Создание модели системы защиты коммерческой тайны для обеспечения информационной безопасности предприятий

средствами электронной цифровой подписи;

средствами сравнения критичных ресурсов с их эталонными копиями (и восстановления в случае нарушения целостности);

средствами разграничения доступа (запрет доступа с правами модификации или удаления).

В целях защиты информации и программ от несанкционированного уничтожения или искажения необходимо обеспечить:

дублирование системных таблиц и данных;

дуплексирование и зеркальное отображение данных на дисках;

отслеживание транзакций;

периодический контроль целостности операционной системы и пользовательских программ, а также файлов пользователей;

антивирусный контроль;

резервное копирование данных по заранее установленной схеме;

хранение резервных копий вне помещения файл-сервера;

обеспечение непрерывности электропитания для файл-серверов и критичных рабочих станций и кондиционирование электропитания для остальных станций сети.

7.3.4 Средства оперативного контроля и регистрации событий безопасности

Средства объективного контроля должны обеспечивать обнаружение и регистрацию всех событий (действий пользователей, попыток НСД и т.п.), которые могут повлечь за собой нарушение политики безопасности и привести к возникновению кризисных ситуаций. Средства контроля и регистрации должны предоставлять возможности:

ведения и анализа журналов регистрации событий безопасности (системных журналов). Журналы регистрации должны вестись для каждой рабочей станции сети;

оперативного ознакомления администратора безопасности с содержимым системного журнала любой станции и с журналом оперативных сообщений об НСД;

получения твердой копии (печати) системного журнала;

упорядочения системных журналов по дням и месяцам, а также установления ограничений на срок их хранения;

оперативного оповещения администратора безопасности о нарушениях.

При регистрации событий безопасности в системном журнале должна фиксироваться следующая информация:

дата и время события;

идентификатор субъекта (пользователя, программы), осуществляющего регистрируемое действие;

действие (если регистрируется запрос на доступ, то отмечается объект и тип доступа).

Средства контроля должны обеспечивать обнаружение и регистрацию следующих событий:

вход пользователя в систему;

вход пользователя в сеть;

неудачная попытка входа в систему или сеть (неправильный ввод пароля);

подключение к файловому серверу;

запуск программы;

завершение программы;

оставление программы резидентно в памяти;

попытка открытия файла недоступного для чтения;

попытка открытия на запись файла недоступного для записи;

попытка удаления файла недоступного для модификации;

попытка изменения атрибутов файла недоступного для модификации;

попытка запуска программы, недоступной для запуска;

попытка получения доступа к недоступному каталогу;

попытка чтения/записи информации с диска, недоступного пользователю;

попытка запуска программы с диска, недоступного пользователю;

нарушение целостности программ и данных системы защиты

и др.

Должны поддерживаться следующие основные способы реагирования на обнаруженные факты НСД (возможно с участием администратора безопасности):

извещение владельца информации о НСД к его данным;

снятие программы (задания) с дальнейшего выполнения;

извещение администратора баз данных и администратора безопасности;

отключение терминала (рабочей станции), с которого были осуществлены попытки НСД к информации;

исключение нарушителя из списка зарегистрированных пользователей;

подача сигнала тревоги и др.

7.3.5 Криптографические средства защиты информации

Одним из важнейших элементов системы обеспечения безопасности информации АС ОРГАНИЗАЦИИ должно быть использование криптографических методов и средств защиты информации от несанкционированного доступа при ее передаче по каналам связи.

Все средства криптографической защиты информации в АС ОРГАНИЗАЦИИ должны строиться на основе базисного криптографического ядра, прошедшего всесторонние исследования специализированными организациями ФАПСИ. Используемые средства криптографической защиты секретной информации должны быть сертифицированы, а вся подсистема, в которой они используются, должна быть аттестована ФАПСИ. На использование криптографических средств органы ОРГАНИЗАЦИИ должны иметь лицензию ФАПСИ.

Ключевая система применяемых в АС ОРГАНИЗАЦИИ шифровальных средств должна обеспечивать криптографическую живучесть и многоуровневую защиту от компрометации ключевой информации, разделение пользователей по уровням обеспечения защиты и зонам их взаимодействия между собой и пользователями других уровней.

Конфиденциальность и имитозащита информации при ее передаче по каналам связи должна обеспечиваться за счет применения в системе шифросредств абонентского и на отдельных направлениях канального шифрования. Сочетание абонентского и канального шифрования информации должно обеспечивать ее сквозную защиту по всему тракту прохождения, защищать информацию в случае ее ошибочной переадресации за счет сбоев и неисправностей аппаратно-программных средств центров коммутации.

В АС ОРГАНИЗАЦИИ, являющейся системой с распределенными информационными ресурсами, также должны использоваться средства формирования и проверки электронной цифровой подписи, обеспечивающие целостность и юридически доказательное подтверждение подлинности сообщений, а также аутентификацию пользователей, абонентских пунктов и подтверждение времени отправления сообщений. При этом должны использоваться только стандартизованные алгоритмы цифровой подписи, а соответствующие средства, реализующие эти алгоритмы, должны быть сертифицированы ФАПСИ.

7.4 Защита информации от утечки по техническим каналам

В качестве основных мер защиты информации, циркулирующей в АС ОРГАНИЗАЦИИ, рекомендуются:

использование сертифицированных серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации, а также образцов технических средств, прошедших специальные исследования, в соответствии с требованиями предписания на эксплуатацию;

использование сертифицированных средств защиты информации;

размещение объекта защиты относительно границы контролируемой зоны с учетом радиуса зоны возможного перехвата информации, полученного для данного объекта по результатам специальных исследований;

маскирующее зашумление побочных электромагнитных излучений и наводок информативных сигналов;

конструктивные доработки технических средств и помещений, где они расположены, в целях локализации возможных каналов утечки информации;

размещение понижающих трансформаторных подстанций электропитания и контуров заземления объектов защиты в пределах контролируемой зоны;

развязка цепей электропитания объектов защиты с помощью защитных фильтров, блокирующих (подавляющих) информативный сигнал;

периодическая проверка технических средств на отсутствие паразитной генерации их элементов;

создание выделенных сетей связи и передачи данных с учетом максимального затруднения доступа к ним посторонних лиц;

развязка линий связи и других цепей между выходящими за пределы контролируемой зоны и находящимися внутри нее;

использование защищенных каналов связи;

проверка импортных технических средств перед введением в эксплуатацию на отсутствие в них электронных устройств перехвата информации.

Техническая политика в области использования импортных технических средств информатизации

Одним из методов технической разведки, промышленного шпионажа является внедрение в конструкцию технических средств информатизации специальных электронных (закладных) устройств для съема, перехвата, ретрансляции информации или вывода технических средств из строя.

В целях противодействия такому методу воздействия для технических средств информатизации, предназначенных для обработки информации, составляющей государственную тайну, должен осуществляться специальный порядок приобретения импортных технических средств, проведение специальных проверок этих средств, осуществляемых специализированными организациями в соответствии с требованиями и по методикам ФАПСИ, осуществление радионаблюдения на объектах ОРГАНИЗАЦИИ.

Использование технических средств иностранного производства для обработки, и хранения конфиденциальной информации, или устанавливаемых в выделенных помещениях возможно при выполнении следующих условий:

проведены специальные исследования (сертификационные испытания) технических средств и выполнен полный комплекс работ по их специальной защите;

проведена специальная проверка технических средств на отсутствие в их составе возможно внедренных электронных устройств перехвата информации.

Специальная проверка технических средств иностранного производства может не проводиться при условии:

если суммарное затухание сигналов при их распространении от места установки технического средства до границ контролируемой зоны объекта составляет величину не менее 60 дБ в диапазоне частот 10 МГц - 10 ГГц;

при массовых поставках технических средств (к массовым относятся поставки, объем которых превышает 50 шт.), используемых в городах, не имеющих постоянных представительств иностранных государств, обладающих правом экстерриториальности (г.Зеленоград, г.Королев).

Обеспечение защиты информации от утечки по техническим каналам при ее обработке (обсуждении), хранении и передаче по каналам связи предусматривает:

предотвращение утечки обрабатываемой техническими средствами информации за счет побочных электромагнитных излучений и наводок, а также электроакустических преобразований, создаваемых функционирующими техническими средствами;

выявление возможно внедренных в импортные технические средства специальных электронных устройств съема (ретрансляции) или разрушения информации (закладных устройств);

предотвращение утечки информации в линиях связи;

исключение перехвата техническими средствами речевой информации при ведении конфиденциальных переговоров.

Предотвращение утечки обрабатываемой информации за счет побочных электромагнитных излучений и наводок, а также за счет электроакустических преобразований реализуется путем применения защищенных технических средств, сертифицированных по требованиям безопасности информации, внедрением объектовых мер защиты, в том числе установлением контролируемой зоны вокруг объектов АС ОРГАНИЗАЦИИ, средств активного противодействия (при необходимости) и др. Конкретные требования к мерам объектовой защиты определяются по результатам специальных исследований технических средств с учетом установленной категории защищаемого объекта в зависимости от степени конфиденциальности обрабатываемой информации и условий ее размещения.

Исключение перехвата техническими средствами речевой информации достигается проектными решениями, обеспечивающими необходимую звукоизоляцию помещений, применением технических средств и организационных мер защиты оборудования, расположенного в помещениях.

Основными направлениями снижения уровня и информативности ПЭМИН являются:

1) разработка и выбор оптимальных схем и элементов, основанных на применении устройств с низким уровнем излучения типа:

жидкокристаллических и газоразрядных экранов отображения;

оптико-электронных и волоконно-оптических линий передачи данных;

запоминающих устройств на магнитных доменах, голографических запоминающих устройств и т.п.;

2) экранирование (развязка) отдельных элементов и устройств АС, реализуемое путем:

локального экранирования излучающих элементов СВТ и средств связи;

экранирование кабелей и устройств заземления;

применение развязывающих фильтров в цепях питания и т.п.;

3) использование специальных программ и кодов, базирующихся:

на применении мультипрограммных режимов обработки данных, обеспечивающих минимальные интервалы обращения к защищаемой информации;

на применении параллельных многоразрядных кодов, параллельных кодов с малой избыточностью, а также симметричных кодов;

на ограничении регулярности вывода и времени отображения информации на устройствах отображения;

4) применение активных мешающих воздействий, основанных на использовании встроенных синхронизированных генераторов:

генераторов импульсных помех;

специальных (инверсных) схем заполнения интервалов;

5) использование специальных схем нарушения регулярности вывода информации на устройства отображения.

7.5 Защита речевой информации при проведении закрытых переговоров

Исходя из возможности перехвата речевой информации при проведении разговоров конфиденциального характера с помощью внедрения специальных электронных (закладных) устройств, транслирующих эту информацию, акустических, виброакустических и лазерных технических средств разведки, информации, наведенной на различные электрические и прочие цепи, выходящие за пределы контролируемой зоны, противодействие этим угрозам безопасности информационных ресурсов должно осуществляться всеми доступными средствами и методами.

Помещения, в которых предусматривается ведение конфиденциальных переговоров, должны быть проверены на предмет отсутствия в них (в стеновых панелях, фальшполах и фальшпотолках, мебели, технических средствах, размещенных в этих помещениях) закладных устройств, технические средства передачи информации (телефоны, телефаксы, модемы), а также различные электрические и прочие цепи, трубопроводы, системы вентиляции и кондиционирования и т.д. должны быть защищены таким образом, чтобы акустические сигналы не могли быть перехвачены за пределами контролируемой зоны, а в необходимых случаях и за пределами данного выделенного помещения.

В этих целях используются проектные решения, обеспечивающие звукоизоляцию помещений, специальные средства обнаружения закладных устройств, устанавливаются временные или постоянные посты радиоконтроля, на технические средства передачи информации устанавливаются устройства, предотвращающие перехват акустических сигналов с линий связи, на электрические цепи, выходящие за пределы контролируемой зоны, ставятся фильтры, а на трубопроводы - диэлектрические вставки, используются системы активной защиты в акустическом и других диапазонах.

7.6 Управление системой обеспечения безопасности информации

Управление системой обеспечения безопасности информации в АС представляет собой целенаправленное воздействие на компоненты системы обеспечения безопасности (организационные, технические, программные и криптографические) с целью достижения требуемых показателей и норм защищенности циркулирующей в АС ОРГАНИЗАЦИИ информации в условиях реализации основных угроз безопасности.

Главной целью организации управления системой обеспечения безопасности информации является повышение надежности защиты информации в процессе ее обработки, хранения и передачи.

Целями управления системой обеспечения безопасности информации являются:

на этапе создания и ввода в действие АС ОРГАНИЗАЦИИ - разработка и реализация научно-технических программ и координационных планов создания нормативно-правовых основ и технической базы, обеспечивающей использование передовых зарубежных средств и информационных технологий и производство отечественных технических и программных средств обработки и передачи информации в защищенном исполнении в интересах обеспечения безопасности информации АС; организация и координация взаимодействия в этой области разработчиков АС, концентрация кадровых, финансовых и иных ресурсов заинтересованных сторон при разработке и поэтапном вводе в действие системы; создание действенной организационной структуры, обеспечивающей комплексное решение задач безопасности информации при функционировании АС, в том числе службы безопасности АС, оснащенной необходимыми программно-аппаратными средствами управления и контроля;

на этапе эксплуатации АС - обязательное и неукоснительное выполнение предусмотренных на этапе создания АС правил и процедур, направленных на обеспечение безопасности информации, всеми задействованными в системе участниками, эффективное пресечение посягательств на информационные ресурсы, технические средства и информационные технологии, своевременное выявление негативных тенденций и совершенствование управления в области защиты информации.

Управление системой обеспечения безопасности информации реализуется специализированной подсистемой, представляющей собой совокупность органов управления, технических, программных и криптографических средств и организационных мероприятий и взаимодействующих друг с другом пунктов управления различных уровней.

Органами управления являются подразделения безопасности информации, а пунктами управления - центр управления безопасностью (ЦУБ) и автоматизированные рабочие места администраторов (операторов) безопасности, расположенные на объектах АС ОРГАНИЗАЦИИ.

Функциями подсистемы управления являются: информационная, управляющая и вспомогательная.

Информационная функция заключается в непрерывном контроле состояния системы защиты, проверке соответствия показателей защищенности допустимым значениям и немедленном информировании операторов безопасности о возникающих в АС ситуациях, способных привести к нарушению безопасности информации. К контролю состояния системы защиты предъявляются два требования: полнота и достоверность. Полнота характеризует степень охвата всех средств защиты и параметров их функционирования. Достоверность контроля характеризует степень адекватности значений контролируемых параметров их истинному значению. В результате обработки данных контроля формируется информация состояния системы защиты, которая обобщается (агрегируется) и передается на вышестоящие пункты управления.

Управляющая функция заключается в формировании планов реализации технологических операций АС с учетом требований безопасности информации в условиях, сложившихся для данного момента времени, а также в определении места возникновения ситуации уязвимости информации и предотвращении ее утечки за счет оперативного блокирования участков АС, на которых возникают угрозы безопасности информации. К управляющим функциям службы безопасности относятся учет, хранение, и выдача документов и информационных носителей, паролей и ключей. При этом генерация паролей, ключей, сопровождение средств разграничения доступа, приемка включаемых в программную среду АС новых программных средств, контроль соответствия программной среды эталону, а также контроль за ходом технологического процесса обработки секретной (конфиденциальной) информации возлагается на администратора автоматизированной системы (базы данных) и администратора службы безопасности, которые расположены в ЦУБ.

К вспомогательным функциям подсистемы управления относятся учет всех операций, выполняемых в АС с защищаемой информацией, формирование отчетных документов и сбор статистических данных с целью анализа и выявления потенциальных каналов утечки информации.

7.7 Контроль эффективности системы защиты

Контроль эффективности защиты информации осуществляется с целью своевременного выявления и предотвращения утечки информации по техническим каналам, за счет несанкционированного доступа к ней, а также предупреждения возможных специальных воздействий, направленных на уничтожение информации, разрушение средств информатизации.

Контроль может проводиться как службой безопасности (оперативный контроль в процессе информационного взаимодействия в АС), так и привлекаемыми для этой цели компетентными организациями, имеющими лицензию на этот вид деятельности, а также Инспекцией Гостехкомиссии России или Федеральным агентством правительственной связи и информации в пределах их компетенции.

Оценка эффективности мер защиты информации проводится с использованием технических и программных средств контроля на предмет соответствия установленным требованиям.

Контроль может осуществляться администратором безопасности как с помощью штатных средств системы защиты информации от НСД, так и с помощью специальных программных средств контроля.

8. ПЕРВООЧЕРЕДНЫЕ МЕРОПРИЯТИЯ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ИНФОРМАЦИИ АС ОРГАНИЗАЦИИ

Для реализации основных положений настоящей Концепции целесообразно провести (осуществить) следующие мероприятия:

создать во всех территориальных подразделениях ОРГАНИЗАЦИИ подразделения технической защиты информации в АС ОРГАНИЗАЦИИ и ввести ответственных (возможно внештатных, из числа сотрудников подразделения) за безопасность информации в структурных подразделениях ОРГАНИЗАЦИИ, определить их задачи и функции на различных стадиях создания, развития и эксплуатации АС и системы защиты информации;

для снижения затрат на создание системы защиты и упрощения категорирования и аттестации подсистем АС ОРГАНИЗАЦИИ рассмотреть возможность внесения изменений в конфигурацию сетей и СВТ, технологии обработки, передачи и хранения (архивирования) информации (с целью максимального разделения подсистем АС ОРГАНИЗАЦИИ, в которых обрабатывается информация различных категорий конфиденциальности);

определить порядок приобретения и использования сертифицированных серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации; образцов технических средств, прошедших специальные исследования, в соответствии с требованиями предписания на эксплуатацию, а также сертифицированных средств защиты информации;

уточнить (в том числе на основе апробации) конкретные требования к СЗИ, включаемые в ТЗ на разработку СЗИ АС ОРГАНИЗАЦИИ;

определить возможность использования в АС ОРГАНИЗАЦИИ имеющихся сертифицированных средств защиты информации;

произвести закупку сертифицированных образцов и серийно выпускаемых технических и программных средств защиты информации («SecretNet» и т.п.) и их внедрение на рабочих станциях и файловых серверах сети с целью контроля за изменением конфигурации аппаратных и программных средств и действиями пользователей;

произвести разработку и последующую сертификацию программных средств защиты информации в случае, когда на рынке отсутствуют требуемые программные средства;

для обеспечения режима удаленного доступа пользователей по сети ОРГАНИЗАЦИИ к информации конфиденциальных баз данных рассмотреть возможность разработки, сертификации и аттестации специальных криптографических средств. В их состав должны входить: сетевой криптошлюз, защищенные абонентские пункты доступа через криптошлюз, центр генерации и распространения ключей. На уровне прикладных программ необходимо разработать средства, обеспечивающие возможность доступа к конфиденциальным данным только с защищенных абонентских пунктов;

определить степень участия персонала в обработке (передаче, хранении, обсуждении) информации, характер его взаимодействия между собой и с подразделениями по защите информации;

произвести разработку и реализацию разрешительной системы доступа пользователей и эксплуатационного персонала АС ОРГАНИЗАЦИИ или иного объекта информатизации к обрабатываемой информации, оформляемой в виде раздела «Положения о разрешительной системе допуска исполнителей к документам и сведениям»;

произвести разработку организационно-распорядительной и рабочей документации по эксплуатации объекта информатизации в защищенном исполнении, а также средств и мер защиты информации в АС ОРГАНИЗАЦИИ (План защиты, Инструкции, обязанности и т.п.), регламентирующих процессы допуска пользователей к работе с АС ОРГАНИЗАЦИИ, разработки, приобретения и использования программного обеспечения на рабочих станциях и серверах, порядок внесения изменений в конфигурацию аппаратных и программных средств при ремонте, развитии и обслуживании СВТ, порядок применения и администрирования средств защиты информации и т.п.;

для снижения риска перехвата в сети с других рабочих станций имен и паролей привилегированных пользователей (в особенности администраторов средств защиты и баз данных) организовать их работу в отдельных сегментах сети, шире применять сетевые устройства типа switch, не использовать удаленных режимов конфигурирования сетевых устройств (маршрутизаторов, концентраторов и т.п.);

исключить доступ программистов в эксплуатируемые подсистемы АС ОРГАНИЗАЦИИ (к реальной информации и базам данных), организовать опытный участок АС для разработки и отладки программ. Передачу разработанных программ в эксплуатацию производить через архив эталонов программ (фонд алгоритмов и программ) подразделения, ответственного за эксплуатацию ПО;

для защиты компонентов ЛВС органов ОРГАНИЗАЦИИ от неправомерных воздействий из других ЛВС ОРГАНИЗАЦИИ и внешних сетей по IP - протоколу целесообразно использовать на узлах корпоративной сети ОРГАНИЗАЦИИ сертифицированные установленным порядком межсетевые экраны;

произвести опытную эксплуатацию средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объектов информатизации и отработки технологических процессов обработки (передачи) информации;

произвести специальную проверку импортных технических средств на предмет возможно внедренных в эти средства электронных устройств перехвата информации («закладок»);

произвести специальную проверку выделенных помещений на предмет обнаружения возможно внедренных в эти помещения или предметы интерьера электронных устройств перехвата информации («закладок»);

произвести обследование объекта информатизации и специальные исследования технических средств;

произвести конструктивные доработки технических средств и помещений, где они расположены, в целях локализации возможных технических каналов утечки информации (в случае необходимости);

произвести развязку цепей электропитания объектов защиты с помощью защитных фильтров, блокирующих (подавляющих) информативный сигнал;

произвести развязку линий связи и других цепей между выходящими за пределы контролируемой зоны и находящимися внутри нее;

произвести необходимую звуко- и виброизоляцию выделенных помещений;

произвести категорирование помещений, в которых проводятся обсуждения или ведутся переговоры по секретным вопросам (выделенных помещений);

произвести категорирование ОТСС, предназначенных для обработки, передачи и хранения конфиденциальной информации;

произвести классификацию защищенности автоматизированных систем от несанкционированного доступа (НСД) к информации, предназначенных для обработки конфиденциальной информации;

произвести оформление технического паспорта объекта информатизации (АС ОРГАНИЗАЦИИ);

произвести аттестацию объекта информатизации по требованиям защиты информации;

организовать охрану и физическую защиту объекта информатизации и отдельных технических средств, исключающих НСД к техническим средствам, их хищение и нарушение работоспособности;

организовать контроль состояния и эффективности защиты информации с оценкой выполнения требований нормативных документов организационно-технического характера, обоснованности принятых мер, проверки выполнения норм эффективности защиты информации по действующим методикам с применением поверенной контрольно-измерительной аппаратуры и сертифицированных программных средств контроля.

для контроля за состоянием защиты, выявлением слабых мест (уязвимостей) в системе защиты серверов и рабочих станций и принятия своевременных мер по их устранению (перекрытию возможности их использования злоумышленниками) необходимо использовать специальные программы оценки защищенности (сканеры, например InternetSecurityScanner фирмы ISS);

для контроля за правильностью настроек администраторами средств защиты на серверах под управлением ОС UNIX (SINIX) целесообразно использовать SystemSecurityScanner (фирмы ISS).

Приложение 1

ПЕРЕЧЕНЬ НОРМАТИВНЫХ ДОКУМЕНТОВ, РЕГЛАМЕНТИРУЮЩИХ ДЕЯТЕЛЬНОСТЬ В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ

Конституция Российской Федерации

Гражданский Кодекс Российской Федерации

Уголовный Кодекс Российской Федерации

Декларация прав и свобод человека и гражданина Российской Федерации

Законы Российской Федерации:

«Об информации, информатизации и защите информации» от 20 февраля 1995 г. № 24-ФЗ;

«О безопасности» от 5 марта 1992 г. № 2446-1;

«О связи» от 16 февраля 1995 г. №15-ФЗ;

«О государственной тайне» от 21 июля 1993 г. № 5485-1;

«О защите прав потребителей» от 7 февраля 1992 г. № 2300-1 в редакции Федерального закона от 9 января 1996 г. № 2-ФЗ;

«О сертификации продукции и услуг» от 10 июня 1993 г. № 5151-1;

«О федеральных органах правительственной связи и информации» от 19 февраля 1993 г. № 4524-1;

«Об участии в международном информационном обмене» от 4 июля 1996 г. № 85-ФЗ;

Указы Президента Российской Федерации:

«О создании Государственной технической комиссии при Президенте Российской Федерации» от 5 января 1992 г. № 9;

«О защите государственных секретов Российской Федерации» от 14 января 1992 г. № 20;

«Об утверждении перечня сведений, отнесенных к государственной тайне» от 30 ноября 1995 г. № 1203;

«О Межведомственной комиссии по защите государственной тайны» от 8 ноября 1995 г. № 1108;

«Вопросы Межведомственной комиссии по защите государственной тайны» от 20 января 1996 г. № 71 с изменениями, внесенными Указами Президента Российской Федерации от 21 апреля 1996 г. № 573, от 6 июня 1996 г. № 815, от 14 июня 1997 г. № 594;

«О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации» от 3 апреля 1995 г. № 334;

«О защите информационно-телекоммуникационных систем и баз данных от утечки конфиденциальной информации по техническим каналам» от 8 мая 1993 г. № 644;

«Об утверждении перечня сведений конфиденциального характера» от 6 марта 1997 г. № 188;

«О мерах по упорядочению разработки, производства, реализации, приобретения в целях продажи, ввоза в Российскую Федерацию и вывоза за ее пределы, а также использования специальных технических средств, предназначенных для негласного получения информации» от 9 января 1996 г. № 21;

«Об утверждении Государственной программы обеспечения защиты государственной тайны в Российской Федерации на 1996-1997 годы» от 9 марта 1996 г. № 346;

«Об основах государственной политики в сфере информатизации» от 20 января 1994 г. № 170.

Распоряжения Президента Российской Федерации:

«Положение о Государственной технической комиссии при Президенте Российской Федерации» от 28 декабря 1992г. № 829-рпс и от 05 июля 1993г. № 483-рпс;

Постановления Правительства Российской Федерации:

Инструкция № - 0126-87;

«О лицензировании отдельных видов деятельности» № 1418, 1994 г.;

«О лицензировании деятельности предприятий, учреждений и организации по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны» от 15 апреля 1995г. № 333;

«О внесении дополнения в Положение о лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны» от 30 апреля 1997г. № 513;

«Об утверждении Положения о лицензировании деятельности физических и юридических лиц, не уполномоченных на осуществление оперативно-розыскной деятельности, связанной с разработкой, производством, реализацией, приобретением в целях продажи, ввоза в Российскую Федерацию и вывоза за ее пределы специальных технических средств, предназначенных (разработанных, приспособленных, запрограммированных) для негласного получения информации, и перечня видов специальных технических средств, предназначенных (разработанных, приспособленных, запрограммированных) для негласного получения информации в процессе осуществления оперативно-розыскной деятельности» от 01 июля 1996г. № 770;

«Вопросы организации защиты государственных секретов Российской Федерации» от 02 апреля 1992г. № 20;

«Положение о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам» от 15 сентября 1993г. № 912-51;

«Об утверждении Правил отнесения сведений, составляющих государственную тайну, к различным степеням секретности» от 04 сентября 1995г. № 870;

«Об утверждении Положения о подготовке к передаче сведений, составляющих государственную тайну, другим государствам» от 02 августа 1997г. № 973;

«О сертификации средств защиты информации» от 26 июня 1995г. № 608;

«Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти» от 03 ноября 1994г. № 1233;

«Об утверждении Положения о выпуске и обращении ценных бумаг и фондовых биржах в РСФСР» от 28 декабря 1991г. № 78

«О перечне сведений, которые не могут составлять коммерческую тайну» от 05 декабря 1991г. № 35.

Решения Гостехкомиссии России:

«Основы концепции защиты информации в Российской Федерации от иностранной технической разведки и от ее утечки по техническим каналам» от 16 ноября 1993г. № 6;

«О типовых требованиях к содержанию и порядку разработки руководства по защите информации от технических разведок и от ее утечки по техническим каналам на объекте» от 03 октября 1995г. № 42;

Совместные решения Гостехкомиссии России и ФАПСИ:

«Положение о государственном лицензировании деятельности в области защиты информации» от 24 апреля 1994г. № 10 с дополнениями и изменениями, внесенными решением Гостехкомиссии России и ФАПСИ от 24 июня 1997г. № 60;

«Система сертификации средств криптографической защиты информации» (N РОСС RU.0001.03001);

Руководящие документы Гостехкомиссии России:

«Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации» (решение Председателя Гостехкомиссии России от 30 марта 1992г.);

«Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники» (решение Председателя Гостехкомиссии России от 30 марта 1992г.);

«Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (решение Председателя Гостехкомиссии России от 30 марта 1992г.);

«Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требований по защите информации» (решение Председателя Гостехкомиссии России от 30 марта 1992г.);

«Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (решение Председателя Гостехкомиссии России от 25 июля 1997г.)

«Перечень средств защиты информации, подлежащих сертификации в системе сертификации Гостехкомиссии России» (N РОСС RU.0001.01БИ00)

«Положение об аккредитации испытательных лабораторий и органов по сертификации средств защиты информации по требованиям по безопасности информации»;

«Положение по аттестации объектов информатизации по требованиям безопасности информации»;

Концепция безопасности информации Российской Федерации, 1996.

Концепция единого информационного пространства России.

Документы по созданию автоматизированных систем и систем защиты информации:

«Терминология в области защиты информации. Справочник» (ВНИИcтандарт, 1993);

ГОСТ 34.602-89 «Информационная технология. Комплекс стандартов на АС. Техническое задание на создание АС»;

РД. 50-34.698-90. «Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на АС. АС. Требования к содержанию документов»;

ГОСТ 24.202-80 «Система технической документации на АСУ»;

Требования к содержанию документа «Технико-экономическое обоснование создания АСУ»;

ГОСТ 6.38-90 «Система организационно-распорядительной документации. Требования к оформлению документов»;

ГОСТ 6.10.4-84 «Унифицированные системы документации. Придание юридической силы документам на машинном носителе и машинограмме, создаваемым средствами вычислительной техники»;

ЕСКД. «Эксплуатационная и ремонтная документация»;

ГОСТ 34.201-89. «Информационная технология. Комплекс стандартов на АС. Виды, комплектность и обозначение документов при создании АС»;

ГОСТ 28195-89. «Оценка качества программных средств. Общие положения»;

ГОСТ 28806-90. «Качество программных средств. Термины и определения»;

ГОСТ Р ИСО/МЭК 9126-93. «Информационная технология. Оценка программной продукции. Характеристики качества и руководства по их применению»;

ГОСТ 2.111-68. «Нормоконтроль»;

ГОСТ РВ 50170-92. «Противодействие ИТР. Термины и определения».

Стандарты по защите от НСД к информации:

ГОСТ Р 50922-96. «Защита информации. Основные термины и определения»№

ГОСТ Р 50739-95. «Средства вычислительной техники. Защита от НСД к информации. ОТТ»;

ГОСТ ВД 16325-88. «Машины вычислительные электронные цифровые общего назначения. ОТТ. Дополнения».

Стандарты по криптографической защите и ЭЦП:

ГОСТ 28147-89. «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования»;

ГОСТ Р 34.10-94. «Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма»;

ГОСТ Р 34.11-94. «Функция хеширования».

Стандарты, применяемые при оценке качества объектов информатизации:

ГОСТ 40.9001-88. «Системы качества. Модель обеспечения качества при проектировании и(или) разработке, производстве, монтаже и обслуживании»;

ГОСТ 40.9003-88. «Системы качества. Модель для обеспечения качества при окончательном контроле и испытаниях»;

«Порядок проведения Госстандартом России государственного контроля и надзора за соблюдением обязательных требований государственных стандартов, правил обязательной сертификации и за сертифицированной продукцией (работами, услугами)» от 30 декабря 1993 г. № 239;

ГОСТ 28906-91. «Системы обработки информации. Взаимосвязь открытых систем. Базовая ЭТАЛОННАЯ модель»;

ГОСТ 16504-81. «Испытания и контроль качества продукции»;

ГОСТ 28195-89. «Оценка качества программных изделий. Общие положения».

Нормативные документы, регламентирующие сохранность информации на объекте информатизации:

«Об использовании в качестве доказательств по арбитражным делам документов, подготовленных с помощью электронно-вычислительной техники» (Инструктивные указания Государственного Арбитража СССР от 29 июня 1979 г. № И-1-4);

«Об отдельных рекомендациях, принятых на совещаниях по судебно-арбитражной практике» Раздел IV. Могут ли подтверждаться обстоятельства дела доказательствами, изготовленными и подписанными с помощью средств электронно-вычислительной техники, в которых использована система цифровой (электронной) подписи? (Письмо Высшего Арбитражного суда Российской Федерации от 19 августа 1994 г. № C1-7/ОП-587 в редакции от 12сентября 1996 г.);

«О Федеральном законе «Об информации, информатизации и защите информации»» (Письмо Высшего Арбитражного суда Российской Федерации от 07июня 1995 г. № C1-7/03-316).

Стандарты ЕСПД, ЕСКД, СРПП:

ЕСКД. «Эксплуатационная и ремонтная документация»;

ГОСТ 34.603-92. «Виды испытаний АС»;

ГОСТ 23773-88. Машины вычислительные электронные цифровые общего назначения. Методы испытаний»;

ГОСТ 27201-87. «Машины вычислительные электронные персональные. Типы, основные параметры, ОТТ»;

ГОСТ 21964-76. «Внешние воздействующие факторы. Номенклатура и характеристики»;

ГОСТ В 15.210-78. «Испытания опытных образцов изделий. Основные положения»;

ГОСТ В 15.211-78. «СРПП ВТ. Порядок разработки программ и методик испытаний опытных образцов изделий»;

ГОСТ В 15.110-81. «Документация отчетная научно - техническая на НИР и ОКР. Основные положения»;

ГОСТ Р 34.951-92. «Информационная технология. Взаимосвязь открытых систем. Услуги сетевого уровня»;

Стандарты в области терминов и определений:

ГОСТ 34.003-90. «Информационная технология. Комплекс стандартов на АС. Термины и определения»;

ГОСТ Р В 50170-92. «Противодействие ИТР. Термины и определения»

ГОСТ 15971-90. «СОИ. Термины и определения»;

ГОСТ 22348-77. «Единые автоматизированные системы связи. Термины и определения»;

ГОСТ 29099-91. «Сети вычислительные локальные. Термины и определения»;

ГОСТ 28806-90. «Качество программных средств. Термины и определения»;

Приложение 2

ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

Термины и определения согласно действующих ГОСТ, используемые в данном документе:

Объект защиты - по ГОСТ Р 50992-96;

Организационный контроль эффективности защиты информации - по ГОСТ Р 50992-96;

Показатель качества программной продукции (программного средства) - по ГОСТ 28809-90

Приемо-сдаточные испытания - по ГОСТ 16504-81;

Программа испытаний - по ГОСТ 16504-81;

Программная продукция - по ГОСТ 28809-90;

Средство защиты информации - по ГОСТ Р 50992-96;

Цель защиты информации - по ГОСТ Р 50992-96;

Кроме того, применены следующие термины:

Безопасность - состояние защищенности жизненно важных интересов личности, предприятия, общества и государства от внутренних и внешних угроз. Безопасность достигается проведением единой политики в области охраны и защиты важных ресурсов, системой мер экономического, политического, организационного и иного характера, адекватных угрозам жизненно важным интересам личности, общества и государства;

Безопасность компьютерной информации - достижение требуемого уровня защиты (класса и категории защищенности) объекта информатизации при обработке информации и ее передаче через сети передачи данных (СПД), обеспечивающего сохранение таких ее качественных характеристик (свойств), как: секретность (конфиденциальность), целостность и доступность;

Внешний воздействующий фактор - воздействующий фактор, внешний по отношению к объекту информатизации;

Внутренний воздействующий фактор - воздействующий фактор, внутренний по отношению к объекту информатизации;

Вредоносные программы - программы или измененные программы объекта информатизации (ОИ), приводящие к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ОИ;

Выделенное помещение (ВП) - помещение для размещения технических средств защищенного объекта информатизации, а также помещение, предназначенное для проведения семинаров, совещаний, бесед и других мероприятий, в котором циркулирует конфиденциальная речевая информация;

Доступ к информации - ознакомление с информацией или получение возможности ее обработки. Доступ к информации регламентируется ее правовым режимом и должен сопровождаться строгим соблюдением его требований. Доступ к информации. осуществленный с нарушениями требований ее правового режима, рассматривается как несанкционированный доступ;

Замысел защиты - основная идея, раскрывающая состав, содержание, взаимосвязь и последовательность мероприятий, необходимых для достижения цели защиты информации и объекта;

Защита информации (ЗИ) - деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на информацию (ГОСТ Р 50922-96);

Защита информации от несанкционированного доступа (НСД) - деятельность по предотвращению получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации (ГОСТ Р 50922-96);

Защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации (ГОСТ Р 50922-96);

Физический канал утечки информации - неконтролируемый физический путь от источника информации за пределы организации или круга лиц, обладающих охраняемыми сведениями, посредством которого возможно неправомерное (несанкционированное) овладение нарушителем защищаемой информацией;

Компьютерная информация - информация в виде:

записей в памяти ЭВМ, электронных устройствах, на машинных носителях (элементы, файлы, блоки, базы данных, микропрограммы, прикладные и системные программы, пакеты и библиотеки программ, микросхемы, программно-информационные комплексы и др.), обеспечивающих функционирование объекта информатизации (сети);

сообщений, передаваемых по сетям передачи данных;

программно-информационного продукта, являющегося результатом генерации новой или обработки исходной документированной информации, представляемого непосредственно на экранах дисплеев ОИ, на внешних носителях данных (магнитные диски, магнитные ленты, оптические диски, дискеты, бумага для распечатки и т.п.) или через сети передачи данных;

электронных записей о субъектах прав;

Лицензия в области защиты информации - разрешение на право проведения тех или иных работ в области защиты информации;

Пароль - служебное слово, которое считается известным узкому кругу лиц (одному лицу) и используется для ограничения доступа к информации, в помещение, на территорию;

Показатель эффективности защиты информации - мера или характеристика для оценки эффективности защиты информации (ГОСТ Р 50992-96);

Угроза - реально или потенциально возможные действия по реализации опасных воздействующих факторов на АС с целью преднамеренного или случайного (неумышленного) нарушения режима функционирования объекта и нарушения свойств защищаемой информации или других ресурсов объекта;

Естественные угрозы - это угрозы, вызванные воздействиями на АС и ее элементы объективных физических процессов или стихийных природных явлений, независящих от человека;

Искусственные угрозы - это угрозы АС, вызванные деятельностью человека. Среди них, исходя из мотивации действий, можно выделить:

непреднамеренные (неумышленные, случайные) угрозы, вызванные ошибками в проектировании АС и ее элементов, ошибками в программном обеспечении, ошибками в действиях персонала и т.п.;

преднамеренные (умышленные) угрозы, связанные с корыстными устремлениями людей (злоумышленников);

Угроза автоматизированной системе - потенциально возможное событие, действие, процесс или явление, которое может привести к нанесению ущерба ресурсам АС;

Уязвимость автоматизированной системы - любая характеристика АС, использование которой может привести к реализации угрозы;

Атака на автоматизированную систему - любое действие, выполняемое нарушителем, которое приводит к реализации угрозы, путем использования уязвимостей АС;

Уровень защиты (класс и категория защищенности) ОИ - характеристика, описываемая в нормативных документах определенной группой требований к данному классу и категории защищенности;

Угроза безопасности информации - случайное (неумышленное) или преднамеренное (злоумышленное) воздействие, приводящее к нарушению целостности, доступности и конфиденциальности информации или поддерживающей ее инфраструктуры, которое наносит ущерб собственнику, распорядителю или пользователю информации;

Естественные угрозы - это угрозы, вызванные воздействиями на АС и ее элементы объективных физических процессов техногенного характера или стихийных природных явлений, независящих от человека;

Искусственные угрозы - это угрозы АС, вызванные деятельностью человека. Среди них, исходя из мотивации действий, можно выделить:

непреднамеренные (неумышленные, случайные) угрозы, вызванные ошибками в проектировании АС и ее элементов, ошибками в программном обеспечении, ошибками в действиях персонала и т.п.;

преднамеренные (умышленные) угрозы, связанные с корыстными устремлениями людей (злоумышленников);

Информационные способы нарушения безопасности информации - включают:

противозаконный сбор, распространение и использование информации;

манипулирование информацией (дезинформация, сокрытие или искажение информации);

незаконное копирование информации (данных и программ);

незаконное уничтожение информации;

хищение информации из баз и банков данных;

нарушение адресности и оперативности информационного обмена;

нарушение технологии обработки данных и информационного обмена.

Программно-математические способы нарушения безопасности информации - включают:

внедрение программ-вирусов;

внедрение программных закладок как на стадии проектирования системы (в том числе путем заимствования "зараженного" закладками программного продукта), так и на стадии ее эксплуатации, позволяющих осуществить несанкционированный доступ или действия по отношению к информации и системам ее защиты (блокирование, обход и модификация систем защиты, извлечение, подмена идентификаторов и т.д.) и приводящих к компрометации системы защиты информации.

Физические способы нарушения безопасности информации - включают:

уничтожение, хищение и разрушение средств обработки и защиты информации, средств связи, целенаправленное внесение в них неисправностей;

уничтожение, хищение и разрушение машинных или других оригиналов носителей информации;

хищение ключей (ключевых документов) средств криптографической защиты информации, программных или аппаратных ключей средств защиты информации от несанкционированного доступа;

воздействие на обслуживающий персонал и пользователей системы с целью создания благоприятных условий для реализации угроз безопасности информации;

диверсионные действия по отношению к объектам безопасности информации (взрывы, поджоги, технические аварии и т.д.).

Радиоэлектронные способы нарушения безопасности информации - включают:

перехват информации в технических каналах ее утечки (побочных электромагнитных излучений, создаваемых техническими средствами обработки и передачи информации, наводок в коммуникациях (сети электропитания, заземления, радиотрансляции, пожарной и охранной сигнализации и т.д.) и линиях связи, путем прослушивания конфиденциальных разговоров с помощью акустических, виброакустических и лазерных технических средств разведки, прослушивания конфиденциальных телефонных разговоров, визуального наблюдения за работой средств отображения информации);

перехват и дешифрование информации в сетях передачи данных и линиях связи;

внедрение электронных устройств перехвата информации в технические средства и помещения;

навязывание ложной информации по сетям передачи данных и линиям связи;

радиоэлектронное подавление линий связи и систем управления.

Организационно-правовые способы нарушения безопасности информации - включают:

закупку несовершенных, устаревших или неперспективных средств информатизации и информационных технологий;

невыполнение требований законодательства и задержки в разработке и принятии необходимых нормативных правовых и технических документов в области безопасности информации.

АВТОМАТИЗИРОВАННАЯ СИСТЕМА ОБРАБОТКИ ИНФОРМАЦИИ (АС) - организационно-техническая система, представляющая собой совокупность следующих взаимосвязанных компонентов: технических средств обработки и передачи данных (средств вычислительной техники и связи), методов и алгоритмов обработки в виде соответствующего программного обеспечения, массивов (наборов, баз) данных на различных носителях, персонала и пользователей, объединенных по организационно-структурному, тематическому, технологическому или другим признакам для выполнения автоматизированной обработки данных с целью удовлетворения информационных потребностей государственных органов, общественных или коммерческих организаций (юридических лиц), отдельных граждан (физических лиц) и иных потребителей информации;