Организация технической защиты информации

Рассмотрим примерный перечень действий по сертификации во ФСТЭК России.

1. Подача заявки на сертификацию во ФСТЭК России.

В заявке указываются:

o наименования заявителя

o адрес заявителя

o наименование продукции, которую Заявитель хочет сертифицировать

o перечень нормативных и методических документов, на соответствие требованиям которых заявителю необходимо сертифицировать свою продукцию.

o схема сертификации (единичный образец продукции или серийное производство)

o испытательная лаборатория, в которой Заявитель хотел бы провести испытания

o дополнительные условия или требования

Заявитель указывает в заявке, что он обязуется:

o выполнять все условия сертификации;

o обеспечивать стабильность сертифицированных характеристик продукции, маркированной знаком соответствия;

o оплатить все расходы по проведению сертификации.

2.2.3 Основные этапы сертификации

1. Подача заявки на проведение сертификации. Пример заявки на сертификацию программного комплекса представлен на рисунке 1.

Рис. 1. Пример заявки на сертификацию



2. Решение на проведение сертификационных испытаний

ФСТЭК в течение месяца после получения заявки направляет Заявителю, назначенным органу по сертификации и испытательной лаборатории решение на проведение сертификационных испытаний, которое содержит следующее:

o наименование Заявителя, адрес Заявителя;

o наименование сертифицируемой продукции, код ОКП, ТУ;

o схема проведения сертификации (испытания единичного образца продукции/ партии из N образцов/ образца продукции для серийного производства);

o назначенная испытательная лаборатория и ее адрес;

o перечень нормативных и методических документов, на соответствие требованиям которых должна проводиться сертификация;

o испытательная лаборатория, назначенная для проведения последующего инспекционного контроля;

o орган по сертификации, назначенный для проведения экспертизы результатов сертификационных испытаний;

o способ оплаты работ.

Орган по сертификации и испытательная лаборатория могут быть изменены по согласованию с Заказчиком. Решение служит основанием для начала испытаний и "поводом" для заключения договора между Заявителем и испытательной лабораторией. Пример решения на проведение сертификации представлен на рисунке 2.



Рис. 2. Пример решения на проведение сертификационных испытаний

3. Заключение договора с испытательной лабораторией

В договоре с испытательной лабораторией о проведении сертификационных испытаний устанавливаются сроки, порядок проведения сертификационных испытаний, а также стоимость работ. Обычно испытательная лаборатория сначала готовит коммерческое предложение с обоснованием сроков и стоимости работ, а также проект договора. Как правило, в комплект договорных документов входят: договор, техническое задание на проведение работ, ведомость исполнения, протокол согласования цены. Помимо указанных сведений, в договоре рекомендуется предусмотреть такие пункты, как ответственность за порчу испытательных образцов или порядок приостановки испытаний в случае внесения каких-то изменений.

4. Подготовка исходных данных.

Этот этап включает в себя разработку, согласование и утверждение программы и методики сертификационных испытаний.

Испытательная лаборатория разрабатывает программу и методику проведения испытаний, передает заявителю информацию о том, какие данные необходимы для испытаний. Также программа и методика отправляются в орган по сертификации на утверждение.

Заявитель получает от испытательной лаборатории программу и методику испытаний, согласовывает ее и готовит все необходимые исходные данные. Он предоставляет испытательной лаборатории средства защиты информации в комплектации, соответствующей техническим условиям или формуляру, а также комплект всей необходимой документации в соответствии с ЕСПД или ЕСКД.

5. Сертификационные испытания.

Испытательная лаборатория отбирает образцы сертифицируемой продукции, идентифицирует их и проводит сертификационные испытания продукции по утвержденным программе и методике. При этом Заявитель готовит и настраивает стенд для проведения сертификационных испытаний. Важно отметить, что запрещается вносить изменения в состав или конструкцию объекта сертификации, а также в документацию во время испытаний. Это может привести к остановке испытаний и их полному "перезапуску", что повлияет на стоимость и сроки проведения работ.

6. Оформление результатов испытаний

Результаты испытаний оформляются в виде протоколов сертификационных испытаний и технических заключений. Эти документы направляются в орган по сертификации, а копии - Заявителю. В случае отсутствия обоснованных замечаний к результатам, предоставленным испытательной лабораторией, со стороны Заявителя или органа по сертификации, ее работа по договору считается выполненной.

7. Заключение договора с органом по сертификации

Испытательная лаборатория заключает договор с органом по сертификации о проведении экспертизы результатов сертификационных испытаний, в котором оговариваются сроки (как правило, 1 месяц), порядок и стоимость. Иногда орган по сертификации требует заключить договор с Заявителем, а не с испытательной лабораторией. Этот пункт является спорным и не регламентированным. Данный вопрос лучше всего изначально оговорить с испытательной лабораторией.

8. Экспертиза результатов сертификационных испытаний

Орган по сертификации в соответствии с договором проводит экспертизу результатов сертификационных испытаний, а также технических и эксплуатационных документов на сертифицируемую продукцию. Результатом становится оформление экспертного заключения, которое вместе с техническим заключением, материалами сертификационных испытаний, комплектом необходимой технической и эксплуатационной документации на объект сертификации представляет во ФСТЭК России для принятия решения о выпуске сертификата.

9. Решение о выдаче сертификата.

На основании полученных от органа сертификации документов, а именно технического заключения и экспертного заключения, ФСТЭК принимает решение о выдаче сертификата. Как было сказано выше, срок сертификата 3 года. Пример сертификата соответствия на рисунке.3.

Рис.3. Пример сертификата соответствия ФСТЭК

Если в результате проверки ФСТЭК выявит несоответствие результатов испытаний требованиям законодательства, будет принято решение об отказе в выдаче сертификата. При этом Заявителю будет направлено мотивированное заключение. В случае несогласия с отказом Заявитель имеет право обратиться в апелляционный совет Федерального органа по сертификации для дополнительного рассмотрения материалов сертификации. Апелляция рассматривается в месячный срок с привлечением заинтересованных сторон и независимых экспертов. Податель апелляции извещается о принятом решении.

Руководящий документ ФСТЭК России «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности средств вычислительной техники» устанавливает классификацию средств вычислительной техники по уровню защищенности от несанкционированного доступа к информации на базе перечня показателей защищенности и совокупности описывающих их требований.

В соответствии с этим руководящим документом возможные показатели защищенности исчерпываются 7 классами. По классу защищенности можно судить о номенклатуре используемых механизмов защиты - наиболее защищенным является 1 класс. Выбор класса защищенности зависит от секретности обрабатываемой информации, условий эксплуатации и расположения объектов системы. В частности, для защиты конфиденциальной информации (персональных данных, служебной тайны и др.) можно применять средства защиты 5 и 6 класса (рис. 4.6).

Рис 4.6. Классификация средств защиты



Другим важным руководящим документом ФСТЭК России является «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей», который устанавливает классификацию программного обеспечения (отечественного и импортного производства) средств защиты информации по уровню контроля отсутствия в нем недекларированных возможностей. Недекларированные возможности (НДВ) - функциональные возможности программного обеспечения (ПО), не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности и целостности обрабатываемой информации (см. рис. 4.7).

Также следует отметить руководящий документ ФСТЭК России «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации.

Рис. 4.7. Классификация ПО по уровням НДВ

Показатели защищенности от несанкционированного доступа к информации», который устанавливает классификацию межсетевых экранов (МЭ) по уровню защищенности от несанкционированного доступа к информации на базе перечня показателей защищенности и совокупности описывающих их требований (см. рис. 4.8).



Рис. 4.8. Классификация межсетевых экранов

Межсетевой экран - локальное (однокомпонентное) или функционально-распределенное средство (комплекс), реализующее контроль за информацией, поступающей в автоматизированную систему и/или выходящей из автоматизированной системы, и обеспечивающее защиту автоматизированной системы посредством фильтрации информации, т. е. ее анализа по совокупности критериев и принятия решения о ее распространении в автоматизированной системе (или вне автоматизированной системы).

Категорирование защищаемой информации

Документированная информация категории ограниченного доступа по условиям ее правового режима подразделяется на информацию, отнесенную к государственной тайне, и конфиденциальную информацию.

Информация является секретной, если она содержит сведения, отнесенные к государственной тайне.

Государственной тайной называют защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.

Степень секретности сведений, составляющих государственную тайну, должна соответствовать степени тяжести ущерба, который может быть нанесен безопасности Российской Федерации вследствие распространения указанных сведений.

Устанавливаются три степени секретности сведений, составляющих государственную тайну, и соответствующие этим степеням грифы секретности для носителей указанных сведении: особой важности, совершенно секретно и секретно. Грифом секретности называют реквизиты (проставляются на самом носителе и (или) в сопроводительной документации на него), свидетельствующие о степени секретности сведений, содержащихся в их носителе.

К сведениям особой важности относятся сведения в военной, внешнеполитической, экономической, научно-технической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб интересам Российской Федерации в указанных областях.

Совершенно секретными сведениями называются сведения в области военной, внешнеполитической, экономической, научно-технической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб интересам министерства (ведомства) или отрасли экономики Российской Федерации в одной или нескольких из перечисленных областей.

К секретным сведениям следует отнести сведения, содержащие государственную тайну, распространение которых может нанести ущерб интересам предприятия, учреждения или организации в военной, внешнеполитической, экономической, научно-технической, разведывательной, контрразведывательной или оперативно-розыскной деятельности.

Конфиденциальной информацией называют документированную информацию, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.

Конфиденциальная информация может быть личной, служебной, коммерческой, судебно-следственной, профессиональной, производственной.

К конфиденциальной личной информации относится информация, содержащая персональные данные (сведения о фактах, событиях и обстоятельствах частной жизни гражданина), позволяющие идентифицировать его личность, за исключением сведений, подлежащих распространению в средствах массовой информации в установленном порядке.

Служебной тайной называют защищаемые сведения, не являющиеся государственной тайной, несанкционированное распространение которых служащим, которому эти сведения были доверены в связи с исполнением им должностных обязанностей, может нанести ущерб органам государственной власти, государственным предприятиям, учреждениям, организациям или нарушить их функционирование.

К коммерческой тайне относятся сведения, содержащие действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам. К ней нет свободного доступа на законном основании, и обладатель информации принимает меры по охране ее конфиденциальности.

Судебно-следственная конфиденциальная информация содержит сведения, составляющие тайну следствия и судопроизводства.

К профессиональной конфиденциальной информации относится информация, содержащая сведения, связанные с профессиональной деятельностью, доступ к которым ограничен законами (врачебными, нотариальными, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений).

Производственная конфиденциальная информация содержит сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.

Категорированием защищаемой информации называют установление градации важности информации.

В зависимости от степени секретности обрабатываемой информации объекты ВТ и выделенные помещения также категорируются.

При определении категорий объектов информатики технические средства и системы могут быть составной частью стационарных или подвижных объектов. В пределах одной контролируемой зоны могут располагаться несколько объектов, в том числе имеющих разные категории. Категория объекта определяется высшим грифом обрабатываемой информации.

При категорировании учитывается не только степень секретности обрабатываемой информации, но и условия расположения объектов - особые или обычные.

Условия расположения считаются особыми, если объект информатики расположен на удалении менее 100 м от учреждений иностранных государств (посольств, консульств, миссий, постоянных представительств иностранных государств, офисов иностранных и совместных с инофирмами предприятий, квартир и дач их иностранных сотрудников, пользующихся экстерриториальностью).

Если объект информатики расположен на расстоянии более 100 м от учреждений иностранных государств, то условия расположения считаются обычными.

К первой категории относят объекты информатики, где обрабатывается информация особой важности, независимо от условий их расположения, а также совершенно секретная информация при расположении объектов ВТ и выделенных помещений в особых условиях.

Объекты ВТ, где обрабатывается информация с грифом «совершенно секретно» при обычных условиях расположения и «секретно» в особых условиях, относятся ко второй категории.

Если объект ВТ расположен в обычных условиях и на объекте обрабатывается информация с грифом «секретно», то объект ВТ относится к третьей категории.

По требованиям обеспечения защиты информации объекты органов управления, военные и промышленные объекты делятся на 3 категории:

· первая - объекты, при строительстве, реконструкции и эксплуатации которых необходимо сокрытие или искажение информации об их местоположении, предназначении или профиле деятельности;

· вторая - объекты, на которых необходимо обеспечить защиту информации, циркулирующей в технических средствах, а также информации о разрабатываемых (производимых, испытываемых) или эксплуатируемых образцах вооружения и военной техники или о производствах и технологиях, подлежащих защите;

· третья - объекты, на которых необходимо обеспечить защиту информации, циркулирующей в технических средствах, а также предприятия, проводящие в инициативном порядке и на основе самофинансирования научно-исследовательские и опытно-конструкторские работы, необходимость защиты информации о которых может появиться в ходе проводимых работ.

2.3 Аттестация объекта информатизации

Аттестацией объектов называется комплекс организационно-технических мероприятий, в результате которых посредством специального документа, «Аттестата соответствия», подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных ФСТЭК России. «Аттестат соответствия» дает право на обработку секретной информации в течение времени, установленного в «Аттестате соответствия».

ФСТЭК организует обязательную аттестацию объектов информатики, для чего:

· создает системы аттестации и устанавливает правила проведения аттестации в этих системах;

· устанавливает правила аккредитации и выдачи лицензий на проведение работ по обязательной аттестации;

· утверждает нормативные и методические документы по аттестации.

Органы по аттестации объектов информатизации аккредитуются ФСТЭК и получают от нее лицензию на право проведения аттестации объектов.

Под объектом информатики понимается отдельное техническое средство или группа технических средств, предназначенные для обработки охраняемой информации, вместе с помещениями, в которых они размещены.

Выделенные помещения (ВП) - это помещения, предназначенные для проведения закрытых мероприятий (совещаний, конференций, заседаний, сборов, переговоров и т. п.), на которых обсуждаются вопросы, содержащие охраняемые сведения.

Обязательной аттестации подлежат объекты, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров. В остальных случаях аттестация носит добровольный характер.

При аттестации объекта информатики подтверждается его соответствие требованиям по защите информации:

· от несанкционированного доступа, в том числе от компьютерных вирусов;

· утечки за счет побочных электромагнитных излучений и наводок;

· специальных воздействий на объект (высокочастотное навязывание и облучение, электромагнитное и радиационное воздействие);

· утечки информации или воздействия на нее за счет специальных устройств.

Направления испытаний представлены на рис. 4.5.



Рис. 4.5. Примерная схема направлений испытаний

Аттестационная проверка выделенных помещений - периодическая проверка в целях регистрации возможных изменений состава технических средств, размещенных в помещениях, выявления возможных неприятностей, регистрации возможных изменений характера и степени конфиденциальности закрытых мероприятий. График периодических аттестационных проверок составляется, исходя из следующих сроков: для помещений первой и второй групп - не реже 1 раза в год; для помещений третьей группы - не реже 1 раза в 1,5 года.

Объект информатизации - совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров [6.1].

Аттестация объектов информатизации (далее аттестация) - комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных ФСТЭК России (Гостехкомиссией России). Наличие аттестата соответствия в организации дает право обработки информации с уровнем секретности (конфиденциальности) на период времени, установленный в аттестате.

Аттестация производится в порядке, установленном "Положением по аттестации объектов информатизации потребованиям безопасности информации" от 25 ноября 1994 года. Аттестация должна проводится до начала обработки информации, подлежащей защите. Это необходимо в целях официального подтверждения эффективности используемых мер и средств по защите этой информации на конкретном объектеинформатизации.

Аттестация является обязательной в следующих случаях:

· государственная тайна;

· при защите государственного информационного ресурса;

· управление экологически опасными объектами;

· ведение секретных переговоров.

Во всех остальных случаях аттестация носит добровольный характер, то есть может осуществляться по желанию заказчика или владельца объектаинформатизации.

Аттестация предполагает комплексную проверку (аттестационные испытания) объекта информатизации в реальных условиях эксплуатации. Целью является проверка соответствия применяемых средств и мер защиты требуемому уровню безопасности. К проверяемым требованиям относится:

· защита от НСД, в том числе компьютерных вирусов;

· защита от утечки через ПЭМИН;

· защита от утечки или воздействия информацию за счет специальных устройств, встроенных в объект информатизации.

Аттестация проводится органом по аттестации в соответствии со схемой, выбираемой этим органом, и состоит из следующего перечня работ:

· анализ исходных данных по аттестуемому объекту информатизации;

· предварительное ознакомление с аттестуемым объектом информатизации;

· проведение экспертного обследования объекта информатизации и анализ разработанной документации по защите информации на этом объекте с точки зрения ее соответствия требованиям нормативной и методической документации;

· проведение испытаний отдельных средств и систем защиты информации на аттестуемом объекте информатизации с помощью специальной контрольной аппаратуры и тестовых средств;

· проведение испытаний отдельных средств и систем защиты информации в испытательных центрах (лабораториях) по сертификации средств защиты информации по требованиям безопасности информации;

· проведение комплексных аттестационных испытаний объекта информатизации в реальных условиях эксплуатации;

· анализ результатов экспертного обследования и комплексных аттестационных испытаний объекта информатизации и утверждение заключения по результатам аттестации.

Органы по аттестации должны проходить аккредитацию ФСТЭК в соответствии с "Положением об аккредитации испытательных лабораторий и органов по сертификации средств защиты информации по требованиям безопасности информации".

Все расходы по проведению аттестации возлагаются на заказчика, как в случае добровольной, так и обязательной аттестации.

Органы по аттестации несут ответственность за выполнение своих функций, за сохранение в секрете информации, полученной в ходе аттестации, а также за соблюдение авторских прав заказчика.

В структуру системы аттестации входят:

· федеральный орган по сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасностиинформации - ФСТЭК России;

· органы по аттестации объектов информатизации по требованиям безопасности информации;

· испытательные центры (лаборатории) по сертификации продукции по требованиям безопасности информации;

· заявители (заказчики, владельцы, разработчики аттестуемых объектов информатизации).

В качестве заявителей могут выступать заказчики, владельцы или разработчики аттестуемых объектов информатизации.

В качестве органов по аттестации могут выступать отраслевые и региональные учреждения, предприятия и организации по защите информации, специальные центры ФСТЭК России, которые прошли соответствующую аккредитацию.

Органы по аттестации:

· аттестуют объекты информатизации и выдают "Аттестаты соответствия";

· осуществляют контроль за безопасностью информации, циркулирующей на аттестованных объектах информатизации, и за их эксплуатацией;

· отменяют и приостанавливают действие выданных этим органом "Аттестатов соответствия";

· формируют фонд нормативной и методической документации, необходимой для аттестации конкретных типов объектов информатизации, участвуют в их разработке;

· ведут информационную базу аттестованных этим органом объектов информатизации;

· осуществляют взаимодействие с ФСТЭК России и ежеквартально информируют его о своей деятельности в области аттестации.

ФСТЭК осуществляет следующие функции в рамках системы аттестации:

· организует обязательную аттестацию объектов информатизации;

· создает системы аттестации объектов информатизации и устанавливает правила для проведения аттестации в этих системах;

· устанавливает правила аккредитации и выдачи лицензий на проведение работ по обязательной аттестации;

· организует, финансирует разработку и утверждает нормативные и методические документы по аттестации объектов информатизации;

· аккредитует органы по аттестации объектов информатизации и выдает им лицензии на проведение определенных видов работ;

· осуществляет государственный контроль и надзор за соблюдением правил аттестации и эксплуатацией аттестованных объектовинформатизации;

· рассматривает апелляции, возникающие в процессе аттестации объектов информатизации, и контроля за эксплуатацией аттестованных объектов информатизации;

· организует периодическую публикацию информации по функционированию системы аттестации объектов информатизации по требованиям безопасности информации.

Испытательные лаборатории проводят испытания несертифицированной продукции, используемой на аттестуемом объекте информатизации.

Со списком органов по аттестации и испытательных лабораторий, прошедших аккредитацию, можно ознакомиться на официальном сайте ФСТЭК России в разделе "Сведения о Системе сертификации средств защиты информации по требованиям безопасности информации".

Заявители:

· проводят подготовку объекта информатизации для аттестации путем реализации необходимых организационно-технических мероприятий по защите информации;

· привлекают органы по аттестации для организации и проведения аттестации объекта информатизации;

· предоставляют органам по аттестации необходимые документы и условия для проведения аттестации;

· привлекают, в необходимых случаях, для проведения испытаний несеpтифициpованных средств защиты информации, используемых на аттестуемом объекте информатизации, испытательные центры (лаборатории) по сертификации;

· осуществляют эксплуатацию объекта информатизации в соответствии с условиями и требованиями, установленными в "Аттестате соответствия";

· извещают орган по аттестации, выдавший "Аттестат соответствия", о всех изменениях в информационных технологиях, составе и размещении средств и систем информатики, условиях их эксплуатации, которые могут повлиять на эффективность мер и средств защиты информации(перечень характеристик, определяющих безопасность информации, об изменениях которых требуется обязательно извещать орган по аттестации, приводится в "Аттестате соответствия");

· предоставляют необходимые документы и условия для осуществления контроля и надзора за эксплуатацией объекта информатизации, прошедшего обязательную аттестацию.

Для проведения испытаний заявитель предоставляет органу по аттестации следующие документы и данные:

· приемо-сдаточную документацию на объект информатизации;

· акты категорирования выделенных помещений и объектов информатизации;

· инструкции по эксплуатации средств защиты информации;

· технический паспорт на аттестуемый объект;

· документы на эксплуатацию (сертификаты соответствия требованиям безопасности информации) ТСОИ;

· сертификаты соответствия требованиям безопасности информации на ВТСС;

· сертификаты соответствия требованиям безопасности информации на технические средства защиты информации;

· акты на проведенные скрытые работы;

· протоколы измерения звукоизоляции выделенных помещений и эффективности экранирования сооружений и кабин (если они проводились);

· протоколы измерения величины сопротивления заземления;

· протоколы измерения реального затухания информационных сигналов до мест возможного размещения средств разведки;

· данные по уровню подготовки кадров, обеспечивающих защиту информации;

· данные о техническом обеспечении средствами контроля эффективности защиты информации и их метрологической поверке;

· нормативную и методическую документацию по защите информации и контролю эффективности защиты.

Приведенный общий объем исходных данных и документации может уточняться заявителем в зависимости от особенностей аттестуемого объектаинформатизации по согласованию с аттестационной комиссией.

· пояснительную записку, содержащую информационную характеристику и организационную структуру объекта защиты, сведения об организационных и технических мероприятиях по защите информации от утечки по техническим каналам;

· перечень объектов информатизации, подлежащих защите, с указанием мест их расположения и установленной категории защиты;

· перечень выделенных помещений, подлежащих защите, с указанием мест их расположения и установленной категории защиты;

· перечень устанавливаемых ТСОИ с указанием наличия сертификата (предписания на эксплуатацию) и мест их установки;

· перечень устанавливаемых ВТСС с указанием наличия сертификата и мест их установки;

· перечень устанавливаемых технических средств защиты информации с указанием наличия сертификата и мест их установки;

· cхему (в масштабе) с указанием плана здания, в котором расположены защищаемые объекты, границы контролируемой зоны, трансформаторнойподстанции, заземляющего устройства, трасс прокладки инженерных коммуникаций, линий электропитания, связи, пожарной и охранной сигнализации, мест установки разделительных устройств и т.п.;

· технологические поэтажные планы здания с указанием мест расположения объектов информатизации и выделенных помещений и характеристиками их стен, перекрытий, материалов отделки, типов дверей и окон;

· планы объектов информатизации с указанием мест установки ТСОИ, ВТСС и прокладки их соединительных линий, а также трасс прокладки инженерных коммуникаций и посторонних проводников;

· план-схему инженерных коммуникаций всего здания, включая систему вентиляции;

· план-схему системы заземления объекта с указанием места расположения заземлителя;

· план-схему системы электропитания здания с указанием места расположения разделительного трансформатора (подстанции), всех щитов и разводных коробок;

· план-схему прокладки телефонных линий связи с указанием мест расположения распределительных коробок и установки телефонных аппаратов;

· план-схему систем охранной и пожарной сигнализации с указанием мест установки и типов датчиков, а также распределительных коробок;

· схемы систем активной защиты (если они предусмотрены)[6.3].

Порядок проведения аттестации объектов информатизации по требованиям безопасности информации включает следующие действия:

1. подача и рассмотрение заявки на аттестацию. Заявка имеет установленную форму, с которой можно ознакомиться в "Положении об аттестации объектов информатизации по требованиям безопасности". Заявитель направляет заявку в орган по аттестации, который в месячный срок рассматривает заявку, выбирает схему аттестации и согласовывает ее с заявителем.

2. предварительное ознакомление с аттестуемым объектом - производится в случае недостаточности предоставленных заявителем данных до начала аттестационных испытаний;

3. испытание в испытательных лабораториях несертифицированных средств и систем защиты информации, используемых на аттестуемом объекте.

4. разработка программы и методики аттестационных испытаний. Этот шаг является результатом рассмотрения исходных данных и предварительного ознакомления с аттестуемым объектом. Орган по аттестации определяет перечень работ и их продолжительность, методику испытаний, состав аттестационной комиссии, необходимость использования контрольной аппаратуры и тестовых средств или участия испытательных лабораторий. Программа аттестационных испытаний согласовывается с заявителем.

5. заключение договоров на аттестацию. Результатом предыдущих четырех этапов становится заключение договора между заявителем и органом по аттестации, заключением договоров между органом по аттестации и привлекаемыми экспертами и оформлением предписания о допуске аттестационной комиссии к проведению аттестации.

6. проведение аттестационных испытаний объекта информатизации. В ходе аттестационных испытаний выполняется следующее:

o анализ организационной структуры объекта информатизации, информационных потоков, состава и структуры комплекса технических средств и программного обеспечения, системы защиты информации на объекте, разработанной документации и ее соответствия требованиям нормативной документации по защите информации;

o определяется правильность категорирования объектов ЭВТ и классификации АС (при аттестации автоматизированных систем), выбора и применения сертифицированных и несеpтифициpованных средств и систем защиты информации;

o проводятся испытания несертифицированных средств и систем защиты информации на аттестуемом объекте или анализ результатов их испытаний в испытательных центрах (лабораториях) по сертификации;

o проверяется уровень подготовки кадров и распределение ответственности персонала за обеспечение выполнения требований побезопасности информации;

o проводятся комплексные аттестационные испытания объекта информатизации в реальных условиях эксплуатации путем проверки фактического выполнения установленных требований на различных этапах технологического процесса обработки защищаемой информации;

o оформляются протоколы испытаний и заключение по результатам аттестации с конкретными рекомендациями по устранению допущенных нарушений, приведению системы защиты объекта информатизации в соответствие с установленными требованиями и совершенствованию этой системы, а также рекомендациями по контролю за функционированием объекта информатизации[6.2]

К заключению прилагаются протоколы испытаний, подтверждающие полученные при испытаниях результаты и обосновывающие приведенный в заключении вывод.

Протокол аттестационных испытаний должен влючать:

o вид испытаний;

o объект испытаний;

o дату и время проведения испытаний;

o место проведения испытаний;

o перечень использованной в ходе испытаний аппаратуры (наименование, тип, заводской номер, номер свидетельства о поверке и срок его действия);

o перечень нормативно-методических документов, в соответствии с которыми проводились испытания;

o методику проведения испытания (краткое описание);

o результаты измерений;

o результаты расчетов;

o выводы по результатам испытаний [6.4]

Протоколы испытаний подписываются экспертами - членами аттестационной комиссии, проводившими испытания, с указанием должности, фамилии и инициалов.

Заключение по результатам аттестации подписывается членами аттестационной комиссии, утверждается руководителем органа аттестации и представляется заявителю [2]. Заключение и протоколы испытаний подлежат утверждению органом по аттестации.

7. оформление, регистрация и выдача "Аттестата соответствия" (если заключение по результатам аттестации утверждено).

8. осуществление государственного контроля и надзора, инспекционного контроля за проведением аттестации и эксплуатацией аттестованных объектов информатизации;

9. рассмотрение апелляций. В случае, если заявитель не согласен с отказом в выдаче "Аттестата соответствия", он может подать апелляцию в вышестоящий орган по аттестации или в ФСТЭК. Апелляция рассматривается в срок, не превышающий один месяц с привлечением заинтересованных сторон.

Аттестат соответствия должен содержать:

· регистрационный номер;

· дату выдачи;

· срок действия;

· наименование, адрес и местоположение объекта информатизации;

· категорию объекта информатизации;

· класс защищенности автоматизированной системы;

· гриф секретности (конфиденциальности) информации, обрабатываемой на объекте информатизации;

· организационную структуру объекта информатизации и вывод об уровне подготовки специалистов по защите информации;

· номера и даты утверждения программы и методики, в соответствии с которыми проводились аттестационные испытания;

· перечень руководящих документов, в соответствии с которыми проводилась аттестация;

· номер и дата утверждения заключения по результатам аттестационных испытаний;

· состав комплекса технических средств обработки информации ограниченного доступа, перечень вспомогательных технических средств и систем, перечень технических средств защиты информации, а также схемы их размещения в помещениях и относительно границ контролируемой зоны, перечень используемых программных средств;

· организационные мероприятия, при проведении которых разрешается обработка информации ограниченного доступа;

· перечень действий, которые запрещаются при эксплуатации объекта информатизации;

· список лиц, на которых возлагается обеспечение требований по защите информации и контроль за эффективностью реализованных мер исредств защиты информации.

Аттестат соответствия подписывается руководителем аттестационной комиссии и утверждается руководителем органа по аттестации.

Аттестат соответствия выдается на период, в течение которого обеспечивается неизменность условий функционирования объекта информатизациии технологии обработки защищаемой информации, могущих повлиять на характеристики, определяющие безопасность информации (состав и структура технических средств, условия размещения, используемое программное обеспечение, режимы обработки информации, средства и меры защиты), но не более чем на 3 года.



3. Организационно-технические мероприятия и технические способы защиты информации выделенного защищаемого помещения

Инженерно-техническая защита информации на объекте достигается выполнением комплекса организационно-технических и технических мероприятий с применением (при необходимости) средств защиты информации от утечки информации или несанкционированного воздействия на нее по техническим каналам, за счет несанкционированного доступа и неконтролируемого распространения информации, по предупреждению преднамеренных программно-технических воздействий с целью нарушения целостности (модификации, уничтожения) информации в процессе ее обработки, передачи и хранения, нарушения ее доступности и работоспособности технических средств и носителей информации и т.п.

Организационно-технические мероприятия основаны на введении ограничений на условия функционирования объекта защиты и являются первым этапом работ по защите информации. Эти мероприятия нацелены на оперативное решение вопросов защиты наиболее простыми средствами и организационными мерами ограничительного характера, регламентирующими порядок пользования техническими средствами. Они, как правило, проводятся силами и средствами служб безопасности самих предприятий и организаций.

В процессе организационных мероприятий необходимо определить:

а)контролируемую зону (зоны).

Контролируемая зона - территория объекта, на которой исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового допуска. Контролируемая зона может ограничиваться:

периметром охраняемой территории предприятия;

частью охраняемой территории, охватывающей здания и сооружения, в которых проводятся закрытые мероприятия;

частью здания (комнаты, кабинеты, залы заседаний, переговорные помещения, в которых проводятся закрытые мероприятия).

Контролируемая зона при необходимости может устанавливаться большей, чем охраняемая территория, при этом соответствующей службой обеспечивается постоянный контроль над неохраняемой частью территории. Бывают постоянная и временная контролируемые зоны.

Постоянная контролируемая зона - зона, граница которой устанавливается на длительный срок. Постоянная зона устанавливается в случае, если конфиденциальные мероприятия внутри этой зоны проводятся регулярно.

Временная контролируемая зона - зона, установленная для проведения конфиденциальных мероприятий разового характера.

б)выделить из эксплуатируемых технических средств технические средства, используемые для передачи, обработки и хранения конфиденциальной информации (ОТСС).

ОТСС - технические средства, предназначенные для передачи, обработки и хранения конфиденциальной информации. К ним относятся используемые для этих целей:

системы внутренней (внутриобъектовой) телефонной связи;

директорская, громкоговорящая диспетчерская связь;

внутренняя служебная и технологическая системы связи;

переговорные устройства типа «директор-секретарь»;

системы звукоусиления конференц-залов, залов совещаний, столов заседаний, звукового сопровождения закрытых кинофильмов;

системы звукозаписи и звуковоспроизведения (магнитофоны, диктофоны);

и т.п.

ОТСС по степени их гарантированной защищенности могут быть разделены на следующие:

сертифицированные по требованиям защиты информации (имеющие соответствующие сертификаты на средства и системы, непосредственно обрабатывающие, хранящие и передающие информацию);

не имеющие таких сертификатов, но прошедшие инструментальные исследования, позволяющие определить характеристики их защиты (имеющие соответствующие протоколы исследований);

другие средства и системы.

в)выявить в контролируемой зоне (зонах) вспомогательные технические средства и системы (ВТСС).

ВТСС - средства и системы, не предназначенные для передачи, обработки и хранения конфиденциальной (секретной) информации, на которые могут воздействовать электрические, магнитные и акустические поля опасных сигналов. К ним могут относиться:

системы звукоусиления, предназначенные для обслуживания несекретных мероприятий;

различного рода телефонные системы, предназначенные для несекретных переговоров и сообщений (городская телефонная связь, системы внутренней телефонной связи с выходом и без выхода в город);

несекретная директорская, громкоговорящая диспетчерская, внутренняя служебная и технологическая связь, переговорные устройства типа «директор-секретарь»;

системы специальной охранной сигнализации (ТСО), технические средства наблюдения;

системы пожарной сигнализации;

системы звуковой сигнализации (вызов секретаря, входная сигнализация);

системы кондиционирования;

системы проводной, радиотрансляционной сети приема программ радиовещания;

телевизионные абонентские системы;

системы электрочасофикации (первичная, вторичная);

системы звукозаписи и звуковоспроизведения несекретной речевой информации (диктофоны, магнитофоны);

системы электроосвещения и бытового электрооборудования (светильники, люстры, настольные вентиляторы, электронагревательные приборы, проводная сеть электроосвещения);

электронная оргтехника - множительная, машинописные устройства, вычислительная техника.

ВТСС также рассматриваются и подразделяются на те, которые:

имеют соответствующие сертификаты;

не имеют подобных сертификатов, но прошедшие инструментальные исследования (результаты которых представляют исходные данные для проведения мероприятий по защите информации);

не имеющие сертификатов и результатов исследований.

Использование последней в качестве ВТСС потребует проведения инструментальных проверок для определения возможности их использования.

г)уточнить назначение и необходимость применения ВТСС в производственных и управленческих циклах работы (рекомендуется свести их до минимума);

д)выявить технические средства, применение которых не обосновано служебной необходимостью;

е)выявить наличие задействованных и незадействованных воздушных, наземных, подземных, настенных, а также заложенных в скрытую канализацию кабелей, цепей, проводов, уходящих за пределы контролируемой зоны;

ж)составить перечень выделенных помещений первой и второй групп, в которых проводятся или должны проводиться закрытые мероприятия (переговоры, обсуждения, беседы, совещания) и помещений третьей группы.

Помещения, которые подлежат защите, определяются как выделенные и подразделяются на:

помещения, в которых отсутствуют ОТСС, но циркулирует конфиденциальная акустическая информация (переговоры, выступления, обсуждения и т.п.);

помещения, в которых расположены ОТСС и ВТСС и циркулирует конфиденциальная акустическая информация;

помещения, в которых расположены ОТСС и ВТСС, но циркулирует не конфиденциальная акустическая информация;

и т.п.

з)выявить наличие в выделенных помещениях оконечных устройств основных ОТСС и ВТСС.

По результатам этих работ, составляются протоколы обследования помещений. Форма протоколов произвольная. Обобщенные данные протоколов оформляются актом, утверждаемым руководством предприятия с приложением следующих документов:

а) планов контролируемой зоны или зон объектов предприятия;

б) перечня выделенных помещений первой, второй и третьей групп с перечнем элементов технических средств (ВТСС и ОТСС), размещенных в них;

в) перечня основных ОТСС;

г) перечня ВТСС, имеющих цепи, выходящие за пределы контролируемой зоны (зон);

д) перечня технических средств, кабелей, цепей, проводов, подлежащих демонтажу;

е) схемы кабельных сетей предприятия с указанием типов кабелей, трасс их прокладки, принадлежности к используемым системам.

Защита информации может осуществляться инженерно-техническими и криптографическими способами.

Техническая защита конфиденциальной информации - защита информации некриптографическими методами, направленными на предотвращение утечки защищаемой информации по техническим каналам, от несанкционированного доступа к ней и от специальных воздействий на информацию в целях ее уничтожения, искажения или блокирования.

Технические мероприятия проводятся по мере приобретения предприятием или организацией специальных устройств защиты и защищенной техники и направлены на блокирование каналов утечки конфиденциальной информации и ее защиты от несанкционированного и непреднамеренного воздействия с применением пассивных и активных методов защиты информации.

Необходимость проведения технических мероприятий по защите информации определяется проведенными исследованиями защищаемых (выделенных) помещений с учетом предназначения этих помещений (их категории) и необходимости защиты этих объектов информатизации и расположенных в них средств звукозащиты, звуковоспроизведения, звукоусиления, тиражированного размножения документов, и т.п. При этом в зависимости от циркулирующей в выделенном помещении конфиденциальной информации и наличия ОТСС и ВТСС определяются основные мероприятия по акустической защищенности выделенного помещения; по защите ВТСС, находящихся в помещении, или их замене на сертифицированные, обладающие необходимыми защитными свойствами ВТСС, по защите линий связи ОТСС, по замене ОТСС на сертифицированные и т.п.

Организация защиты информации определяет содержание и порядок действий по обеспечению защиты информации.

Основные направления в организации защиты информации определяются системой защиты, мероприятиями по защите информации и мероприятиями по контролю за эффективностью защиты информации, где:

предлагаемая система защиты информации - это совокупность органов и/или исполнителей, используемая ими техника защиты информации, а также объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, организационно - распорядительными и нормативными документами по защите информации;

мероприятие по защите информации определяет совокупность действий по разработке и/или практическому применению способов и средств защиты информации, а мероприятие по контролю эффективности защиты информации - совокупность действий по разработке и/или практическому применению методов (способов) и средств контроля эффективности защиты информации.

Органом защиты информации выступает административный орган, осуществляющий организацию защиты информации.

Объектом защиты является информация, носитель информации, информационный процесс и соответствующее ЗП, в отношении которых необходимо обеспечить защиту в соответствии с поставленной целью защиты информации.

Технику защиты информации составляют средства защиты информации, средства контроля эффективности защиты информации, средства и системы управления, предназначенные для обеспечения защиты информации.

К средствам и системам управления защитой информации можно отнести технические и программные средства и системы, используемые для организации и осуществления управления защитой информации.

Размещено на Allbest.ru

...