Архитектура Аудит Военная наука Иностранные языки Медицина Металлургия Метрология Образование Политология Производство Психология Стандартизация Технологии |
Основные организационно-технических мероприятия по защите информации
Основными организационно-техническими мероприятиями, которые проводятся государственной системой защиты информации, следует считать: · государственное лицензирование деятельности предприятий в области защиты информации; · аттестация объектов информации по требованиям безопасности информации, предназначенная для оценки подготовленности систем и средств информатизации и связи к обработке информации, содержащей государственную, служебную или коммерческую тайну; · сертификация систем защиты информации; · категорирование предприятий, выделенных помещений и объектов вычислительной техники по степени важности обрабатываемой информации. Последовательность и содержание организации комплексной защиты информации представлена на рис. 4.4. К организационно-техническим мероприятиям, проводимым государственной системой защиты информации, также относятся: · введение территориальных, частотных, энергетических, пространственных и временных ограничений в режимах эксплуатации технических средств, подлежащих защите; · создание и применение информационных и автоматизированных систем управления в защищенном исполнении; · разработка и внедрение технических решений и элементов защиты информации при создании вооружения и военной техники и при проектировании, строительстве и эксплуатации объектов информатизации, систем и средств автоматизации и связи.
Лицензированием в области защиты информации называется деятельность, заключающаяся в передаче или получении прав на проведение работ в области защиты информации. Лицензией называется разрешение на право проведения работ в области защиты информации. Лицензия выдается на конкретные виды деятельности на три года, по истечении которых осуществляется ее перерегистрация в порядке, установленном для выдачи лицензии. Лицензия выдается в том случае, если предприятие, подавшее заявку на получение лицензии, имеет условия для проведения лицензирования: производственную и испытательную базу, нормативную и методическую документацию, располагает научным и инженерно-техническим персоналом. Организационную структуру системы государственного лицензирования деятельности предприятий в области защиты информации образуют: · государственные органы по лицензированию; · лицензионные центры; · предприятия-заявители. Государственные органы по лицензированию: · организуют обязательное государственное лицензирование деятельности предприятий; · выдают государственные лицензии предприятиям-заявителям; · согласовывают составы экспертных комиссий, представляемые лицензионными центрами; · осуществляют контроль и надзор за полнотой и качеством проводимых лицензиатами работ в области защиты информации. Лицензионные центры: · формируют экспертные комиссии и представляют их состав на согласование руководителям соответствующих государственных органов по лицензированию, которыми являются ФСТЭК и ФСБ; · планируют и проводят работы по экспертизе предприятий-заявителей; · контролируют полноту и качество выполненных лицензиатами работ. Лицензионные центры при государственных органах по лицензированию создаются приказами руководителей этих органов. Экспертные комиссии формируются из числа компетентных в соответствующей области защиты информации специалистов отраслей промышленности, органов государственного управления, других организаций и учреждений. Экспертные комиссии создаются по одному или нескольким направлениям защиты информации. Лицензированию ФСТЭК России подлежат: · сертификация, сертификационные испытания защищенных технических средств обработки информации (ТСОИ), технических и программных средств защиты, средств контроля эффективности мер защиты информации, программных средств обработки, защиты и контроля защищенности; · аттестация систем информатизации, автоматизированных систем управления, систем связи и передачи данных, объектов ВТ и выделенных помещений на соответствие требованиям руководящих и нормативных документов по безопасности информации; · разработка, производство, реализация, монтаж, наладка, установка, ремонт, сервисное обслуживание защищенных объектов информатики, технических средств защиты и контроля эффективности мер защиты информации, защищенных программных средств обработки, защиты и контроля защищенности информации; · проведение специальных исследований на побочные электромагнитные излучения и наводки (ПЭМИН) ТСОИ; · проектирование объектов в защищенном исполнении. На орган по лицензированию возлагается: · разработка правил, процедур и нормативно-методических документов по вопросам проведения лицензирования; · осуществление научно-методического руководства лицензионной деятельностью; · публикация необходимых сведений о системе лицензирования; · рассмотрение заявлений организаций и воинских частей о выдаче лицензий; · согласование заявлений с воинскими частями, ответственными за соответствующие направления защиты информации; · согласование состава экспертных комиссий; · организация и проведение специальных экспертиз; · принятие решения о выдаче лицензии; · выдача лицензий; · принятие решения о приостановлении, возобновлении действия лицензии или ее аннулировании; · ведение реестра выданных, приостановленных, возобновленных и аннулированных лицензий; · приобретение, учет и хранение бланков лицензий; · организация работы аттестационных центров; · осуществление контроля за полнотой и качеством проводимых лицензиатами работ. В соответствии со статьей 17 Федерального закона от 08.08.2001 № 128-ФЗ «О лицензировании отдельных видов деятельности» (с изменениями, введенными Федеральным законом от 02.07.2005 № 80-ФЗ) лицензированию подлежат следующие виды деятельности (в области защиты информации): · деятельность по распространению шифровальных (криптографических) средств; · деятельность по техническому обслуживанию шифровальных (криптографических) средств; · предоставление услуг в области шифрования информации; · разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем; · деятельность по разработке и (или) производству средств защиты конфиденциальной информации; деятельность по технической защите конфиденциальной информации; · деятельность по выявлению электронных устройств, предназначенных для негласного получения информации в помещениях и технических средствах (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя). В рамках рассматриваемых видов деятельности были выпущены отдельные постановления Правительства Российской Федерации, разъясняющие порядок лицензирования. Среди них: · Постановление Правительства Российской Федерации от 26.01.2006 № 45 «Об организации лицензирования отдельных видов деятельности»; Постановление Правительства Российской Федерации от 15.08.2006 № 504 «О лицензировании деятельности по технической защите конфиденциальной информации»; · Постановление Правительства Российской Федерации от 31.08.2006 № 532 «О лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации»; · Постановление Правительства Российской Федерации от 23.09.2002 № 691 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами». В соответствии с этими документами лицензиаты обязаны ежегодно представлять в орган по лицензированию или аттестационный центр сведения о количестве выполненных работ по конкретным видам указанной в лицензии деятельности. Лицензиаты несут ответственность за полноту и качество выполняемых работ, обеспечение сохранности государственной тайны, доверенной им в ходе практической деятельности. Аттестацией объектов называется комплекс организационно-технических мероприятий, в результате которых посредством специального документа, «Аттестата соответствия», подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных ФСТЭК России. «Аттестат соответствия» дает право на обработку секретной информации в течение времени, установленного в «Аттестате соответствия». ФСТЭК организует обязательную аттестацию объектов информатики, для чего: · создает системы аттестации и устанавливает правила проведения аттестации в этих системах; · устанавливает правила аккредитации и выдачи лицензий на проведение работ по обязательной аттестации; · утверждает нормативные и методические документы по аттестации. Органы по аттестации объектов информатизации аккредитуются ФСТЭК и получают от нее лицензию на право проведения аттестации объектов. Под объектом информатики понимается отдельное техническое средство или группа технических средств, предназначенные для обработки охраняемой информации, вместе с помещениями, в которых они размещены. Выделенные помещения (ВП) – это помещения, предназначенные для проведения закрытых мероприятий (совещаний, конференций, заседаний, сборов, переговоров и т. п.), на которых обсуждаются вопросы, содержащие охраняемые сведения. Обязательной аттестации подлежат объекты, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров. В остальных случаях аттестация носит добровольный характер. При аттестации объекта информатики подтверждается его соответствие требованиям по защите информации: · от несанкционированного доступа, в том числе от компьютерных вирусов; · утечки за счет побочных электромагнитных излучений и наводок; · специальных воздействий на объект (высокочастотное навязывание и облучение, электромагнитное и радиационное воздействие); · утечки информации или воздействия на нее за счет специальных устройств. Направления испытаний представлены на рис. 4.5.
Рис. 4.5. Примерная схема направлений испытаний Сертификация – процедура подтверждения соответствия, посредством которой независимая от изготовителя (продавца, исполнителя) и потребителя (покупателя) организация удостоверяет в письменной форме, что продукция соответствует установленным требованиям. Закон «О сертификации продукции и услуг» (в ред. Федеральных законов от 27.12.95 № 211-ФЗ, от 02.03.98 № 30-ФЗ, от 31.07.98 № 154-ФЗ) устанавливает правовые основы обязательной и добровольной сертификации продукции, услуг и иных объектов (далее – продукция) в Российской Федерации, а также права, обязанности и ответственность участников сертификации. Сертификация осуществляется в целях: · создания условий для деятельности организаций и предпринимателей на едином товарном рынке Российской Федерации, а также для участия в международном экономическом, научно-техническом сотрудничестве и международной торговле; · содействия потребителям в компетентном выборе продукции; · защиты потребителя от недобросовестности изготовителя (продавца, исполнителя); · контроля безопасности продукции для окружающей среды, жизни, здоровья и имущества; · подтверждения показателей качества продукции, заявленных изготовителем. Сертификация может иметь обязательный и добровольный характер. Под сертификацией средств защиты информации понимается деятельность по подтверждению соответствия этих средств требованиям государственных стандартов или иных нормативных документов по защите информации. К средствам защиты информации относятся технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации. Обязательной сертификации подлежат средства, в том числе иностранного производства, предназначенные для защиты информации, составляющей государственную тайну, и другой информации с ограниченным доступом, а также средства, используемые в управлении экологически опасными объектами. Организационную структуру системы сертификации образуют: · центральный орган системы сертификации (возглавляет систему сертификации однородных средств защиты информации); · федеральный орган по сертификации средств защиты информации; · органы по сертификации средств защиты информации (проводят сертификацию средств защиты информации); · испытательные лаборатории (проводят сертификационные испытания средств защиты информации); · заявители (разработчики, изготовители, поставщики, потребители средств защиты информации). Руководящий документ ФСТЭК России «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности средств вычислительной техники» устанавливает классификацию средств вычислительной техники по уровню защищенности от несанкционированного доступа к информации на базе перечня показателей защищенности и совокупности описывающих их требований. В соответствии с этим руководящим документом возможные показатели защищенности исчерпываются 7 классами. По классу защищенности можно судить о номенклатуре используемых механизмов защиты – наиболее защищенным является 1 класс. Выбор класса защищенности зависит от секретности обрабатываемой информации, условий эксплуатации и расположения объектов системы. В частности, для защиты конфиденциальной информации (персональных данных, служебной тайны и др.) можно применять средства защиты 5 и 6 класса (рис. 4.6). Рис 4.6. Классификация средств защиты
Другим важным руководящим документом ФСТЭК России является «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей», который устанавливает классификацию программного обеспечения (отечественного и импортного производства) средств защиты информации по уровню контроля отсутствия в нем недекларированных возможностей. Недекларированные возможности (НДВ) – функциональные возможности программного обеспечения (ПО), не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности и целостности обрабатываемой информации (см. рис. 4.7). Также следует отметить руководящий документ ФСТЭК России «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Рис. 4.7. Классификация ПО по уровням НДВ Показатели защищенности от несанкционированного доступа к информации», который устанавливает классификацию межсетевых экранов (МЭ) по уровню защищенности от несанкционированного доступа к информации на базе перечня показателей защищенности и совокупности описывающих их требований (см. рис. 4.8). Рис. 4.8. Классификация межсетевых экранов Межсетевой экран – локальное (однокомпонентное) или функционально-распределенное средство (комплекс), реализующее контроль за информацией, поступающей в автоматизированную систему и/или выходящей из автоматизированной системы, и обеспечивающее защиту автоматизированной системы посредством фильтрации информации, т. е. ее анализа по совокупности критериев и принятия решения о ее распространении в автоматизированной системе (или вне автоматизированной системы). Документированная информация категории ограниченного доступа по условиям ее правового режима подразделяется на информацию, отнесенную к государственной тайне, и конфиденциальную информацию. Информация является секретной, если она содержит сведения, отнесенные к государственной тайне. Государственной тайной называют защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации. Степень секретности сведений, составляющих государственную тайну, должна соответствовать степени тяжести ущерба, который может быть нанесен безопасности Российской Федерации вследствие распространения указанных сведений. Устанавливаются три степени секретности сведений, составляющих государственную тайну, и соответствующие этим степеням грифы секретности для носителей указанных сведении: особой важности, совершенно секретно и секретно. Грифом секретности называют реквизиты (проставляются на самом носителе и (или) в сопроводительной документации на него), свидетельствующие о степени секретности сведений, содержащихся в их носителе. К сведениям особой важности относятся сведения в военной, внешнеполитической, экономической, научно-технической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб интересам Российской Федерации в указанных областях. Совершенно секретными сведениями называются сведения в области военной, внешнеполитической, экономической, научно-технической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб интересам министерства (ведомства) или отрасли экономики Российской Федерации в одной или нескольких из перечисленных областей. К секретным сведениям следует отнести сведения, содержащие государственную тайну, распространение которых может нанести ущерб интересам предприятия, учреждения или организации в военной, внешнеполитической, экономической, научно-технической, разведывательной, контрразведывательной или оперативно-розыскной деятельности. Конфиденциальной информацией называют документированную информацию, доступ к которой ограничивается в соответствии с законодательством Российской Федерации. Популярное:
|
Последнее изменение этой страницы: 2016-07-13; Просмотров: 4657; Нарушение авторского права страницы