ГОСУДАРСТВЕННАЯ ТЕХНИЧЕСКАЯ КОМИССИЯ

ПРИ ПРЕЗИДЕНТЕ РОССИЙСКОЙ ФЕДЕРАЦИИ

ОСНОВЫ КОНЦЕПЦИИ

защиты информации от иностранных технических

разведок и от ее утечки по техническим каналам

Одобрены решением Гостехкомиссии России от 16 ноября 1993 года № 6

М О СКВА ВОЕННОЕ ИЗДАТЕЛЬСТВО 1993


ВВЕДЕНИЕ

 

В документе изложена система взглядов, основные принципы организации и осуществления защиты информации, составляющей государственную тайну, от иностранных технических разведок и от ее утечки по техническим каналам.

Основы концепции разработаны Гостехкомиссией России и ре­комендуются для использования в органах государственной влас­ти, учреждениях и организациях, проводящих работы, связанные со сведениями, относимыми к государственной тайне.

1. Понятие защиты информации

Защита информации - составная часть обеспечения националь­ной безопасности народов и территории Российской Федерации.

Она включает комплекс правовых, организационных и техни­ческих мероприятий, обеспечивающих предотвращение утечки или несанкционированного доступа к сведениям, составляющим госу­дарственную тайну, исключение нарушений функционирования ин­формационных и управляющих систем.

Защита информации, как специальное направление информа­ционной политики, есть осуществляемое государством управление информацией с целью рационального использования националь­ного информационного ресурса и достижения максимального эф­фекта во всех сферах государственной деятельности.

2. Основные принципы обеспечения защиты информации

Основными принципами обеспечения защиты информации явля­ются:

·        законность;

·        соблюдение баланса жизненно важных интересов личности, об­щества и государства;

·        взаимная ответственность личности, общества и государства по обеспечению защиты информации.

Законность реализуется путем разработки твердой правовой основы в области защиты информации. При этом должна учитываться необходимость соблюдения международных договоров и соглашений, подписанных от имени Российской Федерации.

Соблюдение баланса жизненно важных интересов личности, общества и государства основывается на оценках ущерба, который может быть нанесен в результате несанкционированного распрост­ранения информации и ущерба, наносимого собственнику инфор­мации в результате ее засекречивания. Соблюдение этого баланса обеспечивается правильно выбранной стратегией защиты инфор­мации и научной проработкой вопросов ее защиты.

Взаимная ответственность личности, общества и государства предусматривает ограничение прав собственности предприятий, учреждений, организаций и граждан на информацию в связи с ее засекречиванием и компенсацию наносимого собственнику инфор­мации материального ущерба. Реализуется путем продуманной организации работ по защите информации с четким разграниче­нием прав и обязанностей, конкретными нормативно-техническими требованиями и эффективным контролем за их выполнением.

3. Общие задачи защиты информации

Эффективная защита информации достигается путем взаимо­связанного решения следующих общих задач:

·        определение цели защиты и сведений, которые, необходимо за­щищать от технических средств разведки;

·        анализ демаскирующих признаков, раскрывающих эти све­дения;

·        оценка возможностей иностранных технических разведок и ре­альной опасности утечки информации, составляющей государст­венную тайну, или несанкционированного доступа к ней, выявле­ние возможных технических каналов утечки информации;

·        разработка и осуществление технически и экономически обос­нованных мероприятий по защите;

·        организация и проведение контроля за состоянием защиты сек­ретной информации.

Цель защиты определяется исходя из важности охраняемой информации (объекта), устойчивости объекта защиты к деструк­тивным воздействиям, возможного ущерба в случае утечки инфор­мации или несанкционированного доступа к объекту защиты и ожидаемых затрат на достижение поставленной цели.

Целями защиты могут быть: полное скрытие объекта защиты; предотвращение несанкционированного доступа к нему; скрытие его отдельных характеристик, свойств: навязывание разведкам ложного представления о состоянии, возможностях или предна­значении защищаемого объекта.

Цель защиты может меняться в зависимости от этапа работ, периода жизненного цикла объекта защиты, или изменившихся условий или требований.

Исходя из выбранной цели определяются сведения, подлежа­щие защите. Защищать необходимо те сведения, за разведанностью которых может последовать нанесение ущербе интересам го­сударства, снижение боевой эффективности оружия или устойчивости объекта, преднамеренное уничтожение или искажение ин-формации, дезорганизация систем и сетей управления и т. д.

Анализ демаскирующих признаков заключается в как можно более полном изучении физических полей и сигналов, которые могут быть перехвачены техническими средствами разведки в це­лях добывания секретных сведений.

Оценка возможностей иностранных технических разведок и ре­альной опасности утечки информации, составляющей государст­венную тайну, производится применительно к конкретным услови­ям проведения работ на основе моделей иностранных технических разведок, модели нарушителя, разрабатываемых под руководством Гостехкомиссии России.

Выявление возможных технических каналов утечки секретной информации строится на сопоставлении демаскирующих признаков и возможностей разведки в конкретных условиях проведения работ.

Разработка и осуществление практических мер защиты - ре­шающее условие обеспечения защиты информации. Оно реализует­ся одним из двух (или сочетанием обоих) методов:

·        скрытие;

·        техническая дезинформация.

Скрытие осуществляется путем проведения технических и ор­ганизационных мероприятий.

Технические мероприятия: конструкторские и проектные реше­ния; использование средств маскировки и помех; применение крип­тографических и программно-технических способов защиты.

Организационные: территориальные, пространственные, энерге­тические, временные, частотные ограничения на работу объектов защиты. Использование организационных мер во многих случаях позволяет избежать дорогостоящих технических решений.

Техническая дезинформация - введение в заблуждение ино­странных разведок относительно действительных возможностей и характеристик объекта защиты путем воспроизведения ложных демаскирующих признаков, имитации отдельных элементов н свойств, искажения внешних признаков (физических полей) этого объекта; передачи специальной информации, ложных сигналов и команд по каналам связи и управления.

Организация и проведение контроля - необходимое условие осуществления эффективной защиты информации от иностранных технических разведок и от ее утечки по техническим каналам.

Контроль должен строиться на следующих основных прин­ципах:

·        компетентность;

·        непрерывность;

·        всесторонность.

Компетентность необходима для получения своевременной и правильной оценки состояния защиты информации. Обеспечивается достаточным уровнем полномочий н высокой квалификацией про­веряющих лиц.

Непрерывность обеспечивает контроль за соблюдением требо­ваний по защите на всех без исключения этапах проводимых работ.

Всесторонность дает возможность оценить защищенность информации от всех видов технической разведки. Реализуется принцип путем применения космических, воздушных, морских и наземных средств контроля.

4. Общие требования к защите информации

Защита информации будет эффективной и рациональной, если выполняются следующие общие требования:

·        обоснованность;

·        надежность;

·        достаточность;

·        гибкость в управлении;

·        своевременность.

Обоснованность. Сложность решаемых задач, большой объем работ, а также ограниченность ресурсов вызывают необходимость глубокого научного обоснования принимаемых решений по защите информации.

При обосновании необходимости защиты надо исходить из внешнеполитических, оборонных и экономических интересов госу­дарства, закладывая в решение проблем передовые научно-техни­ческие идеи и достижения.

Надежность. Одно из главных требований. Обеспечивается глу­бокой проработкой всех вопросов защиты, эффективными мерами защиты и контроля.

Достаточность. Означает необходимость поиска надежных мер защиты, избегая излишних затрат. Обеспечивается применением наиболее совершенных методов и средств защиты. Способствует соблюдению баланса интересов государства и отдельных органи­заций (предприятий), граждан.

Гибкость в управлении. Ввиду многочисленности защищаемых объектов и сведений, возможного резкого изменения разведобстановки, условий защиты и важности защищаемой информации нуж­на гибко управляемая структура, обеспечивающая способность прогнозирования угроз и их упреждающую нейтрализацию, опе­ративную и эффективную ликвидацию последствий угрозы. Обес­печивается главным образом высокой степенью автоматизации средств и систем защиты и наличием быстродействующей обрат­ной связи.

Своевременность диктует необходимость заблаговременной, до начала проведения секретных работ, разработки мер защиты и контроля. Несвоевременное проведение мероприятий по защите может не только снизить ее эффективность, но и привести к об­ратному результату.

5. Основы организации и управления защитой информации

В основу организации защиты информации, составляющей го­сударственную тайну) положен принцип разделения прав и обя­занностей между субъектами обеспечения защищенности этой ин­формации:

·        государством;

·        предприятиями и их объединениями, учреждениями и органи­зациями;

·        отдельными гражданами.

Государство как основной субъект обеспечения защиты инфор­мации через свои органы законодательной, исполнительной и су­дебной властей обеспечивает создание условий для осуществления защиты, а именно:

·        создание системы правовых норм, регулирующих отношения в области защиты информации;

·        проведение единой технической политики в этой области, ко­ординация и методическое руководство работами по защите ин­формации, разработка технических норм и рекомендаций;

·        разработка государственных программ по защите информации;

·        общий контроль за состоянием защиты информации.

Предприятия и их объединения, учреждения и организации независимо от формы собственности, а также отдельные гражда­не, выполняющие работы, связанные с использованием секретных сведений, обеспечивают полностью их защиту.

Основными формами управления работами по защите инфор­мации являются:

·        государственный заказ на проведение работ по защите инфор­мации;

·        лицензирование деятельности предприятий и организаций по вопросам защиты информации;

·        сертификация систем и средств информации и связи в части защищенности информации от утечки но техническим каналам, средств защиты и контроля;

·        аттестование объектов по выполнению требований обеспечения защиты информации при проведении работ, связанных с исполь­зованием секретных сведений.

Для непосредственного выполнения функций по обеспечению защиты информации создается Государственная система защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам (ГСЗИ).

В практической работе по руководству и организации защиты информации в стране должен соблюдаться принцип сочетания коллегиальности при решении общегосударственных задач и пол­ной самостоятельности и персональной ответственности при по­становке и решении задач защиты в отдельной области деятель­ности.

Возглавляет ГСЗИ межведомственный коллегиальный орган - Государственная техническая комиссия при Президенте Российской Федерации.

Важнейшими образованьями ГСЗИ являются Министерство безопасности, Министерство обороны, Министерство внутренних дел, Федеральное агентство правительственной связи и информа­ции при Президенте Российской Федерации, Служба внешней раз­ведки, которые в пределах своей компетенции имеют определен­ные цели к объекты защиты и располагают специфическими спо­собами защиты.

Структура, функции и задачи этой системы, права и обязан­ности ее органов изложены в Положении о ГСЗИ.

 

6. Основные направления совершенствования защиты информации

Становление и развитие ГСЗИ требует совершенствования ра­бот в следующих основных направлениях:

1. Развитие общей стратегии и определение приоритетных на­правлений защиты информации в условиях функционирования раз­личных форм собственности, конверсии оборонной промышленно­сти, пересмотра концепции обороны, расширения связей с ино­странными государствами.

2. Совершенствование правового обеспечения. Решение на законодательном уровне проблем:

·        определение правового статуса информации и информационно-программной продукции как объекта имущественного права;

·        развитие системы межгосударственного обмена информацией и ее защиты при этом;

·        установление ответственности за правонарушения в области защиты информации.

3. Организационное совершенствование.

Создание региональных систем защиты информации на уровне республик, краев, областей, входящих в Российскую Федерацию. Организация и введение в действие систем:

·        лицензирования работ по защите информации;

·        сертификации средств и систем информации и связи, средств противодействия разведкам;

·        аттестования объектов защиты.

4. Совершенствование научно-технического обеспечения. Разработка методик и рекомендаций по оценке ущерба, ко­торый может быть причинен государству в случае утечки инфор­мации, составляющей государственную тайну.

Уточнение критериев эффективности и норм защиты инфор­мации.

Исследование путей создания перспективных средств и спосо­бов защиты информации.

Создание единой автоматизированной системы управления ин­формацией.

5. Совершенствование системы финансового обеспечения работ по защите информации.

 

 

ЗАКЛЮЧЕНИЕ

Изложенные принципы и положения отражают общий подход к защите информации от иностранных технических разведок и от ее утечки по техническим каналам.

В самостоятельных областях государственной деятельности, прежде всего в таких как оборона, внешняя политика, экономика, наука, экология и природные ресурсы и т. д., являющихся пре­рогативой соответствующих государственных органов, необходима конкретная проработка концептуальных вопросов защиты инфор­мации. Нужно определить роль и значение защиты информации, составляющей государственную тайну, в соответствующей обла­сти деятельности государства; подход к определению сведений в этой области, которые необходимо защищать от иностранных тех­нических разведок; основные положения по организации и осу­ществлению защиты информации; основные направления дальней­шего совершенствования защиты информации.