Документальное обеспечение деятельности по защите информации в органах государственной власти, в организациях и учреждениях


Руководящие документы:


1. Положение о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам. Утверждено постановлением Совета Министров – Правительства Российской Федерацииот 15 сентября 1993 г. № 912-51.

Положение о ГСЗИ является документом, обязательным для выполнения при проведении работ по защите информации, содержащей сведения, составляющие государственную или служебную тайну, в органах государственной власти, на предприятиях и в организациях независимо от организационно-правовой формы и формы собственности.

Информация, содержащая сведения, отнесенные к государственной или служебной тайне, подлежит защите.

2. Специальные требования и рекомендации по защите информации, составляющей государственную тайну, от утечки по техническим каналам (СТР). Утверждены решением Гостехкомиссии России от 23 мая 1997 г.№ 55.

СТР определяют организацию, основные требования и рекомендации по защите информации, циркулирующей в технических средствах и помещениях, и является основным руководящим техническим документом при проведении на территории Российской Федерации работ со сведениями, составляющими государственную тайну.

3. Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К). Утверждены приказом Гостехкомиссии России от 30 августа 2002 г. № 282.

СТР-К устанавливают порядок организации работ, требования и рекомендации по обеспечению технической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну ( конфиденциальной информации), на территории Российской Федерации.


Организационно-распорядительные документы:


1. Руководство по защите информации от технических разведок и от ее утечки по техническим каналам на объекте.

2. Положение о порядке организации и проведения работ по защите конфиденциальной информации на объекте.

3. Документы, регламентирующие деятельность постоянно действующей технической комиссии (ПДТК) или экспертной комиссии (ЭК).

4. Документы, регламентирующие деятельность подразделения (специалиста) по защите информации (ЗИ).

5. Документы на объекты информатизации.

6. Документы, регламентирующие порядок организации работ по приему иностранных граждан.


На объекте информатизации должны быть разработаны:


Руководство по ЗИ от технических разведок и от ее утечки по техническим каналам

Типовые требования к содержанию и порядку разработки Руководства по защите информации от технических разведок и от её утечки по техническим каналам на объекте, одобрены решением Гостехкомиссии России от 3 октября 1995 г. № 42


Положение о подразделении по ЗИ

Типовое положение о подразделении по защите информации от иностранных технических разведок и от ее утечки по техническим каналам в министерствах и ведомствах, в органах государственной власти субъектов РФ (на предприятии (в учреждении, организации), одобрено решением Гостехкомиссии России от 14 марта 1995 г. № 32


Инструкция по обеспечению режима секретности при обработке секретной информации (по обеспечению безопасности информации) с использованием СВТ

Типовая инструкция по обеспечению режима секретности при обработке секретной информации (по обеспечению безопасности информации) с использованием средств вычислительной техники, одобрена решением Межведомственной комиссии по защите государственной тайны от 9 октября 2009 г. № 172


Инструкция о порядке приема иностранных граждан и защите информации

Инструкция по обеспечению режима секретности в Российской Федерации, утверждена постановлением Правительства Российской Федерации от 5 января 2004 г. № 3-1 (раздел 9)

Положения о ПДТК по защите государственной тайны

Положение о постоянно действующих технических комиссиях по защите государственной тайны, утверждено совместным приказом Гостехкомиссии России и ФСБ России от 28 июля 2001 г. № 309/405


Положение об экспертной комиссии

Рекомендации по проведению экспертизы материалов, предназначенных к открытому опубликованию, одобрены решением Межведомственной комиссии по защите государственной тайны от 30 октября 2014 г. № 293


Положение о порядке организации и проведения работ по защите конфиденциальной информации на объекте

Типовые требования к содержанию и порядку разработки Руководства по защите информации от технических разведок и от её утечки по техническим каналам на объекте, одобрены решением Гостехкомиссии России от 3 октября 1995 г. № 42


Документы заявителя для проведения аттестационных испытаний

Специальные требования и рекомендации по защите информации, составляющей государственную тайну, от утечки по техническим каналам (СТР), утверждены решением Гостехкомиссии России от 23 мая 1997 г. № 55


Согласно пункту 45 положения о государственной системе защиты информации в Российской Федерации, содержание и порядок осуществления мероприятий по защите информации в ходе эксплуатации объекта определяются в Руководстве по защите информации, разрабатываемом на каждом объекте.

Согласно пункту 3.5 СТР-К, организация работ по созданию и эксплуатации объектов информатизации и их систем защиты информации определяется в разрабатываемом «Положении о порядке организации и проведения работ по защите конфиденциальной информации» или в приложении к «Руководству по защите информации от технических разведок и от ее утечки по техническим каналам на объекте».


Руководство по защите информации и Положение по защите конфиденциальной информации в организации


являются основными руководящими документами, определяющими порядок и содержание работ по технической защите сведений, составляющих государственную тайну, и конфиденциальной информации на конкретном объекте;

отсутствие этих документов или формальный подход к их разработке существенно снижают эффективность мероприятий по технической защите информации и затрудняют их проведение;

не во всех организациях такие документы разработаны или их содержание не в полной мере отвечает установленным требованиям.

Руководство, Положение разрабатываются на каждом объекте защиты, в котором:

предусматривается защита информации;

имеются объекты информатизации;

на объектах информатизации осуществляется обработка сведений, составляющих государственную тайну, и (или) конфиденциальной информации.


Обработка информации – совокупность операций сбора, накопления, ввода, вывода, приема, передачи, записи, хранения, регистрации, уничтожения, преобразования, отображения, осуществляемых над информацией.

Объект информатизации - совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения секретных и конфиденциальных переговоров.


Все объекты информатизации принято разделять на три класса:


Объекты информатизации, не использующие в технологическом цикле технические системы и средства обработки, передачи и хранения информации.

ОИ представляют собой выделенные (защищаемые) помещения, предназначенные только для ведения конфиденциальных переговоров.

Если при ведении переговоров или проведении совещаний обсуждаются сведения, составляющие государственную тайну , то это помещение называется выделенным. При обсуждении конфиденциальной информации – защищаемой помещение

Объекты информатизации, использующие в технологическом цикле технические средства обработки информации, не относящиеся к автоматизированным системам.

К ним относятся выделенные (защищаемые) помещения, предназначенные для проведения совещаний, переговоров и обмена информацией, в которых устанавливается демонстрационная аппаратура (кино-, видеоаппаратура, проекторы различного принципа действия) и аудиоаппаратура (звукоусиления, звукозаписи и звуковоспроизведения), а также средства и системы защищенной и служебной связи, изготовления и размножения документов.

Объекты информатизации, использующие в технологическом цикле средства вычислительной техники, а также системы (средства) связи (передачи данных).

К ним относятся:

объекты информатизации на базе автономных автоматизированных рабочих мест (АРМ) индивидуального и коллективного пользования, которые реализуют технологию получения, обработки и выдачи информации на базе отдельной (локальной) ЭВМ;

объекты информатизации в составе локальных вычислительных сетей ОГВ и организаций, не имеющих выхода за пределы контролируемой зоны (КЗ);

объекты информатизации в составе территориально-распределенных вычислительных сетей ОГВ и организаций (корпоративных информационных сетей), имеющие выход за пределы КЗ, в которых происходит обмен защищаемой информации с другими ОИ (абонентами) сети, расположенными в других КЗ;

объекты информатизации ОГВ и организаций с подключением к информационным системам общего пользования.


Для разработки Положения по защите конфиденциальной информации на объекте информатизации рекомендуется использовать Типовые требования к содержанию и порядку разработки Руководства по защите информации. Одобрены решением Гостехкомиссии России от 3 октября 1995 г. № 42.

Документ устанавливает единые типовые требования к содержанию и порядку разработки Руководства по защите информации на строящемся (реконструируемом), действующем (находящемся в эксплуатации) объекте.

При использовании Типовых требований следует учесть, что на объекте осуществляется защита конфиденциальной информации.

Руководство и Положение разрабатываются подразделением по защите информации совместно с основными подразделениями объекта.

Структура Положения по защите конфиденциальной информации на объекте информатизации выглядит следующим образом:

Содержание

Раздел I.

Общие положения

Раздел II.

Конфиденциальные сведения об объекте

Раздел III.

Технические каналы утечки информации

Раздел IV.

Оценка возможностей иностранных технических разведок и других источников угроз безопасности информации

Раздел V.

Организационные и технические мероприятия по защите информации

Раздел VI.

Обязанности и права должностных лиц

Раздел VII.

Планирование работ по защите информации и контролю

Раздел VIII.

Контроль состояния защиты информации

Раздел IХ.

Аттестация рабочих мест

Раздел Х.

Взаимодействие с другими предприятиями (учреждениями, организациями)

Приложения


Защита информации, циркулирующей на объектах информатизации, осуществляется:

от ее утечки по техническим каналам;

от несанкционированного доступа к ней;

от специальных воздействий на информацию в целях ее уничтожения, искажения и блокирования.


Разделы I-III Положения отвечают на вопрос: Что защищаем?


Раздел I. Общие положения

назначение Положения;

общие требования по защите конфиденциальной информации на объекте;

категория объекта по требованиям обеспечения защиты информации;

должностные лица, ответственные за выполнение требований Положения;

порядок финансирования работ по защите информации на объекте;

сведения о полученной лицензии;

сведения об имеющихся сертифицированных средствах защиты информации.


Раздел II. Конфиденциальные сведения об объекте


цель, которая должна быть достигнута в результате проведения мероприятий по защите конфиденциальной информации;

замысел достижения этой цели;

перечень конфиденциальных сведений об объекте и его деятельности (без указания конкретных числовых параметров).


Раздел III. Технические каналы утечки информации


возможные технические каналы утечки конфиденциальных сведений об объекте, включая каналы утечки информации в технических средствах ее обработки.

Технический канал утечки информации – совокупность объекта технической разведки, физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация.


Технические каналы утечки конфиденциальной информации


акустическое излучение информативного речевого сигнала;

электрические сигналы, возникающие посредством преобразования информативного сигнала из акустического в электрический за счет микрофонного эффекта и распространяющиеся по проводам и линиям передачи информации;

вибрационные сигналы, возникающие посредством преобразования информативного акустического сигнала при воздействии его на строительные конструкции и инженерно-технические коммуникации защищаемых помещений;

несанкционированный доступ к информации, обрабатываемой в автоматизированных системах;

воздействие на технические или программные средства в целях нарушения целостности (уничтожения, искажения) информации через специально внедренные электронные и программные средства;

побочные электромагнитные излучения информативного сигнала от технических средств и линий передачи информации;

наводки информативного сигнала, обрабатываемого техническими средствами, на провода и линии, выходящие за пределы контролируемой зоны учреждения, в т.ч. на цепи заземления и электропитания;

электрические сигналы или радиоизлучения, обусловленные воздействием на технические средства высокочастотных сигналов, создаваемых с помощью разведывательной аппаратуры, по эфиру и проводам, либо сигналов промышленных радиотехнических устройств, и модуляцией их информативным сигналом («облучение», «навязывание», «прокачка»);

радиоизлучения, модулированные информативным сигналом, возникающие при работе различных генераторов, входящих в состав технических средств, или при наличии паразитной генерации в узлах (элементах) технических средств;

радиоизлучения или электрические сигналы от внедренных в технические средства и выделенные помещения специальных электронных устройств негласного получения информации («закладок»), модулированные информативным сигналом;

радиоизлучения или электрические сигналы от электронных устройств негласного получения информации, подключенных к каналам связи или техническим средствам обработки информации

просмотр информации с экранов дисплеев и других средств ее отображения с помощью оптических средств;

прослушивание телефонных и радиопереговоров;

хищение технических средств с хранящейся в них информацией или отдельных носителей информации.


Раздел IV Положения отвечает на вопрос: От чего защищаем?


Раздел IV. Оценка возможностей иностранных технических разведок
и других источников угроз безопасности информации


перечень видов и средств технических разведок, источников угроз несанкционированного доступа к информации, которые опасны для данного объекта;

результаты оценки их возможностей

Опасными видами иностранных технических разведок и других угроз считаются:

Акустическая речевая разведка

Фотографическая разведка

Телевизионная разведка

Визуальная оптическая разведка

Разведка ПЭМИН

Радиоразведка

Несанкционированный доступ к информации

Специальные воздействия на информацию в целях ее уничтожения, искажения и блокирования


Раздел V Положения отвечает на вопрос: Как защищаем?


Раздел V. Организационные и технические мероприятия по защите информации


организационные и технические мероприятия, обеспечивающие закрытие возможных технических каналов утечки охраняемых сведений об объекте;

мероприятия по защите информации при нахождении иностранных граждан;

мероприятия по защите информации в системах и средствах информатизации и связи.


В Положении должна четко прослеживаться взаимосвязь:

Сведения ограниченного распространения - Технический канал утечки информации - Опасные виды и средства разведки - Принятые меры, нейтрализующие угрозу.

Пример:

Существуют конфиденциальные сведения, а именно сведения конфиденциального характера, обсуждаемые в защищаемом помещении.

Им можно сопоставить следующие каналы утечки информации: Вибрационные сигналы и Акустическое излучение информативного речевого сигнала.

Опасными видами и средствами разведки в данном случае будут:акустическая речевая разведка, направленные микрофоны и контактные микрофоны.

Принятые меры, нейтрализующие угрозу: Применение сертифицированного средства защиты информации, например, генератор шума ЛГШ-401.


В заключение приведем Пример оценки возможностей иностранных технических разведок по перехвату информации:

ОЦЕНКА
возможностей иностранных технических разведок
по перехвату информации

Акустическая речевая разведка.

(провести анализ возможностей АР-Р по перехвату секретной информации)

Вывод: АР-Р опасна (или не опасна).

Фотографическая разведка.

(провести анализ возможностей ФР по перехвату секретной информации)

Вывод: ФР опасна (или не опасна).

Телевизионная разведка.

(провести анализ возможностей ТВР по перехвату секретной информации)

Вывод: ТВР опасна (или не опасна).

Визуальная оптическая разведка.

(провести анализ возможностей ВЗОР по перехвату секретной информации)

Вывод: ВЗОР опасна (или не опасна).

Техническая компьютерная разведка.

(провести анализ возможностей ТКР по перехвату секретной информации)

Вывод: ТКР опасна (или не опасна).

Разведка ПЭМИН.

(провести анализ возможностей РПЭМИН по перехвату секретной информации)

Вывод: РПЭМИН опасна (или не опасна).

Разведка лазерных излучений.

(провести анализ возможностей РЛИ по перехвату секретной информации)

Вывод: РЛИ опасна (или не опасна).

Радиоразведка.

(провести анализ возможностей РР по перехвату секретной информации)

Вывод: РР опасна (или не опасна).

Руководитель подразделения

по технической защите информации

или штатный (назначенный) специалист     /подпись/     А.Петров