- •Обобщенная схема системы передачи информации, принципы формирования угроз информационной безопасности.
- •Основные направления защиты информации от утечки по техническим каналам.
- •Классификация методов и средств защиты информации от утечки по техническим каналам.
- •Организационные и технические мероприятия по защите информации.
- •Выявление портативных электронных устройств перехвата информации (закладных устройств).
- •Классификация методов и средств защиты информации, обрабатываемой тспи, от утечки по техническим каналам.
- •Экранирование технических средств.
- •Электростатическое;
- •Магнитостатическое;
- •Электромагнитное.
- •Заземление технических средств.
- •Фильтрация информационных сигналов.
- •Пространственное и линейное зашумление.
- •11. Классификация методов и средств защиты речевой информации.
- •12. Звукоизоляция помещений.
- •13. Методы и средства обнаружения и подавления диктофонов и акустических закладок.
- •14. Классификация методов и средств защиты телефонных линий.
- •15. Ограничение и фильтрация опасных сигналов.
- •16. Активные методы защиты телефонных разговоров от перехвата.
- •17. Классификация демаскирующих признаков электронных устройств перехвата информации.
- •18. Классификация методов и средств поиска электронных устройств перехвата информации.
- •19. Индикаторы поля, интерсепторы и радиочастотомеры.
- •20. Обнаружители диктофонов и видеокамер.
- •21. Сканерные приемники, анализаторы спектра, программно-аппаратные и специальные комплексы контроля.
- •22. Средства контроля проводных линий, их назначение, принципы действия, структурные схемы, характеристики.
- •23. Нелинейные локаторы, металлоискатели, обнаружители пустот и рентгеновские аппараты, их назначение, принципы действия, структурные схемы, характеристики.
- •24. Методы поиска радиозакладок с использованием индикаторов поля, интерсепторов и радиочастотомеров.
- •25. Методы поиска электронных устройств перехвата информации с использованием сканерных приемников и программно-аппаратных комплексов контроля.
- •26. Методы контроля проводных линий.
- •27. Методы поиска электронных устройств перехвата информации с использованием нелинейных локаторов и рентгеновских комплексов.
- •28. Государственное лицензирование деятельности в области защиты информации.
- •30. Аттестование объектов информатизации.
28. Государственное лицензирование деятельности в области защиты информации.
Основные принципы, организационную структуру системы государственного лицензирования деятельности юридических лицпредприятий, организаций и учереждений независимо от их организационно-прававой формы по защите информации, циркулирующей в технических средствах и помещениях, получивших лицензию, устанавливает Положение о государственном лицензировании в области зашиты информации от 27 апреля 1994г. №10.
В положении используется следующие основные понятия:
лицензирование в области защиты информации - деятельность, заключается в передаче или получении прав на проведение работ в области защита информации;
лицензия в области защиты информации - оформленное соответсвующим образом разрешение на право проведения тех или иных работ в области защиты информации;
лицензиат в области защиты информации – сторона, получивщая право на проведение работ в области защита информации;
защита информации – комплекс мероприятий, проводимых с целью предотвращения утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), несанкионированного копирования, блокирования информации и т.п.;
эффективность защиты информации – степень соответствия достигнутых результатов действий по защиты информации поставленной цели защиты;
безопасность информации - состояние информации, информационных ресурсов и информационных систем, при котором с требуемой вероятностью обеспечивается защита информации (данных) от утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), копирования, блокирования и т.п.;
шифровальные средства:
реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства, системы и комплексы, предназначенные для защиты информации (в т.ч. и входящие в системы и комплексы защиты информации от НСД), циркулирующей в технических средствах, при ее обработке, хранении и передаче по каналам связи, включая шифровальную технику;
реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства, системы и комплексы защиты от навязывания ложной информации, включая средства имитозащиты и "электронной подписи";
аппаратные, программные и аппаратно-программные средства, системы и комплексы, предназначенные для изготовления и распределения ключевых документов, используемых в шифровальных средствах, независимо от вида носителя ключевой информации;
охраняемые сведения - сведения, составляющие государственную и иную охраняемую законом тайны;
аттестование объекта в защищенном исполнении - официальное подтверждение наличия на объекте защиты необходимых и достаточных условий, обеспечивающих выполнение установленных требований руководящих документов и норм эффективности защиты информации;
техническое средство обработки информации (ТСОИ) - техническое средство, предназначенное для приема, накопления, хранения, поиска, преобразования, отображения и передачи информации по каналам связи.
Система государственного лицензирования деятельности предприятий в области защиты информации является составной частью государственной системы защиты информации.
Деятельность системы лицензирования организуют государственные органы по лицензированию, которыми являются Государственная техническая комиссия при Президенте Российской Федерации (Гостехкомиссия России) и Федеральное агентство правительственной связи и информации при Президенте Российской Федерации (ФАПСИ).
Государственные органы по лицензированию в пределах их компетенции, установленной законодательством Российской Федерации, осуществляют лицензирование деятельности в области защиты информации в соответствии с перечнями видов деятельности, приведенными в табл. 7.1 и 7.2.
Лицензия на право деятельности по защите информации (далее-лицензия) выдается предприятию государственным органом по лицензированию по представлению органа государственной власти Российской Федерации на конкретные виды деятельности на три года, по истечении которых осуществляется ее перерегистрация в порядке, установленном для выдачи лицензии.
Лицензия выдается подавшему заявку на ее получение предприятию-заявителю, располагающему производственной и испытательной базой, нормативной и методической документацией, научным и инженерно-техническим персоналом, при условии их соответствия требованиям государственного органа по лицензированию на основании результатов экспертизы деятельности предприятия по заявленному направлению работ. С этими требованиями заявитель имеет право ознакомиться в государствениом органе по лицензированию.
Для получения лицензии представляются: заявление; представление органа государственной власти Российской Федерации; материалы экспертизы, подтверждающие наличие необходимых условий для проведения работ по заявленным видам деятельности, а также профессиональную пригодность руководителя предприятия-заявителя или лиц, уполномоченных им для руководства лицензируемой деятельностью; копии документов о государственной регистрации предпринимательской деятельности и устава предприятия.
Отказ в выдаче лицензии производится в случаях, если:
• отсутствуют необходимые условия для проведения работ по заявленному виду деятельности;
• профессиональная подготовка руководителя предприятия-заявителя или лиц, уполномоченных им для руководства лицензируемой деятельностью, не соответствует установленным требованиям;
• в представленных для получения лицензии документах указаны недостоверные сведения;
• заявитель в установленном законом порядке признан виновным в недобросовестной конкуренции в лицензируемой деятельности.
Перечень видов деятельности предприятий в области защиты информации, подлежащих лицензированию Гостехкомиссией России
Предприятия, осуществляющие деятельность по защите информации, виды которой указаны в табл. 7.1 и 7.2, без лицензии, несут ответственность, предусмотренную законодательством Российской Федерации.
Организационную структуру системы государственного лицензирования деятельности предприятий в области защиты информации образуют: государственные органы по лицензированию; лицензионные центры; предприятия-заявители.
Государственные органы по лицензированию в пределах своей компетенции осуществляют следующие функции:
• организуют обязательное государственное лицензирование деятельности предприятий;
• выдают государственные лицензии предприятиям-заявителям;
• осуществляют научно-методическое руководство лицензионной деятельностью;
• утверждают перечни лицензионных центров;
• согласовывают составы экспертных комиссий, представляемые лицензионными центрами;
• осуществляют контроль и надзор за полнотой и качеством проводимых лицензиатами работ в области защиты информации;
• обеспечивают публикацию необходимых сведений о лицензионной деятельности;
• рассматривают спорные вопросы, возникающие в ходе экспертизы предприятия-заявителя.
Лицензионные центры осуществляют следующие функции:
• формируют экспертные комиссии и представляют их состав на согласование с руководителями соответствующих государственных органов по лицензированию и отраслей промышленности;
• планируют и проводят работы по экспертизе заявителей;
• контролируют полноту и качество выполненных лицензиатами работ;
• систематизируют отчеты лицензиатов и ежегодно представляют сводный отчет в соответствующие государственные органы по лицензированию;
• принимают участие в работе соответствующих государственных органов по лицензированию при рассмотрении спорных вопросов, возникающих в процессе экспертизы предприятия-заявителя, и фактов некачественной работы лицензиатов.
Лицензионные центры могут создаваться при государственных органах по лицензированию, в регионах и отраслях промышленности (ведомствах) Российской Федерации.
Лицензионные центры при государственных органах по лицензированию создаются приказами руководителей этих органов. Отраслевые лицензионные центры создаются совместными решениями руководителей комитетов (министерств) и соответствующих государственных органов по лицензированию. Региональные лицензионные центры создаются совместными решениями органов регионального управления и соответствующих государственных органов по лицензированию. Организация взаимодействия отраслевых, региональных лицензионных центров с соответствующими органами управления отражается в указанных решениях.
Лицензионные центры могут формироваться из состава специальных центров Гостехкомиссии России, центров правительственной связи ФАПСИ, отраслевых и региональных учреждений, предприятий и организаций по защите информации.
Для всестороннего обследования предприятий-заявителей с целью оценки их возможностей проводить работы по защите информации в избранном направлении при лицензионных центрах создаются экспертные комиссии. Они формируются из числа компетентных в соответствующей области защиты информации специалистов отраслей промышленности, Вооруженных Сил, органов государственного управления, других организаций и учреждений. Экспертные комиссии создаются по одному или нескольким направлениям защиты информации.
Лицензиаты обязаны:
• осуществлять свою деятельность в строгом соответствии с требованиями нормативных документов по защите информации;
• обеспечивать тайну переписки, телефонных переговоров, документальных и иных сообщений физических и юридических лиц, пользующихся их услугами;
• ежегодно представлять непосредственно в государственный орган по лицензированию или в лицензионный центр сведения о количестве выполненных работ по конкретным видам указанной в лицензии деятельности.
Лицензиаты имеют право пользоваться нормативно-методическими документами соответствующих государственных органов по лицензированию, обращаться к ним за необходимыми консультациями и содействием, а также ссылаться в официальных документах и рекламных материалах на полученную лицензию.
Лицензиаты несут юридическую и финансовую ответственность за полноту и качество выполнения работ и обеспечение сохранности государственных и коммерческих секретов, доверенных им в ходе практической деятельности.
Предприятия-потребители имеют право обращаться:
• в государственный орган по лицензированию или в лицензионный центр с рекламациями на некачественно выполненные лицензиатами работы по защите информации;
• в судебные органы в установленном порядке.
Порядок проведения лицензирования предприятий-заявителей в области защиты информации включает следующие действия:
• проведение экспертизы заявителя;
• подачу, рассмотрение заявления на лицензирование, оформление и выдачу лицензий;
• продление срока действия лицензий;
• учет лицензиатов и информирование в сфере лицензирования.
Экспертиза предприятия-заявителя осуществляется экспертной комиссией соответствующего лицензионного центра на основании заявки предприятия, содержащей лицензируемые виды деятельности и перечни необходимых для их обеспечения производственного и испытательного оборудования, нормативной и методической документации, имеющейся на предприятии. Результатом работы комиссии является экспертное заключение, в котором дается оценка возможности заявителя осуществлять работы в избранном виде деятельности по защите информации. Заключение утверждается руководителем соответствующего лицензионного центра и действует в течение трех месяцев со дня его выдачи.
Экспертиза проводится на основе хозяйственного договора между лицензионным центром и предприятием-заявителем. Оплата работы членов экспертной комиссии проводится лицензионным центром.
Заявление на получение лицензии подается в государственный орган по лицензированию и принимается к рассмотрению только при наличии всех требуемых документов.
Орган, выдающий лицензию, вправе провести проверку достоверности представляемых сведений.
Оформление лицензии и ее выдача (уведомление об отказе в выдаче) производится в тридцатидневный срок со дня подачи заявления со всеми необходимыми документами.
Для рассмотрения спорных вопросов, возникающих при экспертизе предприятия-заявителя, может проводиться дополнительная независимая экспертиза. Состав экспертной комиссии формируется государственным органом по лицензированию по согласованию с предприятием-заявителем. Заключение экспертной комиссии является определяющим для принятия соответствующего решения в связи с заявлением о выдаче лицензии.
Время, затраченное на экспертизу, в срок, установленный для выдачи лицензии, не включается.
Финансирование издержек за проведение дополнительной независимой экспертизы несет сторона, признанная виновной в конфликте.
Действия органов, осуществляющих лицензирование, могут быть обжалованы в судебных органах в установленном порядке.
Органы, выдавшие лицензию, приостанавливают или прекращают действие лицензии досрочно в случаях:
• по заявлению владельца лицензии;
• ликвидации юридического лица иди прекращения действия документа об индивидуальной трудовой деятельности;
• несоблюдения владельцем лицензии условий по поддержанию нормативной базы и техничекой оснащенности на уровне требований по обеспечению безопасности информации;
• несообщения в установленные сроки органу, выдавшему лицензию, информации, предусмотренной Положением.
О приостановлении или прекращении действия лицензии ее владелец информируется в письменном виде органом, выдавшим лицензию, не позднее пяти дней со дня принятия решения. В десятидневный срок после получения уведомления владелец лицензии обязан сдать ее в орган, выдавший лицензию.
Учет лицензиатов ведется госудаственными органами по лицинзированию на основании сведений, поступающих от лицензионных центров.
Контроль и надзор за полнотой и качеством проводимых лицензиатами работ в области защиты информации осуществляется:
• Гостехкомиссией России, ФАПСИ и отраслевыми органами контроля в пределах их компетенции входе плановых проверок состояния защиты информации на предприятиях-потребителях, воспользовавшихся услугами лицензиатов;
• при контроле государственными органами по лицензированию и лицинзионными центрами качества выполненых лицензиатами работ по рекламациям предприятий-потребителей.
29. Сертификация средств защиты информации.
Порядок сертификации средств защиты информации в Российской Федерации и ее учреждениях за рубежом устанавливает Положение о сертификации средств защиты информации.
Технические, крииптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации является средствами защиты информации.
Указанные средства подлежат обязательной сертификации, которая проводится в рамках систем сертификации средств защиты информации.
Система сертификации средств защиты информации представляет собой совокупность участков сертификации, осуществляющих ее по установленным правилам (далее именуется - система сертификации). Системы сертификации создаются Государственной технической комиссией при Президенте Российской Федерации, Федеральным агентством правительственной связии информации при Президенте Российской Федерации, Федеральной службой безопасности Российской Федерации, Министерством обороны Российской Федерации, полномочными проводить работы по сертификации средств защиты информации в пределах компетенции, определенной для них законодательными и иными нормативными актами Российской Федерации (далее именуются - федеральные органы по сертификации).
Сертификация средств защиты информации осуществляется на основании требований государственных стандартов, нормативных документов, утверждаемых Правительством Российской Федерации и федеральными органами по сертификации в пределах их компетенции.
Координацию работ по организации сертификации средств защиты информации осуществляет Межведомственная комиссия по защите государсьвенной тайны (далее именуется – Межведомственная комиссия) (Функции Межведомственной комиссии по защите государственной тайны в соответствии с указом Президента Российской Федерации от 30 марта 1994 года № 614 временно возложены на Гостехкомиссиию Российской Федерации).
В каждой системе сертификации разрабатываются и согласовываются с Межведомственной комиссией положение об этой системе сертификации, а также перечень средств защиты информации, подлежащих сертификации, и требования, которым эти средства защиты должны удовлетворять.
Участниками сертификации средств защиты информации являются:
федеральный орган по сертификации;
центральный орган системы сертификации (создаваемый при необходимости) – орган, возглавляющий систему сертификации однородной продукции;
органы по сертификации средств защиты информации – органы проводящие сертификацию определенной продукции;
испытательные лаборатории – лаборатории, проводящие сертификационные испытания (отдельные виды этих испытаний) определенной продукции;
изготовители – продавцы, исполнители продукции.
Центральные органы системы сертификации, органы по сертификации средств защиты информации и испытательные лаборатории проходят аккредитацию на право проведения работ по сертификации, в ходе которой федеральные органы по сертификации определяют возможности выполнения этими органами и лабораториями работ по сертификации средств защиты информации и оформляют официальное разрешение на право проведения указанных работ. Аккредитация проводится только при наличии у указанных органов и лабораторий лицензии на соответствующие виды деятельности.
Федеральный орган по сертификации в пределах своей компетенции:
• создает системы сертификации, осуществляет выбор способа подтверждения соответствия средств защиты информации требованиям нормативных документов;
• устанавливает правила аккредитации центральных органов систем сертификации, органов по сертификации средств защиты информации и испытательных лабораторий;
• определяет центральный орган для каждой системы сертификации;
• выдает сертификаты и лицензии на применение знака соответствия;
• ведет государственный реестр участников сертификации и сертифицированных средств защиты информации;
• осуществляет государственные контроль и надзор за соблюдением участниками сертификации правил сертификации и за сертифицированными средствами защиты информации, а также устанавливает порядок инспекционного контроля;
• рассматривает апелляции по вопросам сертификации;
• представляет на государственную регистрацию в Комитет Российской Федерации по стандартизации, метрологии и сертификации системы сертификации и знак соответствия;
• устанавливает порядок признания зарубежных сертификатов;
• приостанавливает или отменяет действие выданных сертификатов.
Центральный орган системы сертификация:
• организует работы по формированию системы сертификации и руководство ею, координирует деятельность органов по сертификации средств защиты информации и испытательных лабораторий, входящих в систему сертификации;
• ведет учет входящих в систему сертификации органов по сертификации средств защиты информации и испытательных лабораторий, выданных и аннулированных сертификатов и лицензий на применение знака соответствия;
• обеспечивает участников сертификации информацией о деятельности системы сертификации.
При отсутствии в системе сертификации центрального органа его функции выполняются федеральным органом по сертификации.
Органы по сертификации средств защиты информации:
• сертифицируют средства защиты информации, выдают сертификаты и лицензии на применение знака соответствия с представлением копий в федеральные органы по сертификации и ведут их учет;
• приостанавливают либо отменяют действие выданных ими сертификатов и лицензий на применение знака соответствия;
• принимают решение о проведении повторной сертификации при изменениях в технологии изготовления и конструкции (составе) сертифицированных средств защиты информации;
• формируют фонд нормативных документов, необходимых для сертификации;
• представляют изготовителям по их требованию необходимую информацию в пределах своей компетенции.
Испытательные лаборатории проводят сертификационные испытания средств защиты информации и по их результатам оформляют заключения и протоколы, которые направляют в соответствующий орган по сертификации средств защиты информации и изготовителям. Испытательные лаборатории несут ответственность за полноту испытаний средств защиты информации и достоверность их результатов.
Изготовители:
• производят (реализуют) средства защиты информации только при наличии сертификата;
• извещают орган по сертификации, проводивший сертификацию, об изменениях в технологии изготовления и конструкции (составе) сертифицированных средств защиты информации;
• маркируют сертифицированные средства защиты информации знаком соответствия в порядке, установленном для данной системы сертификации;
• указывают в сопроводительной технической документации сведения о сертификации и нормативных документах, которым средства защиты информации должны соответствовать, а также обеспечивают доведение этой информации до потребителя;
• применяют сертификат и знак соответствия, руководствуясь законодательством Российской Федерации и правилами, установленными для данной системы сертификации;
• обеспечивают соответствие средств защиты информации требованиям нормативных документов по защите информации;
• обеспечивают беспрепятственное выполнение своих полномочий должностными лицами органов, осуществляющих сертификацию, и контроль за сертифицированными средствами защиты информации;
• прекращают реализацию средств защиты информации при несоответствии их требованиям нормативных документов или по истечении срока действия сертификата, а также в случае приостановки действия сертификата или его отмены.
Изготовители должны иметь лицензию на соответствующий вид деятельности.
Изготовитель для получения сертификата направляет в орган по сертификации средств защиты информации заявку на проведение сертификации, к которой могут быть приложены схема проведения сертификации, государственные стандарты и иные нормативные и методические документы, требованиям которых должны соответствовать сертифицируемые средства защиты информации.
Орган по сертификации средств защиты информации в месячный срок после получения заявки направляет изготовителю решение о проведении сертификации с указанием схемы ее проведения, испытательной лаборатории, осуществляющей испытания средств защиты информации, и нормативных документов, требованиям которых должны соответствовать сертифицируемые средства защиты информации, а при необходимости - решение о проведении и сроках предварительной проверки производства средств защиты информации.
Для признания зарубежного сертификата изготовитель направляет его копию и заявку на признание сертификата в федеральный орган по сертификации, который извещает изготовителя о признании сертификата или необходимости проведения сертификационных испытаний в срок не позднее одного месяца после получения указанных документов. В случае признания зарубежного сертификата федеральный орган по сертификации оформляет и выдает изготовителю сертификат соответствия установленного образца. Сертификация импортируемых средств защиты информации проводится по тем же правилам, что и отечественных.
Основными схемами проведения сертификации средств защиты информации являются:
единичных образцов средств защиты информации - проведение испытаний этих образцов на соответствие требованиям по защите информации;
для серийного производства средств защиты информации - проведение типовых испытаний образцов средств защиты информации на соответствие требованиям по защите информации и последующий инспекционный контроль за стабильностью характеристик сертифицированных средств защиты информации, определяющих выполнение этих требований.
Кроме того, допускается предварительная проверка производства по специально разработанной программе. Срок действия сертификата не может превышать пяти лет.
Испытания сертифицируемых средств защиты информации проводятся на образцах, технология изготовления и конструкция (состав) которых должны соответствовать образцам, поставляемым потребителю (заказчику).
В отдельных случаях по согласованию с органом по сертификации средств защиты информации допускается проведение испытаний на испытательной базе изготовителя. При этом орган по сертификации средств защиты информации определяет условия, необходимые для обеспечения объективности результатов испытаний. В случае отсутствия к началу проведения сертификации аккредитованных испытательных лабораторий орган по сертификации средств защиты информации определяет возможность, место и условия проведения испытаний, обеспечивающие объективность их результатов.
Сроки проведения испытаний устанавливаются договором между изготовителем и испытательной лабораторией.
Изготовителю должна быть предоставлена возможность ознакомиться с условиями испытаний и хранения образцов средств защиты информации в испытательной лаборатории.
При несоответствии результатов испытаний требованиям нормативных и методических документов по защите информации орган по сертификации средств защиты информации принимает решение об отказе в выдаче сертификата и направляет изготовителю мотивированное заключение.
В случае несогласия с отказом в выдаче сертификата изготовитель имеет право обратиться в центральный орган системы сертификации, федеральный орган по сертификации или в Межведомственную комиссию для дополнительного рассмотрения полученных при испытаниях результатов.
Федеральный орган по сертификации и органы по сертификации средств защиты информации имеют право приостанавливать или аннулировать действие сертификата в следующих случаях:
• изменения нормативных и методических документов по защите информации в части требований к средствам защиты информации, методам испытаний и контроля;
• изменения технологии изготовления, конструкции (состава), комплектности средств защиты информации и системы контроля их качества;
• отказа изготовителя обеспечить беспрепятственное выполнение своих полномочий лицами, осуществляющими государственные контроль и надзор, инспекционный контроль за сертификацией и сертифицированными средствами защиты информации.
Порядок оплаты работ по обязательной сертификации средств защиты информации определяется федеральным органом по сертификации по согласованию с Министерством финансов Российской Федерации. Оплата работ по сертификации конкретных средств защиты информации осуществляется на основании договоров между участниками сертификации.
Инспекционный контроль за сертифицированными средствами защиты информации осуществляют органы, проводившие сертификацию этих средств защиты информации.
При возникновении спорных вопросов в деятельности участников сертификации заинтересованная сторона может подать апелляцию в орган по сертификации средств защиты информации, в центральный орган системы сертификации, в федеральный орган по сертификации или в Межведомственную комиссию. Указанные организации в месячный срок рассматривают апелляцию с привлечением заинтересованных сторон и извещают подателя апелляции о принятом решении.
Органы, осуществляющие сертификацию средств защиты информации, несут ответственность, установленную законодательством Российской Федерации, за выполнение возложенных на них обязанностей, обеспечение защиты государственной тайны и других