21. Объектами защиты в Службе являются информация, ее материальные носители и технические средства обработки информации. Защите подлежат:
а) информационные ресурсы, содержащие сведения, отнесенные к государственной тайне или конфиденциальной информации, представленные в виде носителей на магнитной или оптической основе, информативных физических полей, информационных массивов и баз данных;
б) средства и системы информатизации (средства вычислительной техники, информационно-вычислительные комплексы, сети и системы), программные средства (операционные системы, системы управления базами данных, другое общесистемное и программное обеспечение), автоматизированные системы управления, системы связи и передачи данных, технические средства приема, передачи и обработки информации (звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки графической, смысловой и буквенно-цифровой информации, используемые для обработки информации, содержащей сведения, отнесенные к государственной тайне или конфиденциальной информации;
в) технические средства и системы, не обрабатывающие информацию, но размещенные в помещениях, где обрабатывается информация, содержащая сведения, отнесенные к государственной тайне или конфиденциальной информации;
г) выделенные (защищаемые) помещения.
22. Мероприятия по защите информации являются составной частью управленческой, научной и производственной деятельности. Они организуются и проводятся, в пределах своей компетенции, всеми должностными лицами, входящими в систему защиты информации Службы.
23. Проведение любых мероприятий и работ с использованием сведений, отнесенных к государственной тайне и конфиденциальной информации, без принятия необходимых мер по защите информации не допускается.
24. В целях предотвращения и нейтрализации угроз безопасности информации применяются правовые, аппаратно-программные методы и организационно-технические мероприятия.
Правовые методы предусматривают разработку организационно-распорядительных и руководящих документов Службы в области защиты информации.
Аппаратно-программные методы включают:
а) аппаратные методы защиты:
- предотвращение утечки обрабатываемой информации за счет побочных электромагнитных излучений и наводок, создаваемых функционирующими средствами, а также за счет электроакустических преобразований;
- исключение или существенное затруднение несанкционированного доступа к обрабатываемой или хранящейся в технических средствах информации за счет применения реквизитов защиты (паролей, идентифицирующих кодов), устройств измерения индивидуальных характеристик человека (голоса, отпечатков) с целью его идентификации;
- применение устройств для шифрования информации;
- выявление возможно внедренных в импортные технические средства специальных устройств съема (ретрансляции) или разрушения информации (закладных устройств);
б) программные методы защиты:
- предотвращение специальных программно-математических воздействий, вызывающих разрушение, уничтожение, искажение информации или сбои в работе средств вычислительной техники (далее - СВТ);
- идентификацию технических средств (терминалов, устройств группового управления вводом-выводом, ЭВМ, носителей информации), задач и пользователей;
- определение прав пользователей (потребителей) информации (дни и время работы, разрешенные к использованию задачи и технические средства обработки информации);
- контроль работы технических средств и пользователей;
- регистрацию работы технических средств и пользователей при обработке информации ограниченного доступа;
- уничтожение информации в записывающем устройстве после использования;
- сигнализацию при несанкционированных действиях;
- вспомогательные программы различного назначения: контроля работы механизма защиты, проставления грифа секретности (конфиденциальности) на выдаваемых документах;
в) резервное копирование (хранение копий информации на различных носителях);
г) криптографическое шифрование информации.
Организационно-технические мероприятия предусматривают:
а) осуществление мероприятий защиты информации при оборудовании и создании вычислительных центров, автоматизированных сетей (далее - АС) и автоматизированных рабочих мест;