Рекомендации

по организации работ по защите информации

от ее утечки по техническим каналам и

противодействию иностранным техническим разведкам

 

В соответствии с законами Российской Федерации "О государственной тайне", "Об информации, информатизации и защите информации" и других законодательных актов РФ сведения, составляющие государственную и служебную тайну, подлежат обязательной защите, от утечки по техническим каналам. Мероприятия по защите информации и противодействию иностранным техническим разведкам (ИТР) являются составной частью управленческой, научной и производственной деятельности и осуществляются во взаимосвязи с другими мерами по обеспечению установленного режима секретности проводимых предприятием работ.

Основными документами, регламентирующими порядок организации и проведения мероприятий по защите информации, отнесенной к государственной и служебной тайне, являются:

·        “Положение о государственной системе защиты информации в РФ от иностранных технических разведок и от ее утечки по техническим каналам”, утвержденное постановлением Правительства от 15.09.93 г. № 912-51;

·        “Специальные требования и рекомендации по защите информации, составляющей государственную тайну, от утечки по техническим каналам”, утвержденные Решением Гостехкомиссии от 23.05.97 г. № 55.

Требования настоящих документов обязательны для выполнения при проведении работ по защите информации, содержащей сведения, составляющие государственную и служебную тайну, в органах представительной, исполнительной и судебных властей Российской Федерации, органах государственной власти, предприятиях, организациях и учреждениях независимо от их организационно-правовой формы и формы собственности (далее именуются - предприятия).

Организация работ по защите информации на предприятиях возлагается на их руководителей, а методическое руководство и контроль за обеспечением защиты информации - на руководителей подразделений по защите информации.

Создаваемые на предприятиях системы защиты информации (СЗИ) призваны обеспечить защиту секретных (служебных) данных от утечки по техническим каналам и противодействие средствам ИТР.

Система защиты информации, в общем виде, включает в себя комплекс организационных, технических и программных мероприятий, направленных на предотвращение утечки секретной (служебной) информации по техническим каналам, несанкционированного доступа к ней, предупреждению преднамеренных программно-технических воздействий с целью разрушения (уничтожения) или искажения информации в процессе ее обработки, передачи и хранения, противодействие иностранным техническим разведкам.

Разработка СЗИ должна производится подразделением по технической защите информации предприятия или ответственным за это направление во взаимодействии с разработчиками и ответственными за эксплуатацию объектов информатизации. Для проведения работ по созданию СЗИ могут привлекаться на договорной основе специализированные предприятия, имеющие      соответствующие лицензии на данный вид деятельности.

Порядок организации и проведения на предприятии работ по созданию и защите объектов информатизации, предназначенных для обработки секретной (служебной) информации, специальных изделий с охраняемыми от ИТР сведениями должен определяться "Руководством по защите информации" или иным специальным документом.

Работы по созданию системы защиты информации рекомендуется проводить в три стадии:

·     предпроектная стадия, включающая определение перечня защищаемых информационных ресурсов и технических средств, классификацию и категорирование объектов информатизации, разработку технического задания на создание СЗИ;

·     стадия разработки СЗИ;

·     стадия ввода в действие СЗИ, включающая закупку, установку, опытную эксплуатацию и приемосдаточные испытания средств защиты информации, а также аттестацию объектов информатизации на их соответствие установленным требованиям.

На первой стадии проводятся следующие работы:

·     приказом по предприятию вводится запрет на обработку секретной (служебной) информации на всех объектах информатизации до принятия необходимых мер по их технической защите. Одновременно этим же приказом назначаются ответственные должностные лица за организацию и проведение работ по созданию системы защиты информации, определяются подразделения или отдельные специалисты, непосредственно участвующие в проведении указанных работ, сроки введения в эксплуатацию СЗИ;

·     определяются мероприятия по обеспечению режима секретности на стадии создания системы защиты информации;

·     на основе федеральных, ведомственных и внутренних руководящих документов формируется перечень защищаемых от технических средств разведки информационных ресурсов. Для разрабатываемых или серийно выпускаемых специальных изделий производится уточнение и конкретизация у заказчика охраняемых сведений о них, подлежащих защите от ИТР;

·     проводится анализ циркуляции секретной (служебной) информации в структурных подразделениях предприятия, по результатам которого определяются состав технических средств и объектов информатизации, участвующих в ее обработке, условия их расположения, степень конфиденциальности, вид (электронный, речевой или какой-либо другой) и режимы обработки на них информации. Уточняются также и другие вопросы;

·     разрабатывается перечень защищаемых объектов информатизации. В его состав могут входить:

Ø                 технические средства и системы, непосредственно используемые для обработки секретных данных - основные технические средства и системы (ОТСС);

Ø                 технические средства и системы, не предназначенные для обработки секретной информации, но размещенные в помещениях, где она обрабатывается, - вспомогательные технические средства и системы (ВТСС). К вспомогательным также относятся технические средства и системы, используемые для обработки служебной информации;

Ø                 выделенные помещения, предназначенные для ведения секретных переговоров или в которых размещены средства закрытой телефонной связи;

Ø                 технические средства с охраняемыми от технических разведок параметрами и характеристиками.

·     в зависимости от степени секретности обрабатываемой на защищаемых объектах информатизации  информации и условий их расположения относительно постоянных представительств иностранных государств, обладающих правом экстерриториальности (посольства, консульства, совместные предприятия и др. иностранные представительства), проводится категорирование основных технических средств и систем, а также выделенных помещений. Категорирование изделий с охраняемыми от технических разведок характеристиками производится их заказчиками;

·     определяются требования по защите секретной (служебной) информации от несанкционированного доступа (НСД) при ее обработке на средствах вычислительной техники;

·     на основе исходных данных, полученных в результате обследования объектов вычислительной техники, и предъявляемых к ним требованиям по защите информации от НСД, определяется класс защищенности автоматизированных систем, участвующих в обработке секретных (служебных) данных;

·     приказом руководителя определяется контролируемая зона (КЗ) для предприятия, в пределах которой исключено пребывание посторонних лиц, не имеющих постоянного или разового пропуска, и транспортных средств. При этом границами КЗ могут являться:

Ø                 периметр охраняемой территории предприятия;

Ø                 ограждающие конструкции охраняемого здания, охраняемой части здания, выделенного помещения, помещений, где расположены основные технические средства или ведутся работы по разработке (созданию) специзделий с охраняемыми сведениями.

·     проводится анализ возможных технических каналов утечки секретной (служебной) информации за пределы контролируемой зоны. Для изделий с охраняемыми от средств технической разведки характеристиками определяются демаскирующие признаки, способные раскрыть их;

·     проводится оценка возможностей средств иностранных технических разведок и других источников угроз, которые  опасны для предприятия, в том числе со стороны преступных группировок, конкурирующих фирм и т.п. Указанная оценка производится на основе расчетных формул и данных, приведенных в нормативных документах Гостехкомиссии России, и реально складывающейся вокруг предприятия оперативной обстановки;

·     изучаются требования нормативных документов Гостехкомиссии России по вопросам защиты секретной (служебной) информации;

·     составляется перечень предполагаемых к использованию сертифицированных средств защиты информации;

·     производится оценка материальных, трудовых и финансовых затрат на разработку и внедрение системы защиты информации;

·     обосновывается необходимость привлечения специализированных предприятий для создания системы защиты информации;

·     разрабатывается техническое задание (ТЗ) на создание СЗИ, в котором должны найти отражение следующие вопросы:

Ø                 исходные данные создаваемой системы или иного объекта информатизации в техническом, программном, информационном и организационном аспектах;

Ø                 категории защищаемых объектов и классы защищенности автоматизированных систем;

Ø                 конкретизация требований к СЗИ на основе государственных нормативных документов, установленных категорий и  классов защищенности объектов информатизации и специзделий с охраняемыми от ИТР сведениями;

Ø                 перечень предполагаемых к использованию сертифицированных средств защиты информации;

Ø                 перечень выходных документов по окончании создания СЗИ;

Ø                 состав, содержание и сроки проведения работ по этапам разработки и внедрения СЗИ.

На второй стадии:

·     разрабатывается перечень организационных и технических мероприятий по защите объектов информатизации в соответствии с предъявляемыми в ТЗ требованиями, направленных на предотвращение утечки секретной (служебной) информации за пределы контролируемой зоны. Указанные мероприятия должны обеспечить устранение или ослабление (искажение) демаскирующих признаков и закрытие возможных технических каналов утечки охраняемых сведений;

·     определяется состав серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации, сертифицированных средств защиты информации;

·     определяется состав технических средств, подвергаемых специальным исследованиям и проверке;

·     разрабатывается технические паспорта на объекты информатизации;

·     разрабатываются инструкции по  обеспечению безопасности информации на этапе эксплуатации технических средств и специальных изделий с охраняемыми параметрами;

·     составляются, при необходимости, задания на создание собственных средств защиты информации и противодействия иностранным техническим разведкам;

·     согласование с руководителем предприятия вопроса о необходимости проведения специальной проверки выделенных помещений на предмет обнаружения электронных устройств  перехвата информации (для помещений 2-й и   3-й категорий);

·     разрабатывается план выполнения организационных и технических мероприятий по защите объектов информатизации.

Третий этап включает в себя проведение следующих видов работ:

·        закупка сертифицированных образцов и серийно выпускаемых в защищенном исполнении технических средств обработки, передачи, хранения информации, ВТСС;

·        проведение специальных исследований несертифицированных технических средств и получение предприсаний на их эксплуатацию;

·        проведение специальной проверки основных технических средств импортного производства, а также импортных ВТСС, установленных в выделенных помещениях;

·        проведение, при необходимости, специальной проверки выделенных помещений;

·        закупка сертифицированных серийно выпускаемых технических и программных средств защиты информации и их установка;

·        размещение и монтаж технических средств, входящих в состав объектов информатизации;

·        разработка и реализация разрешительной системы доступа к средствам вычислительной техники и автоматизированным системам, участвующим в обработке секретной (служебной) информации;

·        разработка организационно-распорядительной и рабочей документации по эксплуатации объектов информатизации в защищенном исполнении, системы защиты информации;

·        опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объектов информатизации;

·        проведение инструментального контроля эффективности внедренных на объектах информатизации, изделиях с охраняемыми параметрами средств защиты информации и противодействия иностранным техническим разведкам;

·        приемо-сдаточные испытания системы защиты информации по результатам ее опытной эксплуатации;

·        аттестация объектов информатизации по требованиям защиты информации. При положительных результатах аттестации  владельцу объекта информатизации выдается "Аттестат соответствия"  этого объекта требованиям безопасности информации. Аттестацию объектов информатизации, предназначенных для обработки секретной информации, разрешается проводить только аккредитованным Гостехкомиссией России предприятиям. Аттестация объектов, предназначенных для обработки секретной информации, носит добровольный характер;

·     приказом по предприятию вводится разрешение на обработку секретной информации на тех объектах информатизации, на которые получены аттестаты соответствия. Решение на эксплуатацию объектов информатизации, предназначенных для обработки служебной информации, принимается руководителем предприятия по результатам оценки достаточности и эффективности реализованных на них мер, обеспечивающих безопасность информации. Указанную оценку может провести подразделение по защите информации предприятия или ответственный исполнитель за данное направление работ.

Эксплуатация системы защиты информации и защищенных объектов информатизации должна осуществляться в полном соответствии с утвержденной организационно-распорядительной и рабочей документацией, требованиями предписаний на эксплуатацию основных и вспомогательных технических средств.

Контроль эффективности внедренных на объектах информатизации мер и средств защиты информации необходимо проводить силами подразделения по защите информации предприятия (ответственным  за данное направление) в соответствии с требованиями предписаний на эксплуатацию технических средств,  эксплуатационной документации на сертифицированные средства защиты и других нормативных документов, но не реже одного раза в год.