Козьминых С.И. Организация защиты информации в ОВД. Ч. 2
.pdf101
самый ненадежный элемент защиты, самый опасный потенциальный нарушитель, самаяважнаяинформация. Этипоказателимогутбытьназваныэкстремальными.
Большое значение для оценки защищенности информации имеет временной интервал, относительно которого оценивается защищенность. Несмотря на то, что время является категорией сугубо непрерывной, для рассматриваемых целей как параметр защищенности его можно структурировать, выделив интервалы для анализа и оценки уровня защищенности информации. Такие интервалы можно подразделять:
–наоченьмалыеинтервалы, которыеможносчитатьточками;
–малые интервалы, которые нельзя сводить к точке, но происходящие процессынакоторыхотносительнорешаемыхзадачможносчитатьоднородными;
–большие интервалы, которые нельзя считать малыми, но по которым заранее можно определить состояние каждого структурного компонента на каждом малом интервале;
–очень большие интервалы, для которых не может быть выполнено условие больших интервалов, но по которым с достаточной точностью все же можно прогнозировать последовательность и содержание функционирования основных компонентовсистемызащитыинформации;
–бесконечно большие интервалы, для которых не представляется возможным выполнитьусловиесуществованияоченьбольшихинтервалов.
Существуют три методологических подхода к решению задачи оценки защи-
щенности информации: чисто эмпирический, строго теоретический и теорети- ко-эмпирический.
Чисто эмпирический подход заключается в том, что на основе длительного сбора и обработки фактических данных о реальных проявлениях угроз информации и размерах причиненного ущерба устанавливаются зависимости между потенциально возможным ущербом и коэффициентами, характеризующими частоту проявления соответствующей угрозы, а также значение имевшегося при ее проявлении размера ущерба. Наиболее характерным примером для данного подхода является методика, разработанная специалистами IBM. Рассмотрим развиваемые в этихмоделяхподходы.
Исходной посылкой при разработке моделей является почти очевидное предположение: с одной стороны, при нарушении защищенности информации наносится некоторый ущерб, с другой – обеспечение защиты информации сопряжено с расходованием средств. Ожидаемая полная стоимость защиты может составлять суммуизрасходовназащитуипотерьотеенарушения.
Решение первого вопроса (т.е. оценки ожидаемых потерь при нарушении защищенности информации) принципиально может быть получено лишь тогда, когда речь идет о защите промышленной, коммерческой или подобной тайны, хотя и здесь встречаются большие трудности. В оценке уровня потерь при нарушении статуса защищенности информации, содержащей государственную тайну, строгие подходы к ее получению пока не найдены. Данное обстоятельство существенно сужает возможную область использования моделей, основанных на рассматриваемыхподходах.
Для определения уровня затрат, обеспечивающих требуемый уровень защищенности информации, необходимо знать: во-первых, полный перечень угроз информации, во-вторых, потенциальную опасностьдля информации каждой из угроз; в-третьих, размерызатрат, необходимыхдлянейтрализациикаждойизугроз.
102
Строго теоретический подход основывается на посылке потенциально возможных проявлений угроз и размеров потенциально возможного ущерба, рассматриваемых как случайные события, а потому могут быть охарактеризованы законамираспределенияичисловымихарактеристиками.
Пример данного подхода рассмотрен на основе динамической модели оценки потенциальных угроз. Суть данной модели на содержательном уровне может быть представленаследующимобразом:
1.Введено понятие «среднего коэффициента возможного проявления угрозы» каждого типа, рассматриваемого как случайная переменная с известным распределением вероятностей. Функция распределения должна определяться на основе обработки статистических данных, собираемых в процессе реального функционированияОИ.
2.Сделано предположение, что количество проявлений угрозы в течение фиксированного периода времени (например, одного года) зависит только от продолжительности периода наблюдения и среднего коэффициента проявления, в силу чегодлячислапроявленияугрозсправедливымпризнанораспределениеПуассона.
3.По ряду значений числа угроз, полученных для интервалов различной продолжительности, распределение среднего коэффициента представляют в виде гам- ма-распределения с параметрами, характеризующими эффективность защиты и определяемымиповполнеопределеннымрекуррентнымзависимостям.
4.На основе интегрирования двух названных выше распределений получают безусловное распределение вероятностей числа проявлений угрозы за заданный периодвремени.
Выкладкидляоценкиожидаемогоущербавыглядятследующимобразом:
– первоначально рассматривается средний ущерб от проявления угроз и принимается нормальнаяфункцияегораспределения;
– по данным наблюдения за проявлениями угроз и размером фактического ущерба на нескольких интервалах времени различной продолжительности корректируютсяпараметрыраспределениясреднегоущерба;
– выделяянеопределенныепараметрыизфункциираспределениявероятностей ущерба, строятокончательноераспределениеразмераожидаемогоущерба.
Таким образом, если бы удалось собрать достаточное количество фактических данных о проявлениях угроз и их последствиях, то рассмотренную модель можно было бы использовать для решения достаточно широкого круга задач защиты информации. В России такая статистика в настоящее время отсутствует. В США сбору и обработке указанных данных уделяют большое внимание целый ряд учреждений(например, Стенфордскийисследовательскийинститут).
Теоретико-эмпирический подход в известной мере основывается на синтезе основных положений эмпирического и теоретического подходов: на основе теоре- тико-вероятностных методов строятся модели, необходимые для определения и прогнозирования показателей защищенности, а на основе сбора и обработки статистических данных, полученных в ходе теоретических исследований и практических разработок проблем защиты информации, формулируются исходные данные, необходимыедляпрактическогоиспользованиямоделей.
Необходимо отметить, что рассмотренныемодели восновном используютсяне просто для получения конкретных значений показателей уязвимости, но и для оценки поведения этих значений при варьировании существенно значимыми исходнымиданнымиввозможныхдиапазонахихизменений.
103
Другая модель оценки может быть основана на теории игр, предусматривающей построение оптимальных стратегий поведения двух противоборствующих сторон.
Предположим, что злоумышленник затрачивает Х средств с целью преодолениямеханизмазащиты, насозданиекоторогоизрасходованоУсредств. Ожидаемое количество информации, получаемое злоумышленником, есть некоторая функция. Если для злоумышленника есть значение ценности единицы информации и есть суммарные затраты на создание и сбережение этого же числа единиц информации, то чистая прибыль злоумышленника выражается как разность затрат на получение информациииеереальнойстоимостидлязлоумышленника.
Построение оптимальных стратегий сводится к достижению максимальных трудностей для получения прибыли со стороны злоумышленника и минимизации потерьсосторонызащитниковинформации.
Естественным продолжением моделей оценки угроз являются модели нейтрализации этих угроз, т.е. защиты. Одними из наиболее разработанных являются моделисистемразграничениядоступа.
3. Управление риском при обеспечении информационной безопасности
Управление риском при обеспечении информационной безопасности преследует две цели: измерение риска (оценка риска) и выбор соответствующих мер и средств защиты объекта информатизации, сокращающих риск до приемлемого уровня (уменьшение риска). Методика оценки риска при обеспечении информационнойбезопасностиобъектоввключаетвсебя:
1.Определениестепенидетализации, границанализаиметодики.
2.Идентификациюиоценкуобъектовзащиты.
3.Идентификациюугрозиопределениевероятностиихвозникновения.
4.Измерениериска.
5.Снижениериска.
6.Выбор соответствующих сил и средств обеспечения информационной безопасности.
7.Внедрение и испытание сил и средств обеспечения информационной безопасности.
8.Проверкуостаточногориска.
Цель оценки риска состоит в том, чтобы определить риск объекта информатизации. Процесс оценки риска проводится в два этапа. На первом этапе определяют границы анализа, требуемую степень детализации описания функционирования объекта при оценке и методику, которая будет использоваться. На втором этапе проводится анализ риска путем разделения на идентификацию ценностей, угроз и уязвимыхмест, оценкувероятностейиизмерениериска.
Цель минимизации риска состоит в том, чтобы применить эффективные меры защиты таким образом, чтобы остаточный риск оказался приемлемым. Минимизация риска состоит из трех частей: определения тех областей, где риск является недопустимо большим; выбора наиболее эффективных средств защиты; оценки мер защитыи выявленияприемлемостиостаточногориска.
Этап1 – Определениестепенидетализации, границанализаиметодики.
Этот процесс указывает направление, в котором будут прилагаться усилия при управлении риском. Он определяет, какая из сторон деятельности объекта (граница) и с какой детальностью (степенью детализации) должна рассматриваться в
104
процессе управления риском. Граница может включать в себя объект в целом или отдельные ее части. Должна быть определена также степень детализации описания деятельности объекта при управлении риском, которую можно представить как сложность созданной логической модели всего объекта или его части, отражающую в рамках заданной границы глубину процесса управления риском. Степень детализации отличается для разных сторон деятельности объекта (в пределах заданной границы) и, как следствие, в ходе процесса управления риском используются их описания различной детальности. Для небольших ОИ граница может располагаться с анализом всего объекта, и в таком случае нужно определять согласованную степень детализации для всех частей (элементов защиты) объекта. Для крупных объектов информатизации может быть принято решение учитывать при анализе только те области, которыми она управляет, и определить степень детализациитакимобразом, чтобыучестьвсеобластивнутриграницы.
Этап2 – Идентификацияиоценкаобъектовзащиты.
Выявляются и назначаются стоимостные ценности объекта. Могут использоваться различные методы для идентификации и оценки ценности. Методика риска, которую выбирает объект, может обеспечить руководство объекта рекомендациями по выделению и оценке ценностей. Они могут быть оценены на основании воздействий и последствий для объекта. Оценка может включать не только стоимость замены ценности, но также другие последствия для объекта, например, временная остановкаегофункционированияилипотеряквалифицированныхкадров.
Так как стоимость ценности должна быть основана не только на стоимости замены, определение ценности по большей части – субъективный процесс, поэтому в терминах иерархии важности или критичности относительное сопоставление ценностейстановитсяболееважным, чемназначениеим«правильной» стоимости.
Методика оценки риска должна определить, в каком виде представляются стоимости ценностей. Чисто количественные методики оценки риска часто используютвкачествеединицыоценкиденежнойстоимости.
Большое количество методик оценки риска, используемых в наше время, требует определение ценности в качественных терминах, что является более субъективным, чемколичественныйподход.
Стоимость ценности может быть представлена в терминах потенциальных потерь, которые могут быть основаны на стоимости восстановления, потерях при непосредственном воздействии и последствий. Одна из самых простых методик оценки потерьдля ценности состоит в использовании качественного ранжирования навысокие, средниеинизкиепотери.
Этап3 – Идентификацияугрозиопределениевероятностиихвозникновения.
Результатом процесса должно быть явное указание отрицательных воздействий, которые могли бы повредить объекту, вероятности того, что эти воздействия могут произойти, и уязвимых мест объекта, которые могут использоваться для реализацииэтихотрицательныхвоздействий.
Перечень рассматриваемых угроз зависит от установленных границ анализа риска и степени детализации описания функционирования объекта. Концептуальный анализ может указать на абстрактные угрозы и уязвимые места. Более детальныйанализможетсвязатьугрозусконкретнойкомпонентой.
Существует наибольшая вероятность, что абстрактность угроз, выявленных в результате концептуального анализа, в конечном счете приведет к тому, что и рекомендации относительно методов защиты тоже будут абстрактными. Это прием-
105
лемо, если проводится общая оценка риска. Более детальная оценка риска даст рекомендации относительно средства защиты, которые должны уменьшить конкретныйриск.
Вероятность появления угрозы может быть нормализована как значение в диапазоне от 1 до 3: 1 – низкая вероятность; 2 – умеренная вероятность и 3 – высокая вероятность.
Существующие средства и меры защиты на ОИ должны быть проанализированы с выяснением, обеспечивают ли они в настоящее время адекватную защиту. Если меры и средства защиты не обеспечивают адекватной защиты какого-либо элементазащиты, онможетрассматриватьсякакуязвимоеместо.
После того, как определенные угрозы и связанные с ними уязвимые места идентифицированы, с каждой парой угроза/уязвимое место должна быть связана вероятность (т.е. какова вероятность того, что угроза будет реализована при условии, что имеется данное уязвимое место). Методика оценки риска, выбранная на объекте, должна обеспечить возможность измерения вероятности угроз. Наряду с определением ценностей назначение меры вероятности угроз может быть также субъективным процессом. Статистические данные по угрозам для традиционных угрозмогутпомочьприопределенииихвероятности.
Этап4 – Измерениериска.
Мера риска может рассматриваться как описание видов неблагоприятных воздействий, которым может подвергнуться ОИ, и вероятностей того, что эти воздействия могут произойти. Результат этого этапа должен указать объекту степень риска, связанного с определенными ценностями. Он очень важен, поскольку является основойдлявыборамерисредствзащитыирешенийпоминимизациириска.
Существуют различные способы измерения и представления риска. В зависимости от специфической методологии или подхода мера может быть определена в качественных и количественных терминах, одномерных, многомерных или некоторой их комбинации. Процесс измерения риска должен быть согласован с методикой оценки риска, используемой объектом. Количественные подходы часто связаны с измерением риска в терминах денежных потерь. Качественные подходы часто связаны с измерением риска в качественных терминах, заданных с помощью шкалыилиранжирования.
Одномерные подходы рассматривают только ограниченные компоненты. Многомерные подходы рассматривают дополнительные компоненты в измерении риска, такие как: надежность, безопасность или производительность. Одним из наиболее важных аспектов описания меры риска является достижение понятности и логичности для тех, кто должен выбирать средства защиты и решать вопросы минимизациириска.
Если уровни риска нормализованы (например, низкий, средний и высокий), они могут использоваться для сравнения рисков, связанных с каждой угрозой. Сравнение мер риска должно учитывать показатели критичности компонентов, используемых при определении меры риска. Для простых методик, учитывающих только потерю и вероятность, мера риска, получаемая на основе высокой потери и низкой вероятности, может оказаться той же самой, что и мера риска, получаемая на основе низкой потери и высокой вероятности. В этих случаях необходимо решить, какую меру риска считать более критичной, даже если полученные меры риска равны. Например, можно решить, что мера риска, полученная для высоких потерь, болеекритична, чеммерариска, полученнаядлявысокойвероятности.
106
Риск, связанный с угрозой, может рассматриваться как функция относительной вероятности, что угроза может произойти, и ожидаемых потерь, которые будут понесеныприреализацииугрозы. Тогдарискрассчитываетсяследующимобразом:
Риск = Вероятность появления угрозы (через определенное уязвимое место) × Понесенныепотери.
Стоимость потерь определяется как число в интервале от 1 до 3. Поэтому риск может быть рассчитан, как число в интервале от 1 до 9: значения риска 1 или 2 – низкийриск; 3 или4 – умеренныйриск; 6 или9 – высокийриск(табл. 3).
Таблица3
Расчет риска с учетом вероятности угрозы и величины потери
Вероятность угрозы |
Потеря |
Риск |
1 |
1 |
1 Низкий |
1 |
2 |
2 Низкий |
1 |
3 |
3 Средний |
2 |
1 |
2 Низкий |
2 |
2 |
4 Средний |
2 |
3 |
6 Высокий |
3 |
1 |
3 Средний |
3 |
2 |
6 Высокий |
3 |
3 |
9 Высокий |
По списку потенциальных угроз, уязвимых мест и связанных с ними рисков может быть выполнена оценка текущей безопасности объекта информатизации. Области, имеющие адекватную защиту, не будут повышать риск (так как адекватная защита должна вести к низкой вероятности), в то же время области, имеющие болееслабуюзащиту, выявляются, какнуждающиесявусилениизащиты.
Этап5 – Выборподходящихмерисредствзащиты.
Цель этого процесса состоит в том, чтобы выбрать соответствующие меры и средства защиты. Процесс может быть выполнен с использованием проверки приемлемости риска, которая определяется как деятельность по сравниванию текущей меры риска с критериями приемлемости, и достижению вывода, приемлем ли текущий уровень риска. Эффективность защиты и финансовые возможности являются, несомненно, важными факторами, но при принятии решения могут быть приняты во внимание и другие факторы, такие, как направление деятельности организации, законодательствоиуставы, безопасность, техническиетребованияидр.
Взаимосвязь между проверкой приемлемости риска и выбором мер и средств защиты может быть интерактивной. Первоначально организация должна упорядочить уровни рисков, которые были определены в ходе оценки риска. Далее необходимо принять решение о количестве остаточного риска, который желательно было бы принять после того, как будут установлены выбранные меры и средства защиты. Начальные решения по принятию риска могут внести поправки в выбор средств защиты. Когда свойства предлагаемых мер и средств защиты известны, можно повторно провести проверку приемлемости риска и определить, достигнут ли остаточный риск, или изменить решения относительно приемлемости риска для
107
отражения информации о свойствах предлагаемых средств защиты. Например, могут иметься риски, которые определены как слишком высокие. Однако после рассмотрения доступных мер и средств защиты выясняется, что в настоящее время предлагаемые решения слишком дороги и не могут быть легко реализованы. Это может вынудить либо пойти на дополнительные расходы (для сокращения риска), либо принять решение о приемлемости риска, поскольку снижение риска является слишкомдорогостоящим.
Отбор соответствующих мер и средств защиты является также субъективным процессом. При рассмотрении меры стоимости механизма важно, чтобы стоимость меры и средства защиты были связаны с мерой риска при определении того, будут лимераи средствозащитырентабельными.
Меры стоимости. Стоимость средства защиты – сумма, необходимая для покупки или разработки и реализации каждого из механизмов. Стоимость может быть нормализована тем же самым способом, каким была нормализована стоимость потенциальных потерь: 1 – соответствует механизму с низкой стоимостью, 2 – механизмусумереннойстоимостьюи3 – механизмусвысокойстоимостью.
Когда стоимость назначена для меры и средства защиты, она может быть сопоставлена с другими мерами процесса. Мера средства защиты может сравниваться с мерой риска (если она состоит из одного числа) или компонентами меры риска. Имеются различные пути сравнения меры средства защиты с мерой риска. Методика управления риском, выбранная организацией, должна обеспечить метод для выбора эффективных средств защиты, которые сократили бы риск до приемлемого уровня.
Для вычисления отношения риск/стоимость используют меру риска и финансовую меру, связанную с каждым отношением угроза/механизм. Отношение меньше1 указывает, что стоимость механизма больше, чем риск, связанный с угрозой. Это вообще неприемлемая ситуация, но она не должна отклоняться автоматически. Предположим, что величина риска – функция меры потери и меры вероятности. Один или оба этих аргумента могут представлять что-нибудь настолько критическоеотносительноценности, чтодорогостоящиймеханизмбудетоправдан.
Этап6 – Внедрениеитестированиемерисредствзащиты.
Цель процесса заключается в том, чтобы гарантировать правильность реализации средств защиты, совместимость с другими функциональными возможностями ОИ, мерами и средствами защиты. Процесс начинается с разработки плана внедрениямерисредствзащитыинформации, которыйдолженучитыватьтакиефакторы, какдоступныйобъемфинансирования, уровеньподготовкиперсоналаит.д.
Каждая мера и средство должны быть сначала проверены независимо от других средств для гарантии обеспечения ожидаемой защиты. Однако это может оказаться неуместным, если одно средство предназначено для совместной работы с другими средствами. После независимого испытания меры и средства должны быть проверены совместно с другими мерами и средствами для гарантии целостности нормального функционирования реализованных мер безопасности. План внедрения должен учесть все испытания и отразить любые проблемы или специальныеусловия, возникшиеврезультатепроведенияиспытания.
Этап7 – Одобрениеостаточногориска.
После того, как все меры и средства защиты информации реализованы, проверены и найдены приемлемыми, результаты проверки приемлемости риска должны быть повторно проанализированы. Риск, связанный с отношениями угро-
108
за/уязвимое место, должен быть сокращен до приемлемого уровня или устранен. Если это невозможно, то решения, сделанныенапредыдущих этапах, должны быть пересмотрены.
Контрольные вопросы
1.Какие три критерия положены в основу классификации моделей систем защитыинформации?
2.В чем отличие аналитических моделей и статистических, детерминированныхистохастических, общихичастных, моделейанализаимоделейсинтеза?
3.Какие основные параметры являются определяющими показателями защищенностиинформации?
4.Какие интервалы можно выделить для анализа и оценки уровня защищенностиинформации?
5.Какие три методологических подхода используются для решения задачи оценкизащищенностиинформации?
6.Какие этапы включает в себя методика оценки риска при обеспечении информационнойбезопасностиобъектов?
Гл а в а 9. ЛИЦЕНЗИРОВАНИЕ И СЕРТИФИКАЦИЯ
ВОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ
1.Правовая основа системы лицензирования и сертификации
вРоссийской Федерации
Защита информации является общегосударственной проблемой, так как напрямую связана с обеспечением его суверенитета. Она опирается на государственную систему безопасности и на свод законов по лицензированию деятельности в сферезащитыинформации.
Лицензия – выдаваемое уполномоченным лицом (лицензиаром) юридическим и физическим лицам (лицензиатам) разрешение на совершение определенных действий, безкоторогосовершениетакихдействийпризнаетсянеправомерным.
Лицензирование – это процесс, осуществляемый в отношении таких категорий, как «деятельность» (виды деятельности) и «субъект» (физическое лицо, предприятие, организация или иное юридическое лицо), когда некоторый субъект в результате проведения комплекса мероприятий, состав, правила и порядок осуществления которых предписываются законодательными и нормативными актами, получает право на осуществление определенного вида деятельности. Это право закрепляется и оформляется в виде официальных документов, виды и статус которых такжепредписываютсянормативнымиактами.
Получить право на осуществление деятельности, подлежащей лицензированию, может не каждый, а лишь субъект, отвечающий определенным критериям, которые заранее определяются правилами проведения лицензирования и требова- ниямикпредприятию-заявителю.
Таким образом, субъектом лицензирования становится лишь то физическое или юридическое лицо, которое представляет все необходимые и правильно оформленныедокументыиудовлетворяетсоответствующимкритериям.
Сертификация – это подтверждение соответствия продукции или услуг установленнымтребованиямили стандартам.
109
Сертификат на средство защиты информации – документ, подтверждаю-
щий соответствие средства защиты информации требованиям по безопасности информации.
Лицензирование и сертификация в области защиты информации органом, уполномоченным на проведение лицензионной деятельности, закрепляется правом на осуществление контроля деятельности лицензиата. Важно подчеркнуть, что активную роль в процессе лицензирования играют обе стороны: орган, наделяющий кого-либоправомдеятельности, исубъект, получающийуказанноеправо.
Законодательной и нормативной базой лицензирования и сертификации в областизащитыинформацииявляютсяследующиедокументы1.
Федеральные законы: «О государственной тайне»; «О сертификации продукции и услуг»; «О защите прав потребителей»; «Об информации, информационных технологиях и о защите информации»; «О стандартизации»; «О федеральных органахправительственнойсвязииинформации».
Постановления Правительства Российской Федерации: «О лицензировании отдельных видов деятельности»; «О лицензировании деятельности предприятий…»; «Осертификациисредствзащитыинформации».
УказыПрезидентаРоссийскойФедерацииирядподзаконныхактов.
Полный перечень видов деятельности в области защиты информации, подлежащих обязательному государственному лицензированию, определен в Федеральных законах Российской Федерации «Огосударственной тайне» и «О лицензировании отдельных видов деятельности». В законе «Огосударственной тайне» определены лицензируемые виды деятельности в области защиты информации, содержащей сведения, отнесенные к государственной тайне, а в законе «Олицензировании отдельных видов деятельности» – в области защиты конфиденциальнойинформации.
В ст. 27 Закона «О государственной тайне» указано, что допуск предприятий, учреждений и организаций к проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны, осуществляется путем получения ими лицензий в порядке, устанавливаемом Правительством Российской Федерации. Во исполнение данной статьи закона Правительством Российской Федерации было принято Постановление «Олицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны», которымбылоутвержденоодноименноеПоложение.
Согласно этому Положению лицензия на проведение работ, связанных с государственной тайной, выдается на основании результатов специальной экспертизы предприятия, учреждения и организации и государственной аттестации их руководителей, ответственных за защиту сведений, составляющих государственную тайну, расходы по проведению которых относятся на счет предприятия, учреждения, организации, получающихлицензию.
Лицензиявыдаетсяпретендентуприсоблюденииимследующихусловий:
1 См. Библиографическийсписок.
110
–выполнения требований нормативных документов по обеспечению защиты сведений, составляющих государственную тайну, в процессе выполнения работ, связанныхсиспользованиемуказанныхсведений;
–наличия в их структуре подразделений по защите государственной тайны и специально подготовленных сотрудников для работы по защите информации, лицензирования и сертификации деятельности в области защиты информации, количество и уровень квалификации которых достаточны для обеспечения защиты государственнойтайны;
–наличияунихсертифицированныхсредствзащитыинформации.
Средства защиты информации должны иметь сертификат, удостоверяющий их соответствие требованиям по защите сведений соответствующей степени секретности. Сертификация осуществляется на основании требований государственных стандартовииныхнормативныхдокументов.
2. Лицензирование деятельности по защите информации
Общие нормы, устанавливающие порядок организации и осуществления этой деятельности, содержатся в ст. 27 Закона «О государственной тайне». Органами, уполномоченныминаведениелицензионнойдеятельности, являются:
1.По допуску предприятий к проведению работ, связанных с использованием сведений, составляющих государственную тайну, – Федеральная служба безопасности Российской Федерации и ее территориальные органы (на территории Российской Федерации), Служба внешней разведки Российской Федерации (за рубежом).
2.На право проведения работ, связанных с созданием средств защиты информации, – Федеральная служба по техническому и экспертному контролю, Федеральнаяслужбабезопасности.
3.На право осуществления мероприятий и (или) оказания услуг в области защиты государственной тайны – Федеральная служба безопасности Российской Федерации и ее территориальные органы, Федеральная служба охраны (ФСО) и СлужбавнешнейразведкиРоссийскойФедерации.
Лицензирование деятельности предприятий Федеральной службы безопасности Российской Федерации, Министерства обороны Российской Федерации, ФСО, Федеральной пограничной службы Российской Федерации, Службы внешней разведки Российской Федерации, Федеральной службы по техническому и экспертному контролю по допуску к проведению работ, связанных с использованием сведений, составляющих государственную тайну, осуществляется руководителями министерств и ведомств Российской Федерации, которым подчинены указанные предприятия.
Срок действия лицензии устанавливается в зависимости от специфики вида деятельности, но не может быть менее трех и более пяти лет. Продление срока действия лицензии производится в порядке, установленном для ее получения. На каждый вид деятельности выдается отдельная лицензия. Основанием для отказа в выдачелицензииявляются:
–наличие в документах, представленных заявителем, недостоверной или искаженнойинформации;
–отрицательное заключение экспертизы, установившей несоответствие необходимымдляосуществлениязаявленноговидадеятельности условиям;