- •А.А. Королев с.Ю. Соколова основы защиты информации, составляющей государственную тайну
- •Введение
- •1.1. Содержание и задачи дисциплины
- •1.2. Особенности дисциплины и ее связь с другими дисциплинами
- •1.3. Методические рекомендации по изучению дисциплины и требования, предъявляемые при проверке знаний
- •2. Концептуальные основы защиты государственной тайны
- •2.1. Понятие тайны. Соотношение различных видов тайн
- •2.2. Конституция Российской Федерации о защите государственной тайны
- •2.3. Концепция защиты государственной тайны в Российской Федерации
- •Угрозы, от которых осуществляется защита государственной тайны. К основным угрозам относятся:
- •Источники угроз
- •В сжатом виде основное содержание Концепции защиты государственной тайны представлено на рис. 2.3.
- •3. Правовые основы защиты государственной тайны
- •3.1. Система документов по защите государственной тайны
- •3.2. Закон Российской Федерации
- •Раздел II - перечень сведений, составляющих государственную тайну - целиком посвящен перечню сведений, которые потенциально могут быть отнесены к государственной тайне.
- •Раздел VII - финансирование мероприятий по защите государственной тайны - определяет порядок такого финансирования.
- •Раздел VIII - контроль и надзор за обеспечением защиты государственной тайны - вводит соответствующую систему контроля и надзора.
- •Раздел I. Общие положения
- •Раздел II. Перечень сведений, составляющих государственную тайну
- •Раздел III. Отнесение сведений к государственной тайне и их засекречивание
- •Раздел IV. Рассекречивание сведений и их носителей
- •Раздел V. Распоряжение сведениями, составляющими государственную тайну
- •Раздел VI. Защита государственной тайны
- •Раздел VII. Финансирование мероприятий по защите государственной тайны
- •Раздел VIII. Контроль и надзор за обеспечением защиты
- •4. Система органов защиты государственной тайны и их полномочия
- •4.1. Основные направления деятельности по обеспечению информационной безопасности в Российской Федерации
- •4.2. Межведомственная комиссия по информационной безопасности Совета безопасности Российской Федерации
- •4.3. Межведомственная комиссия по защите государственной тайны
- •4.4. Федеральная служба безопасности Российской Федерации
- •4.5. Министерство обороны Российской Федерации
- •4.6. Служба внешней разведки Российской Федерации
- •4.7. Федеральная служба по техническому и экспортному контролю
- •4.8. Органы государственной власти, предприятия, учреждения и организации и их структурные подразделения по защите государственной тайны
- •5. Отнесение сведениний к государственной тайне, их засекречивание и рассекречивание
- •5.1. Сущность перечневого подхода к организации защиты государственной тайны
- •5.2. Критерии отнесения сведений к государственной тайне
- •5.3. Правила отнесения сведений, составляющих государственную тайну, к различным степеням секретности
- •5.4. Организация работы по засекречиванию и рассекречиванию сведений и их носителей
- •6.Определение размеров ущерба вследствие распространения сведений и ущерба, наносимого в результате их засекречивания
- •6.1. Определение размеровуерба с использованием моделей “осведомленность – эффективность”
- •6.2. Определение размеров ущерба с использованием экспертных оценок6
- •6.3. Определение упущенной выгоды в результате ограничений на распространение информации
- •6.4. Определение, затрат на защиту сведений, составляющих государственную тайну
- •7. Допуск должностных лиц и граждан к государственной тайне
- •7.1.Порядок допуска должностных лиц и граждан к государственной тайне
- •7.2. Особенности допуск лиц, имеющих двойное гражданство, лиц без гражданства, а также лиц из числа иностранных граждан, эмигрантов и реэмигрантов, к государственной тайне
- •7.3. Особый порядок допуска к государственной тайне
- •7.4. Ограничения прав должностного лица или гражданина, допущенных или ранее допускавшихся к государственной тайне
- •8. Допуск предприятий, учреждений и организаций к проведению работ, связанных с использованием сведений, составляющих государственную тайну
- •8.1. Законодательство Российской Федерации о лицензировании отдельных видов деятельности
- •8.2. Лицензирование деятельности в области защиты государственной тайны
- •8.3. Полномочие органов государственной власти по лицензированию деятельности в области защиты государственной тайны
- •8.4. Особенности лицензирования деятельности в области защиты информации, составляющей государственную тайну
- •9. Сертификации средств защиты информации, составляющей государственную тайну
- •9.1. Законодательство Российской Федерации о сертификации продукции и услуг
- •9.2. Структура системы сертификации средств защиты информации, составляющей государственную тайну
- •9.3. Порядок сертификации средств защиты информации, составляющей государственную тайну
- •10. Организация защиты информации, составляющей государственную тайну
- •10.1. Организация защиты информации, составляющей государственной тайны, на предприятиях, в организациях и учреждениях
- •10.2. Особенности защиты информации в условиях реализации международных договоров по сокращению вооружений и вооруженных сил
- •10.3. Особенности защиты информации в условиях создания совместных предприятий
- •10.4. Особенности защиты информации в условиях научно-технического, военно-технического и экономического сотрудничества с другими странами
- •11. Контроль и надзор за обеспечением защиты государственной тайны
- •11.1. Понятие контроля и надзора за обеспечением защиты государственной тайны
- •11.2. Виды, методы и формы контроля. Контроль в зависимости от решаемых задач, времени его проведения, уровня контролирующих органов подразделяется на ряд видов
- •11.3. Структура системы контроля состояния защиты государственной тайны
- •11.4. Организация межведомственного контроля состояния защиты государственной тайны
- •12. Организация и проведение работ по комплексной защите информации, составляющей государственную тайну
- •12.1. Понятие комплексной защиты информации от технических разведок и от ее утечки по техническим каналам
- •12.2. Физическая защита объектов
- •12.3. Противодействие техническим разведкам
- •12.4. Защита информации от ее утечки по техническим каналам
- •12.5. Защита информации от несанкционированного доступа
- •1. Понятие тайны в законодательстве Российской Федерации. Соотношение различных видов тайн.
- •Признаки тайны (информации ограниченного доступа):
- •2. Конституция Российской Федерации о защите информации и государственной тайны.
- •3. Понятие концепции защиты государственной тайны в Российской Федерации.
- •Основные угрозы для информации, составляющей государственной тайну:
- •Внешние
- •4. Система документов по защите государственной тайны.
- •5. Признаки государственной тайны.
- •6. Сфера действия Закона “о государственной тайне”.
- •7. Основные полномочия органов государственной власти и должностных лиц в области отнесения сведений к государственной тайне.
- •1.Палаты Федерального Собрания:
- •2. Президент Российской Федерации:
- •5. Органы судебной власти:
- •8. Перечень сведений, составляющих государственную тайну.
- •9. Принципами отнесения сведений к государственной тайне и их засекречивания.
- •10. Степени секретности сведений и грифы секретности носителей этих сведений.
- •11. Порядок отнесения сведений к государственной тайне.
- •13. Порядок засекречивания сведений и их носителей.
- •14. Рассекречивание сведений и их носителей.
- •16. Органы защиты государственной тайны, их основные функции.
- •17. Допуск должностных лиц и граждан к государственной тайне.
- •18. Ограничения прав должностного лица или гражданина, допущенных или ранее допускавшихся к государственной тайне.
- •19. Ответственность за нарушение законодательства Российской Федерации о государственной тайне.
- •20. Допуск предприятий, учреждений и организаций к проведению работ, связанных с использованием сведений, составляющих государственную тайну.
- •21. Основные функции межведомственной комиссии по защите государственной тайны.
- •22. Основные функции Федеральной службы безопасности Российской Федерации.
- •23. Основные функции службы специальной связи информации.
- •24. Основные задачи фстэк России по защите государственной тайны.
- •25. Сущность перечневого подхода к организации защиты государственной тайны.
- •27. Критерии отнесения сведений к государственной тайне.
- •28. Подходы к определению размеров ущерба вследствие распространения сведений, составляющих государственную тайну.
- •1.. Определение размеров ущерба вследствие распространения сведений с использованием моделей "осведомленность - эффективность"
- •2. Определение размеров ущерба вследствие распространения сведений с использованием экспертных оценок
- •29. Правила отнесения сведений, составляющих государственную тайну, к различным степеням секретности.
- •30. Принципиальные особенности Закона рф “о государственной тайне”.
- •32. Порядок лицензирования деятельности в области защиты государственной тайны.
- •33. Полномочие органов государственной власти по лицензированию деятельности в области защиты государственной тайны.
- •34. Особенности лицензирования деятельности в области защиты информации, составляющей государственную тайну.
- •35. Структура системы сертификации средств защиты информации, составляющей государственную тайну.
- •36. Порядок сертификации средств защиты информации, составляющей государственную тайну.
- •37. Понятие контроля и надзора за обеспечением защиты государственной тайны.
- •38. Виды, методы и формы контроля состояния защиты государственной тайны. Виды контроля
- •Методы контроля
- •39. Структура системы контроля состояния защиты государственной тайны.
- •40. Организация контроля состояния защиты государственной тайны.
- •41. Организация защиты государственной тайны на предприятиях, в организациях и учреждениях.
- •42. Особенности защиты государственной тайны на предприятиях, в организациях и учреждениях в условиях реализации международных договоров по сокращению вооружений и вооруженных сил.
- •43. Особенности защиты государственной тайны в условиях создания совместных предприятий.
- •45. Понятие комплексной защиты информации от технических разведок и от ее утечки по техническим каналам.
- •46. Физическая защита носителей информации.
- •47. Защита информации от ее утечки по техническим каналам.
- •48. Защита информации от несанкционированного доступа.
- •Подсистема обеспечения целостности включает программно-аппаратные, организационные и другие средства и методы, обеспечивающие:
- •Важной составной частью подсистемы обеспечения целостности являются программно-аппаратные средства защиты информации от вирусов и других вредоносных программных закладок.
- •49. Криптографическая защита информации.
- •50. Новые информационные технологии и их влияние на решение задач защиты государственной тайны.
- •51. Планирование работ по комплексной защите государственной тайны.
- •52. Финансирование работ по защите государственной тайны.
12.3. Противодействие техническим разведкам
Мероприятия по противодействию техническим разведкам направлены на исключение или существенное затруднение получения техническими разведками достоверных данных об охраняемых сведениях объектов защиты и раскрывающих их технических демаскирующих признаках. К объектам защиты от технических разведок относятся образцы вооружения и военной техники, военные и промышленные объекты, объекты органов управления.
Конкретное содержание этих мероприятий определяется в зависимости от охраняемых сведений объекта защиты, целей защиты, демаскирующих признаков, фиксируемых аппаратурой разведки в данной ситуации.
Противодействие технической разведке должно осуществляться на всех этапах функционирования объекта защиты, в том числе при его разработке, эксплуатации и утилизации.
Техническая разведка по местонахождению носителей разведывательной аппаратуры подразделяется на следующие виды: воздушная разведка; космическая разведка; морская разведка; наземная разведка.
12.4. Защита информации от ее утечки по техническим каналам
Мероприятия по защите информации от ее утечки по техническим каналам направлены на исключение или существенное затруднение получения разведками (злоумышленниками) защищаемой речевой, телевизионной и другой информации, циркулирующей в системах и средствах информатизации и связи. Под документированной информацией (документом) при этом понимается зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать.
К объектам защиты от утечки информации по техническим каналам относятся:
технические средства обработки информации;
информационные системы;
защищаемые объекты информатизации.
Технические средства обработки информации включают средства связи, звукоусиления, звукозаписи, вычислительные сети, средства изготовления и размножения документов, средства телевидения и другие технические средства, реализующие информационные процессы. В ряде документов эти средства называются также техническими средствами обработки и передачи информации (обозначаются аббревиатурой ТСПИ). ТСОИ составляют основу современных информационных систем, под которыми понимается организационно упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих информационные процессы.
ТСОИ подразделяются на основные технические средства и системы (ОТСС), используемые для обработки защищаемой от утечки информации, и вспомогательные технические средства и системы (ВТСС), непосредственно не участвующие в обработке секретной или конфиденциальной информации, но используемые совместно с ними и находящиеся в зоне электромагнитного поля, создаваемого ОТСС.
К ОТСС относятся электронно-вычислительная техника, режимные АТС, системы оперативно-командной и громкоговорящей связи, системы звукоусиления и звукозаписи, соединительные линии, прокладываемых между отдельными техническими средствами и их элементами, распределительные и коммутационные устройства и т.д.
К ВТСС относятся технические средства открытой телефонной, громкоговорящей связи, системы пожарной и охранной сигнализации, системы электропитания, радиофикации и часофикации, бытовые электроприборы. В качестве объектов защиты наибольший интерес представляют ВТСС, имеющие выход за пределы контролируемой зоны, то есть зоны, в которой исключено появление посторонних лиц и транспортных средств.
Кроме соединительных линий технических средств обработки информации и ВТСС за пределы контролируемой зоны могут выходить провода и кабели, к ним не относящиеся, но проходящие через помещения, где установлены технические средства, а также металлические трубы систем отопления, водоснабжения и другие токопроводящие металлоконструкции. Такие провода, кабели и токопроводящие элементы называются посторонними проводниками и также подлежат защите.
По реализуемому в ОТСС информационному процессу они могут быть подразделены на средства сбора, обработки, накопления, хранения, поиска и распространения информации. Необходимо отметить, что эффективная реализация информационного процесса невозможна без управления, его обеспечения и обслуживания. Поэтому к объектам защиты в необходимых случаях также следует относить средства управления, обеспечения и обслуживания защищаемого информационного процесса, включая ВТСС, цели электропитания, заземления, системы водо-, тепло-, газоснабжения, наводки на которые могут приводить к утечке защищаемой информации, а также помещения, в которых они установлены.
Кроме перечисленных выше признаков, объекты защиты могут быть классифицированы по степени их сложности. Классы таких объектов защиты могут образовывать компоненты ТСОИ, сами ТСОИ, комплексы средств автоматизации, включая помещения или объекты, в которых они расположены, локальные или распределенные информационно-вычислительные системы (сети).
В качестве обобщенного понятия, характеризующего сложный объект защиты, используется понятие защищаемый объект информатизации. Под защищаемым объектом информатизации понимается совокупность защищаемых информационных ресурсов, ТСОИ, помещений или объектов, в которых они установлены, а также сами помещения, предназначенные для ведения секретных или конфиденциальных переговоров.
Для защищаемых объектов информатизации на территории России опасными могут являться следующие виды разведок:
стационарная и портативная возимая (носимая) аппаратура радио-, акустической речевой, оптико-электронной, визуальной оптической и фотографической разведки, а также разведки побочных электромагнитных излучений и наводок (ПЭМИН);
автономная автоматическая аппаратура радио-, акустической речевой, оптико-электронной и фотографической разведки, а также разведки ПЭМИН;
компьютерная разведка.
Для ведения разведки могут быть использованы следующие проявления объектов защиты:
основные излучения средств и систем радиосвязи, если по ним передаются охраняемые сведения в открытом виде;
побочные электромагнитные излучения ОТСС и наводки от ОТСС на ВТСС, а также на токопроводящие линии (в том числе на цепи питания и заземления, системы водо-, тепло-, газоснабжения, выходящие за пределы контролируемой зоны);
акустические излучения из выделенных помещений;
наблюдаемые через стекла зданий документы, экраны мониторов, артикулярные проявления речи;
наличие защищаемой информации или ее элементов в электронных базах данных ЭВМ, включенных в компьютерные сети открытого типа.
К основным мероприятиям по защите информации от ее утечки в выделенных помещениях (ВП) относятся:
1. Категорирование выделенных помещений в зависимости от важности и условий обмена (обработки) информации, составляющей государственную тайну, в соответствии с нормативными документами ФСТЭК России.
2. Назначение сотрудников, ответственных за выполнение требований по защите информации в выделенных помещениях (далее сотрудники, ответственные за безопасность информации).
3. Разработка для выделенных помещений частных инструкций по обеспечению безопасности информации в помещениях.
4. Обеспечение эффективного контроля за доступом в выделенные помещения, а также в смежные помещения.
5. Инструктирование сотрудников, работающих в выделенных помещениях о правилах эксплуатации ПЭВМ, других технических средств обработки информации, средств связи с соблюдением требований по защите информации.
6. Проведение в ВП обязательных визуальных (непосредственно перед совещаниями) и инструментальных (перед ответственными совещаниями и периодически) проверок на наличие внедренных закладных устройств, в том числе осуществление контроля всех посторонних предметов, подарков, сувениров и прочих предметов, оставляемых в ВП.
7. Исключение неконтролируемого доступа к линиям связи, управления сигнализации в ВП, а также в смежные помещения и в коридор.
8. Оснащение телефонных аппаратов ГАТС, расположенных в выделенных помещениях, устройствами высокочастотной развязки и подавления слабых сигналов типа “Гранит”, “Корунд-М” и поддержание их в работоспособном состоянии. Оснащение телефонов ГАТС в ВП и телефонов основных абонентов специальными шифраторами (скремблерами).
9. Исключение применения в выделенных помещениях технических средств и аппаратуры, не прошедших специсследований, спецпроверки и не разрешенных для использования в данном помещении.
10. Осуществление сотрудниками, ответственными за безопасность информации, контроля за проведением всех монтажных и ремонтных работ в выделенных и смежных с ними помещениях, а также в коридорах.
11. Обеспечение требуемого уровня звукоизоляции входных дверей ВП.
12. Обеспечение требуемого уровня звукоизоляции окон ВП
13. Демонтирование или заземление (с обеих сторон) лишних (незадействованных) в ВП проводников и кабелей.
14. Отключение при проведении совещаний в ВП всех неиспользуемых электро- и радиоприборов от сетей питания и трансляции.
15. Выполнение перед проведением совещаний следующих условий:
окна должны быть плотно закрыты и зашторены;
двери плотно прикрыты;
в ВП первой и второй категории должны быть включены системы активного зашумления.
К основным мероприятиям по защите информации в ОТСС и ВТСС относятся:
1. Проведение категорирования образцов ОТСС.
2. Обеспечение при эксплуатации ОТСС контролируемой зоны, радиус которой определяется категорией ОТСС и размерами опасной зоны.
3. Размещение ВТСС (телефонных аппаратов, громкоговорителей и т.п.) за пределами зоны, в которой возможно создание электромагнитными излучениями работающих ОТСС наводок информативного сигнала на ВТСС. При невозможности выполнения этого требования для телефонных аппаратов их следует оснастить безразрывными розетками и отключать от телефонной сети на период обработки информации, составляющей государственную или служебную тайну.
4. Размещение телефонных линий, сетей электропитания, сигнализации и т.п. (“распределенных антенн”), имеющих выход за границы контролируемой зоны, в местах, где не создаются наводки электромагнитных излучений защищаемых ОТСС. При невозможности выполнения этого требования для конкретной линии ее следует демонтировать (перенести), заземлить с обеих сторон или зашунтировать емкостью.
5. Оборудование помещений, в которых эксплуатируются ОТСС системой схемного заземления, осуществляемой по схеме “ветвящегося” дерева, не имеющей замкнутых контуров.
6. Обеспечение электропитания ОТСС от автономного источника питания, расположенного в пределах контролируемой зоны, (трансформаторной подстанции с заземленной нулевой точкой, системы “двигатель-генератор”), либо от городской сети электропитания с использованием развязывающих фильтров для подключения ОТСС к сети электропитания.
7. При невозможности обеспечения контролируемой зоны заданных размеров рекомендуется одно из следующих мероприятий:
7.1. Проведение частичной экранировки помещения. В первую очередь подлежат экранировке наиболее распространенные элементы: окна, двери, вентиляционные и другие отверстия в стенах, полу и потолке помещения. В случае необходимости, проводится экранировка стен, пола и потолка.
7.2. Применение систем пространственного зашумления (СПЗ) для создания шумового электромагнитного поля в районе размещения защищаемого ОТСС.
8. Применение средств линейного электромагнитного зашумления линий электропитания, радиотрансляции, заземления, связи для создания шумовых напряжений в токопроводящих коммуникациях, имеющих выход за пределы контролируемой зоны.