ГОСТ Р 51275-99
Группа Э00
ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
ЗАЩИТА ИНФОРМАЦИИ
ОБЪЕКТ ИНФОРМАТИЗАЦИИ
ФАКТОРЫ, ВОЗДЕЙСТВУЮЩИЕ НА ИНФОРМАЦИЮ
Общие положения
Protection of information.
Object of informatization. Factors influencing the information.
General outlines
ОКС 01.040.01
ОКСТУ 0090
Дата введения 2000-01-01
Предисловие
1 РАЗРАБОТАН 5 ЦНИИИ МО РФ
2 ВНЕСЕН Техническим комитетом по стандартизации “Защита информации“ (ТК 362Р)
3 ПРИНЯТ И ВВЕДЕН В ДЕЙСТВИЕ Постановлением Госстандарта России от 12 мая 1999 г. N 160
4 ВВЕДЕН ВПЕРВЫЕ
Настоящий стандарт устанавливает классификацию и перечень факторов, воздействующих на защищаемую информацию, в интересах обоснования требований защиты информации на объекте информатизации.
Настоящий стандарт распространяется на требования по организации защиты информации при создании и эксплуатации объектов информатизации, используемых в различных областях деятельности (обороны, экономики, науки и других областях).
Положения настоящего стандарта подлежат применению на территории Российской Федерации органами государственной власти, местного самоуправления, предприятиями и учреждениями независимо от их организационно-правовой формы и формы собственности, должностными лицами и гражданами Российской Федерации, взявшими на себя обязательства либо обязанными по статусу исполнять требования правовых документов Российской Федерации по защите информации.
2.1 В настоящем стандарте применяют следующие термины с соответствующими определениями:
информация: Сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления;
защищаемая информация: Информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации;
фактор, воздействующий на защищаемую информацию: Явление, действие или процесс, результатом которых могут быть утечка, искажение, уничтожение защищаемой информации, блокирование доступа к ней;
объект информатизации: Совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров;
информационные ресурсы: Отдельные документы и отдельные массивы документов, документы и массивы документов, содержащиеся в информационных системах (библиотеках, архивах, фондах, банках данных, информационных системах других видов);
информационная технология: Приемы, способы и методы применения технических и программных средств при выполнении функций обработки информации;
обработка информации: Совокупность операций сбора, накопления, ввода, вывода, приема, передачи, записи, хранения, регистрации, уничтожения, преобразования, отображения информации;
система обработки информации: Совокупность технических средств и программного обеспечения, а также методов обработки информации и действий персонала, обеспечивающая выполнение автоматизированной обработки информации;
средства обеспечения объекта информатизации: Технические средства и системы, их коммуникации, не предназначенные для обработки информации, но устанавливаемые вместе со средствами обработки информации на объекте информатизации;
побочное электромагнитное излучение: Электромагнитное излучение, возникающее при работе технических средств обработки информации;
паразитное электромагнитное излучение: Электромагнитное излучение, вызванное паразитной генерацией в электрических цепях технических средств обработки информации;
наводки: Токи и напряжения в токопроводящих элементах, вызванные электромагнитным излучением, емкостными и индуктивными связями;
закладочное устройство: Элемент средства съема информации, скрытно внедряемый (закладываемый или вносимый) в места возможного съема информации (в том числе в ограждение, конструкцию, оборудование, предметы интерьера, транспортные средства, а также в технические средства и системы обработки информации);
программная закладка: Внесенные в программное обеспечение функциональные объекты, которые при определенных условиях (входных данных) инициируют выполнение не описанных в документации функций программного обеспечения, позволяющих осуществлять несанкционированные воздействия на информацию;
программный вирус: Исполняемый программный код или интерпретируемый набор инструкций, обладающий свойством несанкционированного распространения и самовоспроизведения (репликации). В процессе распространения вирусные субъекты могут себя модифицировать. Некоторые программные вирусы могут изменять, копировать или удалять программы или данные.
2.2 В настоящем стандарте приняты следующие сокращения:
ОИ - объект информатизации;
ПЭМИ - побочные электромагнитные излучения;
ТС - техническое средство.
3.1 Выявление и учет факторов, воздействующих или могущих воздействовать на защищаемую информацию в конкретных условиях, составляют основу для планирования и осуществления эффективных мероприятий, направленных на защиту информации на ОИ.
3.2 Полнота и достоверность выявления факторов, воздействующих на защищаемую информацию, должны быть достигнуты путем рассмотрения полного множества факторов, воздействующих на все элементы ОИ (технические и программные средства обработки информации, средства обеспечения ОИ и т.д.) и на всех этапах обработки информации.
3.3 Выявление факторов, воздействующих на защищаемую информацию, должно быть осуществлено с учетом следующих требований:
- достаточности уровней классификации факторов, воздействующих на защищаемую информацию, позволяющей формировать их полное множество;
- гибкости классификации, позволяющей расширять множества классифицируемых факторов, группировок и признаков, а также вносить необходимые изменения без нарушения структуры классификации.
3.4 Основными методами классификации факторов, воздействующих на защищаемую информацию, являются иерархический и фасетный методы.