- •А.Н. Данилов, А.Л. Лобков
- •ОСНОВЫ ИНЖЕНЕРНО-ТЕХНИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ
- •1.1. Общие сведения о защите информации
- •1.2. Виды защищаемой информации
- •1.3. Источники и носители информации
- •1.6. Источники опасных сигналов
- •2.2. Видовые, сигнальные и вещественные
- •2.5. Физические основы проявления
- •2.6. Физические основы проявления
- •3.1. Общие сведения о технических каналах утечки информации
- •3.2. Классификация каналов утечки информации
- •3.3. Оптические каналы утечки информации
- •3.4. Радиоэлектронные каналы утечки информации
- •3.5. Акустические каналы утечки информации
- •Контрольные вопросы к главе 3
- •ПРИНЦИПЫ И СПОСОБЫ ДОБЫВАНИЯ ИНФОРМАЦИИ
- •4.1. Органы добывания информации
- •4.2. Принципы и технология добывания информации
- •Контрольные вопросы к главе 4
- •Контрольные вопросы к главе 5
- •6.1. Общие сведения о технических
- •6.3. Закладные устройства
- •ОРГАНИЗАЦИЯ ЗАЩИТЫ ИНФОРМАЦИИ
- •Контрольные вопросы к главе 6
- •7.2. Организационные и технические меры
- •7.3. Организация защиты информации
- •ПРИЛОЖЕНИЯ
- •1. Моделирование кабинета руководителя организации как объекта защиты
- •1.1. Обоснование выбора кабинета как объекта защиты
- •Перечень используемых терминов
- •СПИСОК РЕКОМЕНДУЕМОЙ ЛИТЕРАТУРЫ
7.3. Организация защиты информации
Организация защиты информации определяет содержание и порядок действий по обеспечению защиты информации (рис. 7.1).
Рис. 7.1. Схема организации защиты информации
Основные направления в организации защиты инфор мации определяются системой защиты, мероприятиями по защите информации и мероприятиями по контролю за эффек тивностью защиты информации, где:
—предлагаемая система защиты информации - это сово купность органов и/или исполнителей, используемая ими техни ка защипы информации, а также объекты защиты, организован ные и функционирующие по правилам, установленным соответ ствующими правовыми, организационно-распорядительными
инормативными документами по защите информации;
-мероприятие по защите информации определяет со вокупность действий по разработке и/или практическому
применению способов и средств защиты информации, а ме роприятие по контролю эффективности защиты информации - совокупность действий по разработке и/или практическо му применению методов (способов) и средств контроля эф фективности защиты информации.
Органом защиты информации выступает администра тивный орган, осуществляющий организацию защиты ин формации.
Объектом защиты является информация, носитель ин формации, информационный процесс, в отношении которых необходимо обеспечить защиту в соответствии с поставлен ной целью защиты информации.
Техника защиты информацииэто средства защиты информации, средства контроля эффективности защиты ин формации, средства и системы управления, предназначенные для обеспечения защиты информации.
К средствам и системам управления защиты информа ции можно отнести технические и программные средства и системы, используемые для организации и осуществления управления защитой информации.
В мероприятия по защите информации входят способы защиты информации, категорирование, лицензирование, сер тификация и аттестация.
Сертификация - это процесс, осуществляемый в отно шении такой категории, как «изделие» (средство). В результа те сертификации, после выполнения комплекса мероприятий, определенных правилами и порядком ее проведения, устанав ливается или подтверждается качество изделия. Сертификация
средств защиты |
информациидеятельность изготовителей |
и потребителей |
средств по установлению (подтверждению) |
соответствия средств ЗИ требованиям нормативных докумен тов по защите информации, утвержденных государственными органами по сертификации.
В соответствии с Положением о сертификации средств защиты информации участниками процесса сертификации являются:
-Федеральный орган по сертификации (Гостехкомис сия России, ФСБ России, Минобороны России, СВР России);
-Центральный орган сертификации - орган, возглав ляющий систему сертификации однородной продукции;
-изготовители-продавцы, исполнители продукции. Координация работ по организации сертификации
средств защиты информации возложена на МВК по защите государственной тайны.
Косновным этапам сертификации относятся:
-получение лицензии на осуществление определенно го вида деятельности;
-заявка в орган сертификации на проведение сертификации;
-решение органа сертификации о проведении сертификации;
-проверка производства системы защиты информации;
-реализация схемы стандартизации.
Изготовители сертифицированной продукции могут осуществлять свою деятельность:
-при наличии лицензии на соответствующий вид дея тельности;
-производить или реализовывать средства защиты ин формации только при наличии соответствующего сертификата;
-при изменениях в технологии изготовления или кон струкции и составе сертифицированных средств защиты ин формации изготовитель обязан известить об этом орган сер тификации, производивший сертификацию;
-маркировать сертифицированные средства защиты информации знаком соответствия;
-в случае выявления несоответствия средств защиты информации требованиям документов, по истечении срока
действия сертификата или его отмены прекращают изготов ление и реализацию этих средств.
Лицензирование —мероприятия-, связанные с предоставле нием лицензий, переоформлением документов подтверждаю щих наличие лицензии, аннулированием действий лицензий и контролем лицензирующих органов за соблюдением лицен зиатами при осуществлении лицензируемых видов деятельно сти соответствующих лицензионных требований и условий.
Лицензия - специальное разрешение на осуществление конкретного вида деятельности при обязательном соблюде нии лицензионных требований и условий, выданное лицензи рующим органом юридическому лицу или индивидуальному предпринимателю.
В области защиты информации лицензированию под лежат такие виды деятельности, как:
-деятельность по технической защите информации;
-деятельность по разработке и (или) производству средств защиты конфиденциальной информации;
-деятельность по выявлению электронных устройств,
предназначенных для негласного получения информации, в помещениях и технических средств (за исключением слу чая, когда указанная деятельность осуществляется для обес печения собственных нужд юридического лица или индиви дуального предпринимателя);
- разработка, производство, реализация и приобрете ние в целях продажи специальных технических средств, предназначенных для негласного получения информации ин дивидуальными предпринимателями и юридическими лица ми, осуществляющими предпринимательскую деятельность;
-деятельность по распространению шифрованных (криптографических) средств;
-деятельность по техническому обслуживанию шиф ровальных (криптографических) средств;
-предоставление услуг в области шифрования информации;
-разработка, производство шифровальных (крипто графических) средств, защищенных с использованием шиф ровальных (криптографических) средств информационных систем, телекоммуникационных систем;
-деятельность по выдаче сертификатов, ключей, элек
тронных цифровых подписей, оказанию услуг, связанных с использованием электронных цифровых подписей, и под тверждению подлинности электронных цифровых подписей.
В результате лицензирования субъект получает право на определенный вид деятельности в области защиты информации:
-лицензирование деятельности предприятий с исполь зованием сведений, составляющих государственную тайну. Лицензии выдаются ФСБ России - на территории России, СВР России —за рубежом;
-лицензирование деятельности в области защиты ин формации и работ, связанных с созданием средств защиты информации. Лицензии выдаются Гостехкомиссией России в пределах ее компетенции;
-лицензирование деятельности по оказанию услуг в об ласти защиты государственной тайны. Лицензии выдаются ФСБ России и ее территориальными органами, Гостехкомиссией Рос сии, СВР России в пределах прав, предоставленных законом.
Аттестация выделенных помещений - первичная про верка выделенных помещений и находящихся в них техниче ских средств на соответствие требованиям защиты. Наряду с аттестацией выделенные помещения подвергаются аттеста ционным проверкам.
Аттестационная проверка выделенных помещений —
периодическая проверка в целях регистрации возможных из менений состава технических средств, размещенных в поме щениях, выявление возможных неприятностей, регистрация
возможных изменений характера и степени конфиденциаль ности закрытых мероприятий. График периодических атте стационных проверок составляется исходя из следующих сроков: для помещений первой и второй групп - не реже од ного раза в год; для помещений третьей группы - не реже од ного раза в полтора года.
Под аттестацией объектов информации понимается комплекс организационно-технических мероприятий, в ре зультате которых посредством специального документа «Аттестата соответствия» подтверждается, что объект соот ветствует требованиям стандартов или иных нормативно технических документов по безопасности информации, ут вержденных Гостехкомиссией России.
Наличие на объекте информатизации действующего Аттестата соответствия дает право обработки информации с уровнем секретности (конфиденциальности) и на период времени, установленного в Аттестате соответствия.
Обязательной аттестации подлежат объекты информа тизации, предназначенные для обработки информации, со ставляющей государственную тайну, управления экологиче ски опасными объектами, ведения секретных переговоров.
В остальных случаях аттестация носит добровольный ха рактер (добровольная аттестация) и может осуществляться по инициативе заказчика или владельца объекта информатизации.
Аттестация по требованиям безопасности информации на объекте предшествует началу обработки подлежащей за щите информации и является официальным подтверждением эффективности комплекса используемых на данном объекте информатизации мер и средств защиты информации.
При аттестации объекта информатизации подтверждается его соответствие требованиям защиты информации от утечки, несанкционированного доступа, компьютерных вирусов, утечки путем побочных электромагнитных излучений и наводок цри
специальных воздействиях на объект (высокочастотное навязы вание и облучение, электромагнитное и радиационное воздей ствие), утечки или воздействия на нее путем специальных уст ройств, встроенных в объекты информатизации и т.п.
Аттестация предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта информа тизации в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности информации.
Установление градаций важности защиты информации (объекта защиты) определяет категорирование защищаемой информации (объекта защиты). Одно из важнейших направ лений организации защиты информации - это контроль за эффективностью защиты информации.
Применяют следующие виды контроля:
-предварительный;
-периодический;
-постоянный.
Предварительный контроль проводится при любых из менениях состава, структуры и алгоритма функционирования системы защиты информации, в том числе:
-после установки нового технического средства защи ты или изменения организационных мер;
-после проведения профилактических и ремонтных работ средств защиты;
-после устранения выявленных нарушений в системе
защиты.
Периодический контроль осуществляется с целью обес печения систематического наблюдения за уровнем защиты. Он проводится выборочно (применительно к отдельным те мам работ, структурным подразделениям или всей организа ции) по планам, утвержденным руководителем организации,
атакже вышестоящими органами.
Периодический (ежедневный, еженедельный, ежеме сячный) контроль должен проводиться также сотрудниками организации в части источников информации, с которыми они работают.
Общий (в рамках всей организации) периодический контроль проводится обычно два раза в год. Целью его явля ется тщательная проверка работоспособности всех элементов и системы защиты информации в целом.
Постоянный контроль осуществляется выборочно си лами службы безопасности и привлекаемых сотрудников ор ганизации с целью объективной оценки уровня защиты ин формации и прежде всего выявления слабых мест в системе защиты организации. Кроме того, такой контроль оказывает психологическое воздействие на сотрудников организации, вынуждая их более тщательно выполнять требования по обеспечению защиты информации.
Меры контроля, так же как и защиты, представляют со вокупность организационных и технических мероприятий, проводимых с целью проверки выполнения установленных требований и норм по защите информации. Организационные меры контроля включают:
-проверку выполнения сотрудниками требований ру ководящих документов по защите информации;
-проверку работоспособности средств охраны и защи
ты информации от наблюдения, подслушивания, перехвата и утечки информации по материально-вещественному каналу (наличие занавесок, штор, жалюзи на окнах, чехлов на разра батываемых изделиях, состояние звукоизоляции, экранов, средств подавления опасных сигналов и зашумления, емкостей для сбора отходов с демаскирующими веществами и т.д.);
- контроль за выполнением инструкций по защите ин формации о разрабатываемой продукции;
- оценку эффективности применяемых способов и средств защиты информации.
Технические меры контроля проводятся с использова нием технических средств радио- и электроизмерений, физи ческого и химического анализа и обеспечивают проверку:
-напряженности полей с информацией на границах контролируемых зон;
-уровней опасных сигналов и помех в проводах и эк ранах кабелей, выходящих за пределы контролируемой зоны:
-степени зашумления генераторами помех структур ных звуков в ограждениях;
-концентрации демаскирующих веществ в отходах производства.
Для измерения напряженности электрических полей используются селективные вольтметры, анализаторы спектра, панорамные приемники.
Следует также отметить, что добросовестное и посто янное выполнение сотрудниками организации требований по защите информации основывается на рациональном сочета нии способов принуждения и побуждения.
Принуждение - способ, при котором сотрудники орга низации вынуждены соблюдать правила обращения с источ никами и носителями конфиденциальной информации под угрозой материальной, административной или уголовной от ветственности.
Принуждение предусматривает создание у сотрудников установки на осознанное выполнение требований по защите информации, формирование моральных, этических, психоло гических и других нравственных мотивов. Воспитание побу дительных мотивов у сотрудников организации является од ной из задач службы безопасности, но ее усилия найдут отклик у тех сотрудников, которые доброжелательно относятся к ру ководству организации и рассматривают организацию как дол
говременное место работы. Создание условий, при которых место работы воспринимается как второй дом, является, по мнению компетентных аналитиков, одним из факторов эконо мического роста, например, Японии. Поэтому эффективность защиты в значительной степени влияет на климат в организа ции, который формируется ее руководством.
Контрольны е вопросы к главе 7
1.Назначение системы защиты информации.
2.Какие факторы защиты системы информации называ ются системообразующими?
3.Перечислите руководящие, нормативные и методические документы, необходимые для функционирования систе мы защиты организации.
4.Что включают в себя организационные меры инженер но-технической защиты информации?
5.Что включают в себя технические меры инженернотехнической защиты информации?
6.Перечислите объем работ, проводимых по внедрению технических мероприятий на защищаемом объекте.
7.На какие системы разделяется организация защиты ин формации?
8.Что такое сертификация?
9.Что такое лицензирование?
10.Что называется аттестацией выделенных помещений?
11.Что называется аттестационной проверкой выделенных помещений?
12.Для чего применяется предварительный контроль выде ленных помещений?
13.Для чего осуществляется периодический контроль выде ленных помещений?
14.Для чего применяется постоянный контроль?