- •Раздел 1. Технология применения программно-аппаратных средств защиты информации в многоканальных телекоммуникационных системах и сетях связи
- •Тема 1.1. Основы информационной безопасности
- •Понятие информационной безопасности, характеристика ее составляющих
- •Основные составляющие информационной безопасности
- •Важность и сложность проблемы информационной безопасности
- •Место информационной безопасности в системе национальной безопасности
- •Концептуальная модель защиты информации
- •Проблемы информационной безопасности в сфере телекоммуникаций: объекты защиты; виды защиты; системы защиты информации
- •Классификация и анализ угроз информационной безопасности в телекоммуникационных системах
- •Виды уязвимости информации и формы ее проявления
- •Понятие о конфиденциальной информации
- •Грифы, закон о государственной тайне, закон о личной тайне, закон о коммерческой тайне
- •Уровни информационной безопасности – законодательно-правовой, административно-организационный, программно-технический
- •Принципы построения систем защиты информации
- •Тема 1.2. Правовое обеспечение информационной безопасности
- •Информация как объект права. Нормативно-правовые основы информационной безопасности в рф.
- •Законодательно - нормативные акты в области обеспечения информационной безопасности, защиты государственной тайны и конфиденциальной информации.
- •Ответственность за нарушения в сфере информационной безопасности
- •Конституционные гарантии прав граждан в области информационной безопасности
- •Понятие и виды защищаемой информации по законодательству рф
- •Лицензирование и сертификация в области защиты информации
- •Стандартизация информационной безопасности
- •Тема 1.3 Организационное обеспечение информационной безопасности
- •Сущность и сферы действия организационной защиты информации
- •Механизмы обеспечения информационной безопасности
- •Разработка политики безопасности
- •Проведение анализа угроз и расчета рисков в области информационной безопасности
- •Выбор механизмов и средств обеспечения информационной безопасности
- •Модели защиты информационных систем
- •Правила организации работ подразделений защиты информации
- •Структурно-организационные меры
- •Кто отвечает за ведение кд
- •Задачи и функции службы кд
- •Организация работы персонала с конфиденциальной информацией.
Лицензирование и сертификация в области защиты информации
Необходимость введения государством механизма лицензирования и сертификации в области защиты информации (ЗИ) определяется следующими причинами:
- выполнение работ, в процессе реализации которых могут использоваться сведения, составляющие государственную тайну, может осуществляться, наряду с государственными учреждениями и организациями, - предприятиями и учреждениями негосударственного сектора, как это, впрочем, принято в большинстве цивилизованных стран;
- органы государственной власти, Вооруженные Силы и спецслужбы перестали быть исключительными потребителями средств ЗИ. Ныне эти средства в значительных объемах востребованы организациями финансово-кредитной сферы и предпринимательскими структурами. Специалисты полагают, что ЗИ информации, в частности, передаваемой по телефонным каналам связи, получат в ближайшем будущем широкое распространение среди граждан Российской Федерации.
Наиболее приемлемым, а может быть и единственно приемлемым способом воздействия государства на данную сферу, установления разумного контроля в этой области является формирование системы лицензирования.
Лицензирование - это процесс передачи или получения в отношении физических или юридических лиц прав на проведение определенных работ.
Получить право или разрешение на определенную деятельность может не каждый субъект, а только отвечающий определенным критериям в соответствии с правилами лицензирования.
Лицензия в области ЗИ - документ, дающий право на осуществление указанного вида деятельности в течении определенного времени.
Перечень видов деятельности в области ЗИ, на которые выдаются лицензии, определен Постановлением Правительства РФ - "О лицензировании отдельных видов деятельности" от 24.12.94 г. №1418. К ним, в частности, относится разработка, производство, реализация и сервисное обслуживание:
-шифровальных средств для криптографической ЗИ;
-защищенных систем телекоммуникаций;
-программных средств;
-специальных технических средств ЗИ;
-подготовка и переподготовка кадров.
Сертификация - это подтверждение соответствия продукции или услуг установленным требованиям или стандартам.
Сертификат на средство ЗИ - документ, подтверждающий соответствие средства ЗИ требованиям по безопасности информации.
Законодательной и нормативной базой лицензирования и сертификации в области ЗИ являются следующие документы.
Законы РФ:
-"О государственной тайне" № 5485-1 от 21.07.93;
-"О сертификации продукции и услуг" № 5485-1 от 10.06.93;
-"О защите прав потребителей" № 2300-1 от 07.02.92;
-"Об информации, информатизации и защите информации" № 24-ФЗ от 20.02.95;
-"О стандартизации" № 5154-1 от 10.06.93.
-"О федеральных органах правительственной связи и информации" № 4524-1 от 19.02.93.
Постановления Правительства РФ:
-"О лицензировании отдельных видов деятельности" № 1418 от 24.12.94;
-"О лицензировании деятельности предприятий..." № 333 от 15.04.95;
-"О сертификации средств ЗИ" № 608 от 26.06.95.
А также Указы Президента РФ, и ряд подзаконных актов.
Лицензирование деятельности по защите информации
Общие нормы, устанавливающие порядок организации и осуществления этой деятельности, содержатся в статье 27 Закона "О государственной тайне".
Обратим внимание на несколько принципиальных положений данной статьи:
а) лицензия выдается только на основании результатов специальной экспертизы - иными словами, проверки готовности организации к работе со сведениями, составляющими государственную тайну;
б) требуется наличие в структуре организации подразделения по защите государственной тайны и специально подготовленных сотрудников для работы по защите информации;
в) требуется наличие в организации сертифицированных средств защиты информации;
г) необходима государственная аттестация руководителей организации, ответственных за защиту сведений, составляющих государственную тайну.
Положение о лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны, действующее в настоящее время, утверждено Постановлением Правительства Российской Федерации от 15.04.95 г. № 333.
Данным Положением, в частности, установлено:
Лицензия является официальным документом, который разрешает осуществление на определенных условиях конкретного вида деятельности в течение установленного срока. Лицензия действительна на всей территории Российской Федерации, а также в учреждениях Российской Федерации, находящихся за границей.
Органами, уполномоченными на ведение лицензионной деятельности,являются:
по допуску предприятий к проведению работ, связанных с использованием сведений, составляющих государственную тайну, -Федеральная служба безопасности Российской Федерации и ее территориальные органы (на территории Российской Федерации), Служба внешней разведки Российской Федерации (за рубежом);
на право проведения работ, связанных с созданием средств защитыинформации, - Государственная техническая комиссия при Президенте РФ (Гостехкомиссия), Федеральное агентство правительственной связи и информации при Президенте РФ (в пределах их компетенции);
на право осуществления мероприятий и (или) оказания услуг в области защиты государственной тайны — Федеральная служба безопасности Российской Федерации и ее территориальные органы, Федеральное агентство правительственной связи и информации при Президенте РФ (ФАПСИ), Гостехкомиссия, Служба внешней разведки РФ (в пределах их компетенции).
Лицензирование деятельности предприятий Федеральной службы безопасности РФ, Министерства обороны РФ, ФАПСИ, Федеральной пограничной службы Российской Федерации, Службы внешней разведки Российской Федерации Гостехкомиссии по допуску к проведению работ, связанных с использованием сведений, составляющих государственную тайну, осуществляется руководителями министерств и ведомств РФ, которым подчинены указанные предприятия.
Срок действия лицензии устанавливается в зависимости от специфики вида деятельности, но не может быть менее трех и более пяти лет.
Продление срока действия лицензии производится в порядке, установленном для ее получения. На каждый вид деятельности выдается отдельная лицензия.
Основанием для отказа в выдаче лицензии является:
наличие в документах, представленных заявителем, недостоверной или искаженной информации;
отрицательное заключение экспертизы, установившей несоответствие необходимым для осуществления заявленного вида деятельности условиям;
отрицательное заключение по результатам государственной аттестации руководителя предприятия.
Специальные экспертизы предприятий выполняются по следующим направлениям:
а) режим секретности;
б) противодействие иностранной технической разведке;
в) защита информации от утечки по техническим каналам. Экспертные комиссии формируются при Федеральной службе безопасности РФ в территориальных органах безопасности, Гостехкомиссии, ФАПСИ и их органах на местах и аттестационных центрах.
В настоящее время заниматься лицензированием и сертификацией в области защиты информации в нашей стране поручено двум ведомствам -ФАПСИ и Гостехкомиссии.
Система лицензирования ФАПСИ построена на следующих основных принципах:
1. Лицензирование в области ЗИ является обязательным.
2.Деятельность в области ЗИ физических и юридических лиц, не прошедших лицензирование, запрещена (с применением соответствующих статей ГК и УК к нарушителям).
З.Лицензирование в области ЗИ осуществляется ФАПСИ.
4.Лицензии на право деятельности в области ЗИ выдаются ФАПСИ только юридическим лицам независимо от организационно - правовой формы (физические лица не в состоянии удовлетворить требованиям ФАПСИ).
5.Лицензии выдаются только предприятиям, зарегистрированным на территории РФ.
6.Лицензии ФАПСИ выдаются только на основании специальной экспертизы заявителя на соответствие предъявляемым к предприятию требованиям и аттестации руководителя предприятия.
7.Для получения лицензии предприятие обязано предъявить определенный перечень документов.
К заявлению на получение лицензии необходимо приложить, например, следующие документы:
-копия свидетельства о государственной регистрации предприятия;
-копии учредительных документов, заверенных нотариусом;
-копии документов на право собственности или аренды имущества, необходимого для ведения заявленной деятельности;
-справка налогового органа о постановке на учет;
-представление органов государственной власти РФ с ходатайством о выдаче лицензии;
-документ, подтверждающий оплату рассмотрения заявления.
Проведение экспертизы осуществляется экспертными комиссиям* Лицензионного центра ФАПСИ либо аттестационными центрами.
Например, к коммерческому банку, претендующему на получение лицензии на эксплуатацию шифровальных средств для защиты конфиденциальной информации, ФАПСИ предъявляет требования по:
наличию и составу необходимых аппаратно-программных средств и помещений;
размещению, охране и специальному оборудованию помещений, в которых находятся средства криптографической ЗИ;
обеспечению режима и порядка доступа к средствам криптографической ЗИ;
обеспечению необходимой технической и эксплуатационной документацией;
уровню квалификации и подготовленности специалистов в области защиты и эксплуатации автоматизированных систем (АС);
режиму эксплуатации и хранения средств криптографической ЗИ.
Система лицензирования ФАПСИ обеспечивает в отношении АС выполнение 3 основных требований к защищаемой информации:
-доступность;
-целостность;
-конфиденциальность.
Лицензирование в области производства средств ЗИ и на предмет предоставления услуг в области ЗИ производится по тем же принципам, за исключением того, что не во всех случаях здесь речь идет о работе со сведениями, составляющими государственную тайну. Поэтому при производстве средств ЗИ прежде всего проверяется научный и технологический потенциал, имеющийся у предприятия-производителя, другие производственные факторы, а также наличие и действенность системы безопасности. По организациям, оказывающим услуги в области ЗИ, может идти речь о мероприятиях по проверке компьютерной и оргтехники в отношении опасных в информационном плане излучений и наличия несанкционированных устройств, проверке помещений на предмет наличия в них устройств скрытого съема информации и т.д.
Сертификация средств зашиты информации
Национальным органом по сертификации является Госстандарт РФ. Госстандартом в 1994 г. утверждены "Правила по проведению сертификации в РФ", в соответствии с которыми целями сертификации являются:
•создание условий для деятельности предприятий и предпринимателей на товарном рынке РФ и участия в международной торговли;
•содействие потребителям в компетентном выборе продукции;
•содействие экспорту и повышение конкурентоспособности продукции;
•защита потребителя от недобросовестности изготовителя (продавца, исполнителя);
•контроль безопасности продукции для окружающей среды, жизни и имущества;
•подтверждение показателей качества продукции, заявленных изготовителями.
Сертификация средств ЗИ прежде всего подразумевает проверку их качественных характеристик для реализации основной функции - защиты информации на основании государственных стандартов и требований по безопасности информации.
Применительно к сведениям, составляющим государственную тайну, общие принципы организации сертификации средств ЗИ определены нормами статьи 28 Закона "О государственной тайне" - средства защиты информации должны иметь сертификат, удостоверяющий их соответствие требованиям по защите сведений соответствующей степени секретности.
Организация сертификации средств ЗИ возлагается на Гостехкомиссию, ФАПСИ, Министерство обороны РФ в соответствии с функциями, возложенными на них законодательством РФ. Сертификация осуществляется на основании требований государственных стандартов РФ и иных нормативных документов, утверждаемых Правительством РФ.
Одним из основных руководящих документов по сертификации ЗИ в настоящее время является Положение о сертификации средств ЗИ, утвержденное Постановлением Правительства РФ от 25.06.95 г. № 608, реализующим нормы Закона "О сертификации продукции и услуг".
Порядок проведения сертификации ФАПСИ основан на следующих принципах:
1.Обязанность сертификации изделий, обеспечивающих защиту ГТ. 2.Обязательность использования криптографических алгоритмов, являющихся стандартами.
3.Принятие на сертификацию только изделий от заявителей, имеющих лицензию ФАПСИ.
Таким образом, в соответствии с вышеназванными документами разработаны и введены в действие перечни средств защиты информации, подлежащих обязательной сертификации; государственным организациям и предприятиям запрещено использование в информационных системах шифровальных средств (в т.ч. электронной подписи и защищенных технических средств хранения, обработки и передачи информации), не имеющих сертификата ФАПСИ.
Кроме этого в области информационных технологий действуют системы добровольной сертификации банковских технологий (МЕКАС) и средств связи.
В ФАПСИ осуществляется следующий порядок сертификации:
1.В Центральный орган по сертификации ФАПСИ подается заявление и полный комплект технической документации.
2.Цетральный орган назначает испытательный центр (лабораторию) для проведения испытания.
З.Испытания проводятся на основании хозяйственного договора между заявителем и испытательным центром.
4. Сертификация (экспертиза материалов и подготовка документов для выдачи) осуществляется Центральным органом.
Сертификат выдается на срок до 5 лет.
Кроме указанных выше целей сертификация средств ЗИ необходима также для решения вопросов экономической безопасности предприятия в связи с постоянным ростом компьютерных преступлений (КП).
Правовой основой предупреждения КП является Указ Президента РФ "О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставление услуг в области шифрования информации" № 334 от 03,04.95 г.
Приведем некоторые выдержки из данного указа:
-государственным организациям и предприятиям запрещено использование шифровальных средств, технических средств хранения, обработки и передачи информации, не имеющих сертификата;
-запрещено размещение государственных заказов на предприятиях, в организациях, использующих указанные средства, не имеющие сертификата ФАПСИ;
-ЦБР совместно с ФАПСИ принять меры к коммерческим банкам не использующих сертифицированных ФАПСИ средств при их информационном взаимодействии с ЦБР;
-запретить деятельность физических и юридических лиц в области шифровальных и защищенных средств без лицензии ФАПСИ;
-запретить ввоз на территорию России не лицензированных шифровальных средств и защищенной техники иностранного производства;
-создать при ФАПСИ Федеральный центр защиты экономической информации (для планирования комплексных программ экономической безопасности российских финансовых структур).
Лицензирование и сертификация в области международного информационного обмена
Вопросы международного обмена конфиденциальной информацией регулируются федеральным законом "Об участии в международном информационном обмене" № 85-ФЗ от 4.07.96 г.
В статье 9 этого закона записано.
Защита конфиденциальной информации государством распространяется только на ту деятельность по международному информационному обмену, которую осуществляют физические и юридические лица, обладающие лицензией на работу с конфиденциальной информацией и использующие сертифицированные средства международного информационного обмена.
В статье 17 говорится о сертификации информационных продуктов, информационных услуг и средств международного информационного обмена.
При ввозе информационных продуктов в РФ импортер предоставляет сертификат, на соответствие данных продуктов требованиям договора.
Средства международного информационного обмена, обрабатывающие информацию с ограниченным доступом подлежат обязательной сертификации.
В статье 18 говорится о лицензировании деятельности по международному информационному обмену.
Деятельность по международному информационному обмену в РФ подлежит лицензированию, если в результате этой деятельности за пределы РФ вывозятся государственные информационные ресурсы либо ввозятся для их пополнения.