Гост р 51275-99 государственный стандарт российской федерации

Защита информации.

Объект информации. Факторы, воздействующие на информацию

Общие положения

Дата введения: 2000-01-01

Область применения

Настоящий стандарт устанавливает классификацию и перечень факторов, воздействующих на защищаемую информацию, в интересах обоснования требований защиты информации на объекте информатизации.

Настоящий стандарт распространяется на требования по организации защиты информации при создании и эксплуатации объектов информатизации, используемых в различных областях деятельности (обороны, экономики, науки и других областях).

Положения настоящего стандарта подлежат применению на территории Российской Федерации органами государственной власти, местного самоуправления, предприятиями и учреждениями независимо от их организационно-правовой формы и формы собственности, должностными лицами и гражданами Российской Федерации, взявшими на себя обязательства либо обязанными по статусу исполнять требования правовых документов Российской Федерации по защите информации.

Определения и сокращения

2.1. В настоящем стандарте применяют следующие термины с соответствующими определениями:

информация — сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления;

защищаемая информация — информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации;

фактор, воздействующий на защищаемую информацию, — явление, действие или процесс, результатом которого могут быть утечка, искажение, уничтожение защищаемой информации, блокирование доступа к ней;

объект информатизации — совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров;

информационные ресурсы — отдельные документы и отдельные массивы документов, документы и массивы документов, содержащиеся в информационных системах (библиотеках, архивах, фондах, банках данных, информационных системах других видов);

информационная технология — приемы, способы и методы применения технических и программных средств при выполнении функций обработки информации;

обработка информации — совокупность операций сбора, накопления, ввода, вывода, приема, передачи, записи, хранения, регистрации, уничтожения, преобразования, отображения информации;

система обработки информации — совокупность технических средств и программного обеспечения, а также методов обработки информации и действий персонала, обеспечивающая выполнение автоматизированной обработки информации;

средства обеспечения объекта информатизации — технические средства и системы, их коммуникации, не предназначенные для обработки информации, но устанавливаемые вместе со средствами обработки информации на объекте информатизации;

побочное электромагнитное излучение — электромагнитное излучение, вызванное паразитной генерацией в электрических цепях технических средств обработки информации;

паразитное электромагнитное излучение — электромагнитное излучение, вызванное паразитной генерацией в электрических цепях технических средств обработки информации;

наводки — токи и напряжения в токопроводящих элементах, вызванные электромагнитными излучением, емкостными и индуктивными связями;

закладочное устройство — элемент средства съема информации, скрытно внедряемый (закладываемый или вносимый) в места возможного съема информации (в том числе в ограждение, конструкцию, оборудование, предметы интерьера, транспортные средства, а также в технические средства и системы обработки информации);

программная закладка — внесенные в программное обеспечение функциональные объекты, которые при определенных условиях (входных данных) инициируют выполнение не описанных в документации функций программного обеспечения, позволяющих осуществлять несанкционированные воздействия на информацию;

программный вирус — исполняемый программный код или интерпретируемый набор инструкций, обладающий свойством несанкционированного распространения и самовоспроизведения (репликации). В процессе распространения вирусные субъекты могут себя модифицировать. Некоторые программные вирусы могут изменять, копировать или удалять программы или данные.

2.2. В настоящем стандарте приняты следующие сокращения:

ОИ — объект информатизации;

ПЭМИ — побочные электромагнитные излучения;

ТС — техническое средство.

Основные положения

3.1. Выявление и учет факторов, воздействующих или могущих воздействовать на защищаемую информацию в конкретных условиях, составляют основу для планирования и осуществления эффективных мероприятий, направленных на защиту информации на ОИ.

3.2. Полнота и достоверность выявления факторов, воздействующих на защищаемую информацию, должны быть достигнуты путем рассмотрения полного множества факторов, воздействующих на все элементы ОИ (технические и программные средства обработки информации, средства обеспечения ОИ и т. д.) и на всех этапах обработки информации.

3.3. Выявление факторов, воздействующих на защищаемую информацию, должно быть осуществлено с учетом следующих требований:

>• достаточности уровней классификации факторов, воздействующих на защищаемую информацию, позволяющей формировать их полное множество;

>• гибкости классификации, позволяющей расширять множества классифицируемых факторов, группировок и признаков, а также вносить изменения без нарушения структуры классификации.

3.4. Основными методами классификации факторов, воздействующих на защищаемую информацию, являются иерархический и фасетный методы.