•организация аттестования подведомственных объектов по вы полнению требований обеспечения защиты информации, сер тификации средств защиты информации и контроля ее эффек тивности;
•организация и координация разработок, внедрение и эксплуата ция систем мер по предотвращению утечки информации;
•организация и проведение работ по контролю эффективности проводимых мероприятий и принимаемых мер по защите ин формации;
•методическое обеспечение мер по защите информации;
•организация подготовки и повышения квалификации специа листов по вопросам защиты информации для подведомствен ных предприятий, учреждений и организаций, а также органи зация и проведение занятий с руководящим составом по вопро сам защиты информации.
Работы по защите информации на предприятиях (в орга низациях и учреждениях) организуются их руководителями. Подразделения и штатные специалисты по безопасности на пред приятиях осуществляют мероприятия по защите информации в ходе выполнения работ с использованием сведений, отнесенных к государственной или служебной тайне, определяют совместно с заказчиком работ основные направления комплексной защиты ин формации, участвуют в согласовании технических (тактико-тех- нических) заданий на проведение работ, дают заключения о воз можности проведения работ с информацией, отнесенной к госу дарственной или служебной тайне.
В соответствии с существующим законодательством допуск предприятий (организаций, учреждений) к проведению работ, со держащих государственную тайну, созданию средств защиты ин формации и оказанию услуг по защите государственной тайны воз можен после получении ими лицензий на соответствующий вид деятельности.
Органами, уполномоченными на ведение лицензионной де ятельности, являются [6-8]:
•по допуску предприятий к проведению работ, связанных с ис пользованием сведений, составляющих государственную тай ну, — Федеральная служба безопасности РФ и ее территориаль
ные органы (на территории РФ), Служба внешней разведки РФ (за рубежом);
•на право проведения работ, связанных с созданием средств за щиты информации, — Федеральная служба по техническому и экспортному контролю РФ, Федеральная служба безопасности РФ, Служба внешней разведки РФ, Министерство обороны РФ (в пределах их компетенции);
•на право осуществления мероприятий и (или) оказания услуг в области защиты государственной тайны — Федеральная служ ба безопасности РФ и ее территориальные органы, Федеральная служба по техническому и экспортному контролю РФ, Служба внешней разведки РФ (в пределах их компетенции).
Вотраслях промышленности и в регионах страны создаются и функционируют лицензионные центры, осуществляющие орга низацию и контроль за деятельностью в области оказания услуг по защите информации.
Лицензии выдаются на срок 3-5 лет на основании результатов специальных экспертиз предприятий и государственной аттеста ции их руководителей, ответственных за защиту сведений, состав ляющих государственную тайну, и при выполнении следующих условий [6]:
•соблюдение требований законодательных и иных нормативных актов РФ по обеспечению защиты сведений, составляющих го сударственную тайну, в процессе выполнения работ, связанных
сиспользованием указанных сведений;
•наличие в структуре предприятия подразделения по защите го сударственной тайны и необходимого числа специально под готовленных сотрудников для работы по защите информации, уровень квалификации которых достаточен для обеспечения го сударственной тайны;
•наличие на предприятии средств защиты информации, имею щих сертификат, удостоверяющий их соответствие требовани ям по защите сведений соответствующей степени секретности.
Государственная аттестация руководителей предприятий проводится методом собеседования с целью проверки их знаний, необходимых для организации на предприятии защиты сведений составляющих государственную тайну. Государственная аттеста-
дня руководителей предприятий организуется органами, уполно моченными на ведение лицензионной деятельности, а также ми нистерствами и ведомствами РФ, руководители которых наделены Полномочиями по отношению к государственной тайне сведений в Отношении подведомственных им предприятий.
■; Специальная экспертиза предприятия проводится путем , Проверки выполнения требований нормативно-методических до-
.! ку ментов по режиму секретности, противодействию иностранным ^техническим разведкам и защите информации от утечки по техни ческим каналам, а также соблюдения других условий, необходи-
;Мых для получения лицензии.
:i Специальные экспертизы организуются и проводятся [9]:
•Федеральной службой безопасности РФ и территориальными органами безопасности РФ, Федеральной службой по техничес кому и экспортному контролю РФ, другими министерствами и ведомствами РФ, руководители которых наделены полномочия ми по отнесению к государственной тайне сведений в отноше нии подведомственных им предприятий;
отраслевыми аттестационными центрами министерств и ведомств, руководители которых наделены полномочиями по от |несению сведений к государственной тайне, для проведения специальных экспертиз на подведомственных им предприяти
ях;
региональными аттестационными центрами Федеральной служ бы безопасности РФ и территориальными органами безопаснос ти, Федеральной службы по техническому и экспортному конт ролю РФ, а также администрацией субъектов РФ, для проведе ния экспертиз на вневедомственных предприятиях.
Специальные экспертизы проводятся экспертными комиссия ми при Федеральной службе безопасности РФ и территориальных органах безопасности, а также при аттестационных центрах.
Контроль за соблюдением лицензионных условий лицензиа тами, выполняющими работы, связанные с использованием сведешй, составляющие государственную тайну, созданием средств зациты информации, а также с осуществлением мероприятий и (или) жазанием услуг по защите государственной тайны осуществляют
733
органы, уполномоченные на ведение лицензионной деятельности.
Технические средства, используемые для обработки защи ты информации, должны иметь сертификат соответствия их ха рактеристик требованиям по защите. Обязательной сертифика ции подлежат защищенные технические, программно-техничес кие, программные средства, системы связи, сети и системы вычис лительной техники, средства защиты и средства контроля эффек тивности защиты, а также технические и программные средства, предназначенные для обработки информации с ограниченным до ступом, в том числе иностранного производства.
Сертификацию средств проводят Федеральная служба по тех ническому и экспортному контролю РФ, ФСБ РФ, Министерство обороны РФ, Служба внешней разведки РФ, аккредитованные ор ганы по сертификации продукции, аккредитованные испытатель ные центры (лаборатории). Координация деятельности по сертифи кации возложена на Межведомственную комиссию по защите го сударственной тайны.
Объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну, а также ве дения секретных переговоров, подлежат обязательной аттеста ции на соответствие их требованиям стандартов или иных норма тивно-технических документов, утвержденных Гостехкомиссией (Федеральной службой по техническому и экспортному контролю). Аттестационные испытания проводятся аттестационной комисси ей, формируемой органом, аккредитованным Федеральной служ бой по техническому и экспортному контролю.
25.2.Организация инженерно-технической защиты информации на предприятиях (в организациях, учреждениях)
Предприятия (фирмы, организации, учреждения) — наиболее многочисленные структуры, в которых создается наибольший объ ем (количество) информации, содержащей государственную и кон фиденциальную тайну. В них проводится конкретная и разнооб разная работа по защите информации.
Независимо от формы собственности организация для прове дения работ с информацией, содержащей государственную тайну, должна получить лицензию, т. е. выполнить предварительно в пол
ном объеме требования по защите информации, предусмотренные соответствующими документами. После получения лицензии ор ганизация становится элементом государственной системы защи ты информации, содержащей государственную тайну.
Для защиты информации, содержащей государственную тай ну, на предприятии (в учреждении, организации) создаются в зави симости от объема работ по защите информации структурные под разделения или штатные специалисты, которые могут входить в состав одного из подразделений или службы безопасности. Их ос новными функции являются следующие:
•планирование работ по защите информации на предприятии (в учреждении, организации), разработка предложений по совер шенствованию его системы защиты информаций;
•определение демаскирующих признаков предприятия (учреж дения, организации) и выпускаемой продукции;
•участие в подготовке предприятия (учреждения, организации) к аттестованию на право проведения работ с использованием све дений, отнесенных к государственной тайне;
•организация разработки нормативно-методических докумен тов, разработка проектов распорядительных документов по вопросам организации защиты информации на предприятии;
•участие в согласовании ТЗ (ТТЗ) на проведение работ, содержа щих государственную тайну, в разработке требований по защи те информации при проведении исследований, разработке (мо дернизации), производстве и эксплуатации образцов продук ции, при проектировании, строительстве и эксплуатации объ ектов (учреждения, организации);
•проведение периодического контроля эффективности мер защи ты информации на предприятии (в учреждении, организации), участие в расследовании нарушений в области защиты инфор мации и разработка предложений по устранению недостатков и предупреждению нарушений;
•организация проведения занятий с руководящим составом и специалистами предприятия (учреждения, организации) по вопросам защиты информации.
Для защиты информации, составляющей коммерческую тай ну, ее владелец создает собственную систему защиты информации.
Законодательно структура такой системы не закреплена. Она опре деляется многими факторами: видом деятельности, уровнем кон фиденциальности информации и ее объемом, штатной численнос тью ее сотрудников, финансовым состоянием фирмы и др. Однако для любой фирмы однотипны объективные функции сил и средств обеспечения защиты информации. Их может выполнять как пол ноценная структура, включающее большое количество людей и технических средств, так и несколько человек для малой фирмы. В принципе, так же как в государственных структурах, каждый со трудник фирмы должен в объеме должностных обязанностей обес печивать защиту информации. Об этом он информируется при при еме на работу. Эти требования указываются, как правило, в догово ре между работодателем и работником.
Наиболее полно вопросы организация системы безопасности фирмы рассмотрены в [2]. Система безопасности фирмы образует следующие основные элементы (должностные лица и органы):
•руководитель фирмы, курирующий вопросы безопасность ин формации;
•совет по безопасности фирмы;
•служба безопасности фирмы;
•подразделения фирмы, участвующие в обеспечении безопас
ности фирмы.
Руководство безопасностью возлагается, как правило, на ру ководителя фирмы и его заместителя по общим вопросам (1-го за местителя), которым непосредственно подчиняется служба безо пасности.
Совет по безопасности фирмы представляет собой коллегиаль ный орган при руководителе фирмы, состав которого назначает ся им из числа квалифицированных и ответственных по вопросам информационной безопасности должностных лиц. Совет безопас ности разрабатывает для руководителя предложения по основным вопросам обеспечения безопасности информации, в том числе: на правлениям деятельности по обеспечению безопасности фирмы и ее подразделений, совершенствования системы безопасности, вза имодействия с органами власти, заказчиками, партнерами, конку рентами и потребителями продукции и др.
Структурные подразделения занимаются вопросами защи ты информации, которую они создают или используют в своей де
ятельности. Содержание и количество информации меняются во времени, в зависимости от решаемых задач и этапов деятельнос ти. Однако основные и побочные результаты деятельности содер жат защищаемую информацию еще длительное время, равное вре мени ее старения.
Служба безопасности является основным структурным под разделением по обеспечению безопасности, в том числе информа ционной, на фирме. Основными ее задачами в части информацион ной безопасности являются:
•мониторинг угроз информации;
•организация работы по защите информации на фирме;
•управление доступом сотрудником, автотранспорта и посетите лей на территорию и в помещения фирмы;
•обеспечение безопасности информации при проведении всех видов деятельности внутри и вне фирмы, в том числе при чрез вычайных ситуациях;
•охрана территории, зданий, помещений и других мест и конс трукций с защищаемой информацией.
Кроме этих задач служба безопасности обеспечивает охрану материальных ценностей фирмы и безопасность руководителей, ведущих специалистов и сотрудников.
Для решения указанных задач в полном объеме в службе безо пасности создаются отдельные подразделения, примерный состав которых приведен на рис. 25.1.
Рис. 25.1. Структура службы безопасности фирмы
Подразделение режима и охраны обеспечивает:
•организацию и контроль режима организации;
•охрану объектов организации и ее отдельных сотрудников, а также ценного груза при его перевозке за пределами организа ции.
В общем случае под режимом организации понимаются уста новленные законодательством, подзаконными актами и руководс твом организации условия работы в ней. В принципе для обеспече ния эффективной деятельности любой организация в ней устанав ливается определенный режим работы сотрудников. Если техно логический процесс производства продукции непрерывен, то этот процесс должны обеспечивать сотрудники независимо от выход ных, праздников, болезни и других обстоятельств. Например, не льзя временно, на праздники, потушить доменную печь, так как после этого нельзя восстановить ее работу без почти катастрофи ческих последствий.
Однако обычно режим предполагает условия работы, направ ленные на обеспечение безопасности ценностей, в том числе ин формации. В этом смысле организацию с таким режимом называ ют режимной.
Ответственные сотрудники подразделения режима и охраны не только конкретизируют документы вышестоящих организация по режиму и разрабатывают внутри объектовые документы, но и кон тролируют выполнение их работниками организации. Например, сотрудники подразделения осматривают подозрительные предме ты, которые могут вносить (ввозить) или выносить (вывозить) ра ботники и посетители, контролируют способы переноса и хране ния продукции с защищаемыми признаками, надежность закрытия и состояние печатей запасных дверей и ворот, порядок сдачи вы деленных помещений под охрану и их вскрытия и др. Сотрудники подразделения режима и охраны занимаются также расследовани ем нарушений режима в организации.
Основу санкционированного доступа в контролируемые зоны составляет пропускной режим. Традиционно пропускной режим обеспечивается с помощью удостоверений и пропусков. Пропуска для сотрудников и посетителей могут быть постоянными, времен ными и разовыми, а также материальные для ввоза и вывоза ма териальных ценностей. Постоянные документы выдаются на не сколько лет с последующей перерегистрацией или заменой, вре менные на несколько месяцев, разовые — на один день. Образцы удостоверений и пропусков разрабатываются службой безопаснос ти и утверждаются руководством организации. Однако эти доку
менты относятся к атрибутным идентификаторам со всеми прису щими им недостатками. Их постепенно вытесняют более защищен ные атрибутные идентификаторы (карты на различных принципах работы) и биометрические идентификаторы.
Для охраны объектов организации привлекаются в зависимос ти от их ведомственной принадлежности силы и средства подраз делений охраны МО, МВД и коммерческих охранных структур, а также создаются собственные группы охраны. При использовании внешних сил охраны подразделение режима осуществляет конт роль за выполнением ими своих функций. Группа охраны органи зации входит в состав ее подразделения режима и охраны и осу ществляет охрану и контроль собственными силами.
Специальный отдел обеспечивает учет всех грифованных до кументов (входящей и исходящей корреспонденции, разрабатыва емых и размножаемых в организации документов), циркулирую щих в организации, ее централизованное хранение и санкциони рованной доступ к ней сотрудников организации. В специальном отделе учитывают также образцы продукции (веществ, макетов, узлов и др.), содержащие защищаемую информацию. Основанием для выдачи сотрудников документов и образцов продукции слу жат временные и разовые допуски, оформляемые руководителями структурных подразделений.
Защита информации с помощью инженерных конструкций и технических средств возлагается на подразделение инженернотехнической защиты информации. Оно занимается выявлени ем потенциальных угроз, разработкой мер по их предотвращению, инструментальным контролем уровней опасных сигналов и экс плуатацией технических средств защиты информации.
Любая организация, в том числе принадлежащая государству, нуждается для обеспечения эффективной деятельности в информа ции о партнерах и конкурентах. Для добывания этой информации в рамках как деловой разведки, так и промышленного шпионажа создается в организации подразделение разведки и контрразвед ки. Это подразделение обеспечивает:
•добывание данных и сведений и их аналитическую обработку с целью получения разведывательной информации о партнерах и конкурентах;
•прогнозирование угроз информации организации со стороны конкурентов и иных злоумышленников;
•разработка предложений по контрразведывательному обеспече нию информационной безопасности.
Основная часть информации (по некоторым оценкам, до 95%)
добывается из открытых источников, в особенности по вопросам, касающимся тенденций рынка, потенциальных конкурентов, на дежности фирм, с которыми собирается сотрудничать организа ция и др. Однако информация об оригинальных схемотехничес ких, конструкторских и технологических решениях, реализация которых в продукции может обеспечить ее владельцам сущест венные преимущества перед конкурентами, закрывается и защи щается.
25.3.Нормативно-правовая база инженернотехнической защиты информации
Деятельность государственной системы защиты информации регламентируется документами, составляющими нормативно-пра- вовую базу инженерно-технической защиты информации. Основу ее составляют документы, классификация которых приведена на рис. 25.2.
Уровень
государства
Уровень
ведомства
Уровень
организации,
предприятия
Рис. 25.2. Классификация документов нормативно-правовой
базы по защите информации
