Защита информации
.pdfтификация средств защиты информации - деятельность изготовителей и потребителей средств по установлению (подтверждению) соответствия средств ЗИ требованиям нормативных документов по защите информации, утвержденных государственными органами по сертификации.
В соответствии с Положением о сертификации средств защиты инфор
мации участниками процесса сертификации являются: |
|
|
- |
Федеральный орган по сертификации (Гостехкомиссия |
России, |
|
ФАПСИ, ФСБ России, Минобороны России, СВР России); |
|
- |
Центральный орган сертификации - орган, возглавляющий |
систе |
|
му сертификации однородной продукции; |
|
-Органы по сертификации средств защиты информации - органы, проводящие сертификационные испытания или отдельные виды ис пытаний определенной продукции;
-Изготовители-продавцы, исполнители продукции.
Координация работ по организации сертификации средств защиты информации возложена на МВК по защите государственной тайны.
К основным этапам сертификации относятся:
-получение лицензии на осуществление определенного вида деятель ности;
-заявка в орган сертификации на проведение сертификации;
-решение органа сертификации о проведении сертификации;
-проверка производства систем защиты информации;
-реализация схемы стандартизации.
Изготовители сертифицированной продукции могут осуществлять свою деятельность:
-при наличии лицензии на соответствующий вид деятельности;
-производить или реализовывать средства защиты информации толь ко при наличии соответствующего сертификата;
-при изменениях в технологии изготовления или конструкции и со
ставе |
сертифицированных |
средств защиты информации изготови |
тель |
обязан известить об |
этом орган сертификации, производив |
ший сертификацию;
-маркировать сертифицированные средства защиты информации знаком соответствия;
-в случае выявления несоответствия средств защиты информации
требованиям нормативных |
документов, по истечении срока дей |
ствия сертификата или его |
отмены прекращают изготовление и ре |
ализацию этих средств.
Нормативно-технический базис системы сертификации представлен в приложении № 1.
Лицензирование - мероприятия, связанные с предоставлением лицен зий, переоформлением документов, подтверждающих наличие лицензий, приостановлением и возобновлением действий лицензий, аннулированием действий лицензий и контролем лицензирующих органов за соблюдением лицензиатами при осуществлении лицензируемых видов деятельности со ответствующих лицензионных требований и условий.
61
Лицензия - |
специальное разрешение на осуществление конкретного |
вида деятельности |
при обязательном соблюдении лицензионных требова |
ний и условий, выданное лицензирующим органом юридическому лицу или индивидуальному предпринимателю.
Косновным документам относятся:
1.Федеральный закон от 8 августа 2001 г. № 128-ФЗ «О лицензирова нии отдельных видов деятельности».
2. Постановление Правительства Российской Федерации от 11 февра ля 2002 г. №135 «О лицензировании отдельных видов деятельности».
3. Постановление Правительства Российской Федерации от 30 апреля 2002 г. №290 «О лицензировании деятельности по технической защите кон фиденциальной информации».
В области защиты информации лицензированию подлежат такие виды деятельности как:
-деятельность по технической защите информации;
-деятельность по разработке и (или) производству средств защиты конфиденциальной информации;
-деятельность по выявлению электронных устройств, предназначен ных для негласного получения информации, в помещениях и тех нических средствах (за исключением случая, если указанная деятель ность осуществляется для обеспечения собственных нужд юриди ческого лица или индивидуального предпринимателя);
-разработка, производство, реализация и приобретение в целях про дажи специальных технических средств, предназначенных для не гласного получения информации, индивидуальными предпринима телями и юридическими лицами, осуществляющими предпринима тельскую деятельность;
-деятельность по распространению шифровальных (криптографи ческих) средств;
-деятельность по техническому обслуживанию шифровальных (крип тографических) средств;
-предоставление услуг в области шифрования информации;
-разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптог
|
рафических) средств информационных систем, телекомуникацион- |
|
ных систем; |
- |
деятельность по выдаче сертификатов ключей электронных циф |
|
ровых подписей, оказанию услуг, связанных с использованием элек |
|
тронных цифровых подписей, и подтверждению подлинности элект |
|
ронных цифровых подписей. |
В |
результате лицензирования субъект получает право на определен |
ный вид деятельности в области защиты информации:
-лицензирование деятельности предприятий с использованием све дений, составляющих государственную тайну, лицензии выдаются ФСБ России - на территории России, СВР России - за рубежом;
-лицензирование деятельности в области защиты информации и
62
работ, связанных с созданием средств защиты информации, - ли
цензии выдаются |
Гостехкомиссией России |
и ФАПСИ в пределах |
их компетенции; |
|
|
- лицензирование |
деятельности по оказанию |
услуг в области защи |
ты государственной тайны - лицензии выдаются ФСБ России и ее территориальными органами, ФАПСИ, Гостехкомиссией России, СВР России в пределах прав, предоставленных законами.
Аттестация выделенных помещений - первичная проверка выделен ных помещений и находящихся в них технических средств на соответствие требованиям защиты. Наряду с аттестацией, выделенные помещения под вергаются периодическим аттестационным проверкам.
Аттестационная проверка выделенных помещений - периодическая проверка в целях регистрации возможных изменений состава технических средств, размещенных в помещениях, выявления возможных неприятнос тей, регистрации возможных изменений характера и степени конфиденци альности закрытых мероприятий. График периодических аттестационных проверок составляется, исходя из следующих сроков: для помещений пер вой и второй групп - не реже 1 раза в год; для помещений третьей группы - не реже 1 раза в 1,5 года.
Под аттестацией объектов информатизации понимается комплекс орга низационно-технических мероприятий, в результате которых посредством специального документа - “Аттестата соответствия” подтверждается, что объект соответствует требованиям стандартов или иных нормативно-тех- нических документов по безопасности информации, утвержденных Гостех комиссией России.
Наличие на объекте информатизации действующего “Аттестата соот ветствия” дает право обработки информации с уровнем секретности (кон фиденциальности) и на период времени, установленными в “Аттестате со
ответствия”. |
|
|
|
|
Обязательной |
аттестации |
подлежат |
объекты |
информатизации, |
предназначенные для обработки информации, составляющей государствен ную тайну, управления экологически опасными объектами, ведения секрет
ных переговоров . |
|
|
В остальных случаях аттестация носит добровольный характер (доб |
||
ровольная аттестация) и может осуществляться по |
инициативе |
заказчика |
или владельца объекта информатизации. |
|
|
Аттестация по требованиям безопасности информации на объекте |
||
предшествует началу обработки подлежащей защите |
информации и явля |
|
ется официальным подтверждением эффективности |
комплекса |
используе |
мых на данном объекте информатизации мер и средств защиты информации. |
При аттестации объекта информатизации подтверждается |
его соот |
||||||||
ветствие |
требованиям |
по защите информации от утечки, несанкциониро |
|||||||
ванного |
и |
непреднамеренного |
воздействия, |
в |
том |
|
числе |
от |
|
несанкционированного |
доступа, от |
компьютерных вирусов, от |
утечки |
за |
|||||
счет побочных |
электромагнитных |
излучений и |
наводок |
при |
специальных |
63
воздействиях на объект (высокочастотное навязывание и облучение,
электромагнитное и |
радиационное воздействие), от утечки или воздействия |
на нее за счет |
специальных устройств, встроенных в объекты |
информатизации и т.п.
Аттестация предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта информатизации в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности информации.
Способы защиты информации определяют порядок и правила приме нения определенных принципов и средств защиты информации и рассмот рены в последующих главах.
Установление градаций важности защиты информации (объекта за щиты) определяет категорирование защищаемой информации (объекта за щиты). Одним из важнейших направлений в организации защиты инфор мации являются мероприятия по контролю за эффективностью защиты ин формации.
В состав мероприятий входят методы контроля эффективности |
защи |
ты информации и контроль состояния защиты информации. |
|
Метод (способ) контроля эффективности защиты информации |
опре |
деляет порядок и правила применения определенных принципов и средств контроля эффективности защиты информации.
Контроль состояния защиты информации определяет соответствие организации и эффективности защиты информации установленным требо ваниям и/или нормам в области защиты информации и состоит из контро ля организации защиты информации и контроля эффективности защиты информации.
К средствам защиты информации относятся - техническое, программ ное средство, вещество и/или материал, предназначенные или используе мые для защиты информации, а к средствам контроля эффективности за щиты информации - техническое, программное средство, вещество и/или
материал, предназначенные или используемые для |
контроля эффективнос |
ти защиты информации. |
|
В контроль организации защиты информации |
входит проверка соот |
ветствия состояния организации, наличия и содержания документов, тре бованиям правовых, организационно - распорядительных и нормативных документов по защите информации, а в контроль эффективности защиты
информации - проверка соответствия эффективности |
мероприятий по за |
щите информации установленным требованиям или |
нормам эффективнос |
ти защиты информации и осуществляется как организационный и техни ческий контроль.
Организационный контроль эффективности защиты информации со держит проверку полноты и обоснованности мероприятий по защите ин формации требованиям нормативных документов по защите информации, а технический контроль эффективности защиты информации - контроль эффективности защиты информации, проводимый с использованием тех нических средств контроля.
64
Подобная система организации и защиты информации должна обес печивать (Л.27) противодействие техническим средствам разведки (TCP) (рис. 1.3).
Работы по созданию системы защиты информации (СЗИ).
Организация и проведение работ по защите информации с ограничен ным доступом определяется “Положением о государственной системе защи ты информации в РФ от иностранных технических разведок и от её утечки по техническим каналам” (Л.57a).
Порядок осуществления работ по созданию системы защиты инфор мации и ответственность, возлагаемая на руководящий состав предприя тия, СБ и разработчиков СЗИ приведена в табл. 1.7.
Таблица 1.7
Организация работ по защите информации
Разработка СЗИ может осуществляться как подразделениями пред приятия, так и специализированными предприятиями, имеющими лицен зию на этот вид деятельности.
Разработка и внедрение СЗИ осуществляется во взаимодействии со службой безопасности заказчика, в соответствии с этапами (стадиями) при веденными в таблице 1.8.
Порядок организации работ по созданию и эксплуатации объектов информатизации определяется в разрабатываемом на предприятии «Руко водстве по защите информации» или в специальном «Положении о поряд ке организации и проведении работ по ЗИ».
Эти документы должны предусматривать:
-порядок определения защищаемой информации;
-порядок привлечения подразделений предприятия, специалистов
сторонних организаций к разработке и эксплуатации СЗИ объек та информатизации;
-порядок взаимодействия всех занятых сил;
-порядок разработки, ввода в действие и эксплуатации объекта ин форматизации;
-ответственность должностных лиц.
65
В учреждении должны быть документально оформлены перечни све дений конфиденциального характера и чувствительной информации.
Таблица 1.8
Стадии создания СЗИ
Устанавливаются следующие стадии создания СЗИ: A. Предпроектная стадия, включающая:
-предпроектное обследование объекта информатизации;
-разработку аналитического обоснования необходимости создания СЗИ;
-частные задания на ее создание.
Б. Стадия проектирования (разработки проектов) и реализации объек та информатизации, включающая разработку СЗИ в составе объекта ин форматизации.
B. Стадия ввода в действие СЗИ, включая опытную эксплуатацию и приемно-сдаточные испытания средств ЗИ, а также аттестацию объекта
информатизации на соответствие требованиям. |
|
||
Перед |
проведением работ |
по организации системы защиты |
инфор |
мации целесообразно подготовить общие сведения об объекте |
защиты. |
||
Возможная |
форма представления |
данных об объекте приведена ниже (таб |
|
лица 1.9). |
|
|
|
66
Таблица 1.9 Общие сведения о защищаемом помещении (помещениях)
Объект: Помещение:
Назначение помещения: проведение совещаний, работа с конфиденциаль ными документами, обработка информации на ПЭВМ, телефонные перего воры
Заявляемая степень конфиденциальности (секретности) информации:
Конфиденциально
Этаж: 3
Площадь (кв. м), высота потолков (м): 6x6 м 36м высота потолков 3 м
-подвесной (воздушный зазор):________ нет___
-подшитый (материал):_________________ нет_
-оштукатуренный: __________________ да
-цементный раствор: _________________нет___
-другой:__________________________________
Перекрытия (потолок, пол), толщина (мм):
-бетон, дерево, другие материалы:_________ железобетонные перекрытия 120мм
-деревянный на деревянных балках:__________ нет___________________________
-паркет:есть
-линолеум (5 мм) по полу:_____________ нет____________________ ___________
-метлахские плитки:______________ нет_____________________________________
-ковер обыкновенный:_____________ нет___________________________________
-другой материал:_______________________________________________________
Стеновые перегородки:
-бетон____ нет______________________________
фанера (8 мм) на брусках (5 см)______________________нет____________________
-древесно-волокнистая плитка 25 мм________________нет_____________________
-минеральная вата_________________нет________________________
-асбестовые (гипсовые) акустические плиты________________нет________
-кирпич: 1/2 кирпича
-другие материалы:
Стены наружные:_____________________________________________
-толщина(см): ____ 20см__________________________________________________
-бетон: __________________________________________________ __
-кирпич: да
-деревянная обшивка:_____________________________________________________
-штукатурка известковая:________ да_______________________________________
-акустическая штукатурка:________________________________________________
-другие материалы:
Окна:
-размер проема:____ 150x100 см_______________________________________
-количество проемов:____________ 2______________________________________
-наличие пленок (назначение, тип, марка):________ нет_______________________
-тип окна (с одинарным стеклом, с двойным стеклом, с двойным утолщен ным стеклом, с уплотнителем, из стеклопластика, другие):___________ двойное ос
текление с воздушным промежутком 4-90-4 см |
________________ ___ |
67
-другое:__________________________
Двери:
-размер проема:___ 200x80 см_____
-двери: _одностворчатая 200х80_
-тип:____________________________
- одинарная: |
обитая железом и кодовыйзамок_ |
- двойная: |
нет |
-дверь с войлочным уплотнителем___________ да_
-другие типы_____________________________нет_
Описание смежных помещений: -назначение, характер проводимых работ
__сверху - аналогичное по конструкции помещение; север, юг, запад - лабора
торные помещения; восток - двор предприятия_
- наличие в них технических средств передачи и обработки данных: _телефоны, сотовые телефоны, ПЭВМ________________________________
Система электропитания (освещение):
-сеть:_________________________________________________ 220 B/50HZ_
-от аккумуляторов:_______________________ нет_______________________
-автономный агрегат электропитания:_______________нет_______________
-наличие подстанции на контролируемой территории:__________да_______
- тип светильников и их количество: газоразрядовые лампы 6 шт
Система заземления: да Системы сигнализации (тип): охранная и пожарная
Система вентиляции (тип): наличие воздушных зазоров Система отопления:
-центральное (паровое, водяное): водяное, два стояка, проходящие
сверху вниз
-печное__________________________________________________________
-наличие экранов на батареях:____________ нет________________________
-калорифер, тип:______________________ нет_________________________
-другое оборудование:_________________ нет_________________________
Телефонные линии:
-количество и тип ТА:____3 шт -ТА-600______________________________
городская сеть: ___________1шт -ТА-600_
местной АТС: 2шт 2 параллельных аппарата ТА-600
-тип розеток_________ обычная 3 шт___________________
-тип проводки:_____двухпроводные линии_________________
Прочие проводные линии:
-радиотрансляция (местная, городская):_____________да____
-электрочасофикация (марка):_______________ нет_________
Оргтехника
ПЭВМ - 2шт, принтер - 2 шт, сканер - 1 шт
Бытовая техника:
Чайник 1шт
Специальные технические средства защиты информации:
отсутствуют
Описание обстановки вокруг объекта:
68
А) На предпроектной стадии по обследованию объекта информатиза
ции:
•устанавливается необходимость обработки (обсуждения) конфиден циальной информации на данном объекте информатизации;
•определяется перечень сведений конфиденциального характера, подлежащих защите;
•определяются (уточняются) угрозы безопасности информации и мо
дель вероятного нарушителя применительно к конкретным усло виям функционирования объекта;
•определяются условия расположения объекта информатизации от носительно границ КЗ;
•определяются конфигурация и топология АС и систем связи в це лом и их отдельных компонентов, физические, функциональные и технологические связи как внутри этих систем, так и с другими си стемами различного уровня и назначения;
•определяются технические средства и системы, предполагаемые к
использованию в разрабатываемой АС и системах связи, условия их расположения, общесистемные и прикладные программные сред ства, имеющиеся на рынке и предлагаемые к разработке;
•определяются режимы обработки информации в АС в целом и в отдельных компонентах;
•определяется класс защищенности АС;
•определяется степень участия персонала в обработке (обсуждении, передаче, хранении) информации, характер их взаимодействия меж ду собой и со службой безопасности;
•определяются мероприятия по обеспечению конфиденциальности информации на этапе проектирования объекта информатизации.
По результатам предпроектного обследования разрабатывается ана литическое обоснование необходимости создания СЗИ.
На основе действующих нормативно-методических документов по тех нической защите конфиденциальной информации, с учетом установленно го класса защищенности АС задаются конкретные требования по защите информации, включаемые в техническое (частное техническое) задание на разработку СЗИ.
Предпроектное обследование, в части касающейся определения защи
щаемой информации, должно базироваться на |
документально |
оформлен |
|
ных перечнях сведений конфиденциального характера. |
|
||
Перечень сведений конфиденциального характера составляется заказ |
|||
чиком объекта информатизации |
и утверждается |
руководителем |
организа |
ции-заказчика (приложение 2). |
|
|
|
Предпроектное обследование |
может быть поручено специализирован |
ной организации, имеющей соответствующую лицензию, но и в этом слу чае анализ информационного обеспечения в части защищаемой информа ции целесообразно выполнять представителям организации-заказчика при методической помощи специализированной организации.
Ознакомление специалистов этой организации с защищаемыми сведе ниями осуществляется в установленном в организации-заказчике порядке.
69
Аналитическое обоснование необходимости создания СЗИ должно содержать:
•информационную характеристику и организационную структуру объекта информатизации;
•характеристику комплекса основных и вспомогательных техничес ких средств, программного обеспечения, режимов работы, техно логического процесса обработки информации;
• |
возможные каналы утечки информации и перечень мероприятий |
|
по их устранению и ограничению; |
•перечень предлагаемых к использованию сертифицированных средств защиты информации;
•обоснование необходимости привлечения специализированных
организаций, имеющих необходимые лицензии на право проведе ния работ по защите информации;
•оценку материальных, трудовых и финансовых затрат на разработ ку и внедрение СЗИ;
•ориентировочные сроки разработки и внедрения СЗИ;
•перечень мероприятий по обеспечению конфиденциальности ин формации на стадии проектирования объекта информатизации.
Аналитическое обоснование подписывается руководителем организа ции, проводившей предпроектное обследование, согласовывается с главным конструктором (должностным лицом, обеспечивающим научно-техническое руководство создания объекта информатизации), руководителем службы безопасности и утверждается руководителем организации-заказчика.
Техническое (частное техническое) задание на разработку СЗИ долж но содержать:
•обоснование разработки;
•исходные данные создаваемого (модернизируемого) объекта инфор матизации в техническом, программном, информационном и орга
низационном аспектах;
•класс защищенности АС;
•ссылку на нормативно-методические документы, с учетом которых будет разрабатываться СЗИ и приниматься в эксплуатацию объект
информатизации;
• требования к СЗИ на основе нормативно-методических докумен тов и установленного класса защищенности АС;
•перечень предполагаемых к использованию сертифицированных средств защиты информации;
•обоснование проведения разработок собственных средств защиты
информации, невозможности или нецелесообразности использова ния имеющихся на рынке сертифицированных средств защиты ин формации;
•состав, содержание и сроки проведения работ по этапам разработ ки и внедрения;
•перечень подрядных организаций-исполнителей видов работ;
• |
перечень предъявляемой заказчику научно-технической продукции |
|
и документации. |
70