ГОСУДАРСТВЕННАЯ ТЕХНИЧЕСКАЯ КОМИССИЯ
ПРИ ПРЕЗИДЕНТЕ РОССИЙСКОЙ
ФЕДЕРАЦИИ
защиты информации от иностранных технических
разведок и от ее утечки по техническим каналам
Одобрены решением Гостехкомиссии России от 16 ноября 1993 года № 6
В документе
изложена система взглядов, основные принципы организации и осуществления защиты информации, составляющей
государственную тайну, от иностранных технических разведок и от ее утечки по техническим каналам.
Основы концепции разработаны Гостехкомиссией России и рекомендуются для
использования в органах государственной власти, учреждениях и организациях, проводящих
работы, связанные со сведениями, относимыми к государственной тайне.
1. Понятие защиты информации
Защита информации - составная часть обеспечения национальной
безопасности народов и
территории Российской Федерации.
Она включает комплекс
правовых, организационных
и технических мероприятий, обеспечивающих предотвращение утечки или несанкционированного доступа к сведениям,
составляющим государственную тайну, исключение нарушений функционирования информационных и управляющих систем.
Защита информации, как специальное направление информационной
политики, есть
осуществляемое государством управление информацией с целью
рационального использования национального информационного ресурса и достижения максимального эффекта во
всех сферах государственной деятельности.
2.
Основные принципы обеспечения защиты информации
Основными принципами обеспечения защиты информации
являются:
·
законность;
·
соблюдение баланса жизненно важных интересов личности, общества и
государства;
·
взаимная ответственность личности, общества и государства по обеспечению защиты информации.
Законность реализуется путем разработки
твердой правовой основы в области защиты информации. При этом должна
учитываться необходимость соблюдения международных
договоров и соглашений, подписанных
от имени Российской Федерации.
Соблюдение баланса жизненно важных интересов личности, общества и
государства основывается на оценках ущерба, который может быть нанесен в
результате несанкционированного распространения
информации и ущерба, наносимого собственнику информации
в результате ее засекречивания. Соблюдение этого
баланса обеспечивается правильно выбранной стратегией защиты информации и
научной проработкой вопросов ее защиты.
Взаимная ответственность личности, общества и государства предусматривает ограничение прав собственности предприятий, учреждений, организаций и граждан
на информацию в связи с ее засекречиванием и компенсацию наносимого
собственнику информации материального ущерба. Реализуется путем продуманной организации
работ по защите информации с четким разграничением
прав и обязанностей, конкретными нормативно-техническими требованиями и
эффективным контролем за их выполнением.
3. Общие задачи защиты информации
Эффективная защита информации достигается путем
взаимосвязанного решения следующих общих задач:
·
определение цели защиты и сведений, которые, необходимо защищать от технических средств разведки;
·
анализ демаскирующих признаков, раскрывающих эти сведения;
·
оценка возможностей иностранных технических разведок и
реальной опасности утечки информации, составляющей
государственную тайну, или несанкционированного
доступа к ней, выявление
возможных технических каналов утечки информации;
·
разработка
и осуществление технически и экономически обоснованных мероприятий по защите;
·
организация и проведение контроля за состоянием защиты
секретной информации.
Цель защиты определяется исходя из важности охраняемой информации
(объекта), устойчивости объекта защиты к деструктивным
воздействиям, возможного ущерба в случае утечки информации или
несанкционированного доступа к объекту защиты и ожидаемых затрат на достижение
поставленной цели.
Целями защиты могут быть: полное скрытие объекта защиты; предотвращение
несанкционированного доступа к нему; скрытие его отдельных
характеристик, свойств: навязывание разведкам ложного представления о состоянии,
возможностях или предназначении защищаемого объекта.
Цель защиты может
меняться в зависимости от этапа работ, периода жизненного
цикла объекта защиты, или изменившихся условий или
требований.
Исходя из выбранной цели определяются сведения, подлежащие защите.
Защищать необходимо те сведения, за разведанностью
которых может последовать нанесение ущербе
интересам государства,
снижение боевой эффективности оружия или устойчивости объекта, преднамеренное уничтожение или искажение ин-формации, дезорганизация систем и сетей управления и т. д.
Анализ демаскирующих признаков заключается в как можно более полном изучении физических полей и сигналов,
которые могут быть перехвачены техническими средствами разведки в целях добывания
секретных сведений.
Оценка возможностей иностранных технических
разведок и реальной опасности утечки информации,
составляющей государственную тайну, производится применительно к конкретным
условиям проведения работ на основе моделей иностранных технических
разведок, модели нарушителя, разрабатываемых под руководством Гостехкомиссии России.
Выявление возможных технических каналов утечки секретной информации
строится на сопоставлении демаскирующих признаков и возможностей разведки в конкретных
условиях проведения работ.
Разработка и осуществление практических мер
защиты - решающее условие обеспечения защиты информации. Оно реализуется одним из двух (или
сочетанием обоих) методов:
·
скрытие;
·
техническая дезинформация.
Скрытие осуществляется путем проведения
технических и организационных мероприятий.
Технические мероприятия: конструкторские и
проектные решения; использование средств маскировки и помех; применение криптографических и
программно-технических способов защиты.
Организационные: территориальные, пространственные, энергетические, временные, частотные ограничения на работу
объектов защиты. Использование организационных мер во многих случаях позволяет избежать дорогостоящих технических решений.
Техническая дезинформация - введение в заблуждение иностранных разведок относительно действительных
возможностей и характеристик объекта защиты путем воспроизведения ложных демаскирующих признаков, имитации отдельных элементов н свойств, искажения внешних
признаков (физических полей) этого объекта;
передачи специальной информации, ложных сигналов и команд по каналам связи и управления.
Организация и проведение контроля - необходимое условие осуществления
эффективной защиты информации от иностранных технических
разведок и от ее утечки по техническим каналам.
Контроль должен строиться на следующих основных
принципах:
·
компетентность;
·
непрерывность;
·
всесторонность.
Компетентность необходима для получения своевременной и правильной оценки состояния защиты информации.
Обеспечивается достаточным уровнем полномочий н высокой квалификацией проверяющих
лиц.
Непрерывность обеспечивает контроль за соблюдением
требований по защите на
всех без исключения этапах проводимых работ.
Всесторонность
дает возможность оценить защищенность информации от всех видов
технической разведки. Реализуется принцип путем
применения космических, воздушных, морских и наземных средств контроля.
4.
Общие требования к защите информации
Защита информации будет эффективной и рациональной,
если выполняются
следующие общие требования:
·
обоснованность;
·
надежность;
·
достаточность;
·
гибкость в управлении;
·
своевременность.
Обоснованность.
Сложность решаемых задач, большой объем работ, а также ограниченность ресурсов вызывают
необходимость глубокого научного обоснования принимаемых решений по защите информации.
При обосновании необходимости защиты надо
исходить из внешнеполитических, оборонных и
экономических интересов государства, закладывая в решение проблем передовые научно-технические идеи и достижения.
Надежность. Одно
из главных требований. Обеспечивается глубокой проработкой всех
вопросов защиты, эффективными мерами защиты и контроля.
Достаточность.
Означает необходимость поиска надежных мер защиты, избегая излишних затрат.
Обеспечивается применением наиболее совершенных методов и средств защиты.
Способствует соблюдению баланса интересов государства и отдельных организаций
(предприятий), граждан.
Гибкость в управлении. Ввиду
многочисленности защищаемых объектов и сведений, возможного резкого изменения разведобстановки,
условий защиты и важности защищаемой информации нужна
гибко управляемая структура, обеспечивающая способность прогнозирования угроз и
их упреждающую нейтрализацию, оперативную и эффективную ликвидацию последствий угрозы. Обеспечивается главным образом высокой
степенью автоматизации средств и систем защиты и наличием быстродействующей
обратной связи.
Своевременность диктует необходимость заблаговременной, до начала проведения секретных
работ, разработки мер защиты и контроля. Несвоевременное проведение мероприятий
по защите может не только снизить ее эффективность, но и
привести к обратному результату.
5. Основы организации и управления защитой
информации
В основу организации защиты информации,
составляющей государственную тайну) положен принцип разделения прав и обязанностей
между субъектами обеспечения защищенности этой информации:
·
государством;
·
предприятиями и их объединениями, учреждениями и организациями;
·
отдельными гражданами.
Государство как основной субъект обеспечения защиты информации через
свои органы законодательной, исполнительной и судебной властей обеспечивает
создание условий для осуществления защиты, а именно:
·
создание системы правовых
норм, регулирующих отношения в области защиты информации;
·
проведение единой технической политики в этой области, координация
и методическое руководство работами по защите информации, разработка технических норм и рекомендаций;
·
разработка государственных программ
по защите информации;
·
общий контроль за состоянием
защиты информации.
Предприятия и их объединения, учреждения и организации независимо от формы
собственности, а также отдельные граждане, выполняющие работы, связанные с
использованием секретных сведений, обеспечивают полностью их защиту.
Основными формами управления работами по защите информации
являются:
·
государственный заказ на
проведение работ по защите информации;
·
лицензирование деятельности предприятий и организаций по вопросам защиты информации;
·
сертификация систем и средств информации и связи в части
защищенности информации от утечки но техническим
каналам, средств защиты и контроля;
·
аттестование объектов по выполнению требований обеспечения защиты информации при проведении
работ, связанных с использованием секретных сведений.
Для непосредственного выполнения функций по
обеспечению защиты информации создается Государственная система защиты информации в
Российской Федерации от иностранных технических разведок и от ее
утечки по техническим каналам (ГСЗИ).
В практической работе по руководству и организации защиты информации в стране должен соблюдаться принцип сочетания коллегиальности при решении общегосударственных
задач и полной самостоятельности и персональной
ответственности при постановке и решении задач защиты в
отдельной области деятельности.
Возглавляет ГСЗИ межведомственный
коллегиальный орган - Государственная техническая
комиссия при Президенте Российской Федерации.
Важнейшими образованьями ГСЗИ являются Министерство безопасности,
Министерство обороны, Министерство внутренних дел, Федеральное агентство
правительственной связи и информации при Президенте Российской Федерации,
Служба внешней разведки, которые в пределах своей
компетенции имеют определенные цели к объекты
защиты и располагают специфическими способами защиты.
Структура, функции и задачи этой системы, права и обязанности ее органов изложены в Положении
о ГСЗИ.
6. Основные направления совершенствования защиты
информации
Становление и развитие ГСЗИ требует совершенствования работ в следующих
основных направлениях:
1. Развитие общей стратегии и определение приоритетных направлений
защиты информации в условиях функционирования различных форм собственности,
конверсии оборонной промышленности, пересмотра концепции обороны, расширения
связей с иностранными государствами.
2. Совершенствование правового обеспечения. Решение на законодательном
уровне проблем:
·
определение правового статуса информации и информационно-программной продукции как объекта имущественного права;
·
развитие системы межгосударственного обмена информацией
и ее защиты при этом;
·
установление ответственности за правонарушения в области
защиты информации.
3. Организационное совершенствование.
Создание региональных систем защиты информации на уровне республик,
краев, областей, входящих в Российскую Федерацию. Организация и введение в
действие систем:
·
лицензирования работ по защите информации;
·
сертификации средств и систем информации и связи,
средств противодействия разведкам;
·
аттестования объектов защиты.
4. Совершенствование
научно-технического обеспечения. Разработка методик
и рекомендаций по оценке ущерба, который может быть причинен государству в случае утечки
информации, составляющей государственную тайну.
Уточнение критериев эффективности и норм защиты информации.
Исследование путей создания перспективных средств и способов защиты
информации.
Создание единой автоматизированной системы управления информацией.
5. Совершенствование системы финансового обеспечения работ по защите
информации.
Изложенные принципы и положения отражают общий подход
к защите информации от иностранных технических разведок и от ее утечки по
техническим каналам.
В самостоятельных областях государственной деятельности, прежде всего в
таких как оборона, внешняя политика, экономика, наука, экология и природные
ресурсы и т. д., являющихся прерогативой
соответствующих государственных органов, необходима конкретная проработка
концептуальных вопросов защиты информации. Нужно определить роль и значение
защиты информации, составляющей государственную тайну, в соответствующей области
деятельности государства; подход к определению сведений в этой области, которые
необходимо защищать от иностранных технических разведок; основные положения по
организации и осуществлению защиты информации; основные направления дальнейшего
совершенствования защиты информации.