Торокин А.А. Инженерно-техническая защита информации, 2005
.pdfПо назначению документы делятся на:
•руководящие;
•нормативные;
•методические.
Руководящие документы определяют структуру, права и обя занности органов и людей, обеспечивающих инженерно-техничес- кую защиту информации на различных уровнях государственной системы. Руководящие документы разрабатываются на всех уров нях государственной системы защиты информации, причем доку менты на более низком уровне конкретизируют документы более высокого уровня.
Любая деятельность по выполнению руководящих докумен тов сопровождается принятием решений по тому или иному воп росу. Основу принятия решений составляет идентификация теку щих факторов или признаков с эталонными. Совокупность эталон ных факторов или признаков представляют собой сущность по нятия «норма» и содержание нормативных документов. Понятие нормы широко используется во всех сферах деятельности людей. ; Например, в обществе существуют нормы поведения, часть кото-
• рых законодательно закреплена в Гражданском кодексе. Грубые >отклонения от норм поведения — преступления и шкала наказа ний в зависимости от уровня отклонения от нормы рассмотрены в Уголовном кодексе. Нормы в человеческом обществе могут изме няться эволюционно в процессе его развития и трансформировать ся отдельными группами людей, обладающих силами и средства ми психологического воздействия на население.
Нормативы в области инженерно-технической защиты ин формации определены специалистами в нормативных документах. В результате сравнения текущих показателей защиты информации с требуемыми нормативами принимается решение об уровне безо пасности защищаемой информации.
Так как текущие показатели эффективности защиты информа ции зависят от большого числа факторов, то методики их опреде ления разными органами и специалистами и, следовательно, полу ченные результаты в общем случае могут отличаться. Например, если не совпадают методики измерения уровней опасных сигналов у контролирующего и контролируемого органов, то специалистам
741
контролируемого органа трудно доказать достаточность использо ванных мер защиты. Поэтому, как правило, одновременно разра батываются нормативы и методики их определения, которые объ единяются в нормативно-методические документы.
Основные законы РФ, указы Президента РФ и Постановления Правительства РФ в области инженерно-технической защиты ин формации указаны в табл. 25.1.
|
|
|
Таблица 25.1 |
||
N9 |
Уровень |
|
Дата при |
№ |
|
докумен |
Наименование документа |
доку |
|||
п/п |
нятия |
||||
та |
|
мента |
|||
|
|
|
|||
1 |
2 |
3 |
4 |
5 |
|
1 |
Законы РФ |
О государственной тайне |
21 июня |
5485-1 |
|
|
|
Об информации, информатизации |
1993 г. |
|
|
|
|
20 февра |
24-ФЗ |
||
|
|
и защите информации |
ля 1995 г. |
|
|
|
|
О безопасности |
5 марта |
2446-1 |
|
|
|
О федеральных органах прави |
1992 г. |
|
|
|
|
19 февра |
4524-1 |
||
|
|
тельственной связи и информации |
ля 1993 г. |
|
|
|
|
О связи |
16 февра |
15-ФЗ |
|
|
|
|
ля 1995 г. |
|
|
|
|
Об органах Федеральной службы |
22 февра |
40-ФЗ |
|
|
|
безопасности в Российской Феде |
ля 1995 г. |
|
|
|
|
рации |
4 июля |
|
|
|
|
Об участии в международном ин |
85-ФЗ |
||
2 |
Указы |
формационном обмене |
1996 г. |
|
|
Положение о Федеральной служ |
6 августа |
1085 |
|||
|
Президен |
бе по техническому и экспортно |
2004 г. |
|
|
|
та РФ |
му контролю |
|
|
|
|
|
Вопросы защиты государствен |
30 марта |
614 |
|
|
|
ной тайны |
1994 г. |
|
|
|
|
Об утверждении перечня сведе |
8 ноября |
1108 |
|
|
|
ний, отнесенных к государствен |
1995 г. |
|
|
|
|
ной тайне |
6 марта |
|
|
|
|
Об утверждении перечня сведе |
644 |
||
|
|
ний конфиденциального харак |
1997 г. |
|
|
|
|
тера |
|
|
|
742
I |
2 |
3 |
4 |
5 |
|
|
О защите информационно-теле |
8 мая |
188 |
|
|
коммуникационных систем и баз |
1993 г. |
|
|
|
данных от утечки конфиденци |
|
|
|
|
альной информации по техничес |
|
|
|
|
ким каналам |
4 сентяб |
|
3 |
Постанов |
Об утверждении Правил отнесе |
870 |
|
|
ления пра |
ния сведений, составляющих го |
ря 1995 г. |
|
|
вительства |
сударственную тайну, к различ |
|
|
|
РФ |
ным степеням секретности |
|
|
|
|
О лицензировании отдельных ви |
24 дека |
1418 |
|
|
дов деятельности |
бря 1994 г. |
|
|
|
О лицензировании деятельнос |
15 апреля |
333 |
|
|
ти предприятий, учреждений и |
1995 г. |
|
|
|
организаций по проведению ра |
|
|
|
|
бот, связанных с использовани |
|
|
|
|
ем сведений, составляющих го |
|
|
|
|
сударственную тайну, создани |
|
|
|
|
ем средств защиты информации, |
|
|
|
|
а также с осуществлением мероп |
|
|
|
|
риятий (или) оказанием услуг по |
|
|
|
|
защите государственной тайны |
26 июня |
608 |
|
|
Положение о сертификации |
||
|
|
средств защиты информации |
1995 г. |
|
|
|
Об утверждении Положения о по |
3 ноября |
1233 |
|
|
рядке обращения со служебной |
1994 г. |
|
|
|
информацией ограниченного рас |
|
|
|
|
пространения в федеральных ор |
|
|
|
|
ганах исполнительной власти |
30 апреля |
|
|
|
О лицензировании деятельности |
135 |
|
|
|
по технической защите конфиден |
2002 г. |
|
|
|
циальной информации |
|
|
Основу межведомственных документов составляют решения, руководящие и нормативно-методические документы ФСТЭК (Гос техкомиссии). В них рассматриваются основы концепции защиты информации от технической разведки, типовые положения об ор ганах по защите информации, требования и методические реко мендации по защите информации от утечки по техническим кана
743
лам, руководящие документы по различным аспектам защиты ин формации в автоматизированных системах, нормативно-методи ческие документы по противодействию различным видам техни ческой разведки.
В каждом ведомстве государства, являющемся владельцем или пользователем информации, содержащим государственную тайну, разрабатываются и конкретизируются руководящие и нормативно методические документы и создаются органы, обеспечивающие за щиту информации как в самом ведомстве, так и подчиненных под разделениях (организациях, предприятиях).
К руководящим документам, разрабатываемым в организации (на предприятии), относятся:
•руководство (инструкция) по защите информации в организа ции (на предприятии);
•положение о подразделении организации, на которое возлага ются задачи по обеспечению безопасности информации;
•инструкции по защите отдельных источников информации, пре жде всего информации о разрабатываемых изделиях и продук ции.
Вразличных организациях эти документы могут иметь разные наименования, отличающиеся от указанных. Но сущность этих до кументов остается неизменной, так как необходимость в них объ ективна.
Порядок защиты информации в организации определяется со ответствующим руководством (инструкцией). Оно может содер жать следующие разделы:
•общие положения;
•перечень охраняемых сведений;
•демаскирующие признаки объектов организации;
•оценки возможностей органов и средств добывания информа
ции; 1
•организационные и технические мероприятия по защите ин формации;
•порядок планирования работ службы безопасности;
•порядок взаимодействия с государственными органами, реша ющими задачи по защите материальной и интеллектуальной собственности, государственной и коммерческой тайны.
744
Но в данном руководстве нельзя учесть всех особенностей за щиты информации в конкретных условиях. В любой организации постоянно меняется ситуация с источниками и носителями конфи денциальной информации, угрозами ее безопасности. Например, появлению нового товара на рынке предшествует большая рабо та, включающая различные этапы и стадии: проведение исследова ний, разработка лабораторных и действующих макетов, создание опытного образца и его доработка по результатам испытаний, под готовка производства (документации и дополнительного оборудо вания), изготовление опытной серии для выявления спроса на то вар, массовый выпуск продукции.
На каждом этапе и стадии к работе подключаются новые люди, разрабатываются новые документы, создаются узлы и блоки с ин формативными для них демаскирующими признаками. Созданию каждого изделия или самостоятельного документа сопутствует свой набор информационных элементов, их источников и носите лей, угроз и каналов утечки информации, проявляющихся в раз личные моменты времени.
Для защиты информации об изделии на каждом этапе его созда ния разрабатывается соответствующая инструкция. Инструкция должна содержать сведения, необходимые для обеспечения безо пасности информации, в том числе: общие сведения об образце, защищаемые сведения о нем и его демаскирующие признаки, по тенциальные угрозы безопасности информации, замысел и меры по защите, порядок контроля (задачи, органы контроля, имеющие право на проверку, средства контроля, допустимые значения кон тролируемых параметров, условия и методики, периодичность и виды контроля), фамилии лиц, ответственных за безопасность ин формации.
Нормативно-методическую базу составляют [3]:
•государственные стандарты (ГОСТы);
•общие требования (ОТ), общие технические требования (ОТТ), тактико-технические требования (ТТТ), руководящие докумен ты (РД) и другие документы;
•модели;
•нормы, методики и инструкции;
745
•эксплуатационно-техническая документация;
•учебно-методическая и научная литература.
Перечень основных государственных стандартов на техничес кие средства охраны указан в табл. 25.2.
|
|
Таблица 25.2 |
|
N° |
Номер ГОСТа |
Наименование ГОСТа |
|
п/п |
|||
|
|
||
1 |
2 |
3 |
|
1 |
ГОСТ 26342-84 |
Средства охранной, пожарной и охранно-пожар |
|
|
|
ной сигнализации. Типы, основные параметры и |
|
2 |
|
размеры |
|
ГОСТ 4.188-85 |
Средства охранной, пожарной и охранно-пожар- |
||
|
|
ной сигнализации. Номенклатура показателей |
|
3 |
ГОСТ 27990-88 |
Средства охранной, пожарной и охранно-пожар- |
|
|
|
ной сигнализации. Общие технические требова |
|
4 |
ГОСТР |
ния |
|
Совместимость технических средств охранной, |
|||
|
50009-92 |
пожарной и охранно-пожарной сигнализации |
|
|
|
электромагнитная. Требования, нормы и методы |
|
|
|
испытаний на помехоустойчивость и индустри |
|
|
|
альные радиопомехи |
|
5 |
ГОСТР |
Системы тревожной сигнализации. Часть 2. Тре |
|
|
50658-94 |
бования к системам охраной сигнализации. Раз |
|
|
|
дел 4. Ультразвуковые доплеровские извещатели |
|
|
ГОСТР |
для закрытых помещений |
|
6 |
Системы тревожной сигнализации. Часть 2. Тре |
||
|
50659-94 |
бования к системам охранной сигнализации. |
|
|
|
Часть 5. Радиоволновые доплеровские извещате |
|
|
|
ли для закрытых помещений |
7ГОСТ Р 50775-95 Системы тревожной сигнализации. Часть 1. Об (МЭК 839-1-88) щие требования. Раздел 1. Общие положения
8 |
ГОСТР |
Системы тревожной сигнализации. Часть 1. Сис |
|
50776-05 |
темы охранной сигнализации. Общие требова |
|
(МЭК 839-14-89) |
ния. Раздел 4. Руководство по проектированию, |
|
|
монтажу и техническому обслуживанию |
9 |
ГОСТ Р 50777-95 |
Системы тревожной сигнализации. Часть 2. Тре |
|
(МЭК |
бования к системам охранной сигнализации. Раз |
|
839-1-6-90) |
дел 6. Пассивные оптико-электронные инфра |
|
|
красные извещатели для помещений |
746
1 |
2 |
3 |
10 |
ГОСТР |
Сейфы и хранилища ценностей. Требования и |
|
50862-96 |
методы испытаний на устойчивость к взлому и |
|
|
огнестойкость |
11 |
ГОСТ Р 50941-96 |
Кабины защитные. Общие технические требова |
|
|
ния и испытания |
12 |
ГОСТР 51072-97 |
Двери защитные. Требования и методы испыта |
|
|
ний на устойчивость к криминальному открыва |
|
|
нию и взлому |
13 |
ГОСТ Р-51053 |
Замки сейфовые. Требования и методы испыта |
|
|
ний на устойчивость к криминальному открыва |
|
|
нию и взлому |
14 |
ГОСТ Р 5089-97 |
Замки и защелки для дверей. Технические усло |
|
|
вия |
15 |
ГОСТ 51136-98 |
Стекла защитные многослойные. Общие техни |
|
|
ческие условия |
16ГОСТР 51186-98 Системы тревожной сигнализации. Требования
иметоды испытаний систем охранной сигнали зации. Извещатели акустические пассивные для блокирования остекленных конструкций в за крытых помещениях
17ГОСТР 51241-98 Средства и системы контроля и управления до
|
|
ступом. Классификация. Общие технические |
|
|
требования и методы испытаний |
18 |
ГОСТР |
Системы охранные телевизионные. Общие тех |
|
51558-2000 |
нические требования и методы испытаний |
Основным нормативным документом является перечень сведений> составляющих государственную, военную, коммерческую или любую другую тайну. Перечень сведений, содержащих госу дарственную тайну, основывается на положениях Закона «О госу дарственной тайне»». Перечни подлежащих защите сведений это го закона конкретизируются ведомствами применительно к тема тике конкретных организаций. В коммерческих структурах, вы полняющих государственные заказы, перечни распространяются на информацию, относящуюся к этому заказу. Перечни сведений, составляющих коммерческую тайну, составляются руководством фирмы при участии сотрудников службы безопасности.
Другие нормативные документы определяют максимально до пустимые значения уровней сигналов с защищаемой информацией
747
и концентрации демаскирующих веществ на границах контроли руемых зон, непревышение которых обеспечивает требуемый уро вень безопасности информации. Эти нормы разрабатываются со ответствующими ведомствами, а для коммерческих структур, вы полняющих негосударственные заказы, — специалистами этих структур. Кроме того, нормативные документы объединены с ме тодиками измерения параметров норм.
Работа по защите информации в организации проводится все ми его сотрудниками, но степень участия различных категорий су щественно отличается. Любой сотрудник, подписавший обязатель ство о неразглашении тайны, участвует в защите информации хотя бы путем выполнения руководящих документов о защите инфор мации.
Вопросы для самопроверки
1.Основные задачи государственной системы защиты информа ции от технической разведки.
2.Сущность категорий нарушений требований по защите инфор мации.
3.Структура государственной защиты информации от техничес кой разведки.
4.Задачи и структура Федеральной службы по техническому и эк спортному контролю РФ (Государственной технической комис сии).
5.Задачи и структура органов по защите информации Федеральной службы безопасности России.
6.Задачи органов по обеспечению защиты информации ведомств.
7.Виды и органы лицензирования продукции, деятельности и ус луг по защите информации.
8.Задачи и органы, обеспечивающие сертификацию средств по за щите информации.
9.Задачи и структура по защите информации в организациях (уч реждениях, на предприятиях).
10.Классификация документов нормативно-правовой базы по за щите информации.
11.Назначение руководящих и нормативно-методических доку ментов по защите информации.
748
Глава 26. Типовые меры по инженернотехнической защите информации
В6.1. Основные организационные и технические меры по обеспечению инженернотехнической защиты информации
На предприятиях (в организациях, учреждениях) работа по ин женерно-технической защите информации включает два этапа:
•построение или модернизация системы защиты;
•поддержание защиты информации на требуемом уровне.
Построение системы защиты информации проводится во вновь создаваемых организациях, в остальных — модернизация сущест вующей. Методические вопросы построения и модернизации сис темы защиты информации рассмотрены в разделе V.
Построение (модернизация) системы защиты информации и поддержание на требуемом уровне ее защиты в организации пре дусматривают проведение следующих основных работ:
•уточнение перечня защищаемых сведений в организации, оп ределение источников и носителей информации, выявление и
'оценка угроз ее безопасности;
•определение мер по защите информации, вызванных изменени ями целей и задач защиты, перечня защищаемых сведений, уг роз безопасности информации;
•контроль эффективности мер по инженерно-технической защи
те информации в организации.
Меры по защите информации целесообразно разделить на две группы: организационные и технические. В публикациях, в том числе в некоторых руководящих документах, меры по защите де лят на организационные, организационно-технические и техничес кие. Учитывая отсутствие достаточно четкой границы между орга низационно-техническими и организационными, организационнотехническими и техническими мерами, целесообразно ограничить с я двумя группами: организационными и техническими. Но даже Ьри такой дихотомической классификации граница между органи зационными и техническими мерами размыта. Например, при уп-
749
равлении доступом все шире применяются технические средства аутентификации.
Классификация организационных мер ИТЗИ приведена на рис. 26.1.
— деятельности людей; |
— людей в контролируе- |
— предварительный; |
— порядка использования |
мую зону; |
— периодический; |
и режимов работы |
— транспорта в контроли- |
— постоянный |
технических средств |
руемую зону |
|
Рис. 26.1. Структура организационных мер
Организационные меры инженерно-технической защиты ин формации являются частью ее организационной защиты, осно ву которой составляют регламентация и управление доступом. Организационные меры инженерно-технической защиты инфор мации определяют порядок и режимы работы технических средств защиты информации.
Регламентация— это установление временных, территори альных и режимных ограничений в деятельности сотрудников ор ганизации и работе технических средств, направленных на обеспе чение безопасности информации.
Регламентация предусматривает:
•установление границ контролируемых и охраняемых зон;
•определение уровней защиты информации в зонах;
•регламентация деятельности сотрудников и посетителей (раз работка распорядка дня, правил поведения сотрудников в орга низации и вне ее и т. д.);
•определение режимов работы технических средств, в том чис ле сбора, обработки и хранения защищаемой информации на ПЭВМ, передачи документов, порядка складирования продук ции и т. д.
750