Защита информации от предварительной компьютерной разведки

Размещено на http://www.allbest.ru/

Оглавление

Введение

Глава 1. Требования к инженерно-технической защите информации объектов информатизации

1.1 Организация работ по защите информации

1.2 Общие требования и рекомендации

1.3 Основные требования и рекомендации по защите служебной тайны и персональных данных

1.4 Основные рекомендации по защите информации, составляющей коммерческую тайну

1.5 Порядок обеспечения защиты конфиденциальной информации при эксплуатации АС

1.6 Защита конфиденциальной информации на автоматизированных рабочих местах на базе автономных ПЭВМ

1.7 Защита информации при использовании съемных накопителей информации большой емкости для автоматизированных рабочих мест на базе автономных ПЭВМ

1.8 Защита информации в локальных вычислительных сетях

1.9 Защита информации при межсетевом взаимодействии

1.10 Защита информации при работе с системами управления базами данных

Глава 2. Компьютерная разведка

2.1 Аналитическая разведка средствами Интернет

Глава 3. Организационно-технические и технические мероприятия по защите информации от предварительной компьютерной разведки

3.1 Каналы утечки информации при эксплуатации технических средств передачи, обработки и хранения информации

3.2 Организационно-технические и технические мероприятия по защите информации на различных этапах реализации СЗИ

3.2.1 Защита информации при эксплуатации слаботочного оборудования

3.2.2 Защита информации в средствах электронно-вычислительной техники

Заключение

Литература

защита конфиденциальная информация компьютерная разведка

Введение

Развитие современных информационных технологий приняло грандиозные масштабы в области информатизации общества на базе современных средств вычислительной техники, связи, а также современных методов автоматизированной обработки информации. Применение этих средств и методов приняло всеобщий характер, а создаваемые при этом информационно-вычислительные системы сети становятся глобальными как в смысле территориальной распределенности, так и в смысле широты охвата в рамках единых технологий процессов сбора, передачи, накопления, хранения, поиска, переработки информации и выдачи ее для использования. Иными словами, человечество приступило к реализации задачи создания и использования целой индустрии переработки информации.

В современном мире информационный ресурс стал одним из наиболее мощных рычагов экономического развития. Владение информацией необходимого качества в нужное время и в нужном месте является залогом успеха в любом виде хозяйственной деятельности. Монопольное обладание определенной информацией оказывается зачастую решающим преимуществом в конкурентной борьбе и предопределяет, тем самым, высокую цену "информационного фактора".

Однако создание индустрии переработки информации, давая объективные предпосылки для грандиозного повышения эффективности жизнедеятельности человечества, порождает целый ряд сложных и крупномасштабных проблем. Одной из таких проблем является надежное обеспечение сохранности и установленного статуса использования информации, циркулирующей и обрабатываемой в информационно-вычислительных установках, центрах, системах и сетях или коротко - в автоматизированных системах обработки данных (АСОД). Данная проблема вошла в обиход под названием проблемы защиты информации.

В 2001 г. Государственной технической комиссией при президенте Российской Федерации были приняты требования и рекомендации по защите информации, обрабатываемой средствами вычислительной техники.

Название документа специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К).

Этот документ помогает установить порядок организации работ, требования и рекомендации по обеспечению технической защиты конфиденциальной информации на территории Российской Федерации и является основным руководящим документом в этой области для федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления, предприятий, учреждений и организаций (далее - учреждения и предприятия) независимо от их организационно-правовой формы и формы собственности, должностных лиц и граждан Российской Федерации, взявшим на себя обязательства либо обязанными по статусу исполнять требования правовых документов Российской Федерации по защите информации.

Также в настоящее время в области современной военной науки появилась концепция информационной войны которая включает в себя новый вид технической разведки - компьютерная разведка. Цели такой разведки достигаются путём добывания не только закрытых, но и открытых сведений, которые несут в себе полезную информацию необходимую для дальнейшего проникновения в автоматизированные системы обработки

Целью данной дипломной работы разработать предложения по организационно-техническим и техническим мероприятиям по защите информации от предварительной компьютерной разведки.

Для выполнения поставленной цели необходимо решить следующие задачи: анализ нормативных документов; документов по компьютерной разведке, изучение возможных технических каналов утечки информации; разработка мероприятий по защите информации на предварительном этапе компьютерной разведки.

В первой главе данной работы рассматривается нормативный документ Гостехкомиссии РФ - специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К).

Во второй главе проводится анализ средств и методов ведения компьютерной разведки, рассматриваются различные этапы компьютерной разведки, и выявляется информация, подлежащая защите на предварительном этапе КР.

В третьей главе рассматриваются возможные технические каналы утечки информации на стадии проектирования и приобретения, установки АСОД, при ведении переговоров, обсуждении и выборе АСОД и при переговорах с фирмой-представителем АСОД и использовании технических средств для обработки и передачи информации.

В данной работе использовались следующие материалы:

Меньшаков Ю.К. «Защита объектов и информации от технических средств разведки»

Книга отражает технические аспекты проблемы информации, рассматривая с одной стороны, средства и аппаратуру добывания сведений, с другой - технические способы и методы защиты информации. В книги приведены и подробно описаны виды технической разведки и методы, средства противодействия им.

Хорев А.А. «Способы и средства защиты информации».

В книге даются классификация и описание методов и средств защиты информации от утечки по техническим каналам при ее обработке техническими средствами, а также методов и средств защиты акустической (речевой) информации. Особое внимание уделено анализу технических характеристик и способов применения средств поиска электронных устройств перехвата. Коротко рассмотрены вопросы лицензирования в области защиты информации, сертификации средств защиты информации, а также аттестования объектов информации и организации защиты информации на объектах ТСПИ.

Хорев А.А. «Технические каналы утечки информации»

В данной книге даются классификация и описание технических каналов утечки информации, приводятся принципы работы и основные характеристики портативных средств акустической и радио-, радиотехнической разведки, средств скрытого наблюдения и съемки. Рассматриваются способы ведения разведки с использованием данных средств.

Халяпин Д.Б. «Вас подслушивают? Защищайтесь!»

В книге приведены общие подходы к комплексной защите информации и объектов. Классифицированы и систематизированы технические каналы утечки информации, определены энергетические и временные условия их проявления. Рассмотрены вопросы защиты, как самого выделенного помещения, так и расположенных в этом помещении технических средств с использованием организационно-технических и технических способов и средств активной, пассивной и комплексной защиты. Даны характеристики наиболее широко используемых средств защиты.

Торокин А.А. «Основы инженерно-технической защиты информации»

В данной книге в структурированном и систематизированном виде рассмотрены основные вопросы инженерно-технической защиты информации: от свойств информации как предмета защиты, ее источников и носителей, до методологии защиты информации в организации. Положения основ инженерно-технической защиты информации дополнены и иллюстрированы большим объемом фактических данных из открытых источников по способам и средствам добывания и защиты информации.

Ярочкин В.И. «Информационная безопасность»

В книге рассматривается проблема обеспечения информационной безопасности коммерческих и государственных предприятий и фирм. В книге приведены общие подходы к комплексной защите информации. Классифицированы и систематизированы технические каналы утечки информации, определены энергетические и временные условия их проявления. Рассмотрены вопросы с использованием организационно-технических и технических способов и средств активной, пассивной и комплексной защиты.

При классификации и описании мероприятий по защите использовались: нормативный документ Решение Коллегии Гостехкомиссии России № 7.2/02.03.01г. «Специальные Требования и Рекомендации По Технической Защите Конфиденциальной Информации»;

При описание структуры и информационных операций компьютерной разведки также использовались полевые уставы США FM 100-5 Headquarters Department of the Army Washington, DC, 27 August 1996 и FM 100-6 Headquarters Department of the Army Washington, DC, 27 August 1996.

Помимо упомянутых книг, также использовались периодические издания и специальная литература по вопросам защиты информации.

Глава 1. Требования к инженерно-технической защите информации объектов информатизации Решение Коллегии Гостехкомиссии России № 7.2/02.03.01г. «Специальные Требования и Рекомендации По Технической Защите Конфиденциальной Информации»

1.1 Организация работ по защите информации

Организация и проведение работ по технической защите информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, при ее обработке техническими средствами определяются настоящим документом, действующими государственными стандартами и другими нормативными и методическими документами Гостехкомиссии России.

Организация работ по защите информации возлагается на руководителей учреждений и предприятий, руководителей подразделений, осуществляющих разработку проектов объектов информатизации и их эксплуатацию, а методическое руководство и контроль за эффективностью предусмотренных мер защиты информации на руководителей подразделений по защите информации (служб безопасности) учреждения (предприятия).

Научно-техническое руководство и непосредственную организацию работ по созданию (модернизации) СЗИ объекта информатизации осуществляет его главный конструктор или другое должностное лицо, обеспечивающее научно-техническое руководство созданием объекта информатизации.

Разработка СЗИ может осуществляться как подразделением учреждения (предприятия), так и специализированным предприятием, имеющим лицензии Гостехкомиссии России и/или ФАПСИ на соответствующий вид деятельности в области защиты информации.

В случае разработки СЗИ или ее отдельных компонент специализированным предприятием, в учреждении (на предприятии), для которого осуществляется разработка (предприятие-заказчик), определяются подразделения (или отдельные специалисты), ответственные за организацию и проведение (внедрение и эксплуатацию) мероприятий по защите информации в ходе выполнения работ с использованием конфиденциальной информации.

Разработка и внедрение СЗИ осуществляется во взаимодействии разработчика со службой безопасности предприятия-заказчика, которая осуществляет методическое руководство и участвует в разработке конкретных требований по защите информации, аналитическом обосновании необходимости создания СЗИ, согласовании выбора средств вычислительной техники и связи, технических и программных средств защиты, организации работ по выявлению возможностей и предупреждению утечки и нарушения целостности защищаемой информации, в аттестации объектов информатизации.

Организация работ по созданию и эксплуатации объектов информатизации и их СЗИ определяется в разрабатываемом на предприятии "Руководстве по защите информации" или в специальном "Положении о порядке организации и проведения работ по защите информации" и должна предусматривать:

порядок определения защищаемой информации;

порядок привлечения подразделений предприятия, специализированных сторонних организаций к разработке и эксплуатации объектов информатизации и СЗИ, их задачи и функции на различных стадиях создания и эксплуатации объекта информатизации;

порядок взаимодействия всех занятых в этой работе организаций, подразделений и специалистов;

порядок разработки, ввода в действие и эксплуатацию объектов информатизации;

ответственность должностных лиц за своевременность и качество формирования требований по технической защите информации, за качество и научно-технический уровень разработки СЗИ.

В учреждении (на предприятии) должен быть документально оформлен перечень сведений конфиденциального характера (приложение № 6), подлежащих защите в соответствии с нормативными правовыми актами, а также разработана соответствующая разрешительная система доступа персонала к такого рода сведениям.

Устанавливаются следующие стадии создания системы защиты информации:

предпроектная стадия, включающая предпроектное обследование объекта информатизации, разработку аналитического обоснования необходимости создания СЗИ и технического (частного технического) задания на ее создание;

стадия проектирования (разработки проектов) и реализации объекта информатизации, включающая разработку СЗИ в составе объекта информатизации;

стадия ввода в действие СЗИ, включающая опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также аттестацию объекта информатизации на соответствие требованиям безопасности информации.

На предпроектной стадии по обследованию объекта информатизации:

устанавливается необходимость обработки (обсуждения) конфиденциальной информации на данном объекте информатизации;

определяется перечень сведений конфиденциального характера, подлежащих защите от утечки по техническим каналам;

определяются (уточняются) угрозы безопасности информации и модель вероятного нарушителя применительно к конкретным условиям функционирования;

определяются условия расположения объектов информатизации относительно границ КЗ;

определяются конфигурация и топология автоматизированных систем и систем связи в целом и их отдельных компонент, физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назначения;

определяются технические средства и системы, предполагаемые к использованию в разрабатываемой АС и системах связи, условия их расположения, общесистемные и прикладные программные средства, имеющиеся на рынке и предлагаемые к разработке;

определяются режимы обработки информации в АС в целом и в отдельных компонентах;

определяется класс защищенности АС;

определяется степень участия персонала в обработке (обсуждении, передаче, хранении) информации, характер их взаимодействия между собой и со службой безопасности;

определяются мероприятия по обеспечению конфиденциальности информации в процессе проектирования объекта информатизации.

По результатам предпроектного обследования разрабатывается аналитическое обоснование необходимости создания СЗИ.

На основе действующих нормативных правовых актов и методических документов по защите конфиденциальной информации, в т.ч. настоящего документа, с учетом установленного класса защищенности АС задаются конкретные требования по защите информации, включаемые в техническое (частное техническое) задание на разработку СЗИ.

Предпроектное обследование в части определения защищаемой информации должно базироваться на документально оформленных перечнях сведений конфиденциального характера.

Перечень сведений конфиденциального характера составляется заказчиком объекта информатизации и оформляется за подписью соответствующего руководителя.

Предпроектное обследование может быть поручено специализированному предприятию, имеющему соответствующую лицензию, но и в этом случае анализ информационного обеспечения в части защищаемой информации целесообразно выполнять представителям предприятия-заказчика при методической помощи специализированного предприятия.

Ознакомление специалистов этого предприятия с защищаемыми сведениями осуществляется в установленном на предприятии-заказчике порядке.

Аналитическое обоснование необходимости создания СЗИ должно содержать:

информационную характеристику и организационную структуру объекта информатизации;

характеристику комплекса основных и вспомогательных технических средств, программного обеспечения, режимов работы, технологического процесса обработки информации;

возможные каналы утечки информации и перечень мероприятий по их устранению и ограничению;

перечень предлагаемых к использованию сертифицированных средств защиты информации;

обоснование необходимости привлечения специализированных организаций, имеющих необходимые лицензии на право проведения работ по защите информации;

оценку материальных, трудовых и финансовых затрат на разработку и внедрение СЗИ;

ориентировочные сроки разработки и внедрения СЗИ;

перечень мероприятий по обеспечению конфиденциальности информации на стадии проектирования объекта информатизации.

Аналитическое обоснование подписывается руководителем предпроектного обследования, согласовывается с главным конструктором (должностным лицом, обеспечивающим научно-техническое руководство создания объекта информатизации), руководителем службы безопасности и утверждается руководителем предприятия-заказчика.

Техническое (частное техническое) задание на разработку СЗИ должно содержать:

обоснование разработки;

исходные данные создаваемого (модернизируемого) объекта информатизации в техническом, программном, информационном и организационном аспектах;

класс защищенности АС;

ссылку на нормативные документы, с учетом которых будет разрабатываться СЗИ и приниматься в эксплуатацию объект информатизации;

конкретизацию требований к СЗИ на основе действующих нормативно-методических документов и установленного класса защищенности АС;

перечень предполагаемых к использованию сертифицированных средств защиты информации;

обоснование проведения разработок собственных средств защиты информации, невозможности или нецелесообразности использования имеющихся на рынке сертифицированных средств защиты информации;

состав, содержание и сроки проведения работ по этапам разработки и внедрения;

перечень подрядных организаций-исполнителей видов работ;

перечень предъявляемой заказчику научно-технической продукции и документации.

Техническое (частное техническое) задание на разработку СЗИ подписывается разработчиком, согласовывается со службой безопасности предприятия-заказчика, подрядными организациями и утверждается заказчиком.

В целях дифференцированного подхода к защите информации производится классификация АС по требованиям защищенности от НСД к информации.

Класс защищенности АС от НСД к информации устанавливается совместно заказчиком и разработчиком АС с привлечением специалистов по защите информации в соответствии с требованиями руководящего документа (РД) Гостехкомиссии России "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации" и раздела 5 настоящего документа и оформляется актом.

Пересмотр класса защищенности АС производится в обязательном порядке, если произошло изменение хотя бы одного из критериев, на основании которых он был установлен.

На стадии проектирования и создания объекта информатизации и СЗИ в его составе на основе предъявляемых требований и заданных заказчиком ограничений на финансовые, материальные, трудовые и временные ресурсы осуществляются:

разработка задания и проекта на строительные, строительно-монтажные работы (или реконструкцию) объекта информатизации в соответствии с требованиями технического (частного технического) задания на разработку СЗИ;

разработка раздела технического проекта на объект информатизации в части защиты информации;

строительно-монтажные работы в соответствии с проектной документацией, утвержденной заказчиком, размещением и монтажом технических средств и систем;

разработка организационно-технических мероприятий по защите информации в соответствии с предъявляемыми требованиями;

закупка сертифицированных образцов и серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации, либо их сертификация;

закупка сертифицированных технических, программных и программно-технических (в т.ч. криптографических) средств защиты информации и их установка;

разработка (доработка) или закупка и последующая сертификация по требованиям безопасности информации программных средств защиты информации в случае, когда на рынке отсутствуют требуемые сертифицированные программные средства;

организация охраны и физической защиты помещений объекта информатизации, исключающих несанкционированный доступ к техническим средствам обработки, хранения и передачи информации, их хищение и нарушение работоспособности, хищение носителей информации;

разработка и реализация разрешительной системы доступа пользователей и эксплуатационного персонала к обрабатываемой (обсуждаемой) на объекте информатизации информации;

определение заказчиком подразделений и лиц, ответственных за эксплуатацию средств и мер защиты информации, обучение назначенных лиц специфике работ по защите информации на стадии эксплуатации объекта информатизации;

выполнение генерации пакета прикладных программ в комплексе с программными средствами защиты информации;

разработка эксплуатационной документации на объект информатизации и средства защиты информации, а также организационно-распорядительной документации по защите информации (приказов, инструкций и других документов);

выполнение других мероприятий, специфичных для конкретных объектов информатизации и направлений защиты информации.

Задание на проектирование оформляется отдельным документом, согласовывается с проектной организацией, службой (специалистом) безопасности предприятия-заказчика в части достаточности мер по технической защите информации и утверждается заказчиком.

Мероприятия по защите информации от утечки по техническим каналам являются основным элементом проектных решений, закладываемых в соответствующие разделы проекта, и разрабатываются одновременно с ними.

На стадии проектирования и создания объекта информатизации оформляются также технический (техно-рабочий) проект и эксплуатационная документация СЗИ, состоящие из:

пояснительной записки с изложением решений по комплексу организационных мер и программно-техническим (в том числе криптографическим) средствам обеспечения безопасности информации, состава средств защиты информации с указанием их соответствия требованиям ТЗ;

описания технического, программного, информационного обеспечения и технологии обработки (передачи) информации;

плана организационно-технических мероприятий по подготовке объекта информатизации к внедрению средств и мер защиты информации;

технического паспорта объекта информатизации (форма технического паспорта на АС приведена в приложении № 5);

инструкций и руководств по эксплуатации технических и программных средств защиты для пользователей, администраторов системы, а также для работников службы защиты информации .

На стадии ввода в действие объекта информатизации и СЗИ осуществляются:

опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объекта информатизации и отработки технологического процесса обработки (передачи) информации;

приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатации с оформлением приемо-сдаточного акта, подписываемого разработчиком (поставщиком) и заказчиком;

аттестация объекта информатизации по требованиям безопасности информации.

На этой стадии оформляются:

акты внедрения средств защиты информации по результатам их приемо-сдаточных испытаний;

предъявительский акт к проведению аттестационных испытаний;

заключение по результатам аттестационных испытаний.

При положительных результатах аттестации на объект информатизации оформляется "Аттестат соответствия" требованиям по безопасности информации (форма "Аттестата соответствия" для АС приведена в приложении № 2, для ЗП в приложении № 3)

Кроме вышеуказанной документации в учреждении (на предприятии) оформляются приказы, указания и решения:

о проектировании объекта информатизации, создании соответствующих подразделений разработки и назначении ответственных исполнителей;

о формировании группы обследования и назначении ее руководителя;

о заключении соответствующих договоров на проведение работ;

о назначении лиц, ответственных за эксплуатацию объекта информатизации;

о начале обработки в АС (обсуждения в защищаемом помещении) конфиденциальной информации.

Для объектов информатизации, находящихся в эксплуатации до введения в действие настоящего документа, может быть предусмотрен по решению их заказчика (владельца) упрощенный вариант их доработки (модернизации), переоформления организационно-распорядительной, технологической и эксплуатационной документации.

Программа аттестационных испытаний такого рода объектов информатизации определяется аттестационной комиссией.

Необходимым условием является их соответствие действующим требованиям по защите информации.

Эксплуатация объекта информатизации осуществляется в полном соответствии с утвержденной организационно-распорядительной и эксплуатационной документацией, с учетом требований и положений, изложенных в разделах 4-6 настоящего документа.

С целью своевременного выявления и предотвращения утечки информации по техническим каналам, исключения или существенного затруднения несанкционированного доступа и предотвращения специальных программно-технических воздействий, вызывающих нарушение целостности информации или работоспособность технических средств в учреждении (на предприятии), проводится периодический (не реже одного раза в год) контроль состояния защиты информации.

Контроль осуществляется службой безопасности учреждения (предприятия), а также отраслевыми и федеральными органами контроля (для информации, режим защиты которой определяет государство) и заключается в оценке:

соблюдения нормативных и методических документов Гостехкомиссии России;

работоспособности применяемых средств защиты информации в соответствии с их эксплутационной документацией;

знаний и выполнения персоналом своих функциональных обязанностей в части защиты информации.

Собственник или владелец конфиденциальной информации имеет право обратиться в органы государственной власти для оценки правильности выполнения норм и требований по защите его информации в информационных системах.

При необходимости по решению руководителя предприятия в ЗП и в местах размещения средств обработки информации могут проводиться работы по обнаружению и изъятию "закладок", предназначенных для скрытого перехвата защищаемой информации.

Такие работы могут проводиться организациями, имеющими соответствующие лицензии ФАПСИ или ФСБ России на данный вид деятельности.

1.2 Общие требования и рекомендации

Система (подсистема) защиты информации, обрабатываемой в автоматизированных системах различного уровня и назначения, должна предусматривать комплекс организационных, программных, технических и, при необходимости, криптографических средств и мер по защите информации при ее автоматизированной обработке и хранении, при ее передаче по каналам связи.

Основными направлениями защиты информации являются:

обеспечение защиты информации от хищения, утраты, утечки, уничтожения, искажения и подделки за счет НСД и специальных воздействий; обеспечение защиты информации от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи.

В качестве основных мер защиты информации рекомендуются:

документальное оформление перечня сведений конфиденциального характера с учетом ведомственной и отраслевой специфики этих сведений; реализация разрешительной системы допуска исполнителей (пользователей, обслуживающего персонала) к информации и связанным с ее использованием работам, документам; ограничение доступа персонала и посторонних лиц в защищаемые помещения и помещения, где размещены средства информатизации и коммуникации, а также хранятся носители информации; разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации; регистрация действий пользователей АС и обслуживающего персонала, контроль за несанкционированным доступом и действиями пользователей, обслуживающего персонала и посторонних лиц;

учет и надежное хранение бумажных и машинных носителей информации, ключей (ключевой документации) и их обращение, исключающее их хищение, подмену и уничтожение; использование СЗЗ, создаваемых на основе физико-химических технологий для контроля доступа к объектам защиты и для защиты документов от подделки; необходимое резервирование технических средств и дублирование массивов и носителей информации; использование сертифицированных серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации; использование технических средств, удовлетворяющих требованиям стандартов по электромагнитной совместимости; использование сертифицированных средств защиты информации; размещение объектов защиты на максимально возможном расстоянии относительно границы КЗ; размещение понижающих трансформаторных подстанций электропитания и контуров заземления объектов защиты в пределах КЗ; развязка цепей электропитания объектов защиты с помощью защитных фильтров, блокирующих (подавляющих) информативный сигнал; электромагнитная развязка между линиями связи и другими цепями ВТСС, выходящими за пределы КЗ, и информационными цепями, по которым циркулирует защищаемая информация; использование защищенных каналов связи (защищенных ВОЛС и криптографических средств ЗИ; размещение дисплеев и других средств отображения информации, исключающее несанкционированный просмотр информации; организация физической защиты помещений и собственно технических средств с помощью сил охраны и технических средств, предотвращающих или существенно затрудняющих проникновение в здания, помещения посторонних лиц, хищение документов и информационных носителей, самих средств информатизации, исключающих нахождение внутри контролируемой зоны технических средств разведки или промышленного шпионажа; криптографическое преобразование информации, обрабатываемой и передаваемой средствами вычислительной техники и связи (при необходимости, определяемой особенностями функционирования конкретных АС и систем связи); предотвращение внедрения в автоматизированные системы программ-вирусов, программных закладок. Обязательность тех или иных мер для защиты различных видов конфиденциальной информации конкретизирована в последующих подразделах документа.

В целях дифференцированного подхода к защите информации, обрабатываемой в АС различного уровня и назначения, осуществляемого в целях разработки и применения необходимых и достаточных мер и средств защиты информации, проводится классификация автоматизированных систем (форма акта классификации АС приведена в приложении № 1).

Классифицируются АС любого уровня и назначения. Классификация АС осуществляется на основании требований РД Гостехкомиссии России "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации" и настоящего раздела документа.

Классификации подлежат все действующие, но ранее не классифицированные, и разрабатываемые АС, предназначенные для обработки конфиденциальной информации.

Если АС, классифицированная ранее, включается в состав вычислительной сети или системы и соединяется с другими техническими средствами линиями связи различной физической природы, образуемая при этом АС более высокого уровня классифицируется в целом, а в отношении АС нижнего уровня классификация не производится. Если объединяются АС различных классов защищенности, то интегрированная АС должна классифицироваться по высшему классу защищенности входящих в нее АС, за исключением случаев их объединения посредством межсетевого экрана, когда каждая из объединяющихся АС может сохранять свой класс защищенности.

При рассмотрении и определении режима обработки данных в АС учитывается, что индивидуальным (монопольным) режимом обработки считается режим, при котором ко всей обрабатываемой информации, к программным средствам и носителям информации этой системы допущен только один пользователь. Режим, при котором различные пользователи, в т.ч. обслуживающий персонал и программисты, работают в одной АС, рассматривается как коллективный. Коллективным режимом работы считается также и последовательный во времени режим работы различных пользователей и обслуживающего персонала.

В случае, когда признаки классифицируемой АС (п. 1.7. РД Гостехкомиссии России "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации") не совпадают с предложенными в РД (п. 1.9) группами по особенностям обработки информации в АС, то при классификации выбирается наиболее близкая группа защищенности с предъявлением к АС соответствующих дополнительных требований по защите информации. (Например, однопользовательская АС с информацией различного уровня конфиденциальности по формальным признакам не может быть отнесена к 3 группе защищенности). Однако если дополнительно реализовать в такой системе управление потоками информации, то необходимый уровень защиты будет обеспечен.

Конкретные требования по защите информации и мероприятия по их выполнению определяются в зависимости от установленного для АС класса защищенности. Рекомендуемые классы защищенности АС, СЗЗ, средств защиты информации по уровню контроля отсутствия недекларированных возможностей, а также показатели по классам защищенности СВТ и МЭ от несанкционированного доступа к информации приведены в приложении № 7.

Лица, допущенные к автоматизированной обработке конфиденциальной информации, несут ответственность за соблюдение ими установленного в учреждении (на предприятии) порядка обеспечения защиты этой информации.

Для получения доступа к конфиденциальной информации они должны изучить требования настоящего документа, других нормативных документов по защите информации, действующих в учреждении (на предприятии) в части их касающейся.

1.3 Основные требования и рекомендации по защите служебной тайны и персональных данных

При разработке и эксплуатации АС, предполагающих использование информации, составляющей служебную тайну, а также персональных данных должны выполняться следующие основные требования.

Организация, состав и содержание проводимых работ по защите информации, организационно-распорядительной, проектной и эксплуатационной документации должны отвечать требованиям раздела 3.

В учреждении (на предприятии) должны быть документально оформлены перечни сведений, составляющих служебную тайну, и персональных данных, подлежащих защите. Эти перечни могут носить как обобщающий характер в области деятельности учреждения (предприятия), так и иметь отношение к какому-либо отдельному направлению работ. Все исполнители должны быть ознакомлены с этими перечнями в части их касающейся.

В соответствии с РД Гостехкомиссии России "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации" устанавливается следующий порядок классификации АС в зависимости от вида сведений конфиденциального характера:

АС, обрабатывающие информацию, составляющую служебную тайну, должны быть отнесены по уровню защищенности к классам 3Б, 2Б и не ниже 1Г;

АС, обрабатывающие персональные данные, должны быть отнесены по уровню защищенности к классам 3Б, 2Б и не ниже 1Д.

Для обработки информации, составляющей служебную тайну, а также для обработки персональных данных следует использовать СВТ, удовлетворяющие требованиям стандартов Российской Федерации по электромагнитной совместимости, по безопасности и эргономическим требованиям к средствам отображения информации, по санитарным нормам, предъявляемым к видеодисплейным терминалам ПЭВМ (ГОСТ 29216-91, ГОСТ Р 50948-96, ГОСТ Р 50949-96, ГОСТ Р 50923-96, СанПиН 2.2.2.542-96).

Для повышения уровня защищенности информации рекомендуется использовать сертифицированные по требованиям безопасности информации СВТ.

Для передачи информации по каналам связи, выходящим за пределы КЗ, необходимо использовать защищенные каналы связи, в том числе защищенные волоконно-оптические линии связи или предназначенные для этого криптографические средства защиты информации. Применяемые средства защиты информации должны быть сертифицированы.

Носители информации на магнитной (магнитно-оптической) и бумажной основе должны учитываться, храниться и уничтожаться в подразделениях учреждений (предприятий) в порядке, установленном для служебной информации ограниченного распространения, с пометкой "Для служебного пользования".

Доступ к информации исполнителей (пользователей, обслуживающего персонала) осуществляется в соответствии с разрешительной системой допуска исполнителей к документам и сведениям конфиденциального характера, действующей в учреждении (на предприятии).

При необходимости указанный минимальный набор рекомендуемых организационно-технических мер защиты информации по решению руководителя предприятия может быть расширен.

1.4 Основные рекомендации по защите информации, составляющей коммерческую тайну

При разработке и эксплуатации АС, предполагающих использование сведений, составляющих коммерческую тайну, рекомендуется выполнение следующих основных организационно-технических мероприятий:

На предприятии следует документально оформить "Перечень сведений, составляющих коммерческую тайну". Все исполнители должны быть ознакомлены с этим "Перечнем".

При организации разработки и эксплуатации АС с использованием таких сведений следует ориентироваться на порядок, приведенный в разделе 1.2. Оформить порядок разработки и эксплуатации таких АС документально.

Рекомендуется относить АС, обрабатывающие информацию, составляющую коммерческую тайну, режим защиты которой определяет ее собственник, по уровню защищенности к классам 3Б, 2Б и не ниже 1Д (если по решению руководителя предприятия не предъявляются более высокие требования).

Рекомендуется для обработки информации, составляющей коммерческую тайну, использовать средства вычислительной техники, удовлетворяющие требованиям стандартов Российской Федерации по электромагнитной совместимости, по безопасности и эргономическим требованиям к средствам отображения информации, по санитарным нормам, предъявляемым к видеодисплейным терминалам ПЭВМ (ГОСТ 29216-91, ГОСТ Р 50948-96, ГОСТ Р 50949-96, ГОСТ Р 50923-96, СанПиН 2.2.2.542-96).

Для повышения уровня защищенности информации рекомендуется использовать сертифицированные по требованиям безопасности информации СВТ.

Для передачи информации по каналам связи, выходящим за пределы контролируемой зоны, необходимо использовать защищенные каналы связи, в том числе защищенные волоконно-оптические линии связи или предназначенные для этого криптографические средства защиты информации.

Следует установить на предприятии порядок учета, хранения и уничтожения носителей информации на магнитной (магнитно-оптической) и бумажной основе в научных, производственных и функциональных подразделениях, а также разработать и ввести в действие разрешительную систему допуска исполнителей документам и сведениям, составляющим коммерческую тайну.

Указанный минимальный набор рекомендуемых организационно-технических мероприятий по решению руководителя предприятия может быть расширен.

Решение о составе и содержании мероприятий, а также используемых средств защиты информации принимается руководителем предприятия по результатам обследования создаваемой (модернизируемой) АС с учетом важности (ценности) защищаемой информации.

1.5 Порядок обеспечения защиты конфиденциальной информации при эксплуатации АС

Организация эксплуатации АС и СЗИ в ее составе осуществляется в соответствии с установленным в учреждении (на предприятии) порядком, в том числе технологическими инструкциями по эксплуатации СЗИ НСД для пользователей, администраторов АС и работников службы безопасности.

Для обеспечения защиты информации в процессе эксплуатации АС рекомендуется предусматривать соблюдение следующих основных положений и требований: допуск к защищаемой информации лиц, работающих в АС (пользователей, обслуживающего персонала), должен производиться в соответствии с установленным разрешительной системой допуска порядком; на период обработки защищаемой информации в помещениях, где размещаются ОТСС, могут находиться только лица, допущенные в установленном порядке к обрабатываемой информации; допуск других лиц для проведения необходимых профилактических или ремонтных работ может осуществляться в эти помещения только с санкции руководителя учреждения (предприятия) или руководителя службы безопасности; в случае размещения в одном помещении нескольких технических средств отображения информации должен быть исключен несанкционированный просмотр выводимой на них информации; по окончании обработки защищаемой информации или при передаче управления другому лицу пользователь обязан произвести стирание временных файлов на несъёмных носителях информации и информации в оперативной памяти. Одним из способов стирания информации в оперативной памяти является перезагрузка ПЭВМ; изменение или ввод новых программ обработки защищаемой информации в АС должен осуществляться совместно разработчиком АС и администратором АС; при увольнении или перемещении администраторов АС руководителем учреждения (предприятия) по согласованию со службой безопасности должны быть приняты меры по оперативному изменению паролей, идентификаторов и ключей шифрования.

Все носители информации на бумажной, магнитной, оптической (магнитооптической) основе, используемые в технологическом процессе обработки информации в АС, подлежат учету в том производственном, научном или функциональном подразделении, которое является владельцем АС, обрабатывающей эту информацию.

Учет съемных носителей информации на магнитной или оптической основе (гибкие магнитные диски, съемные накопители информации большой емкости или картриджи, съемные пакеты дисков, иные магнитные, оптические или магнитооптические диски, магнитные ленты и т.п.), а также распечаток текстовой, графической и иной информации на бумажной или пластиковой (прозрачной) основе осуществляется по карточкам или журналам установленной формы, в том числе автоматизировано с использованием средств вычислительной техники. Журнальная форма учета может использоваться в АС с небольшим объемом документооборота.

Съемные носители информации на магнитной или оптической основе в зависимости от характера или длительности использования допускается учитывать совместно с другими документами по установленным для этого учетным формам.

При этом перед выполнением работ сотрудником, ответственным за их учет, на этих носителях информации предварительно проставляются любым доступным способом следующие учетные реквизиты: учетный номер и дата, пометка "Для служебного пользования", номер экземпляра, подпись этого сотрудника, а также другие возможные реквизиты, идентифицирующие этот носитель.

Распечатки допускается учитывать совместно с другими традиционными печатными документами по установленным для этого учетным формам.

Временно не используемые носители информации должны храниться пользователем в местах, недоступных для посторонних лиц.

1.6 Защита конфиденциальной информации на автоматизированных рабочих местах на базе автономных ПЭВМ

Автоматизированные рабочие места на базе автономных ПЭВМ являются автоматизированными системами, обладающими всеми основными признаками АС. Информационным каналом обмена между такими АС являются носители информации на магнитной (магнитно-оптической) и бумажной основе. В связи с этим порядок разработки и эксплуатации АРМ на базе автономных ПЭВМ по составу и содержанию проводимых работ по защите информации, организационно-распорядительной, проектной и эксплуатационной документации должны полностью отвечать требованиям настоящего документа.

АС на базе автономных ПЭВМ в соответствии с требованиями РД Гостехкомиссии России "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации" должны быть классифицированы и отнесены: к 3 группе АС, если в ней работает только один пользователь, допущенный ко всей информации АС; ко 2 и 1 группе АС, если в ней последовательно работают несколько пользователей с равными или разными правами доступа (полномочиями), соответственно. Примечание: При использовании на автономной ПЭВМ технологии обработки информации на съемных накопителях большой емкости, классификация АС производится на основании анализа режима доступа пользователей АС к информации на используемом съемном накопителе (либо одновременно используемом их комплексе).

1.7 Защита информации при использовании съемных накопителей информации большой емкости для автоматизированных рабочих мест на базе автономных ПЭВМ

Данная информационная технология предусматривает запись на загружаемый съемный накопитель информации большой емкости одновременно общесистемного (ОС, СУБД) и прикладного программного обеспечения, а также обрабатываемой информации одного или группы пользователей. В качестве устройств для работы по этой технологии могут быть использованы накопители на магнитном, магнитооптическом или лазерном дисках различной конструкции, как встроенные (съемные), так и выносные. Одновременно может быть установлено несколько съемных накопителей информации большой емкости. Несъемные накопители должны быть исключены из конфигурации ПЭВМ.

Основной особенностью применения данной информационной технологии для АРМ на базе автономных ПЭВМ с точки зрения защиты информации является исключение этапа хранения на ПЭВМ в нерабочее время информации, подлежащей защите. Эта особенность может быть использована для обработки защищаемой информации без применения сертифицированных средств защиты информации от НСД и использования средств физической защиты помещений этих АРМ.

На этапе предпроектного обследования необходимо провести детальный анализ технологического процесса обработки информации, обращая внимание, прежде всего, на технологию обмена информацией (при использовании съемных накопителей информации большой емкости или гибких магнитных дисков (ГМД или дискет) с другими АРМ, как использующими, так и не использующими эту информационную технологию, на создание условий, исключающих попадание конфиденциальной информации на неучтенные носители информации, несанкционированное ознакомление с этой информацией, на организацию выдачи информации на печать.

Обмен конфиденциальной информацией между АРМ должен осуществляться только на учтенных носителях информации с учетом допуска исполнителей, работающих на АРМ, к переносимой информации.

На рабочих местах исполнителей, работающих по этой технологии, во время работы, как правило, не должно быть неучтенных накопителей информации. В случае формирования конфиденциальных документов с использованием, как текстовой, так и графической информации, представленной на неконфиденциальных накопителях информации, неконфиденциальные накопители информации должны быть "закрыты на запись". Условия и порядок применения таких процедур должны быть отражены в технологии обработки информации, использующей съемные накопители информации большой емкости.

При использовании в этой технологии современных средств вычислительной техники, оснащенных энергонезависимой, управляемой извне перезаписываемой памятью, так называемых Flash-Bios (FB), необходимо обеспечить целостность записанной в FB информации. Для обеспечения целостности, как перед началом работ, с конфиденциальной информацией при загрузке ПЭВМ, так и по их окончании, необходимо выполнить процедуру проверки целостности FB. При несовпадении необходимо восстановить (записать первоначальную версию) FB, поставить об этом в известность руководителя подразделения и службу безопасности, а также выяснить причины изменения FB.

Должна быть разработана и по согласованию с службой безопасности утверждена руководителем учреждения (предприятия) технология обработки конфиденциальной информации, использующая съемные накопители информации большой емкости и предусматривающая вышеуказанные, а также другие вопросы защиты информации, имеющие отношение к условиям размещения, эксплуатации АРМ, учету носителей информации, а также другие требования, вытекающие из особенностей функционирования АРМ.

1.8 Защита информации в локальных вычислительных сетях

Характерными особенностями ЛВС являются распределенное хранение файлов, удаленная обработка данных (вычисления) и передача сообщений (электронная почта), а также сложность проведения контроля за работой пользователей и состоянием общей безопасности ЛВС.

Средства защиты информации от НСД должны использоваться во всех узлах ЛВС независимо от наличия (отсутствия) конфиденциальной информации в данном узле ЛВС и требуют постоянного квалифицированного сопровождения со стороны администратора безопасности информации.

Информация, составляющая служебную тайну, и персональные данные могут обрабатываться только в изолированных ЛВС, расположенных в пределах контролируемой зоны, или в условиях, изложенных в пунктах 1.9.4. и 1.9.5. следующего подраздела.

Класс защищенности ЛВС определяется в соответствии с требованиями РД Гостехкомиссии России "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации".

Для управления ЛВС и распределения системных ресурсов в ЛВС, включая управление средствами защиты информации, обрабатываемой (хранимой, передаваемой) в ЛВС, в дополнение к системным администраторам (администраторам ЛВС) могут быть назначены администраторы по безопасности информации, имеющие необходимые привилегии доступа к защищаемой информации ЛВС.

Состав пользователей ЛВС должен устанавливаться по письменному разрешению руководства предприятия (структурного подразделения) и строго контролироваться. Все изменения состава пользователей, их прав и привилегий должны регистрироваться.