НОРМАТИВНОЕ РЕГУЛИРОВАНИЕ В СФЕРЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. Курс лекций Москва 2021 Одобрено редакционноиздательским советом Академии управления мвд россии Рецензенты

53
ционные ресурсы (прежде всего ограниченного доступа), информа- ционные технологии и средства обработки информации.
Государственное регулирование отношений в данной сфере осуществляется путем установления требований о защите инфор- мации и установлении ответственности за нарушение законода- тельства Российской Федерации о защите информации.
Оператор, Министерство внутренних дел Российской Федера- ции обязано обеспечивать защиту всей информации, которая обра- батывается в информационных системах и содержащейся в базах данных.
С точки зрения обеспечения безопасности информации, важ- ным является классификация информации, в зависимости от кате- гории доступа к ней. В соответствии с федеральным законом, информация делится на общедоступную и информацию, доступ к которой ограничен федеральными законами (информация огра- ниченного доступа). Ограничение доступа к информации устанав- ливается Конституцией Российской Федерации и Федеральны- ми законами. В свою очередь информация ограниченного доступа делится на два вида: сведения, составляющую государственную тай- ну («секретно», «совершенно секретно», «особой важности») и кон- фиденциальную информацию.
В России занятие отдельными видами деятельности требует лицензирования, т. е. ими разрешено заниматься только после пред- варительного получения разрешения от властей
– лицензии.
В области защиты информации к законодательным актам, регулирующим процедуру лицензирования, относятся: Закон РФ от 21 июля 1993 г. № 5485-1 «О государственной тайне» и Феде- ральный закон от 4 мая 2011 г. № 99-ФЗ «О лицензировании отдельных видов деятельности», а также ряд постановлений Прави- тельства Российской Федерации. Законами устанавливаются общие принципы и назначается государственный орган, уполномоченный выдавать лицензии. Порядок выдачи лицензий определяется подза- конными актами.
Допуск предприятий, учреждений и организаций к проведению работ, связанных с созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защи- те государственной тайны осуществляется путем получения ими лицензий на проведение работ со сведениями соответствующей сте- пени секретности
1 1
О государственной тайне: Закон РФ от 21 июля 1993 г. № 5485-1 // СЗ РФ. 1997.
№ 41. Стр. 8220
−8235.

54
Порядок получения лицензий устанавливается Правитель- ством Российской Федерации. Допуск организаций к проведению работ, связанных с использованием сведений, составляющих госу- дарственную тайну, осуществляют органы, определенные Прави- тельством Российской Федерации. К ним относятся ФСБ России и ее территориальные органы (на территории Российской Федера- ции) и СВР России (за рубежом).
Лицензирование деятельности организаций на право прове- дения работ, связанных с созданием средств защиты информации, осуществляет ФСТЭК России, СВР России, Минобороны России и ФСБ России (в пределах их компетенции).
На право осуществления мероприятий и оказания услуг в обла- сти защиты государственной тайны лицензирование осуществляет
ФСБ России и ее территориальные органы, ФСТЭК России и СВР
России (в пределах их компетенции)
1
Вопросы установления обязательных технических норм и пра- вил подтверждения соответствия продукции, процессов проек- тирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализа- ции и утилизации, работ, услуг или иных объектов требованиям технических регламентов, положениям стандартов, сводов пра- вил или условиям договоров, стандартизации, государственно- го контроля (надзора) за соблюдением требований технических регламентов и т. д. регламентируются Федеральным законом от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании».
В данном законе
2
определены особенности технического регули- рования в отношении продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством
Российской Федерации иной информации ограниченного досту- па. В отношении указанной продукции (работ, услуг), а также, соответственно, процессов обязательными требованиями, наряду с требованиями технических регламентов, являются требования, установленные:
1
О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государ- ственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны: постановле- ние Правительства РФ от 15 апреля 1995 г. № 333 // СЗ РФ. 1995. № 17. Ст. 1540.
2
О техническом регулировании: федер. закон РФ от 27 декабря 2002 г. № 184-ФЗ //
СЗ РФ. 2002. № 52. Ч. 1. Ст. 5140.

55
– государственными заказчиками;
– федеральными органами исполнительной власти – ФСБ
России
1
, Минобороны России
2
, СВР России
3
, ФСТЭК России
4
;
– государственными контрактами (договорами).
Перечисленные федеральные органы исполнительной власти соответственно их компетенции наделены полномочиями по раз- работке и установлению своими нормативными правовыми актами и технической документацией обязательных требований в области технического регулирования продукции (работ, услуг), используе- мой в целях защиты сведений, составляющих государственную тай- ну или относимых к охраняемой в соответствии с законодательством
Российской Федерации иной информации ограниченного доступа.
Сертификация продукции (средств защиты информации),
используемой в целях защиты сведений, составляющих госу-
дарственную тайну. В Российской Федерации средства защиты информации подлежат обязательному подтверждению соответ- ствия в форме обязательной сертификации (система сертификации
СЗИ-ГТ). Средства защиты информации должны иметь сертифи- кат, удостоверяющий их соответствие требованиям по защите све- дений соответствующей степени секретности.
Обязательная сертификация в системе сертификации СЗИ-ГТ проводится на основании требований законодательства Российской
Федерации
5
Сертификация осуществляется на основании требований госу- дарственных стандартов и иных нормативных документов, утверж- даемых Правительством Российской Федерации.
Организация сертификации средств защиты информации воз- лагается на ФСТЭК России, ФСБ России и МО России в соот- ветствии с функциями, возложенными на них законодательством.
С целью организации сертификации средств защиты информации указанные органы, являясь федеральными органами по сертифика- ции, создают свои системы сертификации.
1
Вопросы федеральной службы безопасности Российской Федерации: Указ Прези- дента РФ от 11 августа 2003 г. № 960 // СЗ РФ. 2003. № 33. Ст. 3254.
2
Вопросы Министерства обороны Российской Федерации:
У
каз Президента РФ от 16 августа 2004 г. № 1082 // СЗ РФ. 2004. № 34. Ст. 3538.
3
О внешней разведке: федер. закон РФ от 10 января 1996 г. № 5-ФЗ // СЗ РФ.
1996. № 3. Ст. 143.
4
Вопросы Федеральной службы по техническому и экспортному контролю:
Указ
Президента РФ от 16 августа 2004 г. № 1085 // СЗ РФ. 2004. № 34. Ст. 3541.
5
О государственной тайне: Закон РФ от 21 июля 1993 г. № 5485-1 // СЗ РФ. 1997. № 41.

56
Координацию работ по организации сертификации средств защиты информации осуществляет Межведомственная комиссия по защите государственной тайны. Срок действия сертификата не может превышать пяти лет.
В Госстандарте России зарегистрирована «Система сертифи- кации средств криптографической защиты информации РОСС.
RU.0001.030001.», а также «Система сертификации средств защи- ты информации по требованиям безопасности информации РОСС.
RU.0001.01БИ00».
Данные документы определили организационную структуру системы сертификации шифровальных средств и средств защиты информации, а также установили основные правила проведения сертификационных исследований и испытаний данных средств защиты информации.
Перечень средств защиты информации, подлежащих сертифи- кации в Системе сертификации средств защиты информации по тре- бованиям безопасности информации (РОСС.RU.0001.01БИ00), а также виды средств защиты информации, подлежащие сертифика- ции в системе сертификации СЗИ-ГТ, определены в нормативных правовых актах ФСТЭК России и ФСБ России соответственно.

57
Лекция V. Основы технической защиты
информации
Вопрос 1. Технические каналы утечки информации
Повышенные требования к обеспечению информационной без- опасности предъявляет нынешний уровень и темпы технического прогресса. За последние годы количество физических процессов и объектов, используемых информационными технологиями, мно- гократно увеличилось. И появление в информационной сфере каж- дого нового технического и технологического процесса вызывает новые специфические требования к защите информации.
Под защитой информации в соответствии с Федеральным зако- ном № 149-ФЗ
1
понимается принятие правовых, организационных и технических мер, направленных:
– на обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копиро- вания, предоставления, распространения, а также от иных неправо- мерных действий в отношении такой информации;
– на соблюдение конфиденциальности информации ограни- ченного доступа;
– на реализацию права на доступ к информации.
Под техническим каналом утечки информации принято пони- мать систему, в состав которой входят:
1) объект разведки;
2) техническое средство, используемое для несанкционирован- ного получения сведений;
3) физическая среда, в которой распространяется информаци- онный сигнал.
Объектом разведки могут быть помещение, группа помещений или здание с хранящимися материалами ограниченного пользова- ния, технические каналы связи, используемые для передачи сведе- ний, отнесенных к различным видам тайн.
Физической средой, в которой распространяются информа- ционные сигналы, могут быть строительные конструкции зданий и сооружений, токопроводящие линии, среда распространения аку- стических (речевых) сигналов, электромагнитные поля.
1
Об информации, информационных технологиях и защите информации: федер. закон РФ от 27 июля 2006 г. № 149-ФЗ (в ред. от 21 июля 2014 г.) // СЗ РФ. 2006. № 31.
Ч. 1. Ст. 3448.

58
Средой распространения информации являются также техни- ческие средства обработки информации (далее – ТСОИ), находя- щиеся в помещении, – средства вычислительной техники, автома- тические телефонные станции, системы звукозаписи.
Классификация технических каналов утечки информации
Выделим следующие группы основных технических каналов утечки информации:
1) электромагнитные;
2) электрические;
3) каналы утечки видовой информации;
4) каналы утечки акустической (речевой) информации.
Заметим, что это неполный перечень всех возможных техниче- ских каналов утечки информации и методов ее несанкционирован- ного перехвата.
Электромагнитные каналы утечки информации. Вся работа- ющая электронная аппаратура и электронные системы, на какой бы технической базе они ни создавались, от телефонного аппара- та до современных компьютерных систем, от релейно-контактных и электронно-вакуумных модулей до сверхбольших интегральных схем и проводных коммуникаций создают электромагнитные поля, называемые побочными электромагнитными излучениями. Они способны создавать электромагнитные наводки в расположенных рядом слаботочных, силовых и осветительных сетях, линиях и аппа- ратуре охранно-пожарной сигнализации, проводных линиях связи, различных приемниках электромагнитных излучений.
В результате таких процессов возникают каналы утечки инфор- мационных сигналов, т. к. электромагнитное поле, создаваемое работающей аппаратурой, является носителем обрабатываемой или передаваемой информации. Специальные широкополосные приемники позволяют «считывать» электромагнитные излучения, а затем восстанавливать и отображать содержащуюся в них инфор- мационную составляющую.
Электрические каналы утечки информации возникают за счет:
– наводок электромагнитных излучений ТСОИ на коммутаци- онные линии вспомогательных технических систем и средств (далее –
ВТСС);
– утечек информационных сигналов в цепях электропитания
ТСОИ;
– утечек информационных сигналов в цепь заземления ТСОИ.
Например, побочные электромагнитные поля работающих ком- пьютеров производят наводки на близко расположенные коммутаци- онные линии ВТСС (охранно-пожарная сигнализация, телефонные

59
провода, сети электропитания, металлические трубопроводы). Наво- димая в них ЭДС существенна и распознаваема на частотах от десят- ков кГц до десятков мГц. В этом случае возможен съем информации путем подключения специальной аппаратуры к коммуникационным линиям за пределами контролируемой территории.
Каналы утечки видовой информации. Несанкционированное получение видовой или, как ее иногда называют, графической информации осуществляют путем наблюдения за объектом, пред- ставляющим оперативный интерес. Различных видов технических средств, используемых для этих целей, достаточно много – это бинокли, приборы ночного видения, фото- и видеотехника, и др.
Каналы утечки акустической (речевой) информации. Наибо- лее распространенным способом несанкционированного доступа к информации является перехват акустической (речевой) информа- ции. Каналы утечки акустической (речевой) информации принято классифицировать следующим образом:
– электроакустический;
– виброакустический;
– оптико-электронный;
– акустический;
– проводной;
– электромагнитный.
Электроакустический канал утечки информации. Ряд элементов
ВТСС, прежде всего, громкоговорители трансляционной сети, звон- ки телефонных аппаратов меняют свои электрические параметры
(емкость, индуктивность, сопротивление) под действием акустиче- ского сигнала. Изменение названных параметров вызывает моду- ляцию информационным сигналом токов, протекающих в элемен- тах ВТСС. Такие электроакустические преобразования получили название «микрофонного эффекта».
С точки зрения безопасности, телефонный аппарат имеет суще- ственный недостаток, поскольку его основные узлы (микрофон, мембрана, звонковая цепь) могут выполнять функции приемника и передатчика сигналов при несанкционированном прослушивании помещения, в котором он установлен. Звонковая цепь телефонного аппарата при положенной на рычаг трубке обладает «микрофонным эффектом». Подвижные части звонка вибрируют под действием речевых сигналов (разговор в помещении), что приводит к появле- нию в нем электрического тока малой амплитуды. Это, в свою очередь, позволяет провести соответствующую обработку возникающего в цепи сигнала и выделить звуковую составляющую за пределами контроли- руемого помещения.

60
Виброакустический канал несанкционированного снятия инфор-
мации из контролируемых помещений. Происходит снятие результа- тов воздействия акустических речевых сигналов на строительные конструкции и сооружения (панели перегородок стен, пол, потолок, воздуховоды, вентиляционные шахты, трубы и батареи отопления, оконные стекла и т. д.). Под воздействием акустических волн стро- ительные конструкции подвергаются микродеформации, в резуль- тате которой возникают упругие механические колебания, хорошо передающиеся в твердых однородных средах. Эти колебания воз- действуют на чувствительный элемент электронного стетоскопа
(вибродатчик) и преобразуются в электрический сигнал, который затем усиливается и может быть передан по проводным, оптиче- ским или радиоканалам связи.
Оптико-электронный канал утечки информации.Акустический контроль удаленных помещений, имеющих окна, может быть осу- ществлен с использованием оптико-электронных или, как их неред- ко называют, лазерных систем (лазерных микрофонов).
Современные лазерные системы позволяют осуществлять про- слушивание разговоров, ведущихся в помещении, на расстоянии от 100 м до1 км. Дальность действия во многом зависит от качества оконного стекла (величины микронеровностей), а также от степени его загрязненности и состояния атмосферной среды (от метеоус- ловий, задымленности и др.). С улучшением отражающей поверх- ности увеличивается дальность действия. Для этого применяются следующие приемы: стекло покрывается специальным материалом либо на нем наклеиваются небольшие отражатели. Для отражения лазерного луча могут быть также использованы элементы интерьера и мебели – стеклянные поверхности и зеркала внутри помещения.
Акустический канал утечки информации. Самым простым спо- собом перехвата речевой информации, не требующим использо- вания специальной техники, является подслушивание ведущихся разговоров. Неплотно прикрытая дверь в кабинет должностного лица, обсуждение сведений ограниченного распространения в кури- тельной комнате или за пределами служебных помещений, конфи- денциальное совещание, проводимое в помещении с открытыми окнами, – вот те простые, но вместе с тем вполне реальные каналы утечки информации.
Проводные каналы утечки акустической (речевой) информа-
ции