1. ТЕРМИНЫ, ОПРЕДЕЛЕНИЯ И СОКРАЩЕНИЯ

В настоящем документе приняты следующие основные термины, определения и сокращения:

• различного рода телефонные средства и системы;
• средства и системы передачи данных в системе радиосвязи;
• средства и системы охранной и пожарной сигнализации;
• средства и системы оповещения и сигнализации;
• контрольно-измерительная аппаратура;
• средства и системы кондиционирования;
• средства и системы проводной радиотрансляционной сети и приема программ радиовещания и телевидения (абонентские громкоговорители, системы радиовещания, телевизоры и радиоприемники и т.д.);
• средства электронной оргтехники;
• средства и системы электрочасофикации;
• иные технические средства и системы.

• периметр охраняемой территории учреждения (предприятия);
• ограждающие конструкции охраняемого здания или охраняемой части здания, если оно размещено на неохраняемой территории.

2. ОБЩИЕ ПОЛОЖЕНИЯ

• конфиденциальной информации - информации с ограниченным доступом, за исключением сведений, отнесенных к государственной тайне и персональным данным, содержащейся в государственных (муниципальных) информационных ресурсах, накопленной за счет государственного (муниципального) бюджета и являющейся собственностью государства (к ней может быть отнесена информация, составляющая служебную тайну и другие виды тайн в соответствии с законодательством Российской Федерации, а также сведения конфиденциального характера в соответствии с "Перечнем сведений конфиденциального характера", утвержденного Указом Президента Российской Федерации от 06.03.97 188), защита которой осуществляется в интересах государства (далее - служебная тайна);
• информации о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющей идентифицировать его личность (персональные данные) (В соответствии с Федеральным законом "Об информации, информатизации и защите информации" режим защиты персональных данных должен быть определен федеральным законом. До его введения в действие для установления режима защиты такой информации следует руководствоваться настоящим документом., за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.)

• организацию работ по защите информации, в том числе при разработке и модернизации объектов информатизации и их систем защиты информации;
• состав и основное содержание организационно-распорядительной, проектной, эксплуатационной и иной документации по защите информации;
• требования и рекомендации по защите речевой информации при осуществлении переговоров, в том числе с использованием технических средств;
• требования и рекомендации по защите информации при ее автоматизированной обработке и передаче с использованием технических средств;
• порядок обеспечения защиты информации при эксплуатации объектов информатизации;
• особенности защиты информации при разработке и эксплуатации автоматизированных систем, использующих различные типы средств вычислительной техники и информационные технологии;
• порядок обеспечения защиты информации при взаимодействии абонентов с информационными сетями общего пользования.

• средства и системы информатизации (средства вычислительной техники, автоматизированные системы различного уровня и назначения на базе средств вычислительной техники, в том числе информационно-вычислительные комплексы, сети и системы, средства и системы связи и передачи данных, технические средства приема, передачи и обработки информации (телефонии, звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), используемые для обработки конфиденциальной информации;
• технические средства и системы, не обрабатывающие непосредственно конфиденциальную информацию, но размещенные в помещениях, где она обрабатывается (циркулирует);
• защищаемые помещения.

• акустическое излучение информативного речевого сигнала;
• электрические сигналы, возникающие посредством преобразования информативного сигнала из акустического в электрический за счет микрофонного эффекта и распространяющиеся по проводам и линиям, выходящими за пределы КЗ;
• виброакустические сигналы, возникающие посредством преобразования информативного акустического сигнала при воздействии его на строительные конструкции и инженерно-технические коммуникации защищаемых помещений;
• несанкционированный доступ и несанкционированные действия по отношению к информации в автоматизированных системах, в том числе с использованием информационных сетей общего пользования;
• воздействие на технические или программные средства информационных систем в целях нарушения конфиденциальности, целостности и доступности информации, работоспособности технических средств, средств защиты информации посредством специально внедренных программных средств;
• побочные электромагнитные излучения информативного сигнала от технических средств, обрабатывающих конфиденциальную информацию, и линий передачи этой информации;
• наводки информативного сигнала, обрабатываемого техническими средствами, на цепи электропитания и линии связи, выходящие за пределы КЗ;
• радиоизлучения, модулированные информативным сигналом, возникающие при работе различных генераторов, входящих в состав технических средств, или при наличии паразитной генерации в узлах (элементах) технических средств;
• радиоизлучения или электрические сигналы от внедренных в технические средства и защищаемые помещения специальных электронных устройств перехвата речевой информации "закладок", модулированные информативным сигналом;
• радиоизлучения или электрические сигналы от электронных устройств перехвата информации, подключенных к каналам связи или техническим средствам обработки информации;
• прослушивание ведущихся телефонных и радиопереговоров;
• просмотр информации с экранов дисплеев и других средств ее отображения, бумажных и иных носителей информации, в том числе с помощью оптических средств;
• хищение технических средств с хранящейся в них информацией или отдельных носителей информации.

• из-за границы КЗ из близлежащих строений и транспортных средств;
• из смежных помещений, принадлежащих другим учреждениям (предприятиям) и расположенным в том же здании, что и объект защиты;
• при посещении учреждения (предприятия) посторонними лицами;
• за счет несанкционированного доступа (несанкционированных действий) к информации, циркулирующей в АС, как с помощью технических средств АС, так и через информационные сети общего пользования.

• непреднамеренного прослушивания без использования технических средств конфиденциальных разговоров из-за недостаточной звукоизоляции ограждающих конструкций защищаемых помещений и их инженерно-технических систем;
• случайного прослушивания телефонных разговоров при проведении профилактических работ в сетях телефонной связи;
• некомпетентных или ошибочных действий пользователей и администраторов АС при работе вычислительных сетей;
• просмотра информации с экранов дисплеев и других средств ее отображения.

• речевой информации, циркулирующей в защищаемых помещениях;
• информации, обрабатываемой средствами вычислительной техники, от несанкционированного доступа и несанкционированных действий;
• информации, выводимой на экраны видеомониторов;
• информации, передаваемой по каналам связи, выходящим за пределы КЗ.

3. ОРГАНИЗАЦИЯ РАБОТ ПО ЗАЩИТЕ ИНФОРМАЦИИ

• порядок определения защищаемой информации;
• порядок привлечения подразделений предприятия, специализированных сторонних организаций к разработке и эксплуатации объектов информатизации и СЗИ, их задачи и функции на различных стадиях создания и эксплуатации объекта информатизации;
• порядок взаимодействия всех занятых в этой работе организаций, подразделений и специалистов;
• порядок разработки, ввода в действие и эксплуатацию объектов информатизации;
• ответственность должностных лиц за своевременность и качество формирования требований по технической защите информации, за качество и научно-технический уровень разработки СЗИ.

• предпроектная стадия, включающая предпроектное обследование объекта информатизации, разработку аналитического обоснования необходимости создания СЗИ и технического (частного технического) задания на ее создание;
• стадия проектирования (разработки проектов) и реализации объекта информатизации, включающая разработку СЗИ в составе объекта информатизации;
• стадия ввода в действие СЗИ, включающая опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также аттестацию объекта информатизации на соответствие требованиям безопасности информации.

• устанавливается необходимость обработки (обсуждения) конфиденциальной информации на данном объекте информатизации;
• определяется перечень сведений конфиденциального характера, подлежащих защите от утечки по техническим каналам;
• определяются (уточняются) угрозы безопасности информации и модель вероятного нарушителя применительно к конкретным условиям функционирования;
• определяются условия расположения объектов информатизации относительно границ КЗ;
• определяются конфигурация и топология автоматизированных систем и систем связи в целом и их отдельных компонент, физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назначения;
• определяются технические средства и системы, предполагаемые к использованию в разрабатываемой АС и системах связи, условия их расположения, общесистемные и прикладные программные средства, имеющиеся на рынке и предлагаемые к разработке;
• определяются режимы обработки информации в АС в целом и в отдельных компонентах;
• определяется класс защищенности АС;
• определяется степень участия персонала в обработке (обсуждении, передаче, хранении) информации, характер их взаимодействия между собой и со службой безопасности;
• определяются мероприятия по обеспечению конфиденциальности информации в процессе проектирования объекта информатизации.

• информационную характеристику и организационную структуру объекта информатизации;
• характеристику комплекса основных и вспомогательных технических средств, программного обеспечения, режимов работы, технологического процесса обработки информации;
• возможные каналы утечки информации и перечень мероприятий по их устранению и ограничению;
• перечень предлагаемых к использованию сертифицированных средств защиты информации;
• обоснование необходимости привлечения специализированных организаций, имеющих необходимые лицензии на право проведения работ по защите информации;
• оценку материальных, трудовых и финансовых затрат на разработку и внедрение СЗИ;
• ориентировочные сроки разработки и внедрения СЗИ;
• перечень мероприятий по обеспечению конфиденциальности информации на стадии проектирования объекта информатизации.

• обоснование разработки;
• исходные данные создаваемого (модернизируемого) объекта информатизации в техническом, программном, информационном и организационном аспектах;
• класс защищенности АС;
• ссылку на нормативные документы, с учетом которых будет разрабатываться СЗИ и приниматься в эксплуатацию объект информатизации;
• конкретизацию требований к СЗИ на основе действующих нормативно-методических документов и установленного класса защищенности АС;
• перечень предполагаемых к использованию сертифицированных средств защиты информации;
• обоснование проведения разработок собственных средств защиты информации, невозможности или нецелесообразности использования имеющихся на рынке сертифицированных средств защиты информации;
• состав, содержание и сроки проведения работ по этапам разработки и внедрения;
• перечень подрядных организаций-исполнителей видов работ;
• перечень предъявляемой заказчику научно-технической продукции и документации.

• разработка задания и проекта на строительные, строительно-монтажные работы (или реконструкцию) объекта информатизации в соответствии с требованиями технического (частного технического) задания на разработку СЗИ;
• разработка раздела технического проекта на объект информатизации в части защиты информации;
• строительно-монтажные работы в соответствии с проектной документацией, утвержденной заказчиком, размещением и монтажом технических средств и систем;
• разработка организационно-технических мероприятий по защите информации в соответствии с предъявляемыми требованиями;
• закупка сертифицированных образцов и серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации, либо их сертификация;
• закупка сертифицированных технических, программных и программно-технических (в т.ч. криптографических) средств защиты информации и их установка;
• разработка (доработка) или закупка и последующая сертификация по требованиям безопасности информации программных средств защиты информации в случае, когда на рынке отсутствуют требуемые сертифицированные программные средства;
• организация охраны и физической защиты помещений объекта информатизации, исключающих несанкционированный доступ к техническим средствам обработки, хранения и передачи информации, их хищение и нарушение работоспособности, хищение носителей информации;
• разработка и реализация разрешительной системы доступа пользователей и эксплуатационного персонала к обрабатываемой (обсуждаемой) на объекте информатизации информации;
• определение заказчиком подразделений и лиц, ответственных за эксплуатацию средств и мер защиты информации, обучение назначенных лиц специфике работ по защите информации на стадии эксплуатации объекта информатизации;
• выполнение генерации пакета прикладных программ в комплексе с программными средствами защиты информации;
• разработка эксплуатационной документации на объект информатизации и средства защиты информации, а также организационно-распорядительной документации по защите информации (приказов, инструкций и других документов);
• выполнение других мероприятий, специфичных для конкретных объектов информатизации и направлений защиты информации.

• пояснительной записки с изложением решений по комплексу организационных мер и программно-техническим (в том числе криптографическим) средствам обеспечения безопасности информации, состава средств защиты информации с указанием их соответствия требованиям ТЗ;
• описания технического, программного, информационного обеспечения и технологии обработки (передачи) информации;
• плана организационно-технических мероприятий по подготовке объекта информатизации к внедрению средств и мер защиты информации;
• технического паспорта объекта информатизации (форма технического паспорта на АС приведена в приложении 5);
• инструкций и руководств по эксплуатации технических и программных средств защиты для пользователей, администраторов системы, а также для работников службы защиты информации .

• опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объекта информатизации и отработки технологического процесса обработки (передачи) информации;
• приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатации с оформлением приемо-сдаточного акта, подписываемого разработчиком (поставщиком) и заказчиком;
• аттестация объекта информатизации по требованиям безопасности информации.

• акты внедрения средств защиты информации по результатам их приемо-сдаточных испытаний;
• предъявительский акт к проведению аттестационных испытаний;
• заключение по результатам аттестационных испытаний.

• о проектировании объекта информатизации, создании соответствующих подразделений разработки и назначении ответственных исполнителей;
• о формировании группы обследования и назначении ее руководителя;
• о заключении соответствующих договоров на проведение работ;
• о назначении лиц, ответственных за эксплуатацию объекта информатизации;
• о начале обработки в АС (обсуждения в защищаемом помещении) конфиденциальной информации.

• соблюдения нормативных и методических документов Гостехкомиссии России;
• работоспособности применяемых средств защиты информации в соответствии с их эксплутационной документацией;
• знаний и выполнения персоналом своих функциональных обязанностей в части защиты информации.

4. ТРЕБОВАНИЯ И РЕКОМЕНДАЦИИ ПО ЗАЩИТЕ РЕЧЕВОЙ ИНФОРМАЦИИ

4.1. Общие положения

• акустического излучения информативного речевого сигнала;
• виброакустических сигналов, возникающих посредством преобразования информативного акустического сигнала при воздействии его на строительные конструкции и инженерно-технические системы ЗП;
• прослушивания разговоров, ведущихся в ЗП, по информационным каналам общего пользования (городская телефонная сеть, сотовая, транкинговая и пейджинговая связь, радиотелефоны) за счет скрытного подключения оконечных устройств этих видов связи;
• электрических сигналов, возникающих в результате преобразования информативного сигнала из акустического в электрический за счет микрофонного эффекта и распространяющихся по проводам и линиям передачи информации, выходящих за пределы КЗ;
• побочных электромагнитных излучений информативного сигнала от обрабатывающих конфиденциальную информацию технических средств, в т.ч. возникающих за счет паразитной генерации, и линий передачи информации;
• электрических сигналов, наводимых от обрабатывающих конфиденциальную информацию технических средств и линий ее передачи, на провода и линии, выходящих за пределы КЗ;
• радиоизлучений, модулированных информативным сигналом, возникающим при работе различных генераторов, входящих в состав технических средств, установленных в ЗП, или при наличии паразитной генерации в их узлах (элементах);
• радиоизлучений, электрических или инфракрасных сигналов, модулированных информативным сигналом, от специальных электронных устройств перехвата речевой информации "закладок", внедренных в ЗП и установленные в них технические средства.

4.2. Основные требования и рекомендации по защите информации, циркулирующей в защищаемых помещениях

• двери ЗП в период между мероприятиями, а также в нерабочее время необходимо запирать на ключ;
• выдача ключей от ЗП должна производиться лицам, работающим в нем или ответственным за это помещение;
• установка и замена оборудования, мебели, ремонт ЗП должны производиться только по согласованию и под контролем подразделения (специалиста) по защите информации учреждения (предприятия).

4.3. Защита информации, циркулирующей в системах звукоусиления и звукового сопровождения кинофильмов

4.4. Защита информации при проведении звукозаписи

4.5. Защита речевой информации при её передаче по каналам связи

5. ТРЕБОВАНИЯ И РЕКОМЕНДАЦИИ ПО ЗАЩИТЕ ИНФОРМАЦИИ, ОБРАБАТЫВАЕМОЙ СРЕДСТВАМИ ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ

5.1. Общие требования и рекомендации

• обеспечение защиты информации от хищения, утраты, утечки, уничтожения, искажения и подделки за счет НСД и специальных воздействий;
• обеспечение защиты информации от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи.

• документальное оформление перечня сведений конфиденциального характера с учетом ведомственной и отраслевой специфики этих сведений;
• реализация разрешительной системы допуска исполнителей (пользователей, обслуживающего персонала) к информации и связанным с ее использованием работам, документам;
• ограничение доступа персонала и посторонних лиц в защищаемые помещения и помещения, где размещены средства информатизации и коммуникации, а также хранятся носители информации;
• разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;
• регистрация действий пользователей АС и обслуживающего персонала, контроль за несанкционированным доступом и действиями пользователей, обслуживающего персонала и посторонних лиц;
• учет и надежное хранение бумажных и машинных носителей информации, ключей (ключевой документации) и их обращение, исключающее их хищение, подмену и уничтожение;
• использование СЗЗ, создаваемых на основе физико-химических технологий для контроля доступа к объектам защиты и для защиты документов от подделки;
• необходимое резервирование технических средств и дублирование массивов и носителей информации;
• использование сертифицированных серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации;
• использование технических средств, удовлетворяющих требованиям стандартов по электромагнитной совместимости;
• использование сертифицированных средств защиты информации;
• размещение объектов защиты на максимально возможном расстоянии относительно границы КЗ;
• размещение понижающих трансформаторных подстанций электропитания и контуров заземления объектов защиты в пределах КЗ;
• развязка цепей электропитания объектов защиты с помощью защитных фильтров, блокирующих (подавляющих) информативный сигнал;
• электромагнитная развязка между линиями связи и другими цепями ВТСС, выходящими за пределы КЗ, и информационными цепями, по которым циркулирует защищаемая информация;
• использование защищенных каналов связи (защищенных ВОЛС и криптографических средств ЗИ;
• размещение дисплеев и других средств отображения информации, исключающее несанкционированный просмотр информации;
• организация физической защиты помещений и собственно технических средств с помощью сил охраны и технических средств, предотвращающих или существенно затрудняющих проникновение в здания, помещения посторонних лиц, хищение документов и информационных носителей, самих средств информатизации, исключающих нахождение внутри контролируемой зоны технических средств разведки или промышленного шпионажа;
• криптографическое преобразование информации, обрабатываемой и передаваемой средствами вычислительной техники и связи (при необходимости, определяемой особенностями функционирования конкретных АС и систем связи);
• предотвращение внедрения в автоматизированные системы программ-вирусов, программных закладок.

5.2. Основные требования и рекомендации по защите служебной тайны и персональных данных

• АС, обрабатывающие информацию, составляющую служебную тайну, должны быть отнесены по уровню защищенности к классам 3Б, 2Б и не ниже 1Г;
• АС, обрабатывающие персональные данные, должны быть отнесены по уровню защищенности к классам 3Б, 2Б и не ниже 1Д.

5.3. Основные рекомендации по защите информации, составляющей коммерческую тайну

5.4. Порядок обеспечения защиты конфиденциальной информации при эксплуатации АС

• допуск к защищаемой информации лиц, работающих в АС (пользователей, обслуживающего персонала), должен производиться в соответствии с установленным разрешительной системой допуска порядком;
• на период обработки защищаемой информации в помещениях, где размещаются ОТСС, могут находиться только лица, допущенные в установленном порядке к обрабатываемой информации; допуск других лиц для проведения необходимых профилактических или ремонтных работ может осуществляться в эти помещения только с санкции руководителя учреждения (предприятия) или руководителя службы безопасности;
• в случае размещения в одном помещении нескольких технических средств отображения информации должен быть исключен несанкционированный просмотр выводимой на них информации;
• по окончании обработки защищаемой информации или при передаче управления другому лицу пользователь обязан произвести стирание временных файлов на несъёмных носителях информации и информации в оперативной памяти. Одним из способов стирания информации в оперативной памяти является перезагрузка ПЭВМ;
• изменение или ввод новых программ обработки защищаемой информации в АС должен осуществляться совместно разработчиком АС и администратором АС;
• при увольнении или перемещении администраторов АС руководителем учреждения (предприятия) по согласованию со службой безопасности должны быть приняты меры по оперативному изменению паролей, идентификаторов и ключей шифрования.

5.5. Защита конфиденциальной информации на автоматизированных рабочих местах на базе автономных ПЭВМ

• к 3 группе АС, если в ней работает только один пользователь, допущенный ко всей информации АС;
• ко 2 и 1 группе АС, если в ней последовательно работают несколько пользователей с равными или разными правами доступа (полномочиями), соответственно.

5.6. Защита информации при использовании съемных накопителей информации большой емкости для автоматизированных рабочих мест на базе автономных ПЭВМ

5.7. Защита информации в локальных вычислительных сетях

5.8. Защита информации при межсетевом взаимодействии

• в АС класса 1Г - МЭ не ниже класса 4;
• в АС класса 1Д и 2Б, 3Б - МЭ класса 5 или выше.

5.9. Защита информации при работе с системами управления базами данных

• в БД может накапливаться большой объем интегрированной информации по различным тематическим направлениям, предназначенной для различных пользователей;
• БД могут быть физически распределены по различным устройствам и узлам сети;
• БД могут включать информацию различного уровня конфиденциальности;
• разграничение доступа пользователей к БД средствами операционной системы и/или СЗИ НСД может осуществляться только на уровне файлов БД;
• разграничение доступа пользователей к объектам БД: таблицам, схемам, процедурам, записям, полям записей в базах данных и т.п., может осуществляться только средствами СУБД, если таковые имеются;
• регистрация действий пользователей при работе с объектами БД может осуществляться также только средствами СУБД, если таковые имеются;
• СУБД могут обеспечивать одновременный доступ многих пользователей (клиентов) к БД с помощью сетевых протоколов, при этом запросы пользователя к БД обрабатываются на сервере и результаты обработки направляются пользователям (клиентам).

• при выборе СУБД ориентироваться на операционные системы и СУБД, включающие либо штатные сертифицированные средства защиты информации от НСД, либо имеющие соответствующие сертифицированные дополнения в виде СЗИ НСД;
• при использовании СУБД, не имеющих средств разграничения доступа, производить разбиение БД на отдельные файлы, разграничение доступа к которым можно проводить средствами ОС и/или СЗИ НСД;
• при использовании современных СУБД, основанных на модели клиент-сервер, использовать их штатные средства защиты информации от НСД, применять средства регистрации (аудита) и разграничение доступа к объектам БД на основе прав, привилегий, ролей, представлений (VIEW), процедур и т.п.

6. РЕКОМЕНДАЦИИ ПО ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ИНФОРМАЦИИ, СОДЕРЖАЩЕЙСЯ В НЕГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ РЕСУРСАХ, ПРИ ВЗАИМОДЕЙСТВИИ АБОНЕНТОВ С ИНФОРМАЦИОННЫМИ СЕТЯМИ ОБЩЕГО ПОЛЬЗОВАНИЯ

6.1. Общие положения

• несанкционированного доступа к информации, хранящейся и обрабатываемой во внутренних ЛВС (серверах, рабочих станциях) или на автономных ПЭВМ, как из Сетей, так и из внутренних ЛВС;
• несанкционированного доступа к коммуникационному оборудованию (маршрутизатору, концентратору, мосту, мультиплексору, серверу, Web/Proxy серверу), соединяющему внутренние ЛВС учреждения (предприятия) с Сетями;
• несанкционированного доступа к данным (сообщениям), передаваемым между внутренними ЛВС и Сетями, включая их модификацию, имитацию и уничтожение;
• заражения программного обеспечения компьютерными "вирусами" из Сети, как посредством приема "зараженных" файлов, так и посредством E-mail, апплетов языка JAVA и объектов ActiveX Control;
• внедрения программных закладок с целью получения НСД к информации, а также дезорганизации работы внутренней ЛВС и ее взаимодействия с Сетями;
• несанкционированной передачи защищаемой конфиденциальной информации ЛВС в Сеть;
• возможности перехвата информации внутренней ЛВС за счет побочных электромагнитных излучений и наводок от основных технических средств, обрабатывающих такую информацию.

6.2. Условия подключения абонентов к Сети

• наименование Сети, к которой осуществляется подключение, и реквизиты организации-владельца Сети и провайдера Сети;
• состав технических средств для оборудования АП;
• предполагаемые виды работ и используемые прикладные сервисы Сети (E-Mail, FTP, Telnet, HTTP и т.п.) для АП в целом и для каждого абонента, в частности;
• режим подключения АП и абонентов к Сети (постоянный, в т.ч. круглосуточный, временный);
• состав общего и телекоммуникационного программного обеспечения АП и абонентов (ОС, клиентские прикладные программы для сети - Browsers и т.п.);
• число и перечень предполагаемых абонентов (диапазон используемых IP- адресов);
• меры и средства защиты информации от НСД, которые будут применяться на АП, организация-изготовитель, сведения о сертификации, установщик, конфигурация, правила работы с ними;
• перечень сведений конфиденциального характера, обрабатываемых (хранимых) на АП, подлежащих передаче и получаемых из Сети.

6.3. Порядок подключения и взаимодействия абонентских пунктов с Сетью, требования и рекомендации по обеспечению безопасности информации

• идентификацию и аутентификацию пользователей при доступе к автономной ПЭВМ, рабочим станциям и серверам внутренней ЛВС по идентификатору и паролю;
• контроль доступа к ресурсам автономной ПЭВМ, рабочих станций и серверов внутренней ЛВС на основе дискреционного принципа;
• регистрацию доступа к ресурсам автономной ПЭВМ, рабочих станций и серверов внутренней ЛВС, включая попытки НСД;
• регистрацию фактов отправки и получения абонентом сообщений (файлов, писем, документов).

• порядок подключения и регистрации абонентов в Сети;
• порядок установки и конфигурирования на АП общесистемного, прикладного коммуникационного программного обеспечения (серверов, маршрутизаторов, шлюзов, мостов, межсетевых экранов, Browsers), их новых версий;
• порядок применения средств защиты информации от НСД на АП при взаимодействии абонентов с Сетью;
• порядок работы абонентов в Сети, в том числе с электронной почтой (E-mail), порядок выбора и доступа к внутренним и внешним серверам Сети (Web-серверам);
• порядок оформления разрешений на отправку данных в Сеть (при необходимости);
• обязанности и ответственность абонентов и администратора внутренней ЛВС по обеспечению безопасности информации при взаимодействии с Сетью;
• порядок контроля за выполнением мероприятий по обеспечению безопасности информации и работой абонентов Сети.

• знать порядок регистрации и взаимодействия в Сети;
• знать инструкцию по обеспечению безопасности информации на АП;
• знать правила работы со средствами защиты информации от НСД, установленными на АП (серверах, рабочих станциях АП);
• уметь пользоваться средствами антивирусной защиты;
• после окончания работы в Сети проверить свое рабочее место на наличие "вирусов".

• типы и номера выделенных технических средств АП, в т.ч. каждого абонента, их состав и конфигурация;
• состав общего и сервисного прикладного коммуникационного программного обеспечения (ОС, маршрутизаторов, серверов, межсетевых экранов, Browsers и т.п.) на АП в целом и на каждой рабочей станции абонента, в частности: логические адреса (IP-адреса), используемые для доступа в Сети;
• мероприятия по обеспечению безопасности информации, проведенные при установке технических средств и программного обеспечения, в т.ч. средств защиты информации от НСД, антивирусных средств, по защите информации от утечки по каналам ПЭМИН, наличие инструкции по обеспечению безопасности информации на АП.

• подключать технические средства (серверы, рабочие станции), имеющие выход в Сеть, к другим техническим средствам (сетям), не определенным в обосновании подключения к Сети;
• изменять состав и конфигурацию программных и технических средств АП без санкции администратора и аттестационной комиссии;
• производить отправку данных без соответствующего разрешения;
• использовать носители информации с маркировкой: "Допускается использование только в Сети ____" на рабочих местах других систем (в том числе и автономных ПЭВМ) без соответствующей санкции.

Контроль за выполнением мероприятий по обеспечению безопасности информации на АП возлагается на администраторов АП, руководителей соответствующих подразделений, определенных приказом по учреждению (предприятию), а также руководителя службы безопасности.

Приложение 1

Утверждаю
Руководитель предприятия
 
"____"__________"____"г.

А К Т

классификации автоматизированной системы обработки информации

наименование автоматизированной системы

Комиссия в составе:

председатель:

члены комиссии:

рассмотрев исходные данные на автоматизированную систему обработки информации (АС) наименование автоматизированной системыусловия ее эксплуатации (многопользовательский, однопользовательский; с равными или разными правами доступа к информации), с учетом характера обрабатываемой информации (служебная тайна, коммерческая тайна, персональные данные и т.д.) и в соответствии с руководящими документами Гостехкомиссии России "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации" и "Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)",

РЕШИЛА:

Установить АС наименование автоматизированной системы

класс защищенности _______.

Председатель

Члены комиссии

Приложение 2

АТТЕСТАТ СООТВЕТСТВИЯ

____

указывается полное наименование автоматизированной системы

требованиям по безопасности информации

Выдан "____"________"_____г.

 

1. Настоящим АТТЕСТАТОМ удостоверяется, что:

   приводится полное наименование автоматизированной системы

   класса защищенности ____________ соответствует требованиям нормативной документации по безопасности информации.

   Состав комплекса технических средств автоматизированной системы (АС), с указанием заводских номеров, модели, изготовителя, номеров сертификатов соответствия, схема размещения в помещениях и относительно границ контролируемой зоны, перечень используемых программных средств, а также средств защиты (с указанием изготовителя и номеров сертификатов соответствия) указаны в техническом паспорте на АС.

    

2. Организационная структура, уровень подготовки специалистов, нормативно-методическое обеспечение обеспечивают поддержание уровня защищенности АС в процессе эксплуатации в соответствии с установленными требованиями.

    

3. Аттестация АС выполнена в соответствии с программой и методиками аттестационных испытаний, утвержденными руководителем предприятия (указываются номера документов).

    

4. С учетом результатов аттестационных испытаний в АС разрешается обработка конфиденциальной информации.

    

5. При эксплуатации АС запрещается:
   • вносить изменения в комплектность АС, которые могут снизить уровень защищенности информации;
   • проводить обработку защищаемой информации без выполнения всех мероприятий по защите информации;
   • подключать к основным техническим средствам нештатные блоки и устройства;
   • вносить изменения в состав, конструкцию, конфигурацию, размещение средств вычислительной техники;
   • при обработке на ПЭВМ защищаемой информации подключать измерительную аппаратуру;
   • допускать к обработке защищаемой информации лиц, не оформленных в установленном порядке;
   • производить копирование защищаемой информации на неучтенные магнитные носители информации, в том числе для временного хранения информации;
   • работать при отключенном заземлении;
   • обрабатывать на ПЭВМ защищаемую информацию при обнаружении каких либо неисправностей.

    

6. Контроль за эффективностью реализованных мер и средств защиты возлагается на

   наименование специалиста, подразделения по защите информации

    

7. Подробные результаты аттестационных испытаний приведены в заключении аттестационной комиссии ( ___ от ____) и протоколах испытаний.

    

8. "Аттестат соответствия" выдан на ___ года (лет), в течение которых должна быть обеспечена неизменность условий функционирования АС и технологии обработки защищаемой информации, могущих повлиять на характеристики защищенности АС.

Руководитель аттестационной комиссии

_______________ должность с указанием наименования предприятия, Ф.И.0.

"____"________"____ г.

==================================

Отметки органа надзора:

Приложение 3

АТТЕСТАТ СООТВЕТСТВИЯ

_____

указывается наименование защищаемого помещения

требованиям по безопасности информации

Выдан "____"________"_____г.

 

1. Настоящим АТТЕСТАТОМ удостоверяется, что

   полное наименование защищаемого помещения

   и установленное в нем оборудование соответствуют требованиям нормативных документов по безопасности информации (Заключение по результатам аттестации _____ от ____) и в нем разрешается проведение конфиденциальных мероприятий.

   Схема размещения помещения относительно границ контролируемой зоны, перечень установленного в нем оборудования, используемых средств защиты информации указаны в техническом паспорте на защищаемое помещение (ЗП).

    

2. Установленный порядок пользования ЗП позволяет осуществлять его эксплуатацию, расположенного в нем оборудования и средств защиты в соответствии с требованиями по защите конфиденциальной информации.

    

3. Повседневный контроль за выполнением установленных правил эксплуатации ЗП осуществляется наименование подразделения или должностного лица, осуществляющего контроль.

    

4. В ЗП запрещается проводить ремонтно-строительные работы, замену (установку новых) элементов интерьера, вносить изменения в состав оборудования и средства защиты информации, без согласования с наименование подразделения или должностного лица, осуществляющего контроль.

    

5. Лицо, ответственное за эксплуатацию защищаемого помещения, обязано незамедлительно извещать наименование подразделения или должностного лица, осуществляющего контроль:
   • о предполагаемых ремонтно-строительных работах и изменениях в размещении и монтаже установленного оборудования, технических средств и систем, средств защиты информации, в интерьере помещения;
   • о нарушениях в работе средств защиты информации;
   • о фактах несанкционированного доступа в помещение.

   Руководитель аттестационной комиссии

   _______________ должность с указанием наименования предприятия, Ф.И.0.

   "____"________"____ г.

   ==================================

   Отметки органа надзора:

    

   ---

   Приложение 4

   Форма технического паспорта на защищаемое помещение

    

    

   ТЕХНИЧЕСКИЙ ПАСПОРТ

   на защищаемое помещение ______

   Составил     Подпись специалиста подразделения по защите информации

   Ознакомлен     Подпись лица, ответственного за помещение

    

    

   Год

    

   ---

   П А М Я Т К А
   по обеспечению режима безопасности и эксплуатации
   оборудования, установленного в защищаемом
   помещении _______

   (Примерный текст)

    

   1. Ответственность за режим безопасности в защищаемом помещении (ЗП) и правильность использования установленных в нем технических средств несет лицо, которое постоянно в нем работает, или лицо, специально на то уполномоченное.

       

   2. Установка нового оборудования, мебели и т.п. или замена их, а также ремонт помещения должны проводиться только по согласованию с подразделением (специалистом) по защите информации предприятия.

       

   3. В нерабочее время помещение должно закрываться на ключ.

       

   4. В рабочее время, в случае ухода руководителя, помещение должно закрываться на ключ или оставляться под ответственность лиц назначенных руководителем подразделения.

       

   5. При проведении конфиденциальных мероприятий бытовая радиоаппаратура, установленная в помещении (телевизоры, радиоприемники и т.п.), должна отключаться от сети электропитания.

       

   6. Должны выполняться предписания на эксплуатацию средств связи, вычислительной техники, оргтехники, бытовых приборов и др. оборудования, установленного в помещении.

       

   7. Запрещается использование в ЗП радиотелефонов, оконечных устройств сотовой, пейджинговой и транкинговой связи. При установке в ЗП телефонных и факсимильных аппаратов с автоответчиком, спикерфоном и имеющих выход в городскую АТС, следует отключать эти аппараты на время проведения конфиденциальных мероприятий.

       

   8. Повседневный контроль за выполнением требований по защите помещения осуществляют лица, ответственные за помещение, и служба безопасности предприятия.

       

   9. Периодический контроль эффективности мер защиты помещения осуществляется специалистами по защите информации.

   Примечание: В памятку целесообразно включать и другие сведения, учитывающие особенности установленного в ЗП оборудования; действия персонала в случае срабатывания установленной в помещении сигнализации, порядок включения средств защиты, организационные меры защиты и т.п.

    

    

   ПЕРЕЧЕНЬ ОБОРУДОВАНИЯ, УСТАНОВЛЕННОГО В ПОМЕЩЕНИИ

    

   Вид оборудования	Тип	Учетный(зав.) номер	Дата установки	Класс ТС (ОТСС или ВТСС)	Сведения по сертификации, специсследованиям и спецпроверкам

    

    

    

   МЕРЫ ЗАЩИТЫ ИНФОРМАЦИИ

   (пример)

   1. Телефонный аппарат коммутатора директора (инв. 15).
      Выполнены требования предписания на эксплуатацию:
      (Перечень предусмотренных мер защиты согласно предписанию).
   2. Телефонный аппарат 6-56.
      На линию установлено защитное устройство "Сигнал-5", зав. 01530.
   3. Пульт коммутатора.
      Выполнены требования предписания на эксплуатацию:
      (Перечень предусмотренных мер защиты согласно предписанию).
   4. Часы электронные.
      Выполнены требования предписания на эксплуатацию:
      (Перечень предусмотренных мер защиты согласно предписанию).
   5. Вход в помещение оборудован тамбуром, двери двойные, обшиты слоем ваты и дерматина. Дверные притворы имеют резиновые уплотнения.
   6. Доступ к вентиляционным каналам, выходящим на чердак здания, посторонних лиц исключен (приводятся предусмотренные для этого меры).

    

    

   Отметка о проверке средств защиты

    

   Вид оборудования	Учетныйномер	Дата проверки	Результаты проверки и отчетного документа

    

    

    

   Результаты аттестационного и периодического контроля помещения

    

   Дата проведения	Результаты аттестации или периодического контроля, отчетного документа	Подпись проверяющего

    

    

    

    

   ---

   Приложение 5

   Форма технического паспорта на автоматизированную систему

   УТВЕРЖДАЮ

   Руководитель автоматизированной системы

   _______________________

   "___"___________ _____г.

    

    

   ТЕХНИЧЕСКИЙ ПАСПОРТ

   указывается полное наименование автоматизированной системы

   РАЗРАБОТАЛ

    

   СОГЛАСОВАНО

   Представитель подразделения
   по защите информации
   "___"_________ ____ г.

   (Год)

    

   ---

   1. Общие сведения об АС

   1.1. Наименование АС: полное наименование АС

   1.2. Расположение АС: адрес, здание, строение, этаж, комнаты

   1.3. Класс АС: номер и дата акта классификации АС, класс АС

   2. Состав оборудования АС

   2.1. Состав ОТСС:

   Таблица 1

   П Е Р Е Ч Е Н Ь
   основных технических средств и систем, входящих в состав АС
   _____________________________________

    

   п/п	Тип ОТСС	Заводской номер	Сведения по сертификации, специсследованиям и спецпроверкам

    

   2.2. Состав ВТСС объекта:

   Таблица 2

   П Е Р Е Ч Е Н Ь
   вспомогательных технических средств, входящих в состав АС
   _____________________________________
   (средств вычислительной техники, не участвующих в обработке конфиденциальной информации)

    

   п/п	Тип ВТСС	Заводской номер	Примечание

    

   2.3. Структура, топология и размещение ОТСС относительно границ контролируемой зоны объекта:

   • структурная (топологическая) схема с указанием информационных связей между устройствами; схема размещения и расположения ОТСС на объекте с привязкой к границам контролируемой зоны, схема прокладки линий передачи конфиденциальной информации с привязкой к границам контролируемой зоны объекта.

   2.4. Системы электропитания и заземления:

   • схемы электропитания и заземления ОТСС объекта. Схемы прокладки кабелей и шины заземления. Схемы расположения трансформаторной подстанции и заземляющих устройств с привязкой к границам контролируемой зоны объекта. Схемы электропитания розеточной и осветительной сети объекта. Сведения о величине сопротивления заземляющего устройства.

   2.5. Состав средств защиты информации:

   Таблица 3

   ПЕРЕЧЕНЬ
   средств защиты информации, установленных на АС
   ____________________________________

    

   п/п	Наименование и тип и технического средства	Заводской номер	Сведения о сертификате	Место и дата установки

    

   3. Сведения об аттестации объекта информатизации на соответствие требованиям по безопасности информации:

   • инвентарные номера аттестата соответствия, заключения по результатам аттестационных испытаний, протоколов испытаний и даты их регистрации.

   4. Результаты периодического контроля.

   Таблица 4

    

   Дата проведения	Наименование организации, проводившей проверку	Результаты проверки, номер отчетного документа

    

   Лист регистрации изменений

    

    

    

   ---

   Приложение 6

   Пример документального оформления перечня сведений конфиденциального характера

   Для служебного пользования
   Экз.

   Утверждаю
   Руководитель предприятия
   _______________
   (Ф. И. О.)
   "___" ___________ ______ г.

   ПЕРЕЧЕНЬ
   сведений конфиденциального характера

    

   п/п	Наименование сведений	Типы документов, где возможно появление сведений конфиденциального характера
   1.	Сведения раскрывающие систему, средства защиты информации ЛВС предприятия от НСД, а также значения действующих кодов и паролей.	Руководство по защите конфиденциальной информации предприятия (учреждения).
   2.	Сводный перечень работ предприятия на перспективу, на год (квартал).	План работ предприятия на перспективу.
   3.	Сведения, содержащиеся в лицевых счетах пайщиков страховых взносов.	ст. 6, п. 2 ФЗ РФ Об индивидуальном (персонифицированном) учете в системе государственного пенсионного страхования.
   4.	Сведения, содержащиеся в индивидуальном лицевом счете застрахованного лица.	ст. 6, п. 2 ФЗ РФ Об индивидуальном (персонифицированном) учете в системе государственного пенсионного страхования.
   5.	Основные показатели задания на проектирование комплекса (установки). НОУ-ХАУ технологии - различные технические, коммерческие и другие сведения, оформленные в виде технической документации.	ТТЗ и ТЭО. Техническая документация с пометкой Для служебного пользования.
   6.	Методические материалы, типовые технологические и конструктивные решения, разработанные на предприятии и используемые при проектировании.	Методики, проектная и конструкторская документация.
   7.	Требования по обеспечению сохранения служебной тайны при выполнении работ на предприятии.	План работ предприятия на перспективу. Раздел ТТЗ на НИР (НИОКР).
   8.	Порядок передачи служебной информации ограниченного распространения другим организациям.	Руководство по защите конфиденциальной информации предприятия (учреждения).

    

    

   ---

   Приложение 7

   Основные нормативные правовые акты и методические документы по защите конфиденциальной информации.

    

   1. Федеральный закон от 20.02. 95 г. 24-ФЗ "Об информации, информатизации и защите информации".
   2. Федеральный закон от 04.07.96 г. 85-ФЗ "Об участии в международном информационном обмене".
   3. Федеральный закон от 16.02.95 г. 15-ФЗ "О связи".
   4. Федеральный закон от 26.11.98 г. 178-ФЗ "О лицензировании отдельных видов деятельности".
   5. Указ Президента Российской Федерации от 19.02.99 г. 212 "Вопросы Государственной технической комиссии при Президенте Российской Федерации".
   6. "Доктрина информационной безопасности Российской Федерации", утверждена Президентом Российской Федерации 9.09.2000 г. Пр.-1895.
   7. Указ Президента Российской Федерации от 17.12.97 г. 1300 "Концепция национальной безопасности Российской Федерации" в редакции указа Президента Российской Федерации от 10.01.2000 г. 24.
   8. Указ Президента Российской Федерации от 06.03.97 г. 188 "Перечень сведений конфиденциального характера".
   9. Постановление Правительства Российской Федерации от 03.11.94 г. 1233 "Положение о порядке обращения со служебной информацией ограниченного распространения в федеральных органов исполнительной власти".
   10. Решение Гостехкомиссии России и ФАПСИ от 27.04.94 г. 10 "Положение о государственном лицензировании деятельности в области защиты информации" (с дополнением).
   11. Постановление Правительства Российской Федерации от 11.04.2000 г. 326 "О "лицензировании отдельных видов деятельности".
   12. "Сборник руководящих документов по защите информации от несанкционированного доступа" Гостехкомиссия России, Москва, 1998 г.
   13. ГОСТ Р 51275-99 "Защита информации. Объект информатизации. Факторы воздействующие на информацию. Общие положения"
   14. ГОСТ Р 50922-96 "Защита информации. Основные термины и определения"
   15. ГОСТ Р 51583-2000 "Порядок создания автоматизированных систем в защищенном исполнении"
   16. ГОСТ Р 51241-98 "Средства и системы контроля и управления доступом. Классификация. Общие технические требования. Методы испытаний".
   17. ГОСТ 12.1.050-86 "Методы измерения шума на рабочих местах".
   18. ГОСТ Р ИСО 7498-1-99 "Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель".
   19. ГОСТ Р ИСО 7498-2-99 "Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации".
   20. ГОСТ 2.114- 95 "Единая система конструкторской документации. Технические условия".
   21. ГОСТ 2.601- 95 "Единая система конструкторской документации. Эксплуатационные документы".
   22. ГОСТ 34.201- 89 "Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем".
   23. ГОСТ 34.602- 89 "Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создании автоматизированных систем".
   24. ГОСТ 34.003- 90 "Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения".
   25. РД Госстандарта СССР 50-682-89 "Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Общие положения".
   26. РД Госстандарта СССР 50-34.698-90 "Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Автоматизированные системы. Требования к содержанию документов".
   27. РД Госстандарта СССР 50-680-89 "Методические указания. Автоматизированные системы. Основные положения".
   28. ГОСТ 34.601- 90 "Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадия создания"
   29. ГОСТ 6.38-90 "Система организационно-распорядительной документации. Требования к оформлению".
   30. ГОСТ 6.10- 84 "Унифицированные системы документации. Придание юридической силы документам на машинном носителе и машинограмме, создаваемым средствам вычислительной техники, ЕСКД, ЕСПД и ЕСТД".
   31. ГОСТ Р-92 "Система сертификации ГОСТ. Основные положения".
   32. ГОСТ 28195-89 "Оценка качества программных средств. Общие положения".
   33. ГОСТ 28806-90 "Качество программных средств. Термины и определения".
   34. ГОСТ Р ИСОМЭК 9126- 90 "Информационная технология. Оценка программной продукции. Характеристика качества и руководства по их применению".
   35. ГОСТ 2.111-68 "Нормоконтроль".
   36. ГОСТ Р 50739-95 "Средства вычислительной техники. Защита от несанкционированного доступа к информации".
   37. РД Гостехкомиссии России "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля недекларированных возможностей", Москва, 1999г.
   38. РД Гостехкомиссии России "Средства защиты информации. Специальные общие технические требования, предъявляемые к сетевым помехоподавляющим фильтрам", Москва, 2000г.
   39. ГОСТ В 15.201-83 "Тактико-техническое (техническое) задание на выполнение ОКР".
   40. ГОСТ В 15.101-95 "Тактико-техническое (техническое) задание на выполнение НИР"
   41. ГОСТ В 15.102-84 "Тактико-техническое задание на выполнение аванпроекта"
   42. ГОСТ В 15.103-79 "Порядок выполнения аванпроекта. Основные положения"
   43. ГОСТ В 15.203-96 "Порядок выполнения ОКР. Основные положения"
   44. Решение Гостехкомиссии России от 14.03.95 г. 32 "Типовое положение о Совете (Технической комиссии) министерства, ведомства, органа государственной власти субъекта Российской Федерации по защите информации от иностранных технических разведок и от ее утечки по техническим каналам".
   45. Решение Гостехкомиссии России от 14.03.95 г. 32 "Типовое положение о подразделении по защите информации от иностранных технических разве док и от ее утечки по техническим каналам в министерствах и ведомствах, в органах государственной власти субъектов Российской Федерации".
   46. Решение Гостехкомиссии России от 14.03.95 г. 32 "Типовое положение о подразделении по защите информации от иностранных технических разве док и от ее утечки по техническим каналам на предприятии (в учреждении, организации)".
   47. СанПиН 2.2.2.542-96 "Гигиенические требования к видеодисплейным терминалам, персональным электронно-вычислительным машинам и организация работы".
   48. ГОСТ Р 50948-96. "Средства отображения информации индивидуального пользования. Общие эргономические требования и требования безопасности".
   49. ГОСТ Р 50949-96 "Средства отображения информации индивидуального пользования. Методы измерений и оценки эргономических параметров и параметров безопасности."
   50. ГОСТ Р 50923-96 "Рабочее место оператора. Общие эргономические требования и требования к производственной среде. Методы измерения."
   51. Решение Гостехкомиссии России от 03.10.95 г. 42 "Типовые требования к содержанию и порядку разработки Руководства по защите информации от технических разведок и ее утечки по техническим каналам на объекте".