Документальное обеспечение деятельности по защите информации в органах государственной власти, в организациях и учреждениях
Руководящие документы:
- Положение о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам. Утверждено постановлением Совета Министров – Правительства Российской Федерацииот 15 сентября 1993 г. № 912-51.
- Специальные требования и рекомендации по защите информации, составляющей государственную тайну, от утечки по техническим каналам (СТР). Утверждены решением Гостехкомиссии России от 23 мая 1997 г.№ 55.
- Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К). Утверждены приказом Гостехкомиссии России от 30 августа 2002 г. № 282.
Положение о ГСЗИ является документом, обязательным для выполнения при проведении работ по защите информации, содержащей сведения, составляющие государственную или служебную тайну, в органах государственной власти, на предприятиях и в организациях независимо от организационно-правовой формы и формы собственности.
Информация, содержащая сведения, отнесенные к государственной или служебной тайне, подлежит защите.
СТР определяют организацию, основные требования и рекомендации по защите информации, циркулирующей в технических средствах и помещениях, и является основным руководящим техническим документом при проведении на территории Российской Федерации работ со сведениями, составляющими государственную тайну.
СТР-К устанавливают порядок организации работ, требования и рекомендации по обеспечению технической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (конфиденциальной информации) , на территории Российской Федерации.
Организационно-распорядительные документы:
- Руководство по защите информации от технических разведок и от ее утечки по техническим каналам на объекте.
- Положение о порядке организации и проведения работ по защите конфиденциальной информации на объекте.
- Документы, регламентирующие деятельность постоянно действующей технической комиссии (ПДТК) или экспертной комиссии (ЭК).
- Документы, регламентирующие деятельность подразделения (специалиста) по защите информации (ЗИ).
- Документы на объекты информатизации.
- Документы, регламентирующие порядок организации работ по приему иностранных граждан.
На объекте информатизации должны быть разработаны:
Руководство по ЗИ от технических разведок и от ее утечки по техническим каналам
Типовые требования к содержанию и порядку разработки Руководства по защите информации от технических разведок и от её утечки по техническим каналам на объекте, одобрены решением Гостехкомиссии России от 3 октября 1995 г. № 42
Положение о подразделении по ЗИ
Типовое положение о подразделении по защите информации от иностранных технических разведок и от ее утечки по техническим каналам в министерствах и ведомствах, в органах государственной власти субъектов РФ (на предприятии (в учреждении, организации), одобрено решением Гостехкомиссии России от 14 марта 1995 г. № 32
Инструкция по обеспечению режима секретности при обработке секретной информации (по обеспечению безопасности информации) с использованием СВТ
Типовая инструкция по обеспечению режима секретности при обработке секретной информации (по обеспечению безопасности информации) с использованием средств вычислительной техники, одобрена решением Межведомственной комиссии по защите государственной тайны от 9 октября 2009 г. № 172
Инструкция о порядке приема иностранных граждан и защите информации
Инструкция по обеспечению режима секретности в Российской Федерации, утверждена постановлением Правительства Российской Федерации от 5 января 2004 г. № 3-1 (раздел 9)
Положения о ПДТК по защите государственной тайны
Положение о постоянно действующих технических комиссиях по защите государственной тайны, утверждено совместным приказом Гостехкомиссии России и ФСБ России от 28 июля 2001 г. № 309/405
Положение об экспертной комиссии
Рекомендации по проведению экспертизы материалов, предназначенных к открытому опубликованию, одобрены решением Межведомственной комиссии по защите государственной тайны от 30 октября 2014 г. № 293
Положение о порядке организации и проведения работ по защите конфиденциальной информации на объекте
Типовые требования к содержанию и порядку разработки Руководства по защите информации от технических разведок и от её утечки по техническим каналам на объекте, одобрены решением Гостехкомиссии России от 3 октября 1995 г. № 42
Документы заявителя для проведения аттестационных испытаний
Специальные требования и рекомендации по защите информации, составляющей государственную тайну, от утечки по техническим каналам (СТР), утверждены решением Гостехкомиссии России от 23 мая 1997 г. № 55
Согласно пункту 45 положения о государственной системе защиты информации в Российской Федерации, содержание и порядок осуществления мероприятий по защите информации в ходе эксплуатации объекта определяются в Руководстве по защите информации, разрабатываемом на каждом объекте.
Согласно пункту 3.5 СТР-К, организация работ по созданию и эксплуатации объектов информатизации и их систем защиты информации определяется в разрабатываемом «Положении о порядке организации и проведения работ по защите конфиденциальной информации» или в приложении к «Руководству по защите информации от технических разведок и от ее утечки по техническим каналам на объекте».
Руководство по защите информации и Положение по защите конфиденциальной информации в организации
- являются основными руководящими документами, определяющими порядок и содержание работ по технической защите сведений, составляющих государственную тайну, и конфиденциальной информации на конкретном объекте;
- отсутствие этих документов или формальный подход к их разработке существенно снижают эффективность мероприятий по технической защите информации и затрудняют их проведение;
- не во всех организациях такие документы разработаны или их содержание не в полной мере отвечает установленным требованиям.
Руководство, Положение разрабатываются на каждом объекте защиты, в котором:
- предусматривается защита информации;
- имеются объекты информатизации;
- на объектах информатизации осуществляется обработка сведений, составляющих государственную тайну, и (или) конфиденциальной информации.
Обработка информации – совокупность операций сбора, накопления, ввода, вывода, приема, передачи, записи, хранения, регистрации, уничтожения, преобразования, отображения, осуществляемых над информацией.
Объект информатизации - совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения секретных и конфиденциальных переговоров.
Все объекты информатизации принято разделять на три класса:
- Объекты информатизации, не использующие в технологическом цикле технические системы и средства обработки, передачи и хранения информации.
- Объекты информатизации, использующие в технологическом цикле технические средства обработки информации, не относящиеся к автоматизированным системам.
- 3. Объекты информатизации, использующие в технологическом цикле средства вычислительной техники, а также системы (средства) связи (передачи данных).
ОИ представляют собой выделенные (защищаемые) помещения, предназначенные только для ведения конфиденциальных переговоров.
Если при ведении переговоров или проведении совещаний обсуждаются сведения, составляющие государственную тайну , то это помещение называется выделенным. При обсуждении конфиденциальной информации – защищаемой помещение
К ним относятся выделенные (защищаемые) помещения, предназначенные для проведения совещаний, переговоров и обмена информацией, в которых устанавливается демонстрационная аппаратура (кино-, видеоаппаратура, проекторы различного принципа действия) и аудиоаппаратура (звукоусиления, звукозаписи и звуковоспроизведения), а также средства и системы защищенной и служебной связи, изготовления и размножения документов.
К ним относятся:
- объекты информатизации на базе автономных автоматизированных рабочих мест (АРМ) индивидуального и коллективного пользования, которые реализуют технологию получения, обработки и выдачи информации на базе отдельной (локальной) ЭВМ;
- объекты информатизации в составе локальных вычислительных сетей ОГВ и организаций, не имеющих выхода за пределы контролируемой зоны (КЗ);
- объекты информатизации в составе территориально-распределенных вычислительных сетей ОГВ и организаций (корпоративных информационных сетей), имеющие выход за пределы КЗ, в которых происходит обмен защищаемой информации с другими ОИ (абонентами) сети, расположенными в других КЗ;
- объекты информатизации ОГВ и организаций с подключением к информационным системам общего пользования.
Для разработки Положения по защите конфиденциальной информации на объекте информатизации рекомендуется использовать Типовые требования к содержанию и порядку разработки Руководства по защите информации. Одобрены решением Гостехкомиссии России от 3 октября 1995 г. № 42.
Документ устанавливает единые типовые требования к содержанию и порядку разработки Руководства по защите информации на строящемся (реконструируемом), действующем (находящемся в эксплуатации) объекте.
При использовании Типовых требований следует учесть, что на объекте осуществляется защита конфиденциальной информации.
Руководство и Положение разрабатываются подразделением по защите информации совместно с основными подразделениями объекта.
Структура Положения по защите конфиденциальной информации на объекте информатизации выглядит следующим образом:
Содержание |
|
Раздел I. |
Общие положения |
Раздел II. |
Конфиденциальные сведения об объекте |
Раздел III. |
Технические каналы утечки информации |
Раздел IV. |
Оценка возможностей иностранных технических разведок и других источников угроз безопасности информации |
Раздел V. |
Организационные и технические мероприятия по защите информации |
Раздел VI. |
Обязанности и права должностных лиц |
Раздел VII. |
Планирование работ по защите информации и контролю |
Раздел VIII. |
Контроль состояния защиты информации |
Раздел IХ. |
Аттестация рабочих мест |
Раздел Х. |
Взаимодействие с другими предприятиями (учреждениями, организациями) |
Приложения |
Защита информации, циркулирующей на объектах информатизации, осуществляется:
- от ее утечки по техническим каналам;
- от несанкционированного доступа к ней;
- от специальных воздействий на информацию в целях ее уничтожения, искажения и блокирования.
Разделы I-III Положения отвечают на вопрос: Что защищаем?
Раздел I. Общие положения
- назначение Положения;
- общие требования по защите конфиденциальной информации на объекте;
- категория объекта по требованиям обеспечения защиты информации;
- должностные лица, ответственные за выполнение требований Положения;
- порядок финансирования работ по защите информации на объекте;
- сведения о полученной лицензии;
- сведения об имеющихся сертифицированных средствах защиты информации.
Раздел II. Конфиденциальные сведения об объекте
- цель, которая должна быть достигнута в результате проведения мероприятий по защите конфиденциальной информации;
- замысел достижения этой цели;
- перечень конфиденциальных сведений об объекте и его деятельности (без указания конкретных числовых параметров).
Раздел III. Технические каналы утечки информации
Возможные технические каналы утечки конфиденциальных сведений об объекте, включая каналы утечки информации в технических средствах ее обработки.
Технический канал утечки информации – совокупность объекта технической разведки, физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация.
Технические каналы утечки конфиденциальной информации:
- акустическое излучение информативного речевого сигнала;
- электрические сигналы, возникающие посредством преобразования информативного сигнала из акустического в электрический за счет микрофонного эффекта и распространяющиеся по проводам и линиям передачи информации;
- вибрационные сигналы, возникающие посредством преобразования информативного акустического сигнала при воздействии его на строительные конструкции и инженерно-технические коммуникации защищаемых помещений;
- несанкционированный доступ к информации, обрабатываемой в автоматизированных системах;
- воздействие на технические или программные средства в целях нарушения целостности (уничтожения, искажения) информации через специально внедренные электронные и программные средства;
- побочные электромагнитные излучения информативного сигнала от технических средств и линий передачи информации;
- наводки информативного сигнала, обрабатываемого техническими средствами, на провода и линии, выходящие за пределы контролируемой зоны учреждения, в т.ч. на цепи заземления и электропитания;
- электрические сигналы или радиоизлучения, обусловленные воздействием на технические средства высокочастотных сигналов, создаваемых с помощью разведывательной аппаратуры, по эфиру и проводам, либо сигналов промышленных радиотехнических устройств, и модуляцией их информативным сигналом («облучение», «навязывание», «прокачка»);
- радиоизлучения, модулированные информативным сигналом, возникающие при работе различных генераторов, входящих в состав технических средств, или при наличии паразитной генерации в узлах (элементах) технических средств;
- радиоизлучения или электрические сигналы от внедренных в технические средства и выделенные помещения специальных электронных устройств негласного получения информации («закладок»), модулированные информативным сигналом;
- радиоизлучения или электрические сигналы от электронных устройств негласного получения информации, подключенных к каналам связи или техническим средствам обработки информации
- просмотр информации с экранов дисплеев и других средств ее отображения с помощью оптических средств;
- прослушивание телефонных и радиопереговоров;
- хищение технических средств с хранящейся в них информацией или отдельных носителей информации.
Раздел IV Положения отвечает на вопрос: От чего защищаем?
Раздел IV. Оценка возможностей иностранных технических разведок
и других источников угроз безопасности информации
- перечень видов и средств технических разведок, источников угроз несанкционированного доступа к информации, которые опасны для данного объекта;
- результаты оценки их возможностей
Опасными видами иностранных технических разведок и других угроз считаются:
- Акустическая речевая разведка;
- Фотографическая разведка;
- Телевизионная разведка;
- Визуальная оптическая разведка;
- Разведка ПЭМИН;
- Радиоразведка;
- Несанкционированный доступ к информации;
- Специальные воздействия на информацию в целях ее уничтожения, искажения и блокирования;
Раздел V Положения отвечает на вопрос: Как защищаем?
Раздел V. Организационные и технические мероприятия по защите информации
- Организационные и технические мероприятия, обеспечивающие закрытие возможных технических каналов утечки охраняемых сведений об объекте.
- Мероприятия по защите информации при нахождении иностранных граждан.
- Мероприятия по защите информации в системах и средствах информатизации и связи.
В Положении должна четко прослеживаться взаимосвязь:
Сведения ограниченного распространения - Технический канал утечки информации - Опасные виды и средства разведки - Принятые меры, нейтрализующие угрозу.
Пример:
Существуют конфиденциальные сведения, а именно: сведения конфиденциального характера, обсуждаемые в защищаемом помещении.
Им можно сопоставить следующие каналы утечки информации: Вибрационные сигналы и акустическое излучение информативного речевого сигнала.
Опасными видами и средствами разведки в данном случае будут: акустическая речевая разведка, направленные микрофоны и контактные микрофоны.
Принятые меры, нейтрализующие угрозу: Применение сертифицированного средства защиты информации, например, генератор шума ЛГШ-401.
В заключение приведем Пример оценки возможностей иностранных технических разведок по перехвату информации:
Оценка возможностей иностранных технических разведок по перехвату информации
Акустическая речевая разведка.
(провести анализ возможностей АР-Р по перехвату секретной информации)
Вывод: АР-Р опасна (или не опасна).
Фотографическая разведка.
(провести анализ возможностей ФР по перехвату секретной информации)
Вывод: ФР опасна (или не опасна).
Телевизионная разведка.
(провести анализ возможностей ТВР по перехвату секретной информации)
Вывод: ТВР опасна (или не опасна).
Визуальная оптическая разведка.
(провести анализ возможностей ВЗОР по перехвату секретной информации)
Вывод: ВЗОР опасна (или не опасна).
Техническая компьютерная разведка.
(провести анализ возможностей ТКР по перехвату секретной информации)
Вывод: ТКР опасна (или не опасна).
Разведка ПЭМИН.
(провести анализ возможностей РПЭМИН по перехвату секретной информации)
Вывод: РПЭМИН опасна (или не опасна).
Разведка лазерных излучений.
(провести анализ возможностей РЛИ по перехвату секретной информации)
Вывод: РЛИ опасна (или не опасна).
Радиоразведка.
(провести анализ возможностей РР по перехвату секретной информации)
Вывод: РР опасна (или не опасна).
Руководитель подразделения
по технической защите информации
или штатный (назначенный) специалист /подпись/ А.Петров