Учебное пособие 800354

ния, единые принципы, порядок организации ЗИ соответствующими органами и службами с приведением их долговременных задач, функций, прав, обязанностей и мер ответственности.

Основополагающие (руководящие) документы издаются соответствующими органами государственного управления, ответственными за организацию защиты информации, и являются обязательными в пределах установленной при их утверждении сферы действия и области распространения.

Основными видами основополагающих (руководящих) документов по ЗИ являются: концепции, положения, руководства, наставления, инструкции, уставы, правила.

В концепциях ЗИ на основе правовых документов формируются:

направления государственной политики в области

ЗИ;

основные цели и задачи защиты; виды и средства технических разведок, другие угро-

зы безопасности информации, от которых необходимо защищать информацию;

принципы осуществления защиты, типовые методы и способы защиты;

основные направления технической политики в создании средств защиты и контроля;

принципы определения информации, подлежащей защите, и технических демаскирующих признаков объектов, раскрывающих защищаемую информацию;

принципы оценки эффективности защиты, показатели эффективности защиты.

Положения по ЗИ издаются на основе правовых актов и принятых концепций по защите и детализируют ука-

271

занные документы, в основном, по вопросам организации ЗИ и, в частности, регламентируют:

основные направления работ по ЗИ; структуру органов и служб, ответственных за орга-

низацию и осуществление ЗИ, их права и обязанности; порядок организации и проведения типовых работ

по ЗИ для основных объектов защиты; финансово-экономические вопросы обеспечения

работ по ЗИ; вопросы государственного лицензирования в облас-

ти ЗИ и др.

Детальные разъяснения отдельных практических вопросов по организации и осуществлению ЗИ, включаются в соответствующие инструкции и правила.

Распорядительные документы - документы текущего (оперативного) управления издают во исполнение или в дополнение к основополагающим документам и устанавливают направления, методы (способы, приемы) организации работ по ЗИ в зависимости от возникающих конкретных задач управления и условий защиты информации.

Основными видами распорядительных документов по ЗИ являются решения, приказы, директивы, распоряжения, указания.

Для регламентации нормативно-технических требований разрабатываются нормативно-методические документы и специальные руководящие документы. В данном пособии рассматриваются только основные документы, касающиеся вопросов регламентации требований по защите информации в ИТКС:

"Специальные требования и рекомендации по защите конфиденциальной информации (СТР-К)";

272

руководящие документы по регламентированию требований по защите от несанкционированного доступа;

государственный стандарт ГОСТ Р ИСО/ МЭК 15408. "Безопасность информационных технологий. Критерии безопасности информационных технологий ", который начал действовать с 2004 г. и является аутентичным переводом международного стандарта.

273

11. СПЕЦИАЛЬНЫЕ ТРЕБОВАНИЯ И РЕКОМЕНДАЦИИ ПО ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ

Нормативно-методический документ "Специальные требования и рекомендации по защите конфиденциальной информации (СТР-К)" устанавливает порядок организации работ, требования и рекомендации по обеспечению технической защиты информации с ограниченным доступом, не содержащей сведений составляющих государственную тайну (далее - конфиденциальная информация), на территории Российской Федерации.

Документ разработан в соответствии с Федеральным законом от 20 февраля 1995 г. № 24-ФЗ ―Об информации, информатизации и защите информации‖, Указом Президента Российской Федерации от 6 марта 1997 г. № 188 ―Перечень сведений конфиденциального характера‖, ―Доктриной информационной безопасности Российской Федерации‖, утвержденной Президентом Российской Федерации 9 сентября 2000 г. № Пр.-1895, ―Положением о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти‖, утвержденным постановлением Правительства Российской Федерации от 3 ноября 1994 г. № 1233 и другими нормативными правовыми актами по защите информации.

Требования и рекомендации, изложенные в СТР-

К, распространяются на защиту государственных ин-

формационных ресурсов некриптографическими мето-

дами, направленными на предотвращение утечки защи-

274

щаемой информации по техническим каналам, от не-

санкционированного доступа к ней и от специальных

воздействий на информацию в целях ее уничтожения,

искажения и блокирования.

При проведении работ по защите негосударственных информационных ресурсов, составляющих коммерческую тайну, банковскую тайну и т.д., требования настоящего документа носят рекомендательный характер.

Документ определяет следующие основные вопросы защиты конфиденциальной информации:

- организацию работ по защите информации, в

том числе при разработке и модернизации объектов ин-

форматизации и их систем защиты информации;

- состав и основное содержание организационно-

распорядительной, проектной, эксплуатационной и

иной документации по защите информации;

- требования и рекомендации по защите речевой

информации при ведении переговоров, в том числе с

использованием технических средств;

275

- требования и рекомендации по защите инфор-

мации при ее автоматизированной обработке и передаче

сиспользованием технических средств;

-порядок обеспечения защиты информации при эксплуатации объектов информатизации;

-особенности защиты информации при разра-

ботке и эксплуатации ИТКС, использующих различные типы средств вычислительной техники (СВТ) и инфор-

мационные технологии;

- порядок обеспечения защиты информации при взаимодействии абонентов с сетями.

Защита информации на объекте информатизации достигается выполнением комплекса организационных мероприятий и применением (при необходимости)

средств защиты информации от утечки информации или воздействия на нее по техническим каналам, за счет не-

276

санкционированного доступа к ней, по предупреждению

преднамеренных программно-технических воздействий

с целью нарушения целостности (модификации, унич-

тожения) информации в процессе ее обработки, переда-

чи и хранения, нарушения ее доступности и работоспо-

собности технических средств.

В документе определяются основы организации защиты информации на объектах информатизации, в том числе в информационно - телекоммуникационных системах, определены требования и рекомендации по защите речевой информации в выделенных помещениях, в системах звукоусиления и звукового сопровождения кинофильмов, при проведении звуко - и видеозаписи, при передаче информации по открытым проводным каналам связи.

В качестве основных мер защиты информации в автоматизированных, в том числе информационнотелекоммуникационных системах рекомендуются:

документальное оформление перечня сведений конфиденциального характера, в том числе с учетом ведомственной и отраслевой специфики этих сведений;

реализация разрешительной системы допуска исполнителей (пользователей, обслуживающего персонала) к информации и связанным с ее использованием работам, документам;

277

ограничение доступа персонала и посторонних лиц в защищаемые помещения и помещения, где размещены средства информатизации и коммуникационное оборудование, а также хранятся носители информации;

разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;

регистрация действий пользователей ИТКС и обслуживающего персонала, контроль несанкционированного доступа и действий пользователей, обслуживающего персонала и посторонних лиц;

учет и надежное хранение бумажных и машинных носителей конфиденциальной информации и их обращение, исключающее хищение, подмену и уничтожение;

использование сертифицированных по требованиям безопасности информации специальных защитных знаков, создаваемых на основе физико-химических технологий для контроля доступа к объектам защиты и для защиты документов от подделки;

резервирование технических средств, дублирование массивов и носителей информации;

использование сертифицированных серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации;

использование технических средств, удовлетворяющих требованиям стандартов по электромагнитной совместимости;

использование сертифицированных средств защиты информации;

размещение объектов защиты на максимально возможном расстоянии от границы КЗ;

278

размещение понижающих трансформаторных подстанций электропитания и контуров заземления объектов защиты в пределах КЗ;

использование сертифицированных систем гарантированного электропитания (источников бесперебойного питания);

развязка цепей электропитания объектов защиты с помощью сетевых помехоподавляющих фильтров, блокирующих (подавляющих) информативный сигнал;

электромагнитная развязка между информационными цепями, по которым циркулирует защищаемая информация и линиями связи, другими цепями ВТСС, выходящими за пределы КЗ;

использование защищенных каналов связи;

размещение дисплеев и других средств отображения информации, исключающее ее несанкционированный просмотр;

организация физической защиты помещений и собственно технических средств обработки информации с использованием технических средств охраны, предотвращающих или существенно затрудняющих проникновение в здания, помещения посторонних лиц, хищение документов и носителей информации, самих средств информатизации;

предотвращение внедрения в ИТКС программвирусов, программных закладок.

В целях дифференцированного подхода к защите информации, обрабатываемой в ИТКС различного уровня и назначения, осуществляемого в целях разработки и применения необходимых и достаточных мер, оптимизации выбора средств защиты информации и затрат на защиту информации, проводится классификация автоматизированных систем

279

Классификация ИТКС как автоматизированной системы осуществляется на основании требований РД Гостехкомиссии России. В случае, когда признаки классифицируемой ИТКС (РД Гостехкомиссии России ―Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации‖) не совпадают с предложенными в РД группами по особенностям обработки информации в ИТКС, то при классификации выбирается наиболее близкая группа защищенности с предъявлением к ИТКС соответствующих дополнительных требований по защите информации.

Так, ИТКС, обрабатывающие информацию, содержащую сведения, составляющие служебную тайну, или персональные данные, должны иметь класс защищенности не ниже 3Б, 2Б и 1Г. и 3Б, 2Б и 1Д соответственно. По решению руководителя организации могут быть приняты дополнительные меры по защите от НСД информации обрабатываемой в ИТКС. Например, в ИТКС может быть введено управление потоками информации и сигнализация попыток нарушения защиты.

Подчеркивается, что в организации должны быть документально оформлены перечни сведений конфиденциального характера, подлежащих защите. Эти перечни могут носить как обобщающий характер в области деятельности организации, так и иметь отношение к какому-либо отдельному направлению работ. Все исполнители должны быть ознакомлены с этими перечнями в части, их касающейся.

Доступ к информации исполнителей (пользователей, обслуживающего персонала) осуществляется в соответствии с разрешительной системой допуска исполните-

280