25.3. Нормативно-правовая база инженерно- технической защиты информации

Деятельность государственной системы защиты информации регламентируется документами, составляющими нормативно-пра- вовую базу инженерно-технической защиты информации. Основу ее составляют документы, классификация которых приведена на рис. 25.2.

По назначению документы делятся на:

• руководящие;

• нормативные;

• методические.

Руководящие документы определяют структуру, права и обя­занности органов и людей, обеспечивающих инженерно-техничес- кую защиту информации на различных уровнях государственной системы. Руководящие документы разрабатываются на всех уров­нях государственной системы защиты информации, причем доку­менты на более низком уровне конкретизируют документы более высокого уровня.

Любая деятельность по выполнению руководящих докумен­тов сопровождается принятием решений по тому или иному воп­росу. Основу принятия решений составляет идентификация теку­щих факторов или признаков с эталонными. Совокупность эталон­ных факторов или признаков представляют собой сущность по­нятия «норма» и содержание нормативных документов. Понятие нормы широко используется во всех сферах деятельности людей. ; Например, в обществе существуют нормы поведения, часть кото- • рых законодательно закреплена в Гражданском кодексе. Грубые > отклонения от норм поведения — преступления и шкала наказа­ний в зависимости от уровня отклонения от нормы рассмотрены в Уголовном кодексе. Нормы в человеческом обществе могут изме­няться эволюционно в процессе его развития и трансформировать­ся отдельными группами людей, обладающих силами и средства­ми психологического воздействия на население.

Нормативы в области инженерно-технической защиты ин­формации определены специалистами в нормативных документах. В результате сравнения текущих показателей защиты информации с требуемыми нормативами принимается решение об уровне безо­пасности защищаемой информации.

Так как текущие показатели эффективности защиты информа­ции зависят от большого числа факторов, то методики их опреде­ления разными органами и специалистами и, следовательно, полу­ченные результаты в общем случае могут отличаться. Например, если не совпадают методики измерения уровней опасных сигналов у контролирующего и контролируемого органов, то специалистам контролируемого органа трудно доказать достаточность использо­ванных мер защиты. Поэтому, как правило, одновременно разра­батываются нормативы и методики их определения, которые объ­единяются в нормативно-методические документы.

Основные законы РФ, указы Президента РФ и Постановления Правительства РФ в области инженерно-технической защиты ин­формации указаны в табл. 25.1.

Таблица 25.1

N9 п/п	Уровень докумен­та	Наименование документа	Дата при­нятия	№ доку­мента
1	2	3	4	5
1	Законы РФ	О государственной тайне	21 июня 1993 г.	5485-1
		Об информации, информатизации и защите информации	20 февра­ля 1995 г.	24-ФЗ
		О безопасности	5 марта 1992 г.	2446-1
		О федеральных органах прави­тельственной связи и информации	19 февра­ля 1993 г.	4524-1
		О связи	16 февра­ля 1995 г.	15-ФЗ
		Об органах Федеральной службы безопасности в Российской Феде­рации	22 февра­ля 1995 г.	40-ФЗ
		Об участии в международном ин­формационном обмене	4 июля 1996 г.	85-ФЗ
2	Указы Президен­та РФ	Положение о Федеральной служ­бе по техническому и экспортно­му контролю	6 августа 2004 г.	1085
		Вопросы защиты государствен­ной тайны	30 марта 1994 г.	614
		Об утверждении перечня сведе­ний, отнесенных к государствен­ной тайне	8 ноября 1995 г.	1108
		Об утверждении перечня сведе­ний конфиденциального харак­тера	6 марта 1997 г.	644

1	2	3	4	5
		О защите информационно-теле­коммуникационных систем и баз данных от утечки конфиденци­альной информации по техничес­ким каналам	8 мая 1993 г.	188
3	Постанов­ления пра­вительства РФ	Об утверждении Правил отнесе­ния сведений, составляющих го­сударственную тайну, к различ­ным степеням секретности	4 сентяб­ря 1995 г.	870
		О лицензировании отдельных ви­дов деятельности	24 дека­бря 1994 г.	1418
		О лицензировании деятельнос­ти предприятий, учреждений и организаций по проведению ра­бот, связанных с использовани­ем сведений, составляющих го­сударственную тайну, создани­ем средств защиты информации, а также с осуществлением мероп­риятий (или) оказанием услуг по защите государственной тайны	15 апреля 1995 г.	333
		Положение о сертификации средств защиты информации	26 июня 1995 г.	608
		Об утверждении Положения о по­рядке обращения со служебной информацией ограниченного рас­пространения в федеральных ор­ганах исполнительной власти	3 ноября 1994 г.	1233
		О лицензировании деятельности по технической защите конфиден­циальной информации	30 апреля 2002 г.	135

Основу межведомственных документов составляют решения, руководящие и нормативно-методические документы ФСТЭК (Гос­техкомиссии). В них рассматриваются основы концепции защиты информации от технической разведки, типовые положения об ор­ганах по защите информации, требования и методические реко­мендации по защите информации от утечки по техническим кана­лам, руководящие документы по различным аспектам защиты ин­формации в автоматизированных системах, нормативно-методи­ческие документы по противодействию различным видам техни­ческой разведки.

В каждом ведомстве государства, являющемся владельцем или пользователем информации, содержащим государственную тайну, разрабатываются и конкретизируются руководящие и нормативно- методические документы и создаются органы, обеспечивающие за­щиту информации как в самом ведомстве, так и подчиненных под­разделениях (организациях, предприятиях).

К руководящим документам, разрабатываемым в организации (на предприятии), относятся:

• руководство (инструкция) по защите информации в организа­ции (на предприятии);

• положение о подразделении организации, на которое возлага­ются задачи по обеспечению безопасности информации;

• инструкции по защите отдельных источников информации, пре­жде всего информации о разрабатываемых изделиях и продук­ции.

В различных организациях эти документы могут иметь разные наименования, отличающиеся от указанных. Но сущность этих до­кументов остается неизменной, так как необходимость в них объ­ективна.

Порядок защиты информации в организации определяется со­ответствующим руководством (инструкцией). Оно может содер­жать следующие разделы:

• общие положения;

• перечень охраняемых сведений;

• демаскирующие признаки объектов организации;

• оценки возможностей органов и средств добывания информа­ции; ¹

• организационные и технические мероприятия по защите ин­формации;

• порядок планирования работ службы безопасности;

• порядок взаимодействия с государственными органами, реша­ющими задачи по защите материальной и интеллектуальной собственности, государственной и коммерческой тайны.

Но в данном руководстве нельзя учесть всех особенностей за­щиты информации в конкретных условиях. В любой организации постоянно меняется ситуация с источниками и носителями конфи­денциальной информации, угрозами ее безопасности. Например, появлению нового товара на рынке предшествует большая рабо­та, включающая различные этапы и стадии: проведение исследова­ний, разработка лабораторных и действующих макетов, создание опытного образца и его доработка по результатам испытаний, под­готовка производства (документации и дополнительного оборудо­вания), изготовление опытной серии для выявления спроса на то­вар, массовый выпуск продукции.

На каждом этапе и стадии к работе подключаются новые люди, разрабатываются новые документы, создаются узлы и блоки с ин­формативными для них демаскирующими признаками. Созданию каждого изделия или самостоятельного документа сопутствует свой набор информационных элементов, их источников и носите­лей, угроз и каналов утечки информации, проявляющихся в раз­личные моменты времени.

Для защиты информации об изделии на каждом этапе его созда­ния разрабатывается соответствующая инструкция. Инструкция должна содержать сведения, необходимые для обеспечения безо­пасности информации, в том числе: общие сведения об образце, защищаемые сведения о нем и его демаскирующие признаки, по­тенциальные угрозы безопасности информации, замысел и меры по защите, порядок контроля (задачи, органы контроля, имеющие право на проверку, средства контроля, допустимые значения кон­тролируемых параметров, условия и методики, периодичность и виды контроля), фамилии лиц, ответственных за безопасность ин­формации.

Нормативно-методическую базу составляют [3]:

• государственные стандарты (ГОСТы);

• общие требования (ОТ), общие технические требования (ОТТ), тактико-технические требования (ТТТ), руководящие докумен­ты (РД) и другие документы;

• модели;

• нормы, методики и инструкции;

• эксплуатационно-техническая документация;

• учебно-методическая и научная литература.

Перечень основных государственных стандартов на техничес­кие средства охраны указан в табл. 25.2.

Таблица 25.2

N° п/п	Номер ГОСТа	Наименование ГОСТа
1	2	3
1	ГОСТ 26342-84	Средства охранной, пожарной и охранно-пожар­ной сигнализации. Типы, основные параметры и размеры
2	ГОСТ 4.188-85	Средства охранной, пожарной и охранно-пожар- ной сигнализации. Номенклатура показателей
3	ГОСТ 27990-88	Средства охранной, пожарной и охранно-пожар- ной сигнализации. Общие технические требова­ния
4	ГОСТР 50009-92	Совместимость технических средств охранной, пожарной и охранно-пожарной сигнализации электромагнитная. Требования, нормы и методы испытаний на помехоустойчивость и индустри­альные радиопомехи
5	ГОСТР 50658-94	Системы тревожной сигнализации. Часть 2. Тре­бования к системам охраной сигнализации. Раз­дел 4. Ультразвуковые доплеровские извещатели для закрытых помещений
6	ГОСТР 50659-94	Системы тревожной сигнализации. Часть 2. Тре­бования к системам охранной сигнализации. Часть 5. Радиоволновые доплеровские извещате­ли для закрытых помещений
7	ГОСТ Р 50775-95 (МЭК 839-1-88)	Системы тревожной сигнализации. Часть 1. Об­щие требования. Раздел 1. Общие положения
8	ГОСТР 50776-05 (МЭК 839-14-89)	Системы тревожной сигнализации. Часть 1. Сис­темы охранной сигнализации. Общие требова­ния. Раздел 4. Руководство по проектированию, монтажу и техническому обслуживанию
9	ГОСТ Р 50777-95 (МЭК 839-1-6-90)	Системы тревожной сигнализации. Часть 2. Тре­бования к системам охранной сигнализации. Раз­дел 6. Пассивные оптико-электронные инфра­красные извещатели для помещений

1	2	3
10	ГОСТР 50862-96	Сейфы и хранилища ценностей. Требования и методы испытаний на устойчивость к взлому и огнестойкость
11	ГОСТ Р 50941-96	Кабины защитные. Общие технические требова­ния и испытания
12	ГОСТР 51072-97	Двери защитные. Требования и методы испыта­ний на устойчивость к криминальному открыва­нию и взлому
13	ГОСТ Р-51053	Замки сейфовые. Требования и методы испыта­ний на устойчивость к криминальному открыва­нию и взлому
14	ГОСТ Р 5089-97	Замки и защелки для дверей. Технические усло­вия
15	ГОСТ 51136-98	Стекла защитные многослойные. Общие техни­ческие условия
16	ГОСТР 51186-98	Системы тревожной сигнализации. Требования и методы испытаний систем охранной сигнали­зации. Извещатели акустические пассивные для блокирования остекленных конструкций в за­крытых помещениях
17	ГОСТР 51241-98	Средства и системы контроля и управления до­ступом. Классификация. Общие технические требования и методы испытаний
18	ГОСТР 51558-2000	Системы охранные телевизионные. Общие тех­нические требования и методы испытаний

Основным нормативным документом является перечень све­дений, составляющих государственную, военную, коммерческую или любую другую тайну. Перечень сведений, содержащих госу­дарственную тайну, основывается на положениях Закона «О госу­дарственной тайне»». Перечни подлежащих защите сведений это­го закона конкретизируются ведомствами применительно к тема­тике конкретных организаций. В коммерческих структурах, вы­полняющих государственные заказы, перечни распространяются на информацию, относящуюся к этому заказу. Перечни сведений, составляющих коммерческую тайну, составляются руководством фирмы при участии сотрудников службы безопасности.

Другие нормативные документы определяют максимально до­пустимые значения уровней сигналов с защищаемой информацией и концентрации демаскирующих веществ на границах контроли­руемых зон, непревышение которых обеспечивает требуемый уро­вень безопасности информации. Эти нормы разрабатываются со­ответствующими ведомствами, а для коммерческих структур, вы­полняющих негосударственные заказы, — специалистами этих структур. Кроме того, нормативные документы объединены с ме­тодиками измерения параметров норм.

Работа по защите информации в организации проводится все­ми его сотрудниками, но степень участия различных категорий су­щественно отличается. Любой сотрудник, подписавший обязатель­ство о неразглашении тайны, участвует в защите информации хотя бы путем выполнения руководящих документов о защите инфор­мации.

Вопросы для самопроверки

1. Основные задачи государственной системы защиты информа­ции от технической разведки.

2. Сущность категорий нарушений требований по защите инфор­мации.

3. Структура государственной защиты информации от техничес­кой разведки.

4. Задачи и структура Федеральной службы по техническому и эк­спортному контролю РФ (Государственной технической комис­сии).

5. Задачи и структура органов по защите информации Федеральной службы безопасности России.

6. Задачи органов по обеспечению защиты информации ведомств.

7. Виды и органы лицензирования продукции, деятельности и ус­луг по защите информации.

8. Задачи и органы, обеспечивающие сертификацию средств по за­щите информации.

9. Задачи и структура по защите информации в организациях (уч­реждениях, на предприятиях).

10. Классификация документов нормативно-правовой базы по за­щите информации.

11. Назначение руководящих и нормативно-методических доку­ментов по защите информации.