2. Порядок проведения практического занятия
1. Организация занятия (проверка присутствующих и готовности к занятиям, объявление темы исходя из содержания текущего занятия). (5 минут.)
2. Распределение на подгруппы и доведение порядка проведения занятия. (5 минут.)
3. Присвоение подгруппам первоначальных ролей (сотрудники технической группы службы безопасности, специалисты по добыванию информации различными способами (в том числе и незаконными), экспертная группа). (5 минут.)
4. Обсуждение студентами подгрупп вопросов, вынесенных на практическое занятие с целью выработки общих позиций:
4.1. Вопросы со стороны подгруппы выступающих в роли сотрудников технической группы службы безопасности. (15 минут.)
4.2. Вопросы со стороны подгруппы выступающих в роли специалистов по добыванию информации. (15 минут.)
4.3. Вопросы со стороны подгруппы экспертов. (15 минут.)
4.4. Ответы и дискуссии. (10 минут.)
4.5.Выработка общей позиции и общего подхода к вопросам рассматриваемым на текущем занятии согласно его теме. (5 минут.)
5. Обсуждение преподавателем и старшими групп оценок участников занятия. (5 минут.)
6. Подведение итогов занятия с объявлением окончательных оценок участников практического занятия. (5 минут.)
7. Объявление темы и содержания следующего практического занятия. (5 минут.)
Нормативно-правовая база инженерно-технической защиты информации
Деятельность государственной системы защиты информации регламентируется документами, составляющими нормативно-правовую базу инженерно-технической защиты информации. Основу ее составляют документы, классификация которых приведена на рис. 4.1.
Рис. 4.1. Классификация документов нормативно-правовой базы по защите информации.
По назначению документы делятся на:
руководящие;
нормативные;
методические.
Руководящие документы определяют структуру, права и обязанности органов и людей, обеспечивающих инженерно-техническую защиту информации на различных уровнях государственной системы. Руководящие документы разрабатываются на всех уровнях государственной системы защиты информации, причем документы на более низком уровне конкретизируют документы болеевысокого уровня.
Любая деятельность по выполнению руководящих документов сопровождается принятием решений по тому или иному вопросу. Основу принятия решений составляет идентификация текущих факторов или признаков с эталонными. Совокупность эталонных факторов или признаков представляют собой сущность понятия «норма» и содержание нормативных документов. Понятие нормы широко используется во всех сферах деятельности людей. Например, в обществе существуют нормы поведения, часть которых законодательно закреплена в Гражданском кодексе. Грубые отклонения от норм поведения — преступления и шкала наказаний в зависимости от уровня отклонения от нормы рассмотрены в Уголовном кодексе. Нормы в человеческом обществе могут изменяться эволюционно в процессе его развития и трансформироваться отдельными группами людей, обладающих силами и средствами психологического воздействия на население.
Нормативы в области инженерно-технической защиты информации определены специалистами в нормативных документах. В результате сравнения текущих показателей защиты информации с требуемыми нормативами принимается решение об уровне безопасности защищаемой информации.
Так как текущие показатели эффективности защиты информации зависят от большого числа факторов, то методики их определения разными органами и специалистами и, следовательно, полученные результаты в общем случае могут отличаться. Например, если не совпадают методики измерения уровней опасных сигналову контролирующего и контролируемого органов, то специалистам контролируемого органа трудно доказать достаточность использованных мер защиты. Поэтому, как правило, одновременно разрабатываются нормативы и методики их определения, которые объединяются в нормативно-методические документы.
Основные законы РФ, указы Президента РФ и Постановления Правительства РФ в области инженерно-технической защиты информации указаны в табл. 4.1.
Таблица 4.1
|
№ |
Уровень документа |
Наименование документа |
Дата принятия |
№ доку-мента | |
|
1 |
Законы РФ |
О государственной тайне |
21 июня 1993 г. |
5485-1 | |
|
|
Об информации, информатизации и защите информации |
20 февраля 1995 г. |
24-ФЗ | ||
|
|
О безопасности |
5 марта 1992 г. |
2446-1 | ||
|
|
О федеральных органах правительственной связи и информации |
19 февраля 1993 г. |
4524-1 | ||
|
|
О связи |
16 февраля 1995 г. |
15-ФЗ | ||
|
|
Об органах Федеральной службы безопасности в Российской Федерации |
22 февраля 1995 г. |
40-ФЗ | ||
|
|
Об участии в международном информационном обмене |
4 июля 1996 г. |
85-ФЗ | ||
|
2 |
Указы Президен-та РФ |
Положение о Федеральной службе по техническому и экспортному контролю |
6 августа 2004 г. |
1085 | |
|
|
Вопросы защиты государственной тайны |
30 марта 1994 г. |
614 | ||
|
|
Об утверждении перечня сведений, отнесенных к государственной тайне |
8 ноября 1995 г. |
1108 | ||
|
|
Об утверждении перечня сведений конфиденциального характера |
6 марта 1997 г. |
644 | ||
|
|
|
О защите информационно-теле- коммуникационных систем и баз данных от утечки конфиденци- альной информации по техничес- ким каналам |
8 мая 1993 г. |
188 | |
|
3 |
Постанов- ления правитель-ства РФ |
Об утверждении Правил отнесе- ния сведений, составляющих го- сударственную тайну, к различ- ным степеням секретности |
4 сентяб- ря 1995 г. |
870 | |
|
О лицензировании отдельных ви- дов деятельности |
24 дека- бря 1994 г. |
1418 | |||
|
О лицензировании деятельнос- ти предприятий, учреждений и организаций по проведению ра- бот, связанных с использовани- ем сведений, составляющих го- сударственную тайну, создани- ем средств защиты информации, а также с осуществлением мероп- риятий (или) оказанием услуг по защите государственной тайны |
15 апреля 1995 г. |
333 | |||
|
Положение о сертификации средств защиты информации |
26 июня 1995 г. |
608 | |||
|
Об утверждении Положения о по- рядке обращения со служебной информацией ограниченного рас- пространения в федеральных ор- ганах исполнительной власти |
3 ноября 1994 г. |
1233 | |||
|
О лицензировании деятельности по технической защите конфиден- циальной информации |
30 апреля 2002 г. |
135 | |||
Основу межведомственных документов составляют решения, руководящие и нормативно-методические документы ФСТЭК (Гостехкомиссии). В них рассматриваются основы концепции защиты информации от технической разведки, типовые положения об органах по защите информации, требования и методические рекомендации по защите информации от утечки по техническим каналам, руководящие документы по различным аспектам защиты информации в автоматизированных системах, нормативно-методические документы по противодействию различным видам технической разведки.
В каждом ведомстве государства, являющемся владельцем или пользователем информации, содержащим государственную тайну,разрабатываются и конкретизируются руководящие и нормативно-методические документы и создаются органы, обеспечивающие защиту информации как в самом ведомстве, так и подчиненных подразделениях (организациях, предприятиях).
К руководящим документам, разрабатываемым в организации (на предприятии), относятся:
руководство (инструкция) по защите информации в организации (на предприятии);
положение о подразделении организации, на которое возлагаются задачи по обеспечению безопасности информации;
инструкции по защите отдельных источников информации, прежде всего информации о разрабатываемых изделиях и продукции.
В различных организациях эти документы могут иметь разные наименования, отличающиеся от указанных. Но сущность этих документов остается неизменной, так как необходимость в них объективна.
Порядок защиты информации в организации определяется соответствующим руководством (инструкцией). Оно может содержать следующие разделы:
общие положения;
перечень охраняемых сведений;
демаскирующие признаки объектов организации;
оценки возможностей органов и средств добывания информации;
организационные и технические мероприятия по защите информации;
порядок планирования работ службы безопасности;
порядок взаимодействия с государственными органами, решающими задачи по защите материальной и интеллектуальной собственности, государственной и коммерческой тайны.
Но в данном руководстве нельзя учесть всех особенностей защиты информации в конкретных условиях. В любой организации постоянно меняется ситуация с источниками и носителями конфиденциальной информации, угрозами ее безопасности. Например, появлению нового товара на рынке предшествует большая работа, включающая различные этапы и стадии: проведение исследований, разработка лабораторных и действующих макетов, создание опытного образца и его доработка по результатам испытаний, подготовка производства (документации и дополнительного оборудования), изготовление опытной серии для выявления спроса на товар, массовый выпуск продукции.
На каждом этапе и стадии к работе подключаются новые люди, разрабатываются новые документы, создаются узлы и блоки с информативными для них демаскирующими признаками. Созданию каждого изделия или самостоятельного документа сопутствует свой набор информационных элементов, их источников и носителей, угроз и каналов утечки информации, проявляющихся в различные моменты времени.
Для защиты информации об изделии на каждом этапе его создания разрабатывается соответствующая инструкция. Инструкция должна содержать сведения, необходимые для обеспечения безопасности информации, в том числе: общие сведения об образце,защищаемые сведения о нем и его демаскирующие признаки, потенциальные угрозы безопасности информации, замысел и меры по защите, порядок контроля (задачи, органы контроля, имеющие право на проверку, средства контроля, допустимые значения контролируемых параметров, условия и методики, периодичность и виды контроля), фамилии лиц, ответственных за безопасность информации.
Нормативно-методическую базу составляют:
государственные стандарты (ГОСТы);
общие требования (ОТ), общие технические требования (ОТТ), тактико-технические требования (ТТТ), руководящие документы (РД) и другие документы;
модели;
нормы, методики и инструкции;
эксплуатационно-техническая документация;
учебно-методическая и научная литература.
Перечень основных государственных стандартов на технические средства охраны указан в табл. 4.2.
Таблица 4.2
|
№ п/п |
Номер ГОСТа |
Наименование ГОСТа | |
|
1 |
2 |
3 | |
|
1 |
ГОСТ 26342-84 |
Средства охранной, пожарной и охранно-пожарной сигнализации. Типы, основные параметры и размеры | |
|
2 |
ГОСТ 4.188-85 |
Средства охранной, пожарной и охранно-пожарной сигнализации. Номенклатура показателей | |
|
3 |
ГОСТ 27990-88 |
Средства охранной, пожарной и охранно-пожарной сигнализации. Общие технические требования | |
|
4 |
ГОСТ Ρ 50009-92 |
Совместимость технических средств охранной, пожарной и охранно-пожарной сигнализации электромагнитная. Требования, нормы и методыиспытаний на помехоустойчивость и индустриальные радиопомехи | |
|
5 |
ГОСТ Ρ 50658-94 |
Системы тревожной сигнализации. Часть 2. Требования к системам охраной сигнализации. Раздел 4. Ультразвуковые доплеровские извещатели для закрытых помещений | |
|
6 |
ГОСТ Ρ 50659-94 |
Системы тревожной сигнализации. Часть 2. Требования к системам охранной сигнализации. Часть 5. Радиоволновые доплеровские извещатели для закрытых помещений | |
|
7 |
ГОСТ Ρ 50775-95 (МЭК 839-1-88) |
Системы тревожной сигнализации. Часть 1. Общие требования. Раздел 1. Общие положения | |
|
8 |
ГОСТ Ρ 50776-05 (МЭК 839-14-89) |
Системы тревожной сигнализации. Часть 1. Системы охранной сигнализации. Общие требования. Раздел 4. Руководство по проектированию,монтажу и техническому обслуживанию | |
|
9 |
ГОСТ Ρ 50777-95(МЭК 839-1-6-90) |
Системы тревожной сигнализации. Часть 2. Требования к системам охранной сигнализации. Раздел 6. Пассивные оптико-электронные инфракрасные извещатели для помещений | |
|
10 |
ГОСТ Ρ 50862-96 |
Сейфы и хранилища ценностей. Требования и методы испытаний на устойчивость к взлому и огнестойкость | |
|
11 |
ГОСТ Ρ 50941-96 |
Кабины защитные. Общие технические требования и испытания | |
|
12 |
ГОСТ Ρ 51072-97 |
Двери защитные. Требования и методы испытаний на устойчивость к криминальному открыванию и взлому | |
|
13 |
ГОСТ Р-51053 |
Замки сейфовые. Требования и методы испытаний на устойчивость к криминальному открыванию и взлому | |
|
14 |
ГОСТ Ρ 5089-97 |
Замки и защелки для дверей. Технические условия | |
|
15 |
ГОСТ 51136-98 |
Стекла защитные многослойные. Общие технические условия | |
|
16 |
ГОСТ Ρ 51186-98 |
Системы тревожной сигнализации. Требования и методы испытаний систем охранной сигнализации. Извещатели акустические пассивные для блокирования остекленных конструкций в закрытых помещениях | |
|
17 |
ГОСТ Ρ 51241-98 |
Средства и системы контроля и управления доступом. Классификация. Общие технические требования и методы испытаний | |
|
18 |
ГОСТ Ρ 51558-2000 |
Системы охранные телевизионные. Общие технические требования и методы испытаний | |
Основным нормативным документом является перечень сведений, составляющих государственную, военную, коммерческую или любую другую тайну. Перечень сведений, содержащих государственную тайну, основывается на положениях Закона «О государственной тайне»». Перечни подлежащих защите сведений этого закона конкретизируются ведомствами применительно к тематике конкретных организаций. В коммерческих структурах, выполняющих государственные заказы, перечни распространяются на информацию, относящуюся к этому заказу. Перечни сведений,составляющих коммерческую тайну, составляются руководством фирмы при участии сотрудников службы безопасности.
Другие нормативные документы определяют максимально допустимые значения уровней сигналов с защищаемой информацией и концентрации демаскирующих веществ на границах контролируемых зон, не превышение которых обеспечивает требуемый уровень безопасности информации. Эти нормы разрабатываются соответствующими ведомствами, а для коммерческих структур, выполняющих негосударственные заказы, — специалистами этих структур. Кроме того, нормативные документы объединены с методиками измерения параметров норм.
Работа по защите информации в организации проводится всеми его сотрудниками, но степень участия различных категорий существенно отличается. Любой сотрудник, подписавший обязательство о неразглашении тайны, участвует в защите информации хотя бы путем выполнения руководящих документов о защите информации.