book_OI
.pdf
Е. Г. Воробьев, С. В. Войцеховский, А. С. Марковский под ред. Н. М. Михайлова
Подготовка объекта информатизации
к аттестации по требованиям безопасности
1
го ал лв не еи
1
2
3
4
5
ООО «Издательский дом «Афина», 194017, Санкт Петербург, ул. Гданьская, 19 37 Факс: (812) 347 74 12, тел.: 347 74 12, 958 25 50, 921 68 24,
e mail: magazine@inside zi.ru, http://www.inside zi.ru
Анонс к курсу «Подготовка объекта информатизации к аттестации
по требованиям безопасности»
Одной из важнейших проблем в настоящее время является широкое внедрение систем защиты конфиденциальной информации. Для быстрого и качественного проведения мероприятий в данной области требуется знание правового и нормативного обеспечения технической защиты информации
вРоссийской Федерации. Именно противоречивость многих отечественных законодательных актов и руководящих документов требует дополнительного их разъяснения и изучения.
Кроме того, организация работ по аттестации объектов информатизации и связи на соответствие требованиям безопасности конфиденциальной информации, анализ исходных данных по аттестуемо& му объекту информатизации и подготовка их к аттестации, проведение испытаний отдельных средств и систем защиты информации на аттестуемом объекте информатизации с помощью специальной кон& трольной аппаратуры и тестовых средств требует знания всех последних изменений и нововведений
вданной области.
Задачей данного курса является получение широким кругом владельцев частных предприятий, руководящих работников, не имеющих предварительной подготовки и подчиненных им специалистов служб безопасности государственных и коммерческих предприятий, персонала объектов информати& зации знаний по широкому кругу вопросов в сфере защиты конфиденциальной информации.
Данный курс может рассматриваться как курс повышения квалификации IT&специалистов, мене& джеров, администраторов безопасности систем, специалистов по корпоративной и физической без& опасности, внутренних аудиторов и аудиторов информационных систем
Вкурсе даются рекомендации по организации и подбору средств технической защиты информа&
ции.
Курс постоянно обновляется и гибко реагирует на появление новейших законодательных актов
ируководящих документов, а также аналитических исследований в области защиты конфиденциаль& ной информации в связи с возможностью получения преподавателями необходимых материалов так сказать «из первых рук».
Всвязи с вышесказанным рекомендуется периодическое повторное прохождение данного курса указанными специалистами.
Слушателям данного курса предоставляется специально разработанный учебник и иллюстриро& ванный конспект. По завершении курса выдается свидетельство учебного центра.
2
о г л а в л е н и е
1
2
3
4
5
Курс «Подготовка объекта информатизации к аттестации по требованиям безопасности»
Ориентирован на: руководителей предприятий IT&специалистов, менеджеров, администраторов безопасности систем, специалистов по корпоративной и физической безопасности, внутренних ауди& торов и аудиторов информационных систем. Предварительный уровень подготовки: базовая подго& товка в области информационных технологий. Подготовка в области информационной безопасности не требуется.
Продолжительность: 3 дня, 24 часа.
Содержание программы
1.Правовое и нормативное обеспечение защиты информации в РФ.
•Функции, состав, структура и задачи государственной системы защиты информации.
•Нормативно&методические документы ФСТЭК.
•Правила лицензирования деятельности в области защиты информации и сертификации средств защиты информации и проведение аттестации объектов информатизации.
2.Положения основных нормативных правовых актов и руководящих документов по защите конфи& денциальной информации.
•Основные положения (включают ГОСТ Р ИСО/МЭК 15408:2002 и СТР&К).
•Организация работ по созданию и эксплуатации объектов информатизации и их СЗИ.
•Требования и рекомендации по защите речевой конфиденциальной информации.
3.Организация работ по аттестации объектов информатизации и связи на соответствие требованиям безопасности информации.
•Аттестация объектов информатизации.
•Методика анализа защищенности.
4. Подготовка объекта информатизации к аттестации.
•Предварительное ознакомление с аттестуемым объектом информатизации (ОИ).
•Проведение экспертного обследования ОИ и анализ разработанной документации по защите инфор& мации с точки зрения ее соответствия требованиям нормативной и методической документации.
•Разработка технического проекта.
•Поставка, установка и настройка средств защиты информации от несанкционированного доступа.
•Спецпроверка и объектовые специсследования.
•Поставка и установка средств защиты информации от утечки по техническим каналам.
5. Методики проведения испытаний средств и систем защиты информации на аттестуемом объекте информатизации с помощью специальных технических средств.
•Виды объектов информатизации подлежащих аттестационным испытаниям в обязательном по& рядке.
•Методы тестирования системы защиты.
•Методика оценки защищенности помещений от утечки речевой конфиденциальной информации по акустическому и виброакустическому каналам.
•Методика оценки защищённости ОТСС от утечки конфиденциальной информации (КИ) за счёт на& водок на токоведущие коммуникации, выходящие за пределы контролируемой зоны (КЗ).
•Методика оценки защищенности помещений от утечки речевой конфиденциальной информации по каналам электроакустических преобразований.
3
о г л а в л е н и е
1
2
3
4
5
ОГЛАВЛЕНИЕ
1. Правовое и нормативное обеспечение технической защиты информации в Российской Федерации . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5
1.1. Функции, состав, структура и задачи государственной системы защиты информации . . . . . . . .5
1.2. Нормативно&методические документы Федеральной службы по техническому и экспортному контролю (Гостехкомиссии) в области ЗИ . . . . . . . . . . . . . . . . . . .10
1.3. Правила лицензирования деятельности в области защиты информации и сертификации средств защиты информации и проведение аттестации объектов информатизации. . . . . . . . . . . . .19
2. Положения основных нормативных правовых актов и руководящих документов по защите конфиденциальной информации . . . . . . . . . . . . . . . . . . . . . .25
2.1. Основные положения законодательства в области защиты информации . . . . . . . . . . . . . . . . .25 2.2. Организация работ по созданию и эксплуатации объектов информатизации и их СЗИ. . . . . . .33 2.3. Требования и рекомендации по защите речевой конфиденциальной информации . . . . . . . . .35
3. Организация работ по аттестации объектов информатизации и связи на соответствие требованиям безопасности информации. . . . . . . . . . . . . . . . . . . . . . . .37
3.1. Аттестация объектов информатизации (ОИ) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .37 3.2. Методика анализа защищенности . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .39
4. Подготовка объекта информатизации к аттестации . . . . . . . . . . . . . . . . . . . . . . . . .42
4.1. Перечень документов и работ по подготовке объекта к аттестации . . . . . . . . . . . . . . . . . . . . .42 4.2. Этапы практического проведения работ по аттестации . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .43 4.3. Исходные данные по обследуемой АС предоставляемые заказчиком . . . . . . . . . . . . . . . . . . . .44 4.4. Проверка и испытание аттестуемого объекта . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .45 4.5. Наиболее часто встречающиеся ошибки заказчиков . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .46 4.6. Поставка и установка средств защиты информации от утечки по техническим каналам . . . . .46 4.7. Пассивные методы защиты . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .47 4.8. Активные методы защиты . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .60
5. Методики проведения испытаний средств и систем защиты информации на аттестуемом объекте информатизации с помощью
специальных технических средств . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .68
5.1. Виды объектов информатизации, подлежащих аттестационным испытаниям в обязательном порядке . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .68
5.2. Методы тестирования системы защиты . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .68
5.3. Методика оценки защищенности помещений от утечки речевой |
|
конфиденциальной информации по акустическому и виброакустическому каналам . . . . . . . . . . . |
.70 |
5.4. Методика оценки защищенности ОТСС от утечки конфиденциальной |
|
информации (КИ) за счет наводок на токоведущие коммуникации . . . . . . . . . . . . . . . . . . . . . . . . |
75 |
5.5. Временная методика оценки защищенности помещений от утечки речевой конфиденциальной информации по каналам электроакустических преобразований . . . . . . . . . . .80
Выводы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .85
4
о г л а в л е н и е
1
2
3
4
5
Список сокращений . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .87 Литература . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .87 Руководящие документы Гостехкомиссии . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .88
Глава 1 |
Правовое и нормативное обеспечение технической защиты информации в Российской |
Федерации |
1. Правовое и нормативное обеспечение технической защиты информации в Российской Федерации
1.1. Функции, состав, структура и задачи государственной системы защиты информации
Государственная система защиты информации — совокупность органов защиты информа& ции, используемых ими средств и методов защиты информации и ее носителей, а также мероприятий, проводимых в этих целях.
Под защитой информации (ЗИ) понимается деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защи& щаемую информацию [ГОСТ Р 50922&96]. Данный вид деятельности образует сложную предметную область, включающую разнородные и разноуровневые составляющие, находящиеся во взаимосвязи друг с другом.
По видам деятельности предметная область ЗИ подразделяется на три составляющие:
1.собственно процесс ЗИ как совокупность действий по применению методов (способов) и средств ЗИ;
2.управление ЗИ как совокупность целенаправленных воздействий органов управления на объек& ты защиты, силы и средства ЗИ;
3.обеспечение ЗИ, под которым понимается создание необходимых образовательных, научных, тех& нических, информационных и других условий для реализации процесса ЗИ.
Процесс ЗИ характеризуются тремя составляющими:
•объектами защиты;
•угрозами, от которых необходимо обеспечить защиту объектов;
•методами (способами) и средствами защиты объектов от угроз.
Управление ЗИ в зависимости от используемых методов и степени свободы объектов управления
подразделяется на следующие виды:
•управление техническими средствами и системами ЗИ;
•директивное управление подчиненными органами ЗИ;
•координацию деятельности нескольких самостоятельных организационных структур системы ЗИ на основе согласования решений их органов управления;
•функциональное регулирование деятельности в области ЗИ, под которым понимается создание и обеспечение выполнения общих правил и норм в области ЗИ в интересах реализации единой технической политики в области ЗИ.
Обеспечение ЗИ включает в себя материально&техническое обеспечение деятельности органов
исредств ЗИ, образовательную деятельность в области ЗИ, проведение НИОКР в области ЗИ, оказа&
ние услуг по ЗИ и др.
Процессы ЗИ, управление ЗИ и обеспечение ЗИ взаимосвязаны и выполняются организационно& технической системой ЗИ (ОТСЗИ). По своему построению ОТСЗИ могут быть многоуровневыми и мно& гофункциональными. В зависимости от масштаба решаемых задач ОТСЗИ могут образовывать иерар& хию, включающую следующие уровни:
•межгосударственные системы ЗИ (например, союзного государства);
•национальные системы ЗИ, включающие государственные и негосударственные компоненты;
•ведомственные (отраслевые) системы ЗИ федеральных органов исполнительной власти;
•региональные системы ЗИ в федеральных округах (ФО) Российской Федерации;
•системы ЗИ субъектов Российской Федерации;
•системы ЗИ предприятий, учреждений и организаций;
•системы ЗИ на конкретных объектах защиты.
На каждом уровне ОТСЗИ представляет собой сложную структуру, содержащую отдельные подси& стемы, выполняющие указанные выше виды деятельности: собственно процесс ЗИ на объектах защи& ты, управление ЗИ, обеспечение ЗИ. Соответственно структура ОТСЗИ каждого уровня включает объ& ектные (целевые) подсистемы, обеспечивающие подсистемы, и подсистему управления, объединяю&
5
оглавление
1
2
3
4
5
Глава 1 |
Правовое и нормативное обеспечение технической защиты информации в Российской |
Федерации |
щую объектные и обеспечивающие подсистемы в единое целое.
В состав Государственной системы защиты информации (ГСЗИ) входят:
1.Системы ЗИ федеральных органов исполнительной власти.
2.Системы ЗИ в Федеральных Округах (ФО).
3.Система управления ГСЗИ.
4.Обеспечивающие функциональные подсистемы ГСЗИ.
1.В состав системы ЗИ федеральных органов исполнительной власти входят:
•системы ЗИ предприятий (учреждений и организаций);
•система управления ЗИ федеральных органов исполнительной власти;
•обеспечивающие функциональные подсистемы системы ЗИ федеральных органов исполнитель& ной власти.
2.В состав системы ЗИ в ФО входят:
•системы ЗИ субъектов РФ;
•системы ЗИ предприятий на территории ФО;
•система управления ЗИ в ФО;
•обеспечивающие функциональные подсистемы ЗИ в ФО.
3.В состав системы управления ГСЗИ входят:
•органы управления;
•функциональные подсистемы управления (мониторинга, планирования, лицензирования, серти& фикации, аттестации, контроля и другие подсистемы*).
4.В состав обеспечивающих функциональных подсистем ГСЗИ входят следующие подсистемы:
•подготовки специалистов;
•НИОКР;
•производства средств ЗИ;
•оказания услуг;
•другие подсистемы*.
(* — подсистемы могут отсутствовать)
Обобщенная организационная структура государственной системы ЗИ приведена на рис. 1.1. Обобщенная организационная структура государственной системы ЗИ в Федеральном Округе при&
ведена на рис. 1.2.
К основным функциям ГСЗИ относятся:
•мониторинг состояния ЗИ;
•текущее и перспективное планирование мероприятий по ЗИ;
•лицензирование деятельности в области ЗИ;
•сертификация средств ЗИ;
•аттестация объектов по требованиям безопасности информации;
•контроль состояния ЗИ;
•управление средствами ЗИ и др.
1.1.1. Основными задачами защиты информации являются:
•создание системы органов, ответственных за защиту информации;
•разработка теоретико&методологической основы защиты информации;
•решение проблемы управления системой защиты информации и ее автоматизации;
•создание и совершенствование нормативно&правовой базы, регламентирующей решение различ& ных задач защиты информации;
•разработка и налаживание производства программно&технических средств защиты информации;
•организация подготовки специалистов по защите информации;
•осуществление сертификации технических и программных средств по требованиям безопасности;
6
оглавление
1
2
3
4
5
Глава 1 |
Правовое и нормативное обеспечение технической защиты информации в Российской |
Федерации |
•осуществление лицензирование деятельности по оказанию услуг в сфере безопасности информации;
•осуществление контроля (надзора) за выполнением законодательства и требуемых мер в облас& ти безопасности информации.
Государственная система защиты информации (ГСЗИ)
Системы ЗИ |
|
|
федеральных органов |
Системы |
|
исполнительной |
ЗИ в ФО |
|
власти (ФОИВ) |
управления |
|
|
мониторинга ЗИ; |
подготовки |
|
планирования; |
специалистов*; |
|
лицензирования; |
НИОКР*; |
|
сертификации; |
производства |
|
аттестации; |
средств ЗИ*; |
|
контроля; |
оказания услуг*; |
|
другие |
другие |
|
подсистемы |
подсистемы* |
Системы ЗИ |
Система управления ЗИ ФОИВ |
Обеспечивающие |
|||
|
|
||||
предприятий |
Органы |
Функциональные |
функциональные |
||
(учреждений |
подсистемы системы |
||||
и организаций) |
управления |
подсистемы управления |
ЗИ ФОИВ |
||
|
|
|
мониторинга ЗИ; |
подготовки |
|
|
|
|
планирования; |
специалистов*; |
|
|
|
|
лицензирования*; |
НИОКР*; |
|
|
|
|
сертификации*; |
производства |
|
|
|
|
аттестации*; |
средств ЗИ*; |
|
|
|
|
контроля; |
оказания услуг*; |
|
|
|
|
другие подсистемы* |
другие подсистемы* |
|
Системы ЗИ |
Система управления ЗИ на предприятиях |
Обеспечивающие |
|||
|
|
||||
|
|
функциональные |
|||
на объектах |
Органы |
Функциональные |
|||
подсистемы системы |
|||||
защиты |
|
||||
|
управления |
подсистемы управления |
ЗИ предприятий |
||
|
|
||||
|
|
|
мониторинга ЗИ; |
подготовки |
|
|
|
|
планирования; |
специалистов*; |
|
|
|
|
аттестации*; |
НИОКР*; |
|
|
|
|
контроля; |
производства |
|
|
|
|
другие подсистемы* |
средств ЗИ*; |
|
|
|
|
|
оказания услуг*; |
|
Объекты |
Субъекты |
Техника |
|
другие подсистемы* |
|
защиты |
защиты |
защиты |
|
|
|
Рис. 1.1 Обобщённая организационная структура государственной системы ЗИ
7
оглавление
1
2
3
4
5
(* — подсистемы могут отсутствовать)
Глава 1 |
Правовое и нормативное обеспечение технической защиты информации в Российской |
Федерации |
Система защиты информации в федеральном округе (ФО)
|
Системы ЗИ |
|
|
Системы ЗИ |
предпри9 |
|
|
субъектов Российской |
ятий на |
|
|
Федерации (РФ) |
территории |
управления |
ФО |
|
ФО** |
|
|
|
|
|
|
|
|
мониторинга ЗИ; |
подготовки |
|
|
планирования; |
специалистов; |
|
|
лицензирования; |
НИОКР*; |
|
|
сертификации; |
производства |
|
|
аттестации; |
средств ЗИ*; |
|
|
контроля; |
оказания услуг; |
|
|
другие |
другие |
|
|
подсистемы* |
подсистемы* |
Системы ЗИ |
Система управления ЗИ в субъектах РФ |
Обеспечивающие |
|||
|
|
||||
предприятий |
Органы |
Функциональные |
функциональные |
||
(учреждений |
подсистемы системы |
||||
и организаций)*** |
управления |
подсистемы управления |
ЗИ субъектов РФ |
||
|
|
|
мониторинга ЗИ; |
подготовки |
|
|
|
|
планирования; |
специалистов*; |
|
|
|
|
аттестации*; |
НИОКР*; |
|
|
|
|
контроля; |
производства |
|
|
|
|
другие подсистемы* |
средств ЗИ*; |
|
|
|
|
|
оказания услуг*; |
|
|
|
|
|
другие подсистемы* |
|
Системы ЗИ |
Система управления ЗИ на предприятиях |
Обеспечивающие |
|||
|
|
||||
|
|
функциональные |
|||
на объектах |
Органы |
Функциональные |
|||
подсистемы системы |
|||||
защиты |
|
||||
|
управления |
подсистемы управления |
ЗИ предприятий |
||
|
|
||||
|
|
|
мониторинга ЗИ; |
подготовки |
|
|
|
|
планирования; |
специалистов*; |
|
|
|
|
аттестации*; |
НИОКР*; |
|
|
|
|
контроля; |
производства |
|
|
|
|
другие подсистемы* |
средств ЗИ*; |
|
|
|
|
|
оказания услуг*; |
|
Объекты |
Субъекты |
Техника |
|
другие подсистемы* |
|
защиты |
защиты |
защиты |
|
|
|
Рис. 1.2 Обобщённая организационная структура государственной системы ЗИ в Федеральном Округе
(* — подсистемы могут отсутствовать;
**— системы ЗИ предприятий, проводящих работы по оборонной тематике и другие работы с использова нием сведений, составляющих государственную или служебную тайну , и находящихся в сфере компе тенции федеральных органов исполнительной власти;
***— системы ЗИ предприятий, проводящих работы по оборонной тематике и другие работы с использова нием сведений, составляющих государственную или служебную тайну , и находящихся в сфере компе тенции субъектов РФ).
8
оглавление
1
2
3
4
5
Глава 1 |
Правовое и нормативное обеспечение технической защиты информации в Российской |
Федерации |
Создание системы органов, ответственных за защиту информации. На различных уров& нях — общегосударственном, региональном (ведомственном) и уровне предприятий, должна быть создана система органов, которые должны эффективно решать все задачи, связанные с защитой ин& формации. Эти органы должны осуществлять:
•управление процессами защиты информации;
•проведение НИР и ОКР соответствующей тематики;
•разработку и производство программно&технических средств защиты информации;
•практическое решение всех задач защиты информации на объектах автоматизации;
•подготовку, повышение квалификации и переподготовку кадров в области защиты информации, и т.д.
Разработка теоретико*методологической основы защиты информации. Для эффективного решения всех задач, связанных с защитой информации, необходимо разработать научно обоснован& ный базис. Для этого необходимо:
•разработать и обосновать единую терминологию (понятийный аппарат) в области защиты инфор& мации;
•проводить накопление и аналитическую обработку всех данных, относящихся к защите информации;
•разработать и обосновать стратегические подходы к решению различных задач защиты информа& ции в современных условиях;
•разрабатывать научно обоснованные методы решения различных задач защиты информации;
•обосновать структуру и содержание инструментально&методологической базы решения различ& ных задач защиты информации, и т.д.
Решение проблемы управления системой защиты информации и ее автоматизации. Долж& ны быть разработаны методы и технологии управления системами защиты информации различного уровня и назначения. Должна быть предусмотрена возможность управления системами защиты на следующих основных уровнях:
•на общегосударственном уровне (структуры государственной власти);
•на региональном уровне (территориально&промышленные зоны);
•на уровне предприятия.
При этом должно быть предусмотрено два режима управления:
•повседневный — режим планового осуществления мер по защите информации;
•экстренный — режим принятия оперативных решений и осуществления мер по защите информации.
Создание и совершенствование нормативно*правовой базы. Должны быть созданы условия, для правового и нормативного регулирования решения всех задач защиты информации. Для этого необходимо:
•обоснование структуры и содержания нормативно — правовой базы;
•разработка и принятие законов, регламентирующих деятельность в области защиты информации;
•разработка, утверждение и распространение системы общегосударственных руководящих и мето& дических материалов по защите информации;
•определение порядка разработки и утверждения руководящих документов по защите информа& ции регионального уровня и уровня предприятия;
•разработка, утверждение и распространение комплектов типовых инструкций по различным ас& пектам защиты информации, и т.д.
Разработка и налаживание производства программно*технических средств защиты ин*
формации. В стране должна быть создана мощная индустрия производства и распространения про& граммно&технических средств защиты информации. Для этого необходимо:
•обоснование и разработка перечня средств защиты информации;
•создание системы предприятий и учреждений, производящих средства защиты информации;
•определение эффективного порядка разработки, производства, сертификации и распростране& ния средств защиты информации, и т.д.
9
оглавление
1
2
3
4
5
Организация подготовки специалистов по защите информации. Необходимо создание сис& темы подготовки специалистов по защите информации, которая должна выпускать необходимое ко& личество специалистов требуемых специализаций. Для решения этой задачи необходимо: