Защита информации

тификация средств защиты информации - деятельность изготовителей и потребителей средств по установлению (подтверждению) соответствия средств ЗИ требованиям нормативных документов по защите информации, утвержденных государственными органами по сертификации.

В соответствии с Положением о сертификации средств защиты инфор­

-Органы по сертификации средств защиты информации - органы, проводящие сертификационные испытания или отдельные виды ис­ пытаний определенной продукции;

-Изготовители-продавцы, исполнители продукции.

Координация работ по организации сертификации средств защиты информации возложена на МВК по защите государственной тайны.

К основным этапам сертификации относятся:

-получение лицензии на осуществление определенного вида деятель­ ности;

-заявка в орган сертификации на проведение сертификации;

-решение органа сертификации о проведении сертификации;

-проверка производства систем защиты информации;

-реализация схемы стандартизации.

Изготовители сертифицированной продукции могут осуществлять свою деятельность:

-при наличии лицензии на соответствующий вид деятельности;

-производить или реализовывать средства защиты информации толь­ ко при наличии соответствующего сертификата;

-при изменениях в технологии изготовления или конструкции и со­

ший сертификацию;

-маркировать сертифицированные средства защиты информации знаком соответствия;

-в случае выявления несоответствия средств защиты информации

ализацию этих средств.

Нормативно-технический базис системы сертификации представлен в приложении № 1.

Лицензирование - мероприятия, связанные с предоставлением лицен­ зий, переоформлением документов, подтверждающих наличие лицензий, приостановлением и возобновлением действий лицензий, аннулированием действий лицензий и контролем лицензирующих органов за соблюдением лицензиатами при осуществлении лицензируемых видов деятельности со­ ответствующих лицензионных требований и условий.

61

ний и условий, выданное лицензирующим органом юридическому лицу или индивидуальному предпринимателю.

Косновным документам относятся:

1.Федеральный закон от 8 августа 2001 г. № 128-ФЗ «О лицензирова­ нии отдельных видов деятельности».

2. Постановление Правительства Российской Федерации от 11 февра­ ля 2002 г. №135 «О лицензировании отдельных видов деятельности».

3. Постановление Правительства Российской Федерации от 30 апреля 2002 г. №290 «О лицензировании деятельности по технической защите кон­ фиденциальной информации».

В области защиты информации лицензированию подлежат такие виды деятельности как:

-деятельность по технической защите информации;

-деятельность по разработке и (или) производству средств защиты конфиденциальной информации;

-деятельность по выявлению электронных устройств, предназначен­ ных для негласного получения информации, в помещениях и тех­ нических средствах (за исключением случая, если указанная деятель­ ность осуществляется для обеспечения собственных нужд юриди­ ческого лица или индивидуального предпринимателя);

-разработка, производство, реализация и приобретение в целях про­ дажи специальных технических средств, предназначенных для не­ гласного получения информации, индивидуальными предпринима­ телями и юридическими лицами, осуществляющими предпринима­ тельскую деятельность;

-деятельность по распространению шифровальных (криптографи­ ческих) средств;

-деятельность по техническому обслуживанию шифровальных (крип­ тографических) средств;

-предоставление услуг в области шифрования информации;

-разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптог­

ный вид деятельности в области защиты информации:

-лицензирование деятельности предприятий с использованием све­ дений, составляющих государственную тайну, лицензии выдаются ФСБ России - на территории России, СВР России - за рубежом;

-лицензирование деятельности в области защиты информации и

62

работ, связанных с созданием средств защиты информации, - ли­

ты государственной тайны - лицензии выдаются ФСБ России и ее территориальными органами, ФАПСИ, Гостехкомиссией России, СВР России в пределах прав, предоставленных законами.

Аттестация выделенных помещений - первичная проверка выделен­ ных помещений и находящихся в них технических средств на соответствие требованиям защиты. Наряду с аттестацией, выделенные помещения под­ вергаются периодическим аттестационным проверкам.

Аттестационная проверка выделенных помещений - периодическая проверка в целях регистрации возможных изменений состава технических средств, размещенных в помещениях, выявления возможных неприятнос­ тей, регистрации возможных изменений характера и степени конфиденци­ альности закрытых мероприятий. График периодических аттестационных проверок составляется, исходя из следующих сроков: для помещений пер­ вой и второй групп - не реже 1 раза в год; для помещений третьей группы - не реже 1 раза в 1,5 года.

Под аттестацией объектов информатизации понимается комплекс орга­ низационно-технических мероприятий, в результате которых посредством специального документа - “Аттестата соответствия” подтверждается, что объект соответствует требованиям стандартов или иных нормативно-тех- нических документов по безопасности информации, утвержденных Гостех­ комиссией России.

Наличие на объекте информатизации действующего “Аттестата соот­ ветствия” дает право обработки информации с уровнем секретности (кон­ фиденциальности) и на период времени, установленными в “Аттестате со­

предназначенные для обработки информации, составляющей государствен­ ную тайну, управления экологически опасными объектами, ведения секрет­

63

воздействиях на объект (высокочастотное навязывание и облучение,

информатизации и т.п.

Аттестация предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта информатизации в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности информации.

Способы защиты информации определяют порядок и правила приме­ нения определенных принципов и средств защиты информации и рассмот­ рены в последующих главах.

Установление градаций важности защиты информации (объекта за­ щиты) определяет категорирование защищаемой информации (объекта за­ щиты). Одним из важнейших направлений в организации защиты инфор­ мации являются мероприятия по контролю за эффективностью защиты ин­ формации.

деляет порядок и правила применения определенных принципов и средств контроля эффективности защиты информации.

Контроль состояния защиты информации определяет соответствие организации и эффективности защиты информации установленным требо­ ваниям и/или нормам в области защиты информации и состоит из контро­ ля организации защиты информации и контроля эффективности защиты информации.

К средствам защиты информации относятся - техническое, программ­ ное средство, вещество и/или материал, предназначенные или используе­ мые для защиты информации, а к средствам контроля эффективности за­ щиты информации - техническое, программное средство, вещество и/или

ветствия состояния организации, наличия и содержания документов, тре­ бованиям правовых, организационно - распорядительных и нормативных документов по защите информации, а в контроль эффективности защиты

ти защиты информации и осуществляется как организационный и техни­ ческий контроль.

Организационный контроль эффективности защиты информации со­ держит проверку полноты и обоснованности мероприятий по защите ин­ формации требованиям нормативных документов по защите информации, а технический контроль эффективности защиты информации - контроль эффективности защиты информации, проводимый с использованием тех­ нических средств контроля.

64

Подобная система организации и защиты информации должна обес­ печивать (Л.27) противодействие техническим средствам разведки (TCP) (рис. 1.3).

Работы по созданию системы защиты информации (СЗИ).

Организация и проведение работ по защите информации с ограничен­ ным доступом определяется “Положением о государственной системе защи­ ты информации в РФ от иностранных технических разведок и от её утечки по техническим каналам” (Л.57a).

Порядок осуществления работ по созданию системы защиты инфор­ мации и ответственность, возлагаемая на руководящий состав предприя­ тия, СБ и разработчиков СЗИ приведена в табл. 1.7.

Таблица 1.7

Организация работ по защите информации

Разработка СЗИ может осуществляться как подразделениями пред­ приятия, так и специализированными предприятиями, имеющими лицен­ зию на этот вид деятельности.

Разработка и внедрение СЗИ осуществляется во взаимодействии со службой безопасности заказчика, в соответствии с этапами (стадиями) при­ веденными в таблице 1.8.

Порядок организации работ по созданию и эксплуатации объектов информатизации определяется в разрабатываемом на предприятии «Руко­ водстве по защите информации» или в специальном «Положении о поряд­ ке организации и проведении работ по ЗИ».

Эти документы должны предусматривать:

-порядок определения защищаемой информации;

-порядок привлечения подразделений предприятия, специалистов

сторонних организаций к разработке и эксплуатации СЗИ объек­ та информатизации;

-порядок взаимодействия всех занятых сил;

-порядок разработки, ввода в действие и эксплуатации объекта ин­ форматизации;

-ответственность должностных лиц.

65

В учреждении должны быть документально оформлены перечни све­ дений конфиденциального характера и чувствительной информации.

Таблица 1.8

Стадии создания СЗИ

Устанавливаются следующие стадии создания СЗИ: A. Предпроектная стадия, включающая:

-предпроектное обследование объекта информатизации;

-разработку аналитического обоснования необходимости создания СЗИ;

-частные задания на ее создание.

Б. Стадия проектирования (разработки проектов) и реализации объек­ та информатизации, включающая разработку СЗИ в составе объекта ин­ форматизации.

B. Стадия ввода в действие СЗИ, включая опытную эксплуатацию и приемно-сдаточные испытания средств ЗИ, а также аттестацию объекта

66

Таблица 1.9 Общие сведения о защищаемом помещении (помещениях)

Объект: Помещение:

Назначение помещения: проведение совещаний, работа с конфиденциаль­ ными документами, обработка информации на ПЭВМ, телефонные перего­ воры

Заявляемая степень конфиденциальности (секретности) информации:

Конфиденциально

Этаж: 3

Площадь (кв. м), высота потолков (м): 6x6 м 36м высота потолков 3 м

-подвесной (воздушный зазор):________ нет___

-подшитый (материал):_________________ нет_

-оштукатуренный: __________________ да

-цементный раствор: _________________нет___

-другой:__________________________________

Перекрытия (потолок, пол), толщина (мм):

-бетон, дерево, другие материалы:_________ железобетонные перекрытия 120мм

-деревянный на деревянных балках:__________ нет___________________________

-паркет:есть

-линолеум (5 мм) по полу:_____________ нет____________________ ___________

-метлахские плитки:______________ нет_____________________________________

-ковер обыкновенный:_____________ нет___________________________________

-другой материал:_______________________________________________________

Стеновые перегородки:

-бетон____ нет______________________________

фанера (8 мм) на брусках (5 см)______________________нет____________________

-древесно-волокнистая плитка 25 мм________________нет_____________________

-минеральная вата_________________нет________________________

-асбестовые (гипсовые) акустические плиты________________нет________

-кирпич: 1/2 кирпича

-другие материалы:

Стены наружные:_____________________________________________

-толщина(см): ____ 20см__________________________________________________

-бетон: __________________________________________________ __

-кирпич: да

-деревянная обшивка:_____________________________________________________

-штукатурка известковая:________ да_______________________________________

-акустическая штукатурка:________________________________________________

-другие материалы:

Окна:

-размер проема:____ 150x100 см_______________________________________

-количество проемов:____________ 2______________________________________

-наличие пленок (назначение, тип, марка):________ нет_______________________

-тип окна (с одинарным стеклом, с двойным стеклом, с двойным утолщен­ ным стеклом, с уплотнителем, из стеклопластика, другие):___________ двойное ос­

67

-другое:__________________________

Двери:

-размер проема:___ 200x80 см_____

-двери: _одностворчатая 200х80_

-тип:____________________________

-дверь с войлочным уплотнителем___________ да_

-другие типы_____________________________нет_

Описание смежных помещений: -назначение, характер проводимых работ

__сверху - аналогичное по конструкции помещение; север, юг, запад - лабора­

торные помещения; восток - двор предприятия_

- наличие в них технических средств передачи и обработки данных: _телефоны, сотовые телефоны, ПЭВМ________________________________

Система электропитания (освещение):

-сеть:_________________________________________________ 220 B/50HZ_

-от аккумуляторов:_______________________ нет_______________________

-автономный агрегат электропитания:_______________нет_______________

-наличие подстанции на контролируемой территории:__________да_______

- тип светильников и их количество: газоразрядовые лампы 6 шт

Система заземления: да Системы сигнализации (тип): охранная и пожарная

Система вентиляции (тип): наличие воздушных зазоров Система отопления:

-центральное (паровое, водяное): водяное, два стояка, проходящие

сверху вниз

-печное__________________________________________________________

-наличие экранов на батареях:____________ нет________________________

-калорифер, тип:______________________ нет_________________________

-другое оборудование:_________________ нет_________________________

Телефонные линии:

-количество и тип ТА:____3 шт -ТА-600______________________________

городская сеть: ___________1шт -ТА-600_

местной АТС: 2шт 2 параллельных аппарата ТА-600

-тип розеток_________ обычная 3 шт___________________

-тип проводки:_____двухпроводные линии_________________

Прочие проводные линии:

-радиотрансляция (местная, городская):_____________да____

-электрочасофикация (марка):_______________ нет_________

Оргтехника

ПЭВМ - 2шт, принтер - 2 шт, сканер - 1 шт

Бытовая техника:

Чайник 1шт

Специальные технические средства защиты информации:

отсутствуют

Описание обстановки вокруг объекта:

68

А) На предпроектной стадии по обследованию объекта информатиза­

ции:

•устанавливается необходимость обработки (обсуждения) конфиден­ циальной информации на данном объекте информатизации;

•определяется перечень сведений конфиденциального характера, подлежащих защите;

•определяются (уточняются) угрозы безопасности информации и мо­

дель вероятного нарушителя применительно к конкретным усло­ виям функционирования объекта;

•определяются условия расположения объекта информатизации от­ носительно границ КЗ;

•определяются конфигурация и топология АС и систем связи в це­ лом и их отдельных компонентов, физические, функциональные и технологические связи как внутри этих систем, так и с другими си­ стемами различного уровня и назначения;

•определяются технические средства и системы, предполагаемые к

использованию в разрабатываемой АС и системах связи, условия их расположения, общесистемные и прикладные программные сред­ ства, имеющиеся на рынке и предлагаемые к разработке;

•определяются режимы обработки информации в АС в целом и в отдельных компонентах;

•определяется класс защищенности АС;

•определяется степень участия персонала в обработке (обсуждении, передаче, хранении) информации, характер их взаимодействия меж­ ду собой и со службой безопасности;

•определяются мероприятия по обеспечению конфиденциальности информации на этапе проектирования объекта информатизации.

По результатам предпроектного обследования разрабатывается ана­ литическое обоснование необходимости создания СЗИ.

На основе действующих нормативно-методических документов по тех­ нической защите конфиденциальной информации, с учетом установленно­ го класса защищенности АС задаются конкретные требования по защите информации, включаемые в техническое (частное техническое) задание на разработку СЗИ.

Предпроектное обследование, в части касающейся определения защи­

ной организации, имеющей соответствующую лицензию, но и в этом слу­ чае анализ информационного обеспечения в части защищаемой информа­ ции целесообразно выполнять представителям организации-заказчика при методической помощи специализированной организации.

Ознакомление специалистов этой организации с защищаемыми сведе­ ниями осуществляется в установленном в организации-заказчике порядке.

69

Аналитическое обоснование необходимости создания СЗИ должно содержать:

•информационную характеристику и организационную структуру объекта информатизации;

•характеристику комплекса основных и вспомогательных техничес­ ких средств, программного обеспечения, режимов работы, техно­ логического процесса обработки информации;

•перечень предлагаемых к использованию сертифицированных средств защиты информации;

•обоснование необходимости привлечения специализированных

организаций, имеющих необходимые лицензии на право проведе­ ния работ по защите информации;

•оценку материальных, трудовых и финансовых затрат на разработ­ ку и внедрение СЗИ;

•ориентировочные сроки разработки и внедрения СЗИ;

•перечень мероприятий по обеспечению конфиденциальности ин­ формации на стадии проектирования объекта информатизации.

Аналитическое обоснование подписывается руководителем организа­ ции, проводившей предпроектное обследование, согласовывается с главным конструктором (должностным лицом, обеспечивающим научно-техническое руководство создания объекта информатизации), руководителем службы безопасности и утверждается руководителем организации-заказчика.

Техническое (частное техническое) задание на разработку СЗИ долж­ но содержать:

•обоснование разработки;

•исходные данные создаваемого (модернизируемого) объекта инфор­ матизации в техническом, программном, информационном и орга­

низационном аспектах;

•класс защищенности АС;

•ссылку на нормативно-методические документы, с учетом которых будет разрабатываться СЗИ и приниматься в эксплуатацию объект

информатизации;

• требования к СЗИ на основе нормативно-методических докумен­ тов и установленного класса защищенности АС;

•перечень предполагаемых к использованию сертифицированных средств защиты информации;

•обоснование проведения разработок собственных средств защиты

информации, невозможности или нецелесообразности использова­ ния имеющихся на рынке сертифицированных средств защиты ин­ формации;

•состав, содержание и сроки проведения работ по этапам разработ­ ки и внедрения;

•перечень подрядных организаций-исполнителей видов работ;

70