- •Антивирусное программное обеспечение
- •Применение антивирусного программного обеспечения
- •Файловая система ntfs
- •Раздел 6 организационно-правовое обеспечение информационной безопасности Тема 6.1 Правовое обеспечение информационной безопасности
- •Государственная система защиты информацииАс
- •Основные задачи государственной системы защиты информации:
- •Лицензирование
- •Сертификация средств защиты и аттестование объектов информатизации
- •Аттестация
- •Тема 6.2 Организационное обеспечение информационной безопасности
- •Общие обязанности сотрудников по обеспечению информационной безопасности при работе с ресурсами ас
- •Обязанности ответственного за обеспечение безопасности информации в подразделении
- •Порядок работы с носителями ключевой информации
- •Обязанности исполнителя
- •Действия при компрометации ключей
- •Права исполнителя
- •Ответственность за нарушения
- •Тема 6.3 Методы и формы организационной защиты информации Организационные мероприятия по защите информации
- •Требования к технологии управления безопасностью:
- •Понятие технологии обеспечения информационной безопасности
- •Требования к технологии управления безопасностью:
- •Периодически проводимые мероприятия
- •Мероприятия, проводимые по необходимости
- •Постоянно проводимые мероприятия
Лицензирование
Законодательство Российской Федерации предусматривает установление Правительством РФ порядка ведения лицензионной деятельности, перечня видов деятельности, на осуществление которых требуется лицензия, и органов, уполномоченных на ведение лицензионной деятельности.
Деятельность в области защиты информации регулируются совместным решением Гостехкомиссии России и ФАПСИ от 27 апреля 1994 № 10, которым утверждено и введено в действие с 1 июня 1994 г. "Положение о государственном лицензировании деятельности в области защиты информации", а также закреплены за ними конкретные виды деятельности и области защиты информации.
В соответствии с «Перечнем видов деятельности предприятий в области защиты информации, подлежащих лицензированию ФАПСИ» лицензированию подлежит «Эксплуатация негосударственными предприятиями шифровальных средств, предназначенных для криптографической защиты информации, не содержаний сведений, составляющих государственную тайну».
В новом Федеральном законе от 8.08.2001 года№ 128-ФЗ «О лицензировании отдельных видов деятельности», который вступает в силу с февраля 2002 года и приходит на смену одноименному Федеральному закону от 25.09.1998 года № 158-ФЗ, в Перечне видов деятельности, на осуществление которых требуется лицензия, этого вида деятельности (эксплуатация СКЗИ) уже нет.
В новом законе в Перечень видов деятельности, на осуществление которых требуется лицензия, включено:
деятельность по распространению шифровальных (криптографических) средств;
деятельность по техническому обслуживанию шифровальных (криптографических) средств;
предоставление услуг в области шифрования информации;
разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем;
деятельность по выдаче сертификатов ключей электронных цифровых подписей, регистрации владельцев электронных цифровых подписей, оказанию услуг, связанных с использованием электронных цифровых подписей, и подтверждению подлинности электронных цифровых подписей;
деятельность по разработке и (или) производству средств защиты конфиденциальной информации;
деятельность по технической защите конфиденциальной информации;
деятельность по выявлению электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).
В настоящее время продолжается разработка подзаконных актов (положений, перечней), регулирующих порядок лицензирования данных видов деятельности.
Сертификация средств защиты и аттестование объектов информатизации
Конкретные средства и меры защиты информации должны разрабатываться и применяться в зависимости от уровня конфиденциальности и ценности информации, а также от уровня возможного ущерба в случае ее утечки, уничтожения, модификации или блокирования.
В настоящее время в Госстандарте России зарегистрированы три системы сертификации средств защиты:
(Гостехкомиссия России) система сертификации средств защиты информации по требованиям безопасности информации № РОСС RU . OOO 1. O 1БИ OO ;
(ФАПСИ) система сертификации средств криптографической защиты информации (система сертификации СКЗИ) №РОСС RU .0001.030001;
(ФСБ) система обязательной сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну (система сертификации СЗИ - ГТ) №РОСС RU .0001.
Кроме того, системы сертификации средств защиты разрабатываются (имеются) в Министерстве Обороны РФ и Службе внешней разведки РФ. Необходимой составляющей государственной системы обеспечения информационной безопасности являются Государственные стандарты и другие нормативно-технические и методические документы по безопасности информации, утвержденные федеральными органами государственного управления в соответствии с их компетенцией, и определяющие нормы защищенности информации и требования в различных направлениях защиты информации.
К основным стандартам и нормативно-техническим документам по вопросам обеспечения безопасности информации, в соответствии с требованиями которых осуществляется сертификация продукции и аттестация объектов информатизации по требованиям безопасности информации, сертификация средств криптографической защиты информации, относятся:
1. в области защиты информации от несанкционированного доступа;
2. комплект руководящих документов Гостехкомиссии России (утвержденных решением Председателя Гостехкомиссии России от 25 июля 1997 г.), которые в соответствии с Законом "О стандартизации" можно отнести к отраслевым стандартам, в том числе:
"Защита от несанкционированного доступа к информации. Термины и определения"
"Концепция защиты СВТ и АС от НСД к информации"
"Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации"
"Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности СВТ"
"Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации"
"Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от НСД в АС и СВТ"
"Средства антивирусной защиты. Показатели защищенности и требования по защите от вирусов"
"Защита от НСД к информации. Программное обеспечение СЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей"
ГОСТ Р 50739-95 "Средства вычислительной техники. Защита от НСД к информации. Общие технические требования"
ГОСТ Р 50922-96 «Защита информации. Основные термины и определения» и другие
3. в области защиты информации от утечки за счет побочных электромагнитных излучений и наводок (ПЭМИН):
"Нормы эффективности защиты АСУ и ЭВМ от утечки информации за счет ПЭМИН" (Решение Председателя Гостехкомиссии СССР, 1977г.)
"Специальные требования и рекомендации по защите информации, составляющей государственную тайну, от утечки по техническим каналам" (решение Гостехкомиссии России от 23.05.97 г. № 55)
ГОСТ 29339-92 "Информационная технология. Защита информации от утечки за счет ПЭМИН при ее обработке средствами вычислительной техники. Общие технические требования"
ГОСТ Р 50752-95 "Информационная технология. Защита информации от утечки за счет побочных электромагнитных излучений при ее обработке средствами вычислительной техники. Методы испытаний" методики контроля защищенности объектов ЭВТ и другие
4. в области криптографического преобразования информации при ее хранении и передаче по каналам связи:
ГОСТ 28147-89 "Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования"
ГОСТ Р 34.10-94 «Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма»
ГОСТ Р 34.10-2001 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи»
ГОСТ Р 34.11 -94 «Функция хеширования»
"Положение о разработке, изготовлении и обеспечении эксплуатации шифровальной техники, систем связи и комплексов вооружения, использующих шифровальную технику" (ПШ-93)
Положение «О порядке разработки, производства, реализации и использования средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» (ПКЗ-99) и другие
«Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» (Введена приказом ФАПСИ от 13 июня 2001 года N 152 ).
.
За последние годы достигнут существенный прогресс в развитии методов решения задачи дискретного логарифмирования, что послужило причиной разработки в 2000 - 2001 годах нового государственного стандарта ЭЦП. Новый стандарт основан на математическом аппарате эллиптических кривых. Внедрение схемы ЭЦП на базе данного стандарта повышает, по сравнению с действующей схемой, уровень защищенности передаваемых сообщений от подделок и искажений.
Стандарт ГОСТ Р 34.10-2001 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи» утвержден приказом Госстандарта от 12.09.01 № 380. Вводится в действие с 01.07.02 г.
Старый стандарт ЭЦП не отменяется. Он будет действовать еще несколько лет, но согласно письма ФАПСИ лицензиатам - разработчикам СКЗИ использование открытого ключа ЭЦП длиной 512 бит допускается только до 31 декабря 2001 года. С 1 января 2002 года длина открытого ключа ЭЦП должна быть 1024 бита.