средств;

- невыполнение требований законодательства Российской Федерации в информационной сфере;

- неправомерное ограничение доступа к документам, содержащим важную для граждан и органов информацию.

Приложение № 3

(справочное)





Скачать 488,38 Kb.
оставить комментарий
страница1/2
Дата04.03.2012
Размер488,38 Kb.
ТипДокументы, Образовательные материалы
Добавить документ в свой блог или на сайт

страницы:   1   2
Ваша оценка этого документа будет первой.
Ваша оценка:
Разместите кнопку на своём сайте или блоге:
rudocs.exdat.com

Загрузка...
База данных защищена авторским правом ©exdat 2000-2017
При копировании материала укажите ссылку
обратиться к администрации
Анализ
Справочники
Сценарии
Рефераты
Курсовые работы
Авторефераты
Программы
Методички
Документы
Понятия

опубликовать
Загрузка...
Документы

Рейтинг@Mail.ru
наверх