шгдш. 3.2 Конспект лекций ЗИвТС. Конспект лекций по курсу Защита информации в телекоммуникационных системах Буя П. М. Тема 1 Основные понятия и терминология защиты информации 1 Основные понятия
Скачать 1.52 Mb.
|
Тема 5 – Государственное регулирование в области защиты информации 5.1 Государственная политика информационной безопасности Планирование и осуществление мероприятий по обеспечению информационной безопасности реализуются в рамках государственных программ, направленных на совершенствование и реализацию комплексных систем правовых, экономических, технических, иных мер и методов по обеспечению информационной безопасности. Финансирование и материально-техническое обеспечение деятельности госорганов в сфере информационной безопасности осуществляется за счет средств республиканского бюджета, местных бюджетов, а также за счет внебюджетных средств. Юридические и физические лица, создающие продукцию в сфере информационной безопасности, имеющей государственное значение, пользуются поддержкой государства. К мероприятиям по реализации государственной политики в сфере обеспечения информационной безопасности относятся: разработка и реализация механизмов повышения эффективности государственного руководства за деятельностью государственных СМИ и осуществление информационной политики; принятие и разработка государственных программ, предусматривающих формирование общедоступных архивов информационных ресурсов, государственных программ по повышению правовой культуры, а также компьютерной грамотности граждан; развитие инфраструктуры единого информационного пространства; комплексное противодействие угрозам информационной войны; пресечение компьютерных преступлений; повышение эффективности системы подготовки кадров. Основные направления государственной политики в данной сфере: формирование и осуществление единой научной, научно-технической, промышленной и инновационной политики и учетом имеющегося научно-производственного потенциала и современного мирового уровня развития информационных технологий; создание условий для эффективного участия граждан, юридических лиц и государства в международном сотрудничестве; обеспечение информационной безопасности для общества и государства путем совершенствования законодательства; создание условий для эффективного использования глобальных (международных) информационных сетей. 5.2 Состав и основные функции государственной системы защиты информации Республики Беларусь Система защиты информации – совокупность госорганов, юридических лиц и физических лиц, обеспечивающих защиту информации. Система защиты информации строится на основе разграничения полномочий органов законодательной, исполнительной и судебной власти. Основные функции системы защиты информации: оценка состояния информационной безопасности; выявление и прогнозирование внутренних и внешних угроз информационной безопасности; разработка комплексных прав, экономических, технических и иных мер, направленных на обеспечение информационной безопасности; координация деятельности госорганов, юридических лиц в сфере информационной безопасности; защита охраняемой информации; лицензирование деятельности юридических лиц и ИП в сфере информационной безопасности; осуществление международного сотрудничества в сфере информационной безопасности. Состав государственной системы защиты информации: защита личности, общества и государства от воздействия недоброкачественной информации; защита информации и информационных ресурсов от неправомерного воздействия посторонних лиц; защита информационных прав и свобод. 5.3 Оперативно-аналитический центр при Президенте Республики Беларусь, его цели и функции Оперативно-аналитический центр при Президенте Республики Беларусь (ОАЦ) образован в соответствии с указом президента №229 от 21 апреля 2008 года из Государственного центра безопасности информации при Президенте Республики Беларусь (ГЦБИ). ГЦБИ образован указом президента №639 от 28 ноября 2000 года. Изменения внесены указом президента №231 от 12 мая 2004 года. В целях повышения эффективности государственной системы защиты информации в Республике Беларусь постановляю: Преобразовать Государственный центр безопасности информации при Совете Безопасности Республики Беларусь в Государственный центр безопасности информации при Президенте Республики Беларусь. В настоящее время ОАЦ. Переименовать Научно-производственное республиканское унитарное предприятие "Научно-исследовательский институт проблем защиты информации" в Научно-производственное республиканское унитарное предприятие "Научно-исследовательский институт технической защиты информации". Определить Научно-производственное республиканское унитарное предприятие "Научно-исследовательский институт технической защиты информации" головной научно-исследовательской организацией в Республике Беларусь по технической защите информации. ОАЦ при Президенте Республики Беларусь является специально уполномоченным государственным органом, осуществляющим регулирование деятельности по обеспечению защиты информации, содержащей сведения, составляющие государственные секреты Республики Беларусь или иные сведения, охраняемые в соответствии с законодательством, от утечки по техническим каналам, несанкционированных и непреднамеренных воздействий. Общее руководство ОАЦ осуществляется Президентом Республики Беларусь. Штатная численность ОАЦ утверждается Президентом Республики Беларусь. Основными задачами ОАЦ являются: информирование Президента Республики Беларусь о внешних и внутренних угрозах информационной безопасности страны; обеспечение технической защиты информации в местах постоянного и временного пребывания Президента Республики Беларусь, а также постоянных членов Совета Безопасности Республики Беларусь; предотвращение утечки по техническим каналам информации, содержащей государственные секреты или иные сведения, охраняемые в соответствии с законодательством Республики Беларусь, несанкционированных и непреднамеренных воздействий на нее; организация и осуществление контроля деятельности по обеспечению технической защиты информации в государственных органах, организациях независимо от организационно-правовых форм и форм собственности; организация и проведение сертификации, аттестации, экспертизы и лицензирования в области технической защиты информации. ОАЦ в соответствии с возложенными на него задачами: информирует в пределах своих полномочий Президента Республики Беларусь о внутренних и внешних угрозах информационной безопасности страны и вносит предложения по их предотвращению; организует и проводит работы по обеспечению технической защиты информации в местах постоянного и временного пребывания Президента Республики Беларусь, а также постоянных членов Совета Безопасности Республики Беларусь; обеспечивает техническую защиту информации при проведении мероприятий с участием Президента Республики Беларусь, в том числе заседаний Совета Безопасности Республики Беларусь; определяет приоритетные направления технической защиты информации; участвует в подготовке проектов нормативных правовых актов в области технической защиты информации, вносит в установленном порядке предложения о совершенствовании законодательства по вопросам, входящим в компетенцию ОАЦ; издает в установленном порядке в пределах своей компетенции правовые акты, обязательные для исполнения государственными органами и должностными лицами, организациями независимо от организационно-правовых форм и форм собственности; выступает заказчиком государственных и отраслевых научно-технических программ, разрабатывает и согласовывает проекты государственных стандартов, организует и проводит научно-исследовательские и опытно-конструкторские работы в области технической защиты информации; осуществляет руководство деятельностью Научно-производственного республиканского унитарного предприятия "Научно-исследовательский институт технической защиты информации", находящегося в его ведении; создает в установленном порядке подведомственные организации, необходимые для выполнения возложенных на ОАЦ задач; осуществляет координацию деятельности по технической защите информации на этапах создания, развития и эксплуатации информационно-аналитических сетей, комплексов технических средств баз данных, информационных систем, систем связи и управления государственных органов, за исключением сетей правительственной и оперативной связи, а также ведомственных сетей шифрованной связи, предназначенных для передачи секретной информации; организует и проводит работы по технической защите информации, администрированию и регистрации имен в национальном сегменте сети Интернет; проводит работы с использованием активных средств противодействия техническим разведкам; организует и проводит в пределах своей компетенции работы по технической защите информации криптографическими методами, в том числе с применением электронной цифровой подписи; осуществляет в пределах своих полномочий контроль ввоза, установки и порядка использования радиоэлектронных средств с радиоизлучением и высокочастотных установок; осуществляет в пределах своих полномочий контроль деятельности по обеспечению технической защиты информации в государственных органах, организациях независимо от организационно-правовых форм и форм собственности; проводит экспертизу по вопросам, связанным с обеспечением информационной безопасности Республики Беларусь; осуществляет лицензирование деятельности в области технической защиты информации; проводит работы по аттестации государственных объектов и сертификации средств технической защиты информации; проводит в пределах своей компетенции контроль излучающих радиоэлектронных средств, доступных техническим средствам разведки, с целью выявления и устранения каналов утечки охраняемой в соответствии с законодательством информации; образует межведомственные рабочие группы, временные творческие коллективы и иные органы для решения вопросов, отнесенных к компетенции ОАЦ; оказывает на договорной основе собственникам, владельцам, пользователям информации услуги по ее технической защите; осуществляет в пределах своих полномочий международное сотрудничество; принимает участие в организации технической защиты информации при осуществлении сотрудничества Республики Беларусь с иностранными государствами; организует и проводит конференции и семинары, в том числе международные, по вопросам технической защиты информации; осуществляет методическое руководство подготовкой, повышением квалификации и переподготовкой специалистов в области технической защиты информации; выполняет иные функции по поручению Президента Республики Беларусь. Сертификация_и_аттестация_средств_защиты_и_объектов_информации_в_Республике_Беларусь'>5.4 Сертификация и аттестация средств защиты и объектов информации в Республике Беларусь Юридические лица и индивидуальные предприниматели для реализации средств защиты информации и продукции потребителю обязаны представить их на оценку на соответствие требованиям технических нормативных правовых актов в области технического нормирования и стандартизации или государственную экспертизу в Оперативно-аналитическом центре при Президенте Республики Беларусь. Сертификация – форма подтверждения соответствия, осуществляемого аккредитованным органом по сертификации. Сертификат соответствия – документ, удостоверяющий соответствие объекта оценки соответствия требованиям технических нормативных правовых актов в области технического нормирования и стандартизации. Сертификат компетентности – документ, удостоверяющий профессиональную компетентность физического лица (персонал) в выполнении определенных работ, услуг. Сертификацию продукции, услуг, систем управления и персонала осуществляют аккредитованные органы по сертификации. Аккредитованный орган по сертификации – юридическое лицо, аккредитованное для выполнения работ по подтверждению соответствия в определенной области аккредитации. В рамках Национальной системы подтверждения соответствия в Республике Беларусь проводится добровольная и обязательная сертификация продукции. Добровольная сертификация – форма подтверждения соответствия продукции, услуг, систем управления качеством, систем управления окружающей средой, профессиональной компетентности персонала и других объектов оценки соответствия, осуществляемого аккредитованным органом по сертификации по инициативе заявителя на подтверждение соответствия. При добровольной сертификации заявитель самостоятельно выбирает технические нормативные правовые акты, на соответствие которым осуществляется добровольная сертификация, и определяет номенклатуру показателей, проверяемых при добровольной сертификации. В номенклатуру этих показателей в обязательном порядке включаются показатели безопасности, если они установлены в технических нормативных правовых актах для данной продукции. Обязательная сертификация – форма подтверждения соответствия объектов оценки соответствия, включенных в Перечень продукции, услуг, персонала и иных объектов оценки соответствия, подлежащих обязательному подтверждению соответствия в Республике Беларусь, осуществляемого аккредитованным органом по сертификации. Обязательная сертификация продукции проводится на соответствие требованиям безопасности для жизни, здоровья и наследственности человека, имущества и охраны окружающей среды, установленным в законодательных актах Республики Беларусь и технических нормативных правовых актах, а также на соответствие другим показателям, установленным в технических нормативных правовых актах и подлежащим подтверждению соответствия при обязательной сертификации. Сертификация продукции включает: подачу заявки на сертификацию и представление документов, прилагаемых к ней; принятие решения по заявке; анализ технических нормативных правовых актов, конструкторской и технологической документации на продукцию; идентификацию продукции и отбор образцов продукции; испытания образцов продукции; анализ состояния производства; анализ результатов испытаний, анализ состояния производства и принятие решения о возможности выдачи сертификата соответствия; регистрацию и выдачу сертификата соответствия, а также заключение соглашения по сертификации между органом по сертификации и заявителем; инспекционный контроль за сертифицированной продукцией; разработку заявителем корректирующих мероприятий при нарушении соответствия продукции и (или) условий производства и хранения установленным требованиям и неправильном применении знака соответствия. Порядок проведения государственной экспертизы средств защиты информации определяется Положением о порядке проведения государственной экспертизы средств защиты информации, утвержденным Постановлением Совета Министров Республики Беларусь от 26 мая 2009 года №675. Государственная экспертиза определена как комплекс мероприятий по анализу и оценке объектов экспертизы на основе представленной документации и протоколов испытаний в целях получения достоверного результата допустимости их использования для обеспечения технической защиты информации. Объектами экспертизы выступает продукция, предназначенная для использования в государственных информационных системах, а также в информационных системах, содержащих информацию, распространение и (или) предоставление которой ограничено. Государственная экспертиза продукции проводится Оперативно-аналитическим центром при Президенте Республики Беларусь. Основной задачей государственной экспертизы является оценка качества продукции по технической защите информации. Государственная экспертиза продукции проводится на соответствие техническим нормативным правовым актам (только для продукции единичного производства) в области безопасности информации, а также на соответствие заявленным показателям (характеристикам) продукции по технической защите информации, содержащимся в документации изготовителя. Государственная экспертиза продукции проводится по инициативе заявителя. Для проведения экспертизы заявитель самостоятельно определяет технические нормативные правовые акты, на соответствие которым осуществляется экспертиза, и по согласованию с Оперативно-аналитическим центром определяет номенклатуру показателей, проверяемых при экспертизе. Государственная экспертиза продукции включает следующие этапы: подача заявки на проведение экспертизы с приложением необходимой технической, программной и эксплуатационной документации изготовителя на продукцию, регистрация документов; анализ заявки и прилагаемой к ней документации изготовителя на достаточность представленных материалов; принятие решения по заявке; заключение договора; идентификация продукции и отбор образцов для проведения испытаний; согласование аккредитованными испытательными лабораториями с органом государственной экспертизы методики испытаний; испытание образцов продукции и представление протоколов испытаний в орган государственной экспертизы; анализ результатов испытаний и принятие решения о возможности выдачи положительного экспертного заключения (экспертное заключение); оформление, регистрация и выдача экспертного заключения заявителю. Срок проведения государственной экспертизы, включая проведение испытаний в испытательных организациях, должен составлять не более 90 рабочих дней в зависимости от сложности представленной на экспертизу продукции. Срок действия экспертного заключения – 2 года. Под аттестацией объектов информатизации по требованиям безопасности информации понимается комплекс организационно-технических мероприятий, в результате которых подтверждается, что система защиты объектов информатизации соответствуют требованиям нормативных документов Республики Беларусь по защите информации от утечки по техническим каналам. К аттестуемым объектам информатизации относятся: выделенные помещения (объект «Защищаемое помещение»), предназначенные для ведения секретных переговоров или в которых находятся средства конфиденциальной телефонной связи; средства вычислительной техники (объект «Средства вычислительной техники»), используемые для обработки информации, отнесенной к государственным секретам. Аттестация предусматривает комплексную проверку (аттестационные испытания) защищаемых объектов в реальных условиях эксплуатации с целью оценки соответствия использованного комплекса мер и средств защиты требуемому уровню безопасности информации. По результатам аттестации оформляется документ «Аттестат соответствия». Аттестат соответствия выдается на период, в течение которого должны обеспечиваться неизменность условий функционирования объекта информатизации и технологии обработки защищаемой информации, но не более чем на 5 лет. 5.5 Стандарты Республики Беларусь серии 34.101 По состоянию на август 2012 года в Республике Беларусь действует ряд основных стандартов в области защиты информации и информационной безопасности (см. таблицу 5.1) и 30 стандартов из сери 34.101 (см. таблицу 5.2). Таблица 5.1
Таблица 5.2
5.6 Постановление Совета Министров Республики Беларусь № 675 от 26 мая 2009 «О некоторых вопросах защиты информации» Положение о порядке защиты информации в государственных информационных системах, а также информационных системах, содержащих информацию, распространение и (или) предоставление которой ограничено Глава 1 ОБЩИЕ ПОЛОЖЕНИЯ 1. Настоящее Положение разработано в соответствии с Законом Республики Беларусь от 10 ноября 2008 года "Об информации, информатизации и защите информации" (Национальный реестр правовых актов Республики Беларусь, 2008 г., N 279, 2/1552) и определяет порядок защиты информации в государственных информационных системах, а также информационных системах, содержащих информацию, распространение и (или) предоставление которой ограничено. 3. Для защиты информации в информационных системах создается система защиты информации, включающая комплекс организационных и технических мер, направленных на обеспечение конфиденциальности, целостности и доступности информации. 4. При создании систем защиты информации информационных систем должны применяться средства защиты информации, имеющие сертификат соответствия, выданный в Национальной системе подтверждения соответствия Республики Беларусь, или положительное экспертное заключение по результатам государственной экспертизы. 5. При взаимодействии между информационными системами, обрабатывающими информацию, распространение и (или) предоставление которой ограничено, должны применяться средства защиты информации, имеющие сертификат соответствия, выданный в Национальной системе подтверждения соответствия Республики Беларусь, или положительное экспертное заключение по результатам государственной экспертизы. 6. Подключение информационных систем, обрабатывающих информацию, распространение и (или) предоставление которой ограничено, к сетям общего пользования, в том числе к глобальной сети Интернет, запрещается. Глава 2 СОЗДАНИЕ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ 10. Комплекс мероприятий по созданию системы защиты информации в информационных системах включает: классификацию хранящихся и обрабатываемых в информационной системе сведений и разделение информации по категориям доступа; анализ организационной структуры информационной системы, порядка организации вычислительных процессов и условий ее функционирования; присвоение информационной системе класса типового объекта информатизации в соответствии с требованиями технических нормативных правовых актов в области защиты информации; разработку или корректировку политики информационной безопасности; разработку или корректировку задания по безопасности на информационную систему в соответствии с требованиями технических нормативных правовых актов в области защиты информации; реализацию требований задания по безопасности в информационной системе; оценку соответствия системы защиты информации требованиям нормативных правовых актов в области защиты информации, в том числе технических нормативных правовых актов, путем проведения мероприятий по аттестации системы защиты информации; ввод информационной системы в эксплуатацию. 11. Политика информационной безопасности – это совокупность документированных правил, процедур и требований в области защиты информации, действующих в организации и содержащих: цели построения системы защиты информации; перечень защищаемых сведений; определение ответственности субъектов информационных отношений за обеспечение защиты информации; определение прав и порядка доступа к защищаемой информации (субъектам информационных отношений предоставляется объективно необходимый для них уровень доступа к защищаемым сведениям); правила доступа к сетям общего пользования, в том числе глобальной сети Интернет; порядок работы с электронной почтой и другими системами обмена, передачи сообщений; порядок применения технических средств защиты и обработки информации; организационные мероприятия по разграничению доступа к техническим средствам защиты и обработки информации; порядок действий при возникновении угроз обеспечению целостности и конфиденциальности информационных ресурсов, в том числе чрезвычайных и непредотвратимых обстоятельств (непреодолимой силы), и ликвидации их последствий; инструкции для субъектов информационных отношений, регламентирующие порядок доступа к ресурсам информационной системы, установления подлинности субъектов, аудита безопасности, резервирования и уничтожения информации, контроля за целостностью защищаемых сведений, защиты от вредоносного программного обеспечения и вторжений. Глава 3 ПОРЯДОК КОНТРОЛЯ ЗА ЗАЩИЩЕННОСТЬЮ ИНФОРМАЦИИ 15. Контроль за соблюдением установленных в настоящем Положении требований по защите информации в процессе эксплуатации информационной системы осуществляют уполномоченные государственные органы в соответствии с их компетенцией. 16. Текущий контроль за соблюдением требований по защите информации осуществляется подразделением технической защиты информации или назначенным должностным лицом, ответственным за выполнение мероприятий по технической защите информации у собственника (владельца) информационной системы. Положение о порядке аттестации систем защиты информации 1. Настоящее Положение разработано в соответствии с Законом Республики Беларусь от 10 ноября 2008 года "Об информации, информатизации и защите информации" (Национальный реестр правовых актов Республики Беларусь, 2008 г., N 279, 2/1552) и определяет порядок аттестации систем защиты информации, используемых при обработке информации, распространение и (или) предоставление которой ограничено, а также информации, содержащейся в государственных информационных системах. Перечень исходных данных, представляемых заявителем по аттестуемой системе защиты информации: 1. Полное и точное наименование информационной системы, ее назначение. 2. Перечень информации, распространение и (или) предоставление которой ограничено. 3. Организационная структура информационной системы. 4. Правила разграничения доступа в информационной системе. 5. Модель нарушителя правил разграничения доступа в информационной системе. 6. Состав комплекса технических средств, на которых обрабатывается защищаемая информация. 7. Структура используемого программного обеспечения, предназначенного для обработки защищаемой информации, используемые протоколы обмена информацией. 8. Общая функциональная схема информационной системы, включая схему информационных потоков и режимы обработки защищаемой информации. 9. Наличие и характер взаимодействия с другими объектами. 10. Состав и структура системы защиты информации. 11. Сведения о разработчиках системы защиты информации. 12. Наличие сертификатов соответствия либо экспертных заключений на средства защиты информации. 13. Наличие и основные характеристики средств физической защиты информационной системы (помещений, где обрабатывается защищаемая информация и хранятся информационные носители). 14. Документы, устанавливающие отнесение информационной системы к классу типовых объектов информатизации согласно СТБ 34.101.30-2007. 15. Задание по безопасности на информационную систему. 16. Проектная и эксплуатационная документация на систему защиты информации, другие данные, влияющие на обеспечение защиты информации. 17. Организационно-распорядительные документы, регламентирующие вопросы обеспечения защиты информации в информационной системе (выписки из документов), включая: документ, подтверждающий наличие в организации подразделения по технической защите информации или специально назначенного должностного лица, ответственного за осуществление мероприятий по технической защите информации; инструкцию по обеспечению защиты информации в информационной системе; инструкцию о порядке применения средств защиты информации в информационной системе. 18. Программа проведения приемочных испытаний системы защиты информации. 19. Акт и протоколы приемочных испытаний системы защиты информации. 20. Протоколы испытаний средств защиты информации. 21. Протокол оценки задания по безопасности. Положение о порядке проведения государственной экспертизы средств защиты информации Глава 1 ОБЩИЕ ПОЛОЖЕНИЯ 1. Настоящим Положением, разработанным в соответствии с Законом Республики Беларусь от 10 ноября 2008 года "Об информации, информатизации и защите информации" (Национальный реестр правовых актов Республики Беларусь, 2008 г., N 279, 2/1552), определяется порядок проведения государственной экспертизы средств защиты информации. Глава 2 ПОДАЧА ЗАЯВКИ И ПРИНЯТИЕ РЕШЕНИЯ О ПРОВЕДЕНИИ ЭКСПЕРТИЗЫ Глава 3 ОТБОР ОБРАЗЦОВ И ПРОВЕДЕНИЕ ИСПЫТАНИЙ ПРОДУКЦИИ Глава 4 АНАЛИЗ РЕЗУЛЬТАТОВ ИСПЫТАНИЙ И ВЫДАЧА ЭКСПЕРТНОГО ЗАКЛЮЧЕНИЯ Глава 5 ИНФОРМАЦИЯ О РЕЗУЛЬТАТАХ ЭКСПЕРТИЗЫ Глава 6 ПРИОСТАНОВЛЕНИЕ ИЛИ ОТМЕНА ДЕЙСТВИЯ ЭКСПЕРТНОГО ЗАКЛЮЧЕНИЯ Глава 7 ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ |