6.3. Нормативно-правовая база инженерно-технической защиты информации
Деятельность государственной системы защиты информации регламентируется документами, составляющими нормативно-правовую базу инженерно-технической защиты информации. Основу составляют документы, классификация которых приведена на рис. 13.
Рис. 13. Классификация документов нормативно-правовой базы по защите информации
По назначению документы делятся на:
• руководящие;
• нормативные;
• методические.
Руководящие документы определяют структуру, права и обязанности органов и людей, обеспечивающих инженерно-техническую защиту информации на различных уровнях государственной системы. Руководящие документы разрабатываются на всех уровнях государственной системы защиты информации, причем документы на более низком уровне конкретизируют документы более высокого уровня.
Любая деятельность по выполнению руководящих документов сопровождается принятием решений по тому или иному вопросу. Основу принятия решений составляет идентификация текущих факторов или признаков с эталонными. Совокупность эталонных факторов или признаков представляют собой сущность понятия «норма» и содержание нормативных документов. Понятие нормы широко используется во всех сферах деятельности людей. Например, в обществе существуют нормы поведения, часть которых законодательно закреплена в Гражданском кодексе. Грубые отклонения от норм поведения – преступления и шкала наказаний в зависимости от уровня отклонения от нормы рассмотрены в Уголовном кодексе. Нормы в человеческом обществе могут изменяться эволюционно в процессе его развития и трансформироваться отдельными группами людей, обладающих силами и средствами психологического воздействия на население.
Нормативы в области инженерно-технической защиты информации определены специалистами в нормативных документах. В результате сравнения текущих показателей защиты информации с требуемыми нормативами применяется решение об уровне безопасности защищаемой информации.
Так как существующие показатели эффективности защиты информации зависят от большого числа факторов, то методики их определения разными органами и специалистами и, следовательно, полученные результаты в общем случае могут отличаться. Например, если не совпадают методики измерения уровней опасных сигналов у контролирующего и контролируемого органов, то специалистам контролируемого органа трудно доказать достаточность использованных мер защиты. Поэтому, как правило, одновременно разрабатываются нормативы и методики их определения, которые объединяются в нормативно-методические документы.
Основные законы РФ, указы Президента РФ и Постановления Правительства РФ в области инженерно-технической защиты информации указаны в табл. 3
Таблица 3
Основные документы РФ в области инженерно-технической защиты информации
№ п/п |
Уровень документа |
Наименование документа |
Дата принятия |
№ документа |
1 |
Законы РФ |
О государственной тайне |
21 июня 1993 г. |
5485-1 |
Об информации, информатизации и защите информации |
20 февраля 1995 г. |
24-Ф3 |
||
О безопасности |
5 марта 1992 г. |
2446-1 |
||
О федеральных органах правительственной связи и информации |
19 февраля 1993 г. |
4524-1 |
||
О связи |
16 февраля 1995 г. |
15-Ф3 |
||
Об органах Федеральной службы безопасности в Российской Федерации |
22 февраля 1995 г. |
40-Ф3 |
||
Об участии в международном информационном обмене |
4 июля 1996 г. |
85-Ф3 |
||
2 |
Указы Президента РФ |
Положение о Федеральной службе по техническому и экспортному контролю |
6 августа 2004 г. |
1085 |
Вопросы защиты государственной тайны |
30 марта 1994 г. |
614 |
||
Об утверждении перечня сведений, отнесенных к государственной тайне |
8 ноября 1995 г. |
1108 |
||
Об утверждении перечня сведений конфиденциального характера |
6 марта 1997 г. |
644 |
||
О защите информационно-телекоммуникационных систем и баз данных от утечки конфиденциальной информации по техническим каналам |
8 мая 1993 г. |
188 |
||
3 |
Постановле-ния правитель-ства РФ |
Об утверждении Правил отнесения сведений, составляющих государственную тайну, к различным степеням секретности |
4 сентября 1995 г. |
870 |
О лицензировании отдельных видов деятельности |
24 декабря 1994 г. |
1418 |
||
О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий (или) оказанием услуг по защите государственной тайны |
15 апреля 1995 г. |
333 |
||
Положение о сертификации средств защиты информации |
26 июня 1995г. |
608 |
||
Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения федеральных органов исполнительной власти |
3 ноября 1994г. |
1233 |
||
О лицензировании деятельно по технической защите конфиденциальной информации |
30 апреля 2002г. |
135 |
Основу межведомственных документов составляют решения, руководящие и нормативно-методические документы ФСТЭК (Гостехкомиссии). В них рассматриваются основы концепции защиты информации от технической разведки, типовые положения об органах по защите информации, требования и методические рекомендации по защите информации о утечки по техническим каналам, руководящие документы по различным аспектам защиты информации в автоматизированных системах, нормативно-методические документы по противодействию различным видам технической разведки.
В каждом ведомстве государства, являющимся владельцем или пользователем информации, содержащим государственную тайну, разрабатываются и конкретизируются руководящие и нормативно-методические документы и создаются органы, обеспечивающие защиту информации как в самом ведомстве, так и подчиненных подразделениях (организациях, предприятиях).
К руководящим документам, разрабатываемым в организации (на предприятии), относятся:
• руководство (инструкция) по защите информации в организации (на предприятии);
• положение о подразделении организации, на которое возлагаются задачи по обеспечению безопасности информации;
• инструкции по защите отдельных источников информации, прежде всего информации о разрабатываемых изделиях и продукции.
В различных организациях эти документы могут иметь разные наименования, отличающиеся от указанных. Но сущность этих документов остается неизменной, так как необходимость в них объективна.
Порядок защиты информации в организации определяется соответствующим руководством (инструкцией). Оно может содержать следующие разделы:
• общие положения;
• перечень охраняемых сведений;
• демаскирующие признаки объектов организации;
• оценки возможностей органов и средств добывания информации;
• организационные и технические мероприятия по защите информации;
• порядок планирования работ службы безопасности;
• порядок взаимодействия с государственными органами, решающими задачи по защите материальной и интеллектуальной собственности, государственной и коммерческой тайны.
Но в данном руководстве нельзя учесть всех особенностей защиты информации в конкретных условиях. В любой организации постоянно меняется ситуация с источниками и носителями конфиденциальной информации, угрозами ее безопасности. Например, появлению нового товара на рынке предшествует большая работа, включающая различные этапы и стадии: проведение исследований, разработка лабораторных и действующих макетов, создание опытного образца и его доработка по результатам испытаний, подготовка производства (документации и дополнительного оборудования), изготовление опытной серии для выявления спроса на товар, массовый выпуск продукции.
На каждом этапе и стадии к работе подключаются новые люди, разрабатываются новые документы, создаются узлы и блоки с информативными для них демаскирующими признаками. Созданию каждого изделия или самостоятельного документа сопутствует свой набор информационных элементов, их источников и носителей, угроз и каналов утечки информации, проявляющихся в различные моменты времени.
Для защиты информации об изделии на каждом этапе его создания разрабатывается соответствующая инструкция. Инструкция должна содержать сведения, необходимые для обеспечения безопасности информации, в том числе: общие сведения об образце, защищаемые сведения о нем и его демаскирующие признаки, потенциальные угрозы безопасности информации, замысел и меры по защите, порядок контроля (задачи, органы контроля, имеющие право на проверку, средства контроля, допустимые значения контролируемых параметров, условия и методики, периодичность и виды контроля), фамилии лиц, ответственных за безопасность информации.
Нормативно-методическую базу составляют
• государственные стандарты (ГОСТы)
• общие требования (ОТ), общие технические требования (ОТТ), тактико-технические требования (ТТТ), руководящие документы (РД) и другие документы;
• модели;
• нормы, методики и инструкции;
• эксплуатационно-техническая документация;
• учебно-методическая и научная литература.
Перечень основных государственных стандартов на технические средства охраны указан в табл. 4.
Основным нормативным документом является перечень сведений, составляющих государственную, военную, коммерческую или любую другую тайну. Перечень сведений, содержащих государственную тайну, основывается на положениях Закона «О государственной тайне». Перечни подлежащих сведений этого закона конкретизируются ведомствами применительно к тематике конкретных организаций. В коммерческих структурах, выполняющих государственные заказы, перечни распространяются на информацию, относящуюся к этому заказу. Перечни сведений, составляющих коммерческую тайну, составляются руководством фирмы при участии сотрудников службы безопасности.
Таблица 4
Перечень основных государственных стандартов на технические средства охраны
№ п/п |
Номер ГОСТа |
Наименование ГОСТа |
1 |
2 |
3 |
1 |
ГОСТ 26342-84 |
Средства охранной, пожарной и охранно-пожарной сигнализации. Типы, основные параметры и размеры |
2 |
ГОСТ 4.188-85 |
Средства охранной, пожарной и охранно-пожарной сигнализации. Номенклатура показателей |
3 |
ГОСТ 27990-88 |
Средства охранной, пожарной и охранно-пожарной сигнализации. Общие технические требования |
4 |
ГОСТ Р 50009-92 |
Совместимость технических средств охранной, пожарной и охранно-пожарной сигнализации электромагнитная. Требования, нормы и методы испытаний на помехоустойчивость и индустриальные радиопомехи |
5 |
ГОСТ Р 50658-94 |
Системы тревожной сигнализации. Часть 2. Требования к системам охраной сигнализации. Раздел 4. Ультразвуковые доплеровские извещатели для закрытых помещений |
6 |
ГОСТ Р 50659-94 |
Системы тревожной сигнализации. Часть 2. Требования к системам охранной сигнализации. Часть 5. Радиоволновые доплеровские извещатели для закрытых помещений |
7 |
ГОСТР 50775-95 (МЭК 839-1-88) |
Системы тревожной сигнализации. Часть 1. Общие требования. Раздел 1. Общие положения |
8 |
ГОСТР 50776-05 (МЭК 839-14-89) |
Системы тревожной сигнализации. Часть 1. Общие требования. Раздел 1. Общие положения |
9 |
ГОСТ Р 50777-95 (МЭК 839-1-6-90) |
Системы тревожной сигнализации. Часть 1. Системы охранной сигнализации. Общие требования. Раздел 4. Руководство по проектированию, монтажу и техническому обслуживанию |
10 |
ГОСТ Р 50862-96 |
Сейфы и хранилища ценностей. Требования и методы испытаний на устойчивость к взлому и огнестойкость |
11 |
ГОСТ Р 50941-96 |
Кабины защитные. Общие технические требования и испытания |
12 |
ГОСТ Р 51072-97 |
Двери защитные. Требования и методы испытаний на устойчивость к криминальному открыванию и взлому |
13 |
ГОСТ Р-5 1053 |
Замки сейфовые. Требования и методы испытаний на устойчивость к криминальному открыванию и взлому |
14 |
ГОСТ Р 5089-97 |
Замки и защелки для дверей. Технические условия |
15 |
ГОСТ 51136-98 |
Стекла защитные многослойные. Общие технические условия |
16 |
ГОСТ Р 51186-98 |
Системы тревожной сигнализации. Требования и методы испытаний систем охранной сигнализации. Извещатели акустические пассивные для блокирования остекленных конструкций в закрытых помещениях |
17 |
ГОСТ Р 51241-98 |
Средства и системы контроля и управления доступом. Классификация. Общие технические требования и методы испытаний |
18 |
ГОСТ Р 51558-2000 |
Системы охранные телевизионные. Общие технические требования и методы испытаний |
Другие нормативные документы определяют допустимые значения уровней сигналов с защищаемой информацией и концентрации демаскирующих веществ на границах контролируемых зон, непревышение которых обеспечивает требуемый уровень безопасности информации. Эти нормы разрабатываются соответствующими ведомствами, а для коммерческих структур, выполняющих негосударственные заказы, – специалистами этих структур. Кроме того, нормативные документы объединены с методиками измерения параметров норм.
Работа по защите информации в организации проводится всеми его сотрудниками, но степень участия различных категорий существенно отличается. Любой сотрудник, подписавший обязательство о неразглашении тайны, участвует в защите информации хотя бы путем выполнения руководящих документов о защите информации.