Защита информации. Халяпин д. Б. Защита информации. Вас подслушивают Защищайтесь!Москва

Порядок разработки, производства, реализации и использования средств криптографической защиты информации с ограниченным досту­
пом, не содержащей сведений, составляющих государственную тайну, оп­
ределяется Положением ПКЗ-99, утвержденным приказом ФАПСИ от 23 сентября 1999 г., а также Инструкцией об организации и обеспечении безо­
пасности хранения, обработки и передачи по каналам связи с использова­
нием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тай­
ну, утвержденной приказом ФАПСИ от 13 июня 2001 г. № 152.
Технические мероприятия по защите информации и противодействию
TCP основаны на применении средств защиты и реализации проектных и конструкторских решений, направленных на защиту объекта.
Способы противодействия техническим средствам разведки опреде­
ляют как преднамеренное воздействие на технический канал утечки инфор­
мации для достижения цели по противодействию техническим разведкам, а способы защиты объекта - преднамеренное воздействие на объект защиты для достижения поставленных целей противодействия .
Для защиты объекта возможно использование таких способов, как скрытие и техническая дезинформация.
Скрытие - это способ защиты объекта от технической разведки путем устранения или ослабления технического демаскирующего признака объек­
та защиты.
Техническая дезинформация - способ защиты объекта путем искаже­
ния технических демаскирующих признаков объекта защиты или имита­
ции технических демаскирующих признаков объекта, не являющегося объек­
том защиты.
Это, как правило, объект, на который в соответствии с легендой дол­
жен походить настоящий объект защиты.
Легендирование - это один из способов противодействия техническим разведкам, заключающийся в преднамеренном распространении ложной информации о предназначении объекта и характере выполняемых на нем работ.
В качестве средств защиты и противодействия рассматривается аппа­
ратура и технические устройства (в том числе на различных носителях - автомобиль, корабль, стационарное помещение и т.п.), используемые для защиты объекта.
Средства защиты и противодействия могут быть активными и пассив­
ными.
Активное средство противодействия - это средство, обеспечивающее создание маскирующих или имитирующих активных помех средством тех­
нической разведки или средство, приводящее к нарушению нормального функционирования этих средств разведки.
Пассивное же средство противодействия - это средство ИТЗИ, обеспе­
чивающее скрытие объекта защиты от технических разведок путем погло­
щения, отражения или рассеивания его излучений.
54

Использование активных и пассивных средств и способов защиты дол­
жны обеспечить выполнение условий 1.2.
Как было показано ранее при технических способах защиты возмож­
но использование;
• уменьшения величины Рос в точке расположения TCP за счет пас­
сивных способов защиты;
• увеличения Рш в месте расположения TCP активными способами защиты;
• комбинированное использование активных и пассивных способов защиты.
Технические мероприятия проводятся по мере приобретения предпри­
ятием или организацией специальных устройств защиты и защищенной тех­
ники и направлены на блокирование каналов утечки конфиденциальной информации и ее защиты от несанкционированного и непреднамеренного воздействия с применением пассивных и активных методов защиты инфор­
мации. Объем работ по проведению технических мероприятий зависит от категории защищаемого объекта и включает:
а) Установку на предприятии специальных средств защиты конфиден­
циальной информации от утечки, непреднамеренного воздействия, несанк­
ционированного воздействия.
б) Замену незащищенных технических средств на защищенные в целях использования их в качестве основных (ОТСС) (таблица 1.6).
в) Определение и установку необходимых средств защиты ВТСС. Тех­
нические параметры подобных средств защиты зависят от категории объек­
та защиты и степени конфиденциальности защищаемой информации.
г) Определение способов и необходимых технических средств контро­
ля эффективности защиты информации.
д) Частичную или полную реконструкцию помещений, и кроссов для систем ОТСС с использованием пассивных и активных способов защиты.
е) Частичную или полную реконструкцию кабельных сетей с целью обеспечения возможности передачи по ним конфиденциальной информа­
ции.
Необходимость проведения технических мероприятий по защите ин­
формации определяется проведенными исследованиями защищаемых (вы­
деленных) помещений с учетом предназначения этих помещений (их кате­
гории) и необходимости защиты этих объектов информатизации и распо­
ложенных в них средств звукозащиты, звуковоспроизведения, звукоусиле­
ния, тиражированного размножения документов, и т.п. При этом в зависи­
мости от циркулирующей в выделенном помещении конфиденциальной информации и наличия ОТСС и ВТСС определяются основные мероприя­
тия по акустической защищенности выделенного помещения; по защите
ВТСС, находящихся в помещении, или их замене на сертифицированные, обладающие необходимыми защитными свойствами ВТСС, по защите ли­
ний связи ОТСС, по замене ОТСС на сертифицированные и т.п.
55

Таблица 1.6
56

Продолжение таблицы 1.6
57

Окончание таблицы 1.6
В заключение следует отметить что защита информации от техничес­
ких средств разведки представляет собой совокупность организационных,
организационно-технических и технических мероприятий, проводимых с
целью исключения (существенного затруднения) добывания злоумышлен­
ником информации об объекте защиты с помощью технических средств.
Защита от этих средств достигается комплексностью применения согласо­
ванных по цели, месту и времени мер защиты.
Комплексное противодействие обеспечивается при комплексном ис­
пользовании средств защиты и организационно-технических способов и
методов в целях защиты охраняемых сведений об объекте, осуществляемое
согласованно с целями и задачами защиты информации и противодействия
TCP, этапами жизненного цикла объекта и способами противодействия.
58

Защита должна производиться активно, убедительно, разнообразно, непрерывно, комплексно, планово.
Активность противодействия состоит в настойчивом осуществлении эффективных мер противодействия.
Разнообразие противодействия исключает шаблон в организации и проведении мероприятий по противодействию.
Комплексность предусматривает системный подход, т.е. равнознач­
ное закрытие всех возможных каналов утечки информации об объекте.
Недопустимо применять отдельные технические средства или методы, на­
правленные только на защиту отдельных из общего числа возможных ка­
налов утечки информации.
Непрерывность противодействия предусматривает проведение подоб­
ных мероприятий на всех этапах жизненного цикла разработки и существо­
вания специальной продукции или обеспечения производственной деятель­
ности объекта защиты.
Важно также, чтобы мероприятия по защите и противодействию выг­
лядели правдоподобно и отвечали условиям обстановки, выполнялись в соответствии с планами защиты информации объекта. В связи с этим раз­
рабатываются и осуществляются практические меры защиты. При этом особое внимание обращается на выбор замысла защиты информации объек­
та, замысла противодействия. Замысел защиты - общая идея и основное содержание организационных, организационно-технических и технических мероприятий, обеспечивающих устранение или ослабление
(искажение) демаскирующих признаков и закрытие технических каналов утечки охра­
няемых сведений и несанкционированного воздействия на них.
Организация защиты информации.
Организация зашиты информации (рис. 1.8) определяет содержание и порядок действий по обеспечению защиты информации.
Основные направления в организации защиты информации определя­
ются системой защиты, мероприятиями по защите информации и меропри­
ятиями по контролю за эффективностью защиты информации, где:
- предлагаемая система защиты информации - это совокупность ор­
ганов и/или исполнителей, используемая ими техника защиты ин­
формации, а также объекты защиты, организованные и функцио­
нирующие по правилам, установленным соответствующими пра­
вовыми, организационно - распорядительными и нормативными документами по защите информации;
- мероприятие по защите информации определяет совокупность дей­
ствий по разработке и/или практическому применению способов и средств защиты информации, а мероприятие по контролю эффек­
тивности защиты информации - совокупность действий по разра­
ботке и/или практическому применению методов (способов) и средств контроля эффективности защиты информации.
59

Рис. 1.8. Схема организации защиты информации.
Органом защиты информации выступает административный орган, осуществляющий организацию защиты информации.
Объектом защиты является информация, носитель информации, ин­
формационный процесс и соответствующее ЗП, в отношении которых не­
обходимо обеспечить защиту в соответствии с поставленной целью защи­
ты информации.
Технику защиты информации составляют средства защиты информа­
ции, средства контроля эффективности защиты информации, средства и системы управления, предназначенные для обеспечения защиты информа­
ции (более подробно рассмотрены в гл.3-9).
К средствам и системам управления защитой информации можно от­
нести технические и программные средства и системы, используемые для организации и осуществления управления защитой информации.
В мероприятия по защите информации входят способы защиты ин­
формации, категорирование, лицензирование, сертификация и аттестация.
При этом:
Сертификация - это процесс, осуществляемый в отношении такой ка­
тегории, как “изделие” (средство). В результате сертификации, после вы­
полнения комплекса мероприятий, определенных правилами и порядком ее проведения, устанавливается, или подтверждается качество изделия. Сер­
60

тификация средств защиты информации - деятельность изготовителей и потребителей средств по установлению
(подтверждению) соответствия средств ЗИ требованиям нормативных документов по защите информации, утвержденных государственными органами по сертификации.
В соответствии с Положением о сертификации средств защиты инфор­
мации участниками процесса сертификации являются:
-
Федеральный орган по сертификации (Гостехкомиссия России,
ФАПСИ, ФСБ России, Минобороны России, СВР России);
-
Центральный орган сертификации - орган, возглавляющий систе­
му сертификации однородной продукции;
-
Органы по сертификации средств защиты информации - органы, проводящие сертификационные испытания или отдельные виды ис­
пытаний определенной продукции;
- Изготовители-продавцы, исполнители продукции.
Координация работ по организации сертификации средств защиты информации возложена на МВК по защите государственной тайны.
К основным этапам сертификации относятся:
- получение лицензии на осуществление определенного вида деятель­
ности;
- заявка в орган сертификации на проведение сертификации;
- решение органа сертификации о проведении сертификации;
- проверка производства систем защиты информации;
- реализация схемы стандартизации.
Изготовители сертифицированной продукции могут осуществлять свою деятельность:
- при наличии лицензии на соответствующий вид деятельности;
- производить или реализовывать средства защиты информации толь­
ко при наличии соответствующего сертификата;
- при изменениях в технологии изготовления или конструкции и со­
ставе сертифицированных средств защиты информации изготови­
тель обязан известить об этом орган сертификации, производив­
ший сертификацию;
- маркировать сертифицированные средства защиты информации знаком соответствия;
- в случае выявления несоответствия средств защиты информации требованиям нормативных документов, по истечении срока дей­
ствия сертификата или его отмены прекращают изготовление и ре­
ализацию этих средств.
Нормативно-технический базис системы сертификации представлен в приложении № 1.
Лицензирование - мероприятия, связанные с предоставлением лицен­
зий, переоформлением документов, подтверждающих наличие лицензий, приостановлением и возобновлением действий лицензий, аннулированием действий лицензий и контролем лицензирующих органов за соблюдением лицензиатами при осуществлении лицензируемых видов деятельности со­
ответствующих лицензионных требований и условий.
61

Лицензия - специальное разрешение на осуществление конкретного вида деятельности при обязательном соблюдении лицензионных требова­
ний и условий, выданное лицензирующим органом юридическому лицу или индивидуальному предпринимателю.
К основным документам относятся:
1. Федеральный закон от 8 августа 2001 г. № 128-ФЗ «О лицензирова­
нии отдельных видов деятельности».
2. Постановление Правительства Российской Федерации от 11 февра­
ля 2002 г. №135 «О лицензировании отдельных видов деятельности».
3. Постановление Правительства Российской Федерации от 30 апреля
2002 г. №290 «О лицензировании деятельности по технической защите кон­
фиденциальной информации».
В области защиты информации лицензированию подлежат такие виды деятельности как:
- деятельность по технической защите информации;
- деятельность по разработке и (или) производству средств защиты конфиденциальной информации;
- деятельность по выявлению электронных устройств, предназначен­
ных для негласного получения информации, в помещениях и тех­
нических средствах (за исключением случая, если указанная деятель­
ность осуществляется для обеспечения собственных нужд юриди­
ческого лица или индивидуального предпринимателя);
- разработка, производство, реализация и приобретение в целях про­
дажи специальных технических средств, предназначенных для не­
гласного получения информации, индивидуальными предпринима­
телями и юридическими лицами, осуществляющими предпринима­
тельскую деятельность;
- деятельность по распространению шифровальных (криптографи­
ческих) средств;
- деятельность по техническому обслуживанию шифровальных (крип­
тографических) средств;
- предоставление услуг в области шифрования информации;
- разработка, производство шифровальных
(криптографических) средств, защищенных с использованием шифровальных (криптог­
рафических) средств информационных систем, телекомуникацион- ных систем;
- деятельность по выдаче сертификатов ключей электронных циф­
ровых подписей, оказанию услуг, связанных с использованием элек­
тронных цифровых подписей, и подтверждению подлинности элект­
ронных цифровых подписей.
В результате лицензирования субъект получает право на определен­
ный вид деятельности в области защиты информации:
- лицензирование деятельности предприятий с использованием све­
дений, составляющих государственную тайну, лицензии выдаются
ФСБ России - на территории России, СВР России - за рубежом;
- лицензирование деятельности в области защиты информации и
62

работ, связанных с созданием средств защиты информации, - ли­
цензии выдаются Гостехкомиссией России и ФАПСИ в пределах их компетенции;
- лицензирование деятельности по оказанию услуг в области защи­
ты государственной тайны - лицензии выдаются ФСБ России и ее территориальными органами,
ФАПСИ,
Гостехкомиссией
России,
СВР России в пределах прав, предоставленных законами.
Аттестация выделенных помещений - первичная проверка выделен­
ных помещений и находящихся в них технических средств на соответствие требованиям защиты. Наряду с аттестацией, выделенные помещения под­
вергаются периодическим аттестационным проверкам.
Аттестационная проверка выделенных помещений - периодическая проверка в целях регистрации возможных изменений состава технических средств, размещенных в помещениях, выявления возможных неприятнос­
тей, регистрации возможных изменений характера и степени конфиденци­
альности закрытых мероприятий. График периодических аттестационных проверок составляется, исходя из следующих сроков: для помещений пер­
вой и второй групп - не реже 1 раза в год; для помещений третьей группы - не реже 1 раза в 1,5 года.
Под аттестацией объектов информатизации понимается комплекс орга­
низационно-технических мероприятий, в результате которых посредством специального документа - “Аттестата соответствия” подтверждается, что объект соответствует требованиям стандартов или иных нормативно-тех- нических документов по безопасности информации, утвержденных Гостех­
комиссией России.
Наличие на объекте информатизации действующего “Аттестата соот­
ветствия” дает право обработки информации с уровнем секретности (кон­
фиденциальности) и на период времени, установленными в “Аттестате со­
ответствия”.
Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей государствен­
ную тайну, управления экологически опасными объектами, ведения секрет­
ных переговоров .
В остальных случаях аттестация носит добровольный характер (доб­
ровольная аттестация) и может осуществляться по инициативе заказчика или владельца объекта информатизации.
Аттестация по требованиям безопасности информации на объекте предшествует началу обработки подлежащей защите информации и явля­
ется официальным подтверждением эффективности комплекса используе­
мых на данном объекте информатизации мер и средств защиты информации.
При аттестации объекта информатизации подтверждается его соот­
ветствие требованиям по защите информации от утечки, несанкциониро­
ванного и непреднамеренного воздействия, в том числе от несанкционированного доступа, от компьютерных вирусов, от утечки за счет побочных электромагнитных излучений и наводок при специальных
63

воздействиях на объект
(высокочастотное навязывание и облучение, электромагнитное и радиационное воздействие), от утечки или воздействия на нее за счет специальных устройств, встроенных в объекты информатизации и т.п.
Аттестация предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта информатизации в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности информации.
Способы защиты информации определяют порядок и правила приме­
нения определенных принципов и средств защиты информации и рассмот­
рены в последующих главах.
Установление градаций важности защиты информации (объекта за­
щиты) определяет категорирование защищаемой информации (объекта за­
щиты). Одним из важнейших направлений в организации защиты инфор­
мации являются мероприятия по контролю за эффективностью защиты ин­
формации.
В состав мероприятий входят методы контроля эффективности защи­
ты информации и контроль состояния защиты информации.
Метод (способ) контроля эффективности защиты информации опре­
деляет порядок и правила применения определенных принципов и средств контроля эффективности защиты информации.
Контроль состояния защиты информации определяет соответствие организации и эффективности защиты информации установленным требо­
ваниям и/или нормам в области защиты информации и состоит из контро­
ля организации защиты информации и контроля эффективности защиты информации.
К средствам защиты информации относятся - техническое, программ­
ное средство, вещество и/или материал, предназначенные или используе­
мые для защиты информации, а к средствам контроля эффективности за­
щиты информации - техническое, программное средство, вещество и/или материал, предназначенные или используемые для контроля эффективнос­
ти защиты информации.
В контроль организации защиты информации входит проверка соот­
ветствия состояния организации, наличия и содержания документов, тре­
бованиям правовых, организационно - распорядительных и нормативных документов по защите информации, а в контроль эффективности защиты информации - проверка соответствия эффективности мероприятий по за­
щите информации установленным требованиям или нормам эффективнос­
ти защиты информации и осуществляется как организационный и техни­
ческий контроль.
Организационный контроль эффективности защиты информации со­
держит проверку полноты и обоснованности мероприятий по защите ин­
формации требованиям нормативных документов по защите информации, а технический контроль эффективности защиты информации - контроль эффективности защиты информации, проводимый с использованием тех­
нических средств контроля.
64

Подобная система организации и защиты информации должна обес­
печивать (Л.27) противодействие техническим средствам разведки (TCP)
(рис. 1.3).
Работы по созданию системы защиты информации (СЗИ).
Организация и проведение работ по защите информации с ограничен­
ным доступом определяется “Положением о государственной системе защи­
ты информации в РФ от иностранных технических разведок и от её утечки по техническим каналам” (Л.57a).
Порядок осуществления работ по созданию системы защиты инфор­
мации и ответственность, возлагаемая на руководящий состав предприя­
тия, СБ и разработчиков СЗИ приведена в табл. 1.7.
Таблица 1.7
Организация работ по защите информации
Разработка СЗИ может осуществляться как подразделениями пред­
приятия, так и специализированными предприятиями, имеющими лицен­
зию на этот вид деятельности.
Разработка и внедрение СЗИ осуществляется во взаимодействии со службой безопасности заказчика, в соответствии с этапами (стадиями) при­
веденными в таблице 1.8.
Порядок организации работ по созданию и эксплуатации объектов информатизации определяется в разрабатываемом на предприятии «Руко­
водстве по защите информации» или в специальном «Положении о поряд­
ке организации и проведении работ по ЗИ».
Эти документы должны предусматривать:
- порядок определения защищаемой информации;
- порядок привлечения подразделений предприятия, специалистов сторонних организаций к разработке и эксплуатации СЗИ объек­
та информатизации;
- порядок взаимодействия всех занятых сил;
- порядок разработки, ввода в действие и эксплуатации объекта ин­
форматизации;
- ответственность должностных лиц.
65

В учреждении должны быть документально оформлены перечни све­
дений конфиденциального характера и чувствительной информации.
Таблица 1.8
Стадии создания СЗИ
Устанавливаются следующие стадии создания СЗИ:
A. Предпроектная стадия, включающая:
- предпроектное обследование объекта информатизации;
- разработку аналитического обоснования необходимости создания
СЗИ;
- частные задания на ее создание.
Б. Стадия проектирования (разработки проектов) и реализации объек­
та информатизации, включающая разработку СЗИ в составе объекта ин­
форматизации.
B. Стадия ввода в действие СЗИ, включая опытную эксплуатацию и приемно-сдаточные испытания средств
ЗИ, а также аттестацию объекта информатизации на соответствие требованиям.
Перед проведением работ по организации системы защиты инфор­
мации целесообразно подготовить общие сведения об объекте защиты.
Возможная форма представления данных об объекте приведена ниже (таб­
лица 1.9).
66

Объект:
Помещение:
Назначение помещения:
проведение совещаний, работа с конфиденциаль­
ными документами, обработка информации на ПЭВМ, телефонные перего­
воры
Заявляемая степень конфиденциальности (секретности) информации:
Конфиденциально
Этаж: 3
Площадь (кв. м), высота потолков (м): 6x6 м 36м высота потолков 3 м
Таблица 1.9
Общие сведения о защищаемом помещении (помещениях)
- подвесной (воздушный зазор):________ нет___
- подшитый (материал):_________________ нет_
- оштукатуренный:
__________________ да
- цементный раствор: _________________нет___
- другой:__________________________________
Перекрытия (потолок, пол), толщина (мм):
- бетон, дерево, другие материалы:_________ железобетонные перекрытия 120мм
- деревянный на деревянных балках:__________ нет___________________________
- паркет:есть
- линолеум (5 мм) по полу:_____________ нет____________________ ___________
- метлахские плитки:______________ нет_____________________________________
- ковер обыкновенный:_____________ нет___________________________________
- другой материал:_______________________________________________________
Стеновые перегородки:
- бетон____ нет______________________________
фанера (8 мм) на брусках (5 см)______________________нет____________________
- древесно-волокнистая плитка 25 мм________________нет_____________________
- минеральная вата_________________ нет________________________
- асбестовые (гипсовые) акустические плиты________________нет________
- кирпич: 1/2 кирпича
- другие материалы:
Стены наружные:_____________________________________________
-толщина(см): ____ 20см__________________________________________________
- бетон: __________________________________________________ __
- кирпич: да
- деревянная обшивка:_____________________________________________________
- штукатурка известковая:________ да_______________________________________
- акустическая штукатурка:________________________________________________
- другие материалы:
Окна:
- размер проема:____ 150x100 см_______________________________________
- количество проемов:____________ 2______________________________________
- наличие пленок (назначение, тип, марка):________ нет_______________________
- тип окна (с одинарным стеклом, с двойным стеклом, с двойным утолщен­
ным стеклом, с уплотнителем, из стеклопластика, другие):___________ двойное ос­
текление
с
воздушным промежутком
4-90-4
см
________________ ___
67

- другое:__________________________
Двери:
- размер проема:___ 200x80 см_____
- двери: _одностворчатая 200х80_
- тип:____________________________
-
одинарная:
обитая железом и кодовый замок_
- двойная: нет
- дверь с войлочным уплотнителем___________ да_
- другие типы_____________________________ нет_
Описание смежных помещений: -назначение, характер проводимых работ
__
сверху
-
аналогичное по конструкции помещение; север
,
юг
,
запад - лабора­
торные помещения; восток - двор предприятия_
- наличие в них технических средств передачи и обработки данных:
_телефоны, сотовые телефоны, ПЭВМ________________________________
Система электропитания (освещение):
- сеть:_________________________________________________ 220 B/50HZ_
- от аккумуляторов:_______________________ нет_______________________
- автономный агрегат электропитания:_______________ нет_______________
- наличие подстанции на контролируемой территории:__________да_______
- тип светильников и их количество: газоразрядовые лампы 6 шт
Система заземления: да
Системы сигнализации (тип): охранная и пожарная
Система вентиляции (тип): наличие воздушных зазоров
Система отопления:
- центральное (паровое, водяное): водяное, два стояка, проходящие
сверху вниз
- печное__________________________________________________________
- наличие экранов на батареях:____________ нет________________________
- калорифер, тип:______________________ нет_________________________
- другое оборудование:_________________ нет_________________________
Телефонные линии:
- количество и тип ТА:____3 шт -ТА-600______________________________
городская сеть: ___________1шт -ТА-600_
местной АТС: 2шт 2 параллельных аппарата ТА-600
- тип розеток_________ обычная 3 шт___________________
- тип проводки:_____ двухпроводные линии_________________
Прочие проводные линии:
- радиотрансляция (местная, городская):_____________ да____
- электрочасофикация (марка):_______________ нет_________
Оргтехника
ПЭВМ - 2шт, принтер - 2 шт, сканер - 1 шт
Бытовая техника:
Чайник 1шт
Специальные технические средства защиты информации:
отсутствуют
Описание обстановки вокруг объекта:
68

А)
На предпроектной стадии по обследованию объекта информатиза­
ции:
• устанавливается необходимость обработки (обсуждения) конфиден­
циальной информации на данном объекте информатизации;
• определяется перечень сведений конфиденциального характера, подлежащих защите;
• определяются (уточняются) угрозы безопасности информации и мо­
дель вероятного нарушителя применительно к конкретным усло­
виям функционирования объекта;
• определяются условия расположения объекта информатизации от­
носительно границ КЗ;
• определяются конфигурация и топология АС и систем связи в це­
лом и их отдельных компонентов, физические, функциональные и технологические связи как внутри этих систем, так и с другими си­
стемами различного уровня и назначения;
• определяются технические средства и системы, предполагаемые к использованию в разрабатываемой АС и системах связи, условия их расположения, общесистемные и прикладные программные сред­
ства, имеющиеся на рынке и предлагаемые к разработке;
• определяются режимы обработки информации в АС в целом и в отдельных компонентах;
• определяется класс защищенности АС;
• определяется степень участия персонала в обработке (обсуждении, передаче, хранении) информации, характер их взаимодействия меж­
ду собой и со службой безопасности;
• определяются мероприятия по обеспечению конфиденциальности информации на этапе проектирования объекта информатизации.
По результатам предпроектного обследования разрабатывается ана­
литическое обоснование необходимости создания СЗИ.
На основе действующих нормативно-методических документов по тех­
нической защите конфиденциальной информации, с учетом установленно­
го класса защищенности АС задаются конкретные требования по защите информации, включаемые в техническое (частное техническое) задание на разработку СЗИ.
Предпроектное обследование, в части касающейся определения защи­
щаемой информации, должно базироваться на документально оформлен­
ных перечнях сведений конфиденциального характера.
Перечень сведений конфиденциального характера составляется заказ­
чиком объекта информатизации и утверждается руководителем организа­
ции-заказчика (приложение 2).
Предпроектное обследование может быть поручено специализирован­
ной организации, имеющей соответствующую лицензию, но и в этом слу­
чае анализ информационного обеспечения в части защищаемой информа­
ции целесообразно выполнять представителям организации-заказчика при методической помощи специализированной организации.
Ознакомление специалистов этой организации с защищаемыми сведе­
ниями осуществляется в установленном в организации-заказчике порядке.
69

Аналитическое обоснование необходимости создания СЗИ должно содержать:
• информационную характеристику и организационную структуру объекта информатизации;
• характеристику комплекса основных и вспомогательных техничес­
ких средств, программного обеспечения, режимов работы, техно­
логического процесса обработки информации;
• возможные каналы утечки информации и перечень мероприятий по их устранению и ограничению;
• перечень предлагаемых к использованию сертифицированных средств защиты информации;
• обоснование необходимости привлечения специализированных организаций, имеющих необходимые лицензии на право проведе­
ния работ по защите информации;
• оценку материальных, трудовых и финансовых затрат на разработ­
ку и внедрение СЗИ;
• ориентировочные сроки разработки и внедрения СЗИ;
• перечень мероприятий по обеспечению конфиденциальности ин­
формации на стадии проектирования объекта информатизации.
Аналитическое обоснование подписывается руководителем организа­
ции, проводившей предпроектное обследование, согласовывается с главным конструктором (должностным лицом, обеспечивающим научно-техническое руководство создания объекта информатизации), руководителем службы безопасности и утверждается руководителем организации-заказчика.
Техническое (частное техническое) задание на разработку СЗИ долж­
но содержать:
• обоснование разработки;
• исходные данные создаваемого (модернизируемого) объекта инфор­
матизации в техническом, программном, информационном и орга­
низационном аспектах;
• класс защищенности АС;
• ссылку на нормативно-методические документы, с учетом которых будет разрабатываться СЗИ и приниматься в эксплуатацию объект информатизации;
• требования к СЗИ на основе нормативно-методических докумен­
тов и установленного класса защищенности АС;
• перечень предполагаемых к использованию сертифицированных средств защиты информации;
• обоснование проведения разработок собственных средств защиты информации, невозможности или нецелесообразности использова­
ния имеющихся на рынке сертифицированных средств защиты ин­
формации;
• состав, содержание и сроки проведения работ по этапам разработ­
ки и внедрения;
• перечень подрядных организаций-исполнителей видов работ;
• перечень предъявляемой заказчику научно-технической продукции и документации.
70

Техническое (частное техническое) задание на разработку СЗИ подпи­
сывается разработчиком, согласовывается со службой безопасности органи­
зации-заказчика, подрядными организациями и утверждается заказчиком.
В целях дифференцированного подхода к защите информации произ­
водится классификация АС по требованиям защищенности от НСД к ин­
формации.
Класс защищенности АС от НСД к информации устанавливается со­
вместно заказчиком и разработчиком АС с привлечением специалистов по защите информации в соответствии с требованиями действующих норма- тивно-методических документов, а также настоящего документа и оформ­
ляется актом.
Пересмотр класса защищенности АС производится в обязательном порядке, если произошло изменение хотя бы одного из критериев, на осно­
вании которых он был установлен.
Б) На стадии проектирования и создания объекта информатизации и
СЗИ в его составе на основе предъявляемых требований и заданных заказ­
чиком ограничений на финансовые, материальные, трудовые и временные ресурсы осуществляются:
• разработка задания и проекта на строительные, строительно-мон- тажные работы (или реконструкцию) объекта информатизации с учетом требований технического (частного технического) задания на разработку СЗИ;
• разработка раздела технического проекта на объект информатиза­
ции в части защиты информации;
• строительно-монтажные работы в соответствии с проектной доку­
ментацией, утвержденной заказчиком, размещением и монтажом технических средств и систем;
• разработка организационно-технических мероприятий по защите информации в соответствии с предъявляемыми требованиями;
• закупка сертифицированных образцов и серийно выпускаемых в защищенном исполнении технических средств обработки, переда­
чи и хранения информации, либо их сертификация;
• закупка сертифицированных технических, программных и про­
граммно-технических средств защиты информации и их установ­
ка;
• разработка (доработка) или закупка и последующая сертификация по требованиям безопасности информации программных средств защиты информации в случае, когда на рынке отсутствуют требуе­
мые сертифицированные программные средства;
• организация охраны и физической защиты помещений объекта ин­
форматизации, исключающих несанкционированный доступ к тех­
ническим средствам обработки, хранения и передачи информации, их хищение и нарушение работоспособности, хищение носителей информации;
• разработка и реализация разрешительной системы доступа пользо­
вателей и эксплуатационного персонала к обрабатываемой (обсуж­
даемой) на объекте информатизации информации;
71

• определение заказчиком подразделений и лиц, ответственных за эк­
сплуатацию средств защиты информации, обучение назначенных лиц специфике работ по защите информации на стадии эксплуата­
ции объекта информатизации;
• выполнение инсталляции пакета прикладных программ в комплек­
се с программными средствами защиты информации;
• разработка эксплуатационной документации на объект информа­
тизации и средства защиты информации, а также организационно­
распорядительной документации по защите информации (прика­
зов, инструкций и других документов);
• выполнение других мероприятий, специфичных для конкретных объектов информатизации и направлений защиты информации.
Техническое задание (ТЗ) на проектирование объекта информатиза­
ции оформляется отдельным документом, согласовывается с проектной организацией, службой
(специалистом) безопасности организации-заказ­
чика в части достаточности мер по технической защите информации и ут­
верждается заказчиком.
Мероприятия по защите информации от утечки по техническим кана­
лам относятся к основным элементам проектных решений, которые вклю­
чаются в соответствующие разделы проекта, и разрабатываются одновре­
менно с ними.
На стадии проектирования и создания объекта информатизации офор­
мляются также технический (техно-рабочий) проект и эксплуатационная документация СЗИ, состоящие из:
• пояснительной записки с изложением решений по комплексу орга­
низационных мер и программно-техническим средствам обеспече­
ния безопасности информации, составу средств защиты информа­
ции с указанием их соответствия требованиям ТЗ;
• описания технического, программного, информационного обеспе­
чения и технологии обработки (передачи) информации;
• плана организационно-технических мероприятий по подготовке объекта информатизации к внедрению средств и мер защиты ин­
формации;
• технического паспорта объекта информатизации (формы техничес­
ких паспортов на АС и ЗП приведены в приложениях №№ 3 и 4 соответственно);
• инструкций и руководств по эксплуатации технических и программ­
ных средств защиты для пользователей, администраторов системы, а также для сотрудников службы безопасности.
В)
На стадии ввода в действие объекта информатизации и СЗИ осуще­
ствляются;
• опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях про­
верки их работоспособности в составе объекта информатизации и отработки технологического процесса обработки (передачи) инфор­
мации;
• приемо-сдаточные испытания средств защиты информации по ре­
72

зультатам опытной эксплуатации с оформлением приемо-сдаточ­
ного акта, подписываемого разработчиком (поставщиком) и заказ­
чиком;
• аттестация объекта информатизации по требованиям безопаснос­
ти информации.
На стадии ввода в действие объекта информатизации и СЗИ оформля­
ются:
• акты внедрения средств защиты информации по результатам их при­
емо-сдаточных испытаний;
• протоколы аттестационных испытаний и заключение по их резуль­
татам;
• аттестат соответствия объекта информатизации требованиям по бе­
зопасности информации.
Форма «Аттестата соответствия» для АС приведена в приложении
№ 5, для ЗП - в приложении № 6.
Кроме вышеуказанной документации в организации оформляются приказы, указания и решения:
• на проектирование объекта информатизации и назначение ответ­
ственных исполнителей;
• на проведение работ по защите информации;
• о назначении лиц, ответственных за эксплуатацию объекта инфор­
матизации;
• на обработку в АС (обсуждение в ЗП) конфиденциальной инфор­
мации.
Для объектов информатизации, находящихся в эксплуатации до вве­
дения в действие настоящего документа, может быть предусмотрен, по ре­
шению их заказчика (владельца), упрощенный вариант их доработки (мо­
дернизации), переоформления организационно-распорядительной, техно­
логической и эксплуатационной документации.
Для такого рода объектов информатизации в соответствии с требова­
ниями настоящего документа разрабатывается программа аттестационных испытаний.
Эксплуатация объекта информатизации осуществляется в полном со­
ответствии с утвержденной организационно-распорядительной и эксплуа­
тационной документацией с учетом требований и положений, изложенных в разделах 4-6 настоящего документа.
С целью своевременного выявления и предотвращения утечки инфор­
мации по техническим каналам, исключения или существенного затрудне­
ния несанкционированного доступа к ней и предотвращения специальных программно-технических воздействий, вызывающих нарушение конфиден­
циальности, целостности или доступности информации, в организации про­
водится периодический (не реже одного раза в год) контроль состояния за­
щиты информации. Контроль осуществляется службой безопасности орга­
низации.
Отраслевыми и федеральными органами контроля состояние защиты информации проводится не реже одного раза в 2 года и заключается в оцен­
ке:
73

* соблюдения требований нормативно-методических документов по защите информации;
* работоспособности применяемых средств защиты информации в соответствии с их эксплуатационной документацией;
* знаний и выполнения персоналом своих функциональных обязан­
ностей в части защиты информации.
При проведении аттестации объектов информатизации и периодичес­
ком контроле состояния защиты конфиденциальной информации органи­
зациями могут, при необходимости, использоваться «Временные методики оценки защищенности конфиденциальной информации...» .
Собственник или владелец конфиденциальной информации имеет пра­
во обратиться в органы государственной власти для оценки правильности выполнения норм и требований по защите его информации в информаци­
онных системах.
Работы по поиску электронных устройств съема информации («закла­
дочных устройств»), возможно внедренных в ЗП или технические средства, могут быть проведены организациями, имеющими соответствующие лицен­
зии ФАПСИ или ФСБ России. В организациях Минобороны России рабо­
ты по поиску электронных устройств съема информации («закладочных устройств»), возможно внедренных в ЗП или технические средства, могут проводиться подразделениями, допущенными к проведению этих работ в установленном порядке.
Комплексность использования способов
и средств защиты информации*
Рассмотренные выше каналы утечки информации разнообразны по физическим особенностям их проявления и требуют использования соот­
ветствующих способов и средств защиты информации, что в большинстве встречающихся на практике случаев приводит к использованию самой раз­
личной аппаратуры (и, соответственно, различных подкомплексов или под­
систем) защиты - акустической, электромагнитной, визуально-оптической и т.п. Комплексирование и практическое использование подобных систем вызывают определенные затруднения, если подобная система состоит из довольно большого количества подсистем. Каждая из подсистем включает одно, а иногда и несколько технических средств защиты. Функции включе­
ния, выключения и контроля их работоспособности в процессе эксплуата­
ции возлагаются на специально подготовленных специалистов службы бе­
зопасности. Подобные функции выполнимы, если требуется обеспечить за­
щиту одного помещения. Однако, если защите подлежит несколько удален­
ных друг от друга помещений, то практическое использование систем за­
щиты может вызвать определенные трудности, связанные с порядком и пос­
ледовательностью включения, выключения, контроля состояния и работос­
пособности технических средств защиты.
* Материалы раздела предоставлены Сталенковым С.Е.
74

К основным недостаткам использования локальных подсистем мож­
но отнести (Л.81):
- отсутствие гарантий своевременного включения средств защиты ко­
нечными пользователями;
- сложность оперативного обнаружения неисправностей аппарату­
ры защиты информации;
- невозможность обеспечения в реальном масштабе времени комп­
лексного мониторинга технических каналов утечки информации на защищаемом объекте;
- невозможность обеспечения централизованного контроля эффек­
тивности функционирования системы защиты объекта в целом;
- необходимость использования значительного количества специа­
листов, со специальной подготовкой в области защиты информа­
ции, что связано с порочной системой коллективной ответственно­
сти (вернее безответственности) и сложность в доказательстве вины персонала нарушающего порядок применения средств защиты ин­
формации;
В качестве выхода из подобной ситуации в (Л.81) предложена техно­
логия автоматизированных систем защиты информации, основанная на се­
тевом подходе к проектированию систем комплексной безопасности объек­
тов. Основой сетевого решения является индустриальная управляющая ши- на, которая объединяет разрозненные локальные подсистемы и оконечное оборудование в единую систему. К такой шине могут подключаться:
- активное оборудование защиты информации (генераторы радио­
шума, виброакустические генераторы, подавители средств аудио­
записи и сотовой связи и т.п.);
- контрольные датчики (акселерометры, детекторы поля и т.п.);
- модули автоматизированных комплексов мониторинга техничес­
ких каналов утечки информации;
- центральная консоль для управления системой.
Каждое оконечное устройство имеет в системе свой адрес, благодаря которому становится возможным осуществлять взаимодействие этого уст­
ройства с центральной консолью, любым другим компонентом или груп­
пой компонентов, входящих в систему. Физическое соединение локальных устройств осуществляется по топологиям “звезда”, “шина”, “дерево”. При таком построении системы выход из строя какого-либо локального устрой­
ства не влияет на работу остальных элементов системы.
Наличие специализированного управляющего программного обеспече­
ния позволяет программировать систему, получать данные объективного контроля в реальном масштабе времени и осуществлять централизованный мониторинг с помощью персонального компьютера.
Система, созданная с использованием такой технологии, обладает гиб­
костью, расширение системы и изменение её функций или характеристик достигается перестановкой, добавлением или перепрограммированием её компонентов.
75