2_1_2.htm 2.1.2. Межведомственные и внутриведомственные документы Они ориентированы как на обеспечение функционирования системы защиты информации в целом, так и на защиту личной, коммерческой и служебной тайны отдельных граждан и фирм, которые становятся известны представителям государственных структур в силу их профессиональной деятельности. Ниже приведены выдержки из следующих документов: • «Положение о Государственном лицензировании деятельности в области защиты информации» (Совместное решение Гостехкомиссии России и ФАПСИ № 10 от 27.04.94 г.); • «Положение по аттестации объектов информатизации по требованиям безопасности информации» (Утверждено Председателем Государственной технической комиссии при Президенте Российской Федерации 25.11.94 г.); • «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (Руководящий документ. Утвержден Председателем Государственной технической комиссии при Президенте Российской Федерации 30.03.92 г.); • «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» (Руководящий документ. Утвержден Председателем Государственной технической комиссии при Президенте Российской Федерации); «Система сертификации средств криптографической защиты информации» (Общие положения); • «Об утверждении перечня сведений, составляющих конфиденциальную информацию» (Постановление Правления Пенсионного фонда Российской Федерации № 123 от 30.08.96 г.); • «Об утверждении Временного положения о депозитарной деятельности на рынке ценных бумаг Российской Федерации и порядке ее лицензирования» (Постановление Федеральной комиссии по рынку ценных бумаг № 20 от 2.10.96 г. с изменениями и дополнениями от 16.10.97 г.); • «Об утверждении Положения о депозитарной деятельности в Российской Федерации, установлении порядка введения его в действие и области применения» (Постановление Федеральной комиссии по рынку ценных бумаг № 36 от l6.10.97r.); • «Об обеспечении конфиденциальности в работе с налоговыми декларациями» (Письмо Госналогслужбы РФ от 25.04.97 г. № ИЛ-6-24/321); • «Разъяснение о порядке предоставления сведений ограниченного распространения по запросам сторонних организаций» (Инструктивное письмо Государственной налоговой службы Российской Федерации от 11.05.95 г. №ЮБ-6-18/261). «Положение о государственном лицензировании деятельности в области защиты информации» (Совместное решение Гостехкомиссии России и ФАПСИ Ne 10 от 27.04.94 г.) 1.1. Настоящее Положение устанавливает основные принципы, организационную структуру системы государственного лицензирования деятельности предприятий, организаций и учреждений (далее - предприятий) независимо от их ведомственной принадлежности и форм собственности в области защиты информации, обрабатываемой (передаваемой) техническими средствами, а также порядок лицензирования и контроля за деятельностью предприятий, получивших лицензии. 1.2. Система Государственного лицензирования предприятий в области защиты информации является составной частью Государственной системы защиты информации. Деятельность системы Государственного лицензирования организуют Государственная техническая комиссия при Президенте Российской Федерации (Гостехкомиссия России), Федеральное агентство правительственной связи и информации при Президенте Российской Федерации (ФАПСИ ) и другие министерства и ведомства в пределах компетенции, установленной законодательством Российской Федерации. 1.3. Государственному лицензированию подлежат следующие виды деятельности по защите информации. 1.3.1. Гостехкомиссией России: а) сертификация защищенных средств обработки информации, средств защиты и контроля защищенности информации, программных средств по требованиям безопасности информации; б) аттестование объектов информатики' на соответствие требованиям по безопасности информации; в) специсследования на побочные электромагнитные излучения и наводки технических средств обработки информации (ТСОИ) на соответствие требованиям по безопасности информации; г) экспертиза программных средств защиты информации и защищенных программных средств обработки информации на соответствие требованиям по предотвращению несанкционированного доступа к информации; д) создание, монтаж, наладка, установка, ремонт, сервисное обслуживание технических средств защиты информации, защищенных ТСОИ, технических средств контроля эффективности мер защиты информации, программных средств защиты информации, защищенных программных средств обработки информации, программных средств контроля защищенности информации; с) проектирование объектов информатики в защищенном исполнении; ж) контроль защищенности информации в ТСОИ и на объектах информатики. 1.3.2. ФАПСИ: а) разработка, производство, проведение сертификационных испытаний, реализация, эксплуатация шифровальных средств, предназначенных для криптографической защиты информации, содержащей сведения, составляющие государственную или иную охраняемую законом тайну, при ее обработке, хранении и передаче по каналам связи, а также предоставление услуг в области шифрования этой информации; б) разработка, производство, проведение сертификационных испытаний, эксплуатация систем и комплексов телекоммуникаций высших органов государственной власти Российской Федерации; в) разработка, производство, проведение сертификационных испытаний, реализация, эксплуатация закрытых систем и комплексов телекоммуникаций органов власти субъектов Российской Федерации, центральных органов федеральной исполнительной власти, организаций, предприятий, банков и иных учреждений, расположенных на территории Российской Федерации, независимо от их ведомственной принадлежности и форм собственности (далее - закрытых систем и комплексов телекоммуникаций), предназначенных для обработки информации, содержащей сведения, составляющие государственную или иную охраняемую законом тайну; г) проведение сертификационных испытаний, реализация и эксплуатация шифровальных средств, закрытых систем и комплексов телекоммуникаций, предназначенных для обработки информации, не содержащей сведений, составляющих государственную или иную охраняемую законом тайну, при ее обработке, хранении и передаче по каналам связи, а также предоставление услуг в области шифрования этой информации; д) проведение работ по выявлению электронных устройств перехвата информации в помещениях; е) проведение работ по выявлению электронных устройств перехвата информации в технических средствах. 1.4. Государственная лицензия на право деятельности по защите информации выдается подавшему заявку на получение такой лицензии предприятию, располагающему ' Под объектами информатики понимаются автоматизированные системы, системы связи, отображения и размножения вместе с помещениями, в которых они установлены, предназначенные для обработки и передачи информации, подлежащей защите, а также помещения, предназначенные для ведения конфиденциальных переговоров; необходимой Испытательной базой, нормативной и методической документацией, научным и инженерно-техническим персоналом, обладающим современным уровнем знаний в соответствующей области деятельности на основании результатов экспертизы деятельности предприятия по заявленному направлению работ. 1.5. Лицензии на реализацию и эксплуатацию шифровальных средств, закрытых систем и комплексов телекоммуникаций, а также на предоставление услуг в области шифрования информации выдаются предприятиям только при наличии сертификатов ФАПСИ на указанные средства, системы и комплексы. 1.6. Лицензиат, предоставляющий услуги по шифрованию информации, обязан обеспечить тайну переписки, телефонных переговоров, документальных и иных сообщений лиц, пользующихся этими услугами, а в необходимых случаях обеспечить возможность проведения оперативно-розыскных и следственных мероприятий в соответствии с действующим законодательством Российской Федерации. 1.7. Лицензии на использование шифровальных средств, закрытых систем и комплексов телекоммуникаций для криптографической защиты информации при передаче ее по каналам взаимоувязанной сети связи (ВСС) выдаются только при наличии соответствующих сертификатов и лицензий Министерства связи Российской Федерации. 1.9. Государственная лицензия выдается заявителю на конкретный вид деятельности на срок до 3-х лет, по истечению которых лицензия продлевается на очередные три года, установленным в п. 3.1.4. порядком. 1.10. Лицензиаты несут юридическую и финансовую ответственность за полноту и качество выполнения работ и обеспечение сохранности государственных и коммерческих секретов, доверенных им в ходе практической деятельности. 1.11. Юридические и физические лица, осуществляющие деятельность, виды которой указаны в п. 1.3 настоящего Положения, без лицензии или нарушившие установленные правила лицензирования деятельности несут ответственность, предусмотренную законодательством Российской Федерации. 2.1. Организационную структуру государственной системы лицензирования деятельности предприятий в области защиты информации образуют: • государственные органы по лицензированию; • отраслевые (ведомственные, региональные) лицензионные центры (далее - ли- цензионные центры); • предприятия-заявители (лицензируемые предприятия, лицензиаты); • предприятия и организации, в том числе заказывающие управления (заказчи- ки), размещающие работы по защите информации (далее - предприятия-потребители). 2.2. Государственными органами по лицензированию являются Гостехкомиссия России, ФАПСИ, которые в пределах своей компетенции осуществляют следующие функции: • организуют обязательное государственное лицензирование деятельности предприятий; • выдают государственные лицензии предприятиям-заявителям по представлению лицензионных центров; • осуществляют научно-методическое руководство лицензионной деятельностью; • осуществляют контроль и надзор за соблюдением правил лицензирования, полнотой и качеством проводимых лицензиатами работ на объектах информатики; • обеспечивают публикацию необходимых сведений о ходе и порядке лицензирования; • рассматривают спорные вопросы, возникающие в ходе лицензирования. 2.3. Лицензионные центры осуществляют следующие функции: • формируют экспертные комиссии и представляют их состав на утверждение в соответствующие государственные органы по лицензированию; • планируют и проводят работы по экспертизе заявителей; • готовят по результатам экспертизы представления в соответствующие государственные органы по лицензированию; • контролируют полноту и качество выполненных лицензиатами работ; • систематизируют отчеты лицензиатой и представляют сводный отчет в соответствующие государственные органы по лицензированию ежегодно; • принимают участие в работе соответствующих государственных органов по лицензированию при рассмотрении спорных вопросов, возникающих в процессе Лицензирования, и фактов некачественной работы лицензиатов. Лицензионные центры назначаются совместными приказами руководства соответствующих государственных органов по лицензированию и отраслей промышленности, ведомств, органов регионального управления. 2.3.1. Для всестороннего обследования предприятий-заявителей с целью оценки их возможностей проводить работы в избранном направлении защиты информации и вынесения по материалам обследования заключения о возможности предоставления им права на эти работы при лицензионных центрах создаются экспертные комиссии. Экспертные комиссии формируются из числа компетентных в соответствующей области защиты информации специалистов отраслей промышленности, Вооруженных Сил, органов государственного управления, других организаций и учреждений. 2.4. Лицензиаты имеют право пользоваться нормативно-методическими документами соответствующих государственных органов по лицензированию, обращаться к ним за необходимыми консультациями и содействием, а также ссылаться в официальных документах и рекламных материалах на полученную лицензию. 2.5. Предприятия-потребители имеют право обращаться с рекламациями на некачественно выполненные лицензиатами работы по защите информации в соответствующий лицензионный центр либо непосредственно в государственный орган по лицензированию. 3.2. Контроль и надзор за полнотой и качеством проводимых лицензиатами работ на объектах информатики осуществляется: • в ходе проверок Гостехкомиссией России, ФАПСИ и отраслевыми органами контроля состояния защиты на предприятиях-потребителях, воспользовавшихся услугами лицензиатов; • при контроле Гостехкомиссией России, ФАПСИ, лицензионными центрами качества выполненных лицензиатами работ по рекламациям предприятий-потребителей. В зависимости от характера выявленных нарушений к лицензиатам могут быть применены следующие санкции: • поручение устранить за свой счет выявленные недостатки; • лишение лицензии. Возмещение понесенных предприятием-потребителем затрат (ущерба) в случаях выявления нарушений состояния защиты производится в судебном порядке через хозяйственный суд (арбитраж). Основные требования к предприятиям-заявителям на право получения лицензий в области защиты информации К предприятиям-заявителям на право получения лицензий предъявляются требования по: • уровню квалификации специалистов; • наличию и качеству измерительной базы; • наличию и качеству производственных помещений; • наличию режимного органа и обеспечению охраны материальных ценностей и секретов заказчика. 1.1; Специалисты предприятий-заявителей на право получения лицензий должны знать (в пределах своих функциональных обязанностей): • основные руководящие документы по обеспечению защиты информации и контролю ее эффективности; • нормативно-методические документы по защите и контролю защищенности информации, циркулирующей в технических средствах ее передачи и обработки и в помещениях, предназначенных для ведения служебных (секретных) переговоров; • необходимое программно-аппаратное оснащение подразделений защиты информации и контроля ее защищенности; • устройство, технические характеристики, принципы работы технических средств (по направлениям деятельности). Принципы формирования информативных сигналов в системах (технических средствах) обработки, передачи информации и пути циркуляции этих сигналов. Схемно-конструктивные решения основных типов технических средств информатики; • физические основы возникновения каналов утечки информации при ее обработке в средствах информатики и ведении служебных переговоров в выделенных помещениях. Временные, частотные, амплитудные и спектральные характеристики аналоговых и дискретных сигналов, циркулирующих в средствах информатики и выделенных помещениях. Отличительные особенности информативных сигналов каждого вида технических средств передачи и обработки информации. Теоретические основы распространения электромагнитных полей в ближней и дальней зонах; • возможные каналы утечки секретной информации при ее обработке, передаче, хранении и отображении в средствах информатики и акустической информации, циркулирующей в выделенных помещениях. Причины возникновения паразитной генерации, электроакустических преобразований, побочных электромагнитных излучений, неравномерности потребления тока в сети электропитания и наводок на токопроводящие цепи, вспомогательные коммуникации и другие металлоконструкции при работе технических средств информатики; • структуру и функции программных средств управления вычислительным процессом (операционные системы, сетевые пакеты, системы управления базами данных). Принципы системного и прикладного алгоритмирования и программирования. Языки программирования. Принципы организации мультиплексных, многопользовательских и монопольных режимов работы средств информатики; • возможности технических средств разведки по добыванию информации или нарушению ее целостности; • основные программные, технические, организационные и режимные меры защиты информации от разрушения, искажения, копирования и утечки за счет несанкционированных действий как пользователей, так и лиц, не допущенных к обрабатываемой информации. Методы обеспечения разграничения и контроля доступа. Рекомендованные аппаратные и программные средства шифрования и криптографии, защиты от программ «вирусов» и закрытия физических каналов утечки информации, порядок и способы их применения; • возможности и технические характеристики программных и аппаратных средств защиты информационных технологий и информации, циркулирующей в выделенных помещениях, и комплексного контроля эффективности систем защиты информации; • требования к тест-программам, применяемым при измерении уровня побочных электромагнитных излучений средств информатики. Основные тест-программы, принципы их работы, возможность использования (применимость) для проверки конкретных типов технических средств информатики и выделенных помещений; • требования к тест-программам по проверке систем защиты от несанкционированного доступа. Основные тест-программы, принципы их работы, возможность использования (применимость) для проверки на конкретных типах технических средств вычислительной техники и порядок их использования при проверке; метрологические требования к техническим средствам и условиям .проведения измерений; организацию работ и предприятия, обеспечивающие техническое обслуживание, ремонт и метрологическую поверку аппаратуры контроля; принципы работы применяемой контрольно-измерительной аппаратуры, ее тактико-технические характеристики и возможности. 1.2. Специалисты предприятий-заявителей на право получения лицензий должны уметь: • планировать и организовывать мероприятия по проведению специсследований технических средств информатики, аттестации и комплексного технического контроля эффективности систем защиты информации, циркулирующей в средствах информатики и выделенных помещениях на проверяемых объектах. Анализировать полученные результаты; • готовить отчетные документы по результатам проведенной работы; • определять характеристики и параметры контролируемого средства или выделенного помещения и проводить их анализ; • определять состав и структуру системы защиты информации, ее организационное и программно-аппаратное обеспечение. Проверять полноту соответствия техничес- кой документации требованиям нормативно-методических документов. Выявлять возможные каналы утечки или несанкционированного доступа к информации; • применять средства криптографической защиты; • организовать работу и применять средства защиты от специального программного воздействия (программ-«вирусов>); • выявлять нарушения в технологии обработки информации. С применением программных, аппаратных и аналитических методов проверять правильность функционирования систем разграничения доступа и защиты от несанкционированных действий. Проверять наличие, качество и анализировать достаточность оперативных средств самоконтроля системы защиты информации; • разработать тест-программу, организовать ее запуск и функционирование во время проведения специальных исследований; • инструментально-расчетным методом с использованием различной аппаратуры контроля определять источник и параметры опасного сигнала, выполнение в местах возможного размещения средств разведки норм защиты информации, обрабатываемой средствами информатики, и речевой информации, циркулирующей в выделенных помещениях, разведопасные направления для перехвата информации, влияние условий размещения средств информатики, прокладки их линий связи и других коммуникаций на объекте, окружающих предметов (металлоконструкций), а Также расположения выделенных помещений на возможности перехвата информации в реальных условиях; • проверять возможность утечки информации по различным каналам, образующимся при обработке информации средствами информатики, и речевой информации, циркулирующей в выделенных помещениях, за счет неравномерностей потребления тока в цепях питания, электромагнитных наводок во вспомогательных коммуникациях, цепях заземления, других токопроводящих коммуникациях и металлоконструкциях, возникновения паразитных электроакустических преобразований и генерации в средствах информатики, распространения звуковых волн в различных средах; • эксплуатировать, готовить, проверять основные технические параметры штатной аппаратуры контроля, характеризующие ее готовность к работе. Калибровать аппаратуру контроля; • работать на персональных ЭВМ. С помощью специального программного обеспечения выполнять необходимые расчеты при обработке результатов контроля, работать с базами данных, готовить выходные (отчетные) документы; • организовать ремонт, техническое обслуживание и поверку применяемой контрольно-измерительной аппаратуры, вычислительной и специальной техники. 1.3. Специалисты предприятий-заявителей должны иметь опыт практической работы по обеспечению защиты информации, обрабатываемой средствами информатики и циркулирующей в выделенных помещениях, и проверке эффективности мер защиты информации на объектах контроля. 2.1. Каждый определенный в заявке вид работ по защите информации должен быть обеспечен средствами измерений и контроля в объеме и по качеству достаточном для проведения, в соответствии с действующими на момент заявления методиками, измерений параметров технических средств, типы которых определены в заявлении. Допускается использование средств измерений на условиях аренды. 2.2. Измерительная база должна обеспечивать: • возможность проведения измерений полей в диапазоне частот, установленном в действующей методике (требования по диапазону частот); • возможность измерения уровней полей технических средств (требования по чувствительности); • возможность измерения опасных сигналов на фоне стационарных полей посторонних радиоэлектродных средств (требования пр избирательности); • достоверность полученных значений полей (требования по точности, требования по динамическому диапазону); • возможность идентификации опасных излучений конкретному образцу, физической цепи (требования по идентификации). Каждый тип средства измерений и контроля должен быть предназначен для проведения конкретных видов измерений (требования по назначению). Средства измерений и контроля должны быть метрологически поверены (требования по метрологическому обеспечению). При измерениях в цепях (средах), опасных для здоровья, должны быть предусмотрены пробники, съемники, датчики и средства защиты, обеспечивающие безопасность проведения работ. 3.1. Требования к помещениям, предназначенным для проведения измерений при предварительных и лабораторных специсследованиях (сертификации продукции), и их технической и технологической оснащенности рассматриваются как совокупность требований к разработанной технологии проведения измерений, измерительной аппаратуре, помещениям, стендам, антенным камерам, а также к организации их содержания, обслуживания и поверки, выполнение которых позволяет организации, претендующей на проведение работ, указанных в заявке, получить лицензию на право их проведения. Кроме того, на предприятии, претендующем на получение лицензии, должны быть выделены помещения, обеспечивающие сохранность исследуемых технических средств заказчика и документов. 4.1. В целях обеспечения сохранности материальных ценностей заказчика и его коммерческих и других секретов, а также обеспечения заявителя секретной нормативно-методической документацией у него должен быть предусмотрен режимно-секретный орган (орган обеспечения безопасности информации) и обеспечена надежная охрана. Допускается отсутствие у заявителя собственных указанных служб при условии обеспечения его услугами таких служб предприятием, у которого арендуются помещения. «Положение по аттестации объектов информатизации по требованиям безопасности информации» (Утверждено Председателем Государственной технической комиссии при Президенте РФ 25.11.94 г.) 1.1. Настоящее Положение устанавливает основные принципы, организационную структуру системы аттестации объектов информатизации по требованиям безопасности информации, порядок проведения аттестации, а также контроля и надзора за аттестацией и эксплуатацией аттестованных объектов информатизации. 1.3. Система аттестации объектов информатизации по требованиям безопасности информации (далее - система аттестации) является составной частью единой системы сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации и подлежит государственной регистрации в установленном Госстандартом России порядке. Деятельность системы аттестации организует федеральный орган по сертификации продукции и аттестации объектов информатизации по требованиям безопасности информации (далее - федеральный орган по ' сертификации и аттестации), которым является Гостехкомиссия России. 1.4. Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа - «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных Гостехкомиссией России. Наличие на объекте информатизации действующего «Аттестата соответствия» дает право обработки информации с уровнем секретности (конфиденциальности) и на период времени, установленными в «Аттестате соответствия». 1.5. Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров. В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по инициативе заказчика или владельца объекта информатизации. Аттестация по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и вызвана необходимостью официального подтверждения эффективности комплекса используемых на конкретном объекте информатизации мер и средств защиты информации. 1.6. При аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации от несанкционированного доступа, в том числе от компьютерных вирусов, от утечки за счет побочных электромагнитных излучений и наводок при специальных воздействиях на объект (высокочастотное навязывание и облучение, электромагнитное и радиационное воздействия), от утечки или воздействия на нее за счет специальных устройств, встроенных в объекты информатизации. 1.7. Аттестация предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта информатизации в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности информации. «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (Руководящий документ. Утвержден Председателем Государственной технической комиссии при Президенте РФ 30.03.92 г.) Настоящий руководящий документ устанавливает классификацию средств вычислительной техники (СВТ) по уровню защищенности от несанкционированного доступа (НСД) к информации на базе перечня показателей защищенности и совокупности описывающих их требований. Под СВТ понимается совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем. 1.2. Показатели защищенности СВТ применяются к общесистемным программным средствам и операционным системам (с учетом архитектуры ЭВМ). Конкретные перечни показателей определяют классы защищенности СВТ. . Уменьшение или изменение перечня показателей, соответствующего конкретному классу защищенности СВТ, не допускается. Каждый показатель описывается совокупностью требований. Дополнительные требования к показателю защищенности СВТ и соответствие этим дополнительным требованиям оговаривается особо. 1.3. Требования к показателям реализуются с помощью программно-технических средств. Совокупность всех средств защиты составляет комплекс средств защиты (КСЗ). Документация КСЗ должна быть неотъемлемой частью конструкторской документации (КД) на СВТ. 1.4. Устанавливается семь классов защищенности СВТ от НСД к информации. Самый низкий класс - седьмой, самый высокий - первый. Таблица 2.1.1. Перечень показателей по классам защищенности СВТ
Классы подразделяются на четыре группы, отличающиеся качественным уровнем защиты: первая группа содержит только один седьмой класс; вторая группа характеризуется дискреционной защитой и содержит шестой и пятый классы; . третья группа характеризуется мандатной защитой и содержит четвертый, третий и второй классы; четвертая группа характеризуется верифицированной защитой и содержит толь-ко первый класс. 1.5. Выбор класса защищенности СВТ для автоматизированных систем (АС), создаваемых на базе защищенных СВТ, зависит от грифа секретности обрабатываемой в АС информации, условий эксплуатации и расположения объектов системы. 1.6. Применение в комплекте СВТ средств криптографической защиты информации по ГОСТ 28147 может быть использовано для повышения гарантий качества защиты. 2.1.1. Перечень показателей по классам защищенности СВТ приведен в табл. 2.1.1. 2.1.2. Приведенные в данном разделе наборы требований к показателям каждого класса являются минимально необходимыми. 2.1.3. Седьмой класс присваивают СВТ, к которым предъявлялись требования по защите от НСД к информации, но при оценке защищенность СВТ оказалась ниже уровня требований шестого класса. «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» (Руководящий документ. Утвержден Председателем Государственной технической комиссии при Президенте РФ) Настоящий руководящий документ устанавливает классификацию автоматизированных систем (АС), подлежащих защите от несанкционированного доступа (НСД) к информации, и требования по защите информации в АС различных классов. Под АС в данном документе понимается ориентированная на конкретных пользователей система обработки данных. Руководящий документ разработан в дополнение ГОСТ 24.104-85. Он может использоваться как нормативно-методический материал для заказчиков и разработчиков АС при формулировании и реализации требований по защите. 1.1. Классификация распространяется на все действующие и проектируемые АС учреждений, организаций и предприятий, обрабатывающие конфиденциальную информацию. 1.2. Деление АС на соответствующие классы по условиям их функционирования с точки зрения защиты информации необходимо в целях разработки и применения обоснованных мер по достижению требуемого уровня защиты информации. 1.3. Дифференциация подхода к выбору методов и средств защиты определяется важностью обрабатываемой информации, различием АС по своему составу, структуре, способам обработки информации, количественному и качественному составу пользователей и обслуживающего персонала. . 1.4. Основными этапами классификации АС являются: • разработка и анализ исходных данных; • выявление основных признаков АС, необходимых для классификации;. • сравнение выявленных признаков АС с классифицируемыми; • присвоение АС соответствующего класса защиты информации от НСД. . 1.5. Необходимыми исходными данными для проведения классификации конкретной АС являются: • перечень защищаемых информационных ресурсов АС и их уровень конфиденциальности; • перечень лиц, имеющих доступ к штатным средствам АС, с указанием их уровня полномочий; • матрица доступа или полномочий субъектов доступа по отношению к защищаемым информационным ресурсам АС; • режим обработки данных в АС. 1.6. Выбор класса АС производится заказчиком и разработчиком с привлечением специалистов по защите информации. 1.7. К числу определяющих признаков, по которым производится группировка АС в различные классы, относятся: • наличие в АС информации различного уровня конфиденциальности; • уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации; • режим обработки данных в АС: коллективный или индивидуальный. 1.8. Устанавливается девять классов защищенности АС от НСД к информации. Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС. В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности АС. 1.9. Третья группа классифицирует АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса - ЗБ и ЗА. Вторая группа классифицирует АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности. Группа содержит два класса - 2Б и 2А. Первая группа классифицирует многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности и не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов - 1Д, 1Г, 1В, 1Б и 1А. 2.1. Защита информации от НСД является составной частью общей проблемы обеспечения безопасности информации. Мероприятия по защите информации от НСД должны осуществляться взаимосвязано с мероприятиями по специальной защите основных и вспомогательных средств вычислительной техники, средств и систем связи от технических средств разведки и промышленного шпионажа. 2.2. В общем случае комплекс программно-технических средств и организационных (процедурных) решений по защите информации от НСД реализуется в рамках системы защиты информации от НСД (СЗИ НСД), условно состоящей из следующих четырех подсистем: • управления доступом; • регистрации и учета; • криптографической; • обеспечения целостности. 2.3. В зависимости от класса АС в рамках этих подсистем должны быть реализованы требования в соответствии с табл. 2.1.2. 2.4. Требования к АС третьей группы «Система сертификации средств криптографической защиты информации» (Общие положения) 1.1. Настоящая Система устанавливает правила сертификации по требованиям безопасности информации: • шифровальных средств'; • систем и комплексов телекоммуникаций высших органов государственной власти Российской Федерации; • закрытых систем и комплексов телекоммуникаций2 органов государственной власти субъектов Российской Федерации, центральных органов федеральной исполнительной власти, организаций, предприятий, банков и иных учреждений, расположенных на территории Российской Федерации, независимо от их ведомственной принадлежности и форм собственности; • информационно-телекоммуникационных систем и баз данных государственных органов. Центрального банка Российской Федерации, Внешэкономбанка и их учреждений, иных государственных учреждений Российской Федерации. 1.2. Система сертификации продукции по требованиям безопасности информации действует под управлением Федерального агентства правительственной связи и информации при Президенте Российской Федерации (далее - ФАПСИ) и является составной частью системы сертификации продукции в Российской Федерации. ' К шифровальным средствам относятся: реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства, системы и комплексы, обеспечивающие безопасность информации при ее обработке, хранении и передаче по каналам связи, включая шифровальную технику; реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства, системы и комплексы защиты от несанкционированного доступа к информации при ее обработке и хранении; реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства, системы и комплексы защиты от навязывания ложной информации, включая средства имитозащиты и «электронной подписи»; аппаратные, программные и аппаратно-программные средства, системы и комплексы изготовления ключевых документов для шифровальных средств независимо от вида носителя ключевой информации. 2 К закрытым системам и комплексам телекоммуникаций относятся системы и комплексы телекоммуникаций, в которых обеспечивается защита информации с использованием шифровальных средств, защищенного оборудования и организационных мер. Таблица 2.1.2. Подсистемы и требования к АС в зависимости от их класса
1.3. Под сертификацией продукции по требованиям безопасности информации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа-сертификата соответствия подтверждается, что эта продукция соответствует: • требованиям государственных стандартов или иных нормативных документов, утвержденных Советом Министров - Правительством Российской Федерации (для продукции, используемой при обработке, хранении или передаче по каналам связи информации, содержащей сведения, составляющие государственную тайну); • требованиям государственных или отраслевых стандартов, иных нормативных документов, утвержденных Советом Министров - Правительством Российской Федерации или ФАПСИ (для продукции, используемой при обработке, хранении или передаче по каналам связи информации, не содержащей сведения, составляющие государственную тайну). 1.4. При проведении сертификации продукции подтверждается соответствие ее требованиям безопасности информации. Требования безопасности информации, предъявляемые к продукции, выдаются ФАПСИ только предприятиям, имеющим лицензию на соответствующий вид деятельности в области защиты информации. 1.5. Система сертификации продукции базируется на действующих в стране: • системе стандартизации и фонде нормативной документации по безопасности информации; • системе аккредитации испытательных лаборатории (центров). 1.6. Основными схемами сертификации продукции по требованиям безопасности информации являются: • для единичных образцов продукции - проведение испытаний этих образцов но требованиям безопасности информации; • для серийного производства продукции - проведение типовых испытаний образцов этой продукции по требованиям безопасности информации и последующий контроль за стабильностью характеристик (параметров) сертифицированных образцов продукции, определяющих выполнение требований безопасности информации. 1.7. Сертификационные испытания образцов продукции проводятся в испытательных лабораториях (центрах), аккредитованных ФАПСИ. В отдельных случаях по согласованию с органом по сертификации допускается проведение сертификационных испытаний на объекте разработчика (изготовителя) продукции. При этом орган по сертификации определяет условия, необходимые для обеспечения объективности результатов сертификационных испытаний. «Об утверждении перечня сведений, составляющих конфиденциальную информацию» (Постановление Правления Пенсионного фонда РФ № 123 от 30.08.96 г.) Оно вводит Временный перечень сведений, составляющих конфиденциальную информацию в Пенсионном фонде Российской Федерации (ПФР). 1. Сведения, раскрывающие систему, средства и методы защиты информации на средствах вычислительной техники ПФР от несанкционированного доступа, а также значения действующих кодов и паролей. 2. Сведения, содержащиеся в лицевых счетах плательщиков страховых взносов: • банковские реквизиты; • фонды оплаты труда и доходы; • расчетные счета; • начисленные и уплаченные суммы страховых взносов; • бухгалтерская (финансовая) отчетность; • фамилии руководителей и главных бухгалтеров, их адреса и телефоны; • количество работающих на предприятии (организации). 3. Сведения, содержащиеся в индивидуальном лицевом счете застрахованного лица, указанные в ст. 6 п. 2 Федерального закона Российской Федерации «Об индивидуальном (персонифицированном) учете в системе государственного пенсионного страхования». 4. Акты документальных проверок юридических и физических лиц по соблюдению ими уплаты страховых взносов. «Об утверждении Временного положения о депозитарной деятельности на рынке ценных бумаг Российской Федерации и порядке ее лицензирования» (Постановление Федеральной комиссии по рынку ценных бумаг ЛЬ 20 от 2.10.96 г. с изменениями и дополнениями от 16.10.97 г.) VI. Конфиденциальность информации 32. Попечитель и хранитель обязаны обеспечить конфиденциальность информации, полученной ими в ходе осуществления депозитарной деятельности. Для целей настоящего Положения конфиденциальной признается следующая информация: • сведения о клиентах; • сведения о состоянии клиентских счетов; • сведения о проведенных операциях по счетам клиентов; • иная информация, при передаче которой попечителю и/или хранителю было письменно указано на ее конфиденциальность. Сведения о состоянии клиентских счетов могут быть предоставлены только клиенту или его уполномоченному представителю в отношении счета данного клиента, а также аудиторам попечителя или хранителя и уполномоченным Федеральной комиссии при проведении проверки деятельности данного попечителя или хранителя. Порядок предоставления конфиденциальной информации налоговым, правоохранительным и судебным органам устанавливается законами Российской Федерации. 33. Правообладатель, права которого нарушены вследствие разглашения попечителем и/или хранителем относящейся к данному правообладателю конфиденциальной информации, вправе требовать от попечителя и/или хранителя возмещения убытков, причиненных ему вследствие такого разглашения, в установленном законами и иными правовыми актами Российской Федерации порядке. «Об утверждении Положения о депозитарной деятельности в Российской Федерации, установлении порядка введения его в действие и области применения» (Постановление Федеральной комиссии по рынку ценных бумаг № 36 от 16.10.97 г.) 10. Конфиденциальность 10.1. Депозитарий обеспечивает конфиденциальность информации о счетах депо клиентов (депонентов) депозитария, включая информацию о производимых операциях по счетам и иные сведения о клиентах (депонентах), ставшие известными в связи с осуществлением депозитарной деятельности. 10.2. В случае разглашения конфиденциальной информации о счетах депо клиентов (депонентов) клиенты, права которых нарушены, вправе потребовать от депозитария возмещения причиненных убытков в порядке, определенном законодательством Российской Федерации. 10.3. Сведения о счетах депо клиентов (депонентов) могут быть предоставлены только самим клиентам, их уполномоченным представителям, лицензирующему органу в рамках его полномочий при проведении проверок деятельности депозитария. Иным государственным органам и их должностным лицам такие сведения могут быть предоставлены исключительно в случаях, предусмотренных федеральными законами. 10.4. Ответственность за нарушение законодательства Российской Федерации в части ограничений на приобретение ценных бумаг несут владельцы ценных бумаг. «Об обеспечении конфиденциальности в работе с налоговыми декларациями» * (Письмо Госналогслужбы РФ от 25.04.97 г. № ИЛ-б-24/321) Работа с декларациями о совокупном годовом доходе физических лиц становится одним из наиболее ответственных направлений в деятельности налоговых органов и требует строгого соблюдения законодательства об обеспечении сохранности и конфиденциальности представляемых налогоплательщиками сведений. Согласно приказу Госналогслужбы России от 14.04.97 г. № ВА-3-24/91 налоговая декларация является документом, содержащим сведения ограниченного распространения, подлежащим защите органами Госналогслужбы России. В этой связи учет, хранение, использование и уничтожение налоговых деклараций должны осуществляться в строгом соответствии с Инструкцией, утвержденной приказом Госналогслужбы России от 28.10.94 г. № ВГ-3-18/72. При поступлении запросов и обращений с целью получения сведений, содержащихся в налоговых декларациях, следует исходить из того, что налоговые органы не являются собственником данной информации, не могут распоряжаться ею по своему усмотрению и обязаны обеспечивать их сохранность и конфиденциальность. Действующее законодательство предусматривает предоставление конфиденциальной информации без согласия налогоплательщика только в судебные и правоохранительные органы и в строго определенных случаях, то есть по официальным мотивированным запросам в связи с возбужденным уголовным делом или проведением проверки в порядке статьи 109 УПК РФ. Во всех госналогинспекциях должен быть установлен порядок, обеспечивающий персональную ответственность за сохранность налоговых деклараций и исключающий несанкционированный доступ к ним. По каждому факту утраты декларации и разглашения содержащихся в них сведений необходимо проводить тщательное служебное расследование, о результатах и принятых мерах докладывать в Госналогслужбу России. Прошу начальников госналогинспекций взять работу с налоговыми декларациями под личный контроль. «Разъяснение о порядке предоставления сведений ограниченного распространения по запросам сторонних организаций» (Инструктивное письмо Государственной налоговой службы РФ от 11.05.95 г. № ЮБ-6-18/261) В налоговые органы поступают письменные и устные запросы различных организаций, учреждений, коммерческих фирм о предоставлении им информации о юридических и физических лицах, которая относится к категории конфиденциальной или составляет коммерческую тайну. В некоторых случаях информация запрашивается с целью создания собственных информационных массивов, проверки финансово-экономического состояния фирм, банков, предпринимателей, плательщиков, партнеров и конкурентов по бизнесу, других категорий юридических и физических лиц. При рассмотрении таких запросов следует строго исходить из требований законодательства, в частности Федерального закона «Об информации, информатизации и защите информации» от 25.01.95 г., других нормативных правовых актов, учитывать, что налоговые органы часто не являются собственниками запрашиваемой информации, не могут распоряжаться ею по своему усмотрению и обязаны обеспечить сохранность и конфиденциальность сведений налогоплательщиков. Закон предусматривает ответственность как за противоправное осуществление экспертиз, проверок финансово-экономической деятельности, имущественного и финансового положения граждан, юридических лиц, общественных организаций, так и за нарушение режима и правил предоставления информации. Действующее законодательство разрешает передачу конфиденциальной информации о налогоплательщиках из числа юридических и физических лиц без их согласия только в правоохранительные органы и в строго установленном порядке, то есть по официальным мотивированным запросам в связи с возбужденным уголовным делом или проведением проверки в порядке статьи 109 УПК. Кроме того, по мотивированным письменным запросам информация предоставляется отдельным государственным организациям и ведомствам в пределах, предусмотренных соглашениями с ними Госналогслужбы России и с учетом требований по сохранению коммерческой тайны. Так, порядок предоставления Пенсионному фонду РФ сведений о доходах предпринимателей, осуществляющих свою деятельность без образования юридического лица, определен совместным письмом Пенсионного фонда РФ и Госналогслужбы России от 3.06.93/4.06.93 г. № ЛЧ-16/2116ИН, ВЗ-6-03-196. Предоставление территориальным агентствам Федерального управления по делам несостоятельности (банкротства) при Госкомимуществе России сведений о балансах предприятий федеральной собственности и иных предприятиях с долей федеральной собственности, суммах задолженности по уплате налогов и других обязательных платежей регулируется приказом Госналогслужбы России от 25.03.94 г. №ВГ-3-13/79; Передача баз данных налоговых органов сторонним организациям, включая правоохранительные органы, не допускается. При исполнении запросов сторонних организаций необходимо также руководствоваться «Положением о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти», утвержденным постановлением Правительства РФ от 03.11.94 г. № 1233 и Инструкцией по этим вопросам, введенной приказом Госналогслужбы России от 28.0.94 г. № ВГ-3-18/71.