Системы инженерно-технической защиты информации

Для рбеспечения ИТЗИ необходимы силы и средства, техни­ческая и нормативно-правовая база, а также постоянно проводи­мые мероприятия по ее обеспечению. Защиту информации обеспе­чивает ее владелец и пользователь. Защиту информации, содержа­щую государственную тайну, обеспечивают государственные ор­ганы и пользователи информации.

Инженерно-техническая защита информации проводится по двум основным направлениям: физическая защита носителя ин­формации и ее скрытие. Предотвращением и нейтрализацией сил воздействия и утечки информации традиционно занимаются раз­личные ведомства и органы, используются различные технические средства защиты информации.

Защита носителей информации в виде материальных тел не отличается от охраны любых других материальных ценностей. Охрану материальных ценностей от криминальных структур и элементов обеспечивают органы внутренних дел, а их защиту от. пожара — соответствующие органы противопожарной безопас­ности Министерства по делам гражданской обороны, чрезвычай­ным ситуациям и ликвидации последствий стихийных бедствий. Вопросами противодействия технической разведке эти органы не занимаются.

В разгар холодной войны, когда с, одной стороны, существен­но возросли активность и технические возможности иностранных технических разведок, а с другой, — в условиях гонки вооружения стремительно увеличивался объем секретной информации, возникла необходимость в создании специализированных органов по защите информации от технической разведки. Эти органы состав­ляют основу государственной системы защиты информации, со­держащей государственную тайну.

Структура государственной системы защиты информа­ции от технической разведки, ее задачи и функции определе­ны в Постановлении Совета Министров РФ от 15 сентября 1993 г. № 912-51 под названием «Положение о государственной системе защиты информации в Российской Федерации от иностранной тех­нической разведки и от утечки ее по техническим каналам».

Главными направлениями работ по защите информации явля­ются:

• обеспечение эффективного управления системой защиты ин­формации;

• определение состава сведений и демаскирующих признаков, ох­раняемых от технической разведки;

• анализ и оценка угроз безопасности информации;

• разработка организационно-технических мероприятий по за­щите информации и их реализация;

• организация и проведения контроля состояния защиты инфор­мации.

Основные задачи государственной системы защиты информа­ции от технической разведки, сформулированные в этом положе­нии, следующие:

§ проведение единой технической политики, организация и координация работ по защите информации в различных сферах де­ятельности государства;

§ исключение или существенное затруднение добывания инфор­мации техническими средствами разведки;

§ принятие правовых актов, регулирующих отношения в области защиты информации;

§ анализ состояния и прогнозирование возможностей техничес­ких средств разведки и способов их применения, формирования системы информационного обмена сведениями по осведомлен­ности иностранных разведок;

§ организация сил, создание средств защиты информации и конт­роля за ее эффективностью;

§ контроль состояния защиты информации в органах государс­твенной власти и на предприятиях.

Решение указанных задач осуществляется путем:

•предотвращения перехвата техническими средствами информа­ции, передаваемой по каналам связи;

•предотвращения утечки обрабатываемой информации за счет побочных электромагнитных излучений и наводок, создавае­мых функционирующими техническими средствами, а также
электроакустических преобразователей;

•исключения несанкционированного доступа к обрабатываемой или хранящейся в технических средствах информации;

•предотвращения специальных программно-технических воз­действий, вызывающих разрушение, уничтожение, искажениеинформации или сбои в работе средств информатизации;

•выявления возможно внедренных на объекты и в технические средства электронных устройств перехвата информации (за­кладных устройств);

•предотвращения перехвата техническими средствами речевой информации из помещений и объектов.

Защита информации считается эффективной, если принима­емые меры соответствуют установленным требованиям или нор­мам. Несоответствия мер установленным требованиям или нормам по защите информации являются нарушениями, которые делятся на три категории:

l первая — невыполнение требований или норм по защите ин­ формации, в результате чего имелась или имеется реальная воз­можность ее утечки по техническим каналам;

l вторая — невыполнение требований или норм по защите ин­формации, в результате чего создаются предпосылки к ее утеч­ке по техническим каналам;

l третья — невыполнение других требований по защите инфор­мации.Основными органами государственной системы защиты ин­формации являются:

1. Межведомственная комиссия по защите государственной тай­ны;

2. Федеральная служба по техническому и экспортному контролю (ФСТЭК) России;

3. Федеральная служба безопасности (ФСБ) РФ;

4. другие органы исполнительной федеральной власти и их струк­турные подразделения по защите информации;

5. органы исполнительной власти субъектов федерации и их струк­турные подразделения;

6. структурные подразделения и штатные специалисты по защите информации организаций (предприятий, учреждений).

Кроме того, косвенно в систему защиты информации входят органы МВД и МЧС, обеспечивающие физическую защиту мате­риальных ценностей, в том числе источников информации.

Эти органы образуют три правовых уровня защиты информа­ции: федеральный, субъектов федерации и уровень предпри­ятий (организаций). Так как количество органов по мере сниже­ния уровня возрастает, то силы и средства государственной систе­мы защиты информации образуют пирамиду. Наверху этой пира­миды находятся Межведомственная комиссия, Федеральная служ­ба по техническому и экспортному контролю, ФСБ РФ, а основание образуют органы предприятий и организаций.

Межведомственная комиссия по защите государствен­ной тайны образована Указом Президента РФ от 8 ноября 1995 г. № 1108. Положение о Межведомственной комиссии защите госу­дарственной тайны утверждено Указом Президента РФ № 71 от 20 января 1996 года. Межведомственная комиссия является кол­легиальным органом, основная функция которого — координация деятельности федеральных органов государственной власти и ор­ганов государственной власти субъектов РФ по защите государс­твенной.

В соответствии с положением она имеет право:

•формировать перечень сведений, отнесенных к государствен­ной тайне, и перечень должностных лиц органов государствен­ной власти, наделяемых полномочиями по отнесению сведе­
ний к государственной тайне; подготавливать и представлять в Правительство РФ предложения по правилам отнесения сведе­ний, составляющих государственную тайну, к различным сте­пеням секретности;

•подготавливать для Правительства РФ предложения по орга­низации разработки и выполнения государственных программ,нормативных и методических документов, обеспечивающих реализацию федерального законодательства о государственной тайне;

•рассматривать и представлять Президенту и Правительству РФ предложения по правовому регулированию вопросов защиты государственной тайны и совершенствованию системы защиты
государственной тайны в РФ;

•определять порядок рассекречивания сведений, составляющихгосударственную тайну;

•организовывать работу межведомс­твенных экспертных групп по рассекречиванию и продлению сроков засекречивания архивных документов; рассматривать запросы органов власти, предприятий, организаций, учрежде­ний и граждан о рассекречивании сведений, отнесенных к госу­дарственной тайне;

•подготавливать для Правительства РФ экспертные заключения на документы, содержащие сведения, отнесенные к государс­твенной тайне, в целях решения вопроса о возможности переда­чи указанных сведений другим государствам;

•подготавливать предложения по порядку определения разме­ров ущерба и рассматривать экспертные заключения о размерах ущерба, который может быть нанесен безопасности РФ вследс­твие несанкционированного распространения сведений, состав­ляющих государственную тайну, а также ущерба, наносимого предприятиям, учреждениям, организациям и гражданам в свя­зи с засекречиванием информации, находящейся в их собствен­ности;

•давать заключения на решения органов государственной влас­ти, которые могут привести к изменению перечня сведений, от­несенных к государственной тайне, приостанавливать или оп­ротестовывать их решения;

•координировать работы по организации сертификации средств защиты, по лицензированию деятельности предприятий, уч­реждений и организаций, связанной с использованием сведе­ний, составляющих государственную тайну, созданием средств
защиты информации, а также осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны.

Структуру Межведомственной комиссии образуют ее предсе­датель, 2 заместителя, члены комиссии, ответственный секретарь, комиссии по рассекречиванию документов, межведомственные рабочие и экспертные группы по направлениям деятельности, а так­же структурное подразделение центрального аппарата ФСТЭК России, осуществляющего организационно-техническое обеспече­ние деятельности Межведомственной комиссии.

В Федеральную службу по техническому и экспортному контролю РФ преобразована Указом Президента РФ от 9 мар­та 2004 г № 314 «О системе и структуре федеральных органов ис­полнительной власти» Государственная техническая комиссия при Президенте РФ. Государственная техническая комиссия СССР (Гостехкомиссия) впервые была создана для организации и коор­динации работ по противодействию иностранной технической разведке Постановлением Совета Министров СССР от 18 декабря 1973 г. № 903-303. Ее образование вызвано научно-техническим прогрессом в 80-е годы в военной технике, прежде всего, широ­ким внедрением в нее радиоэлектронных средств, создающих по­бочные электромагнитные излучения и наводки, а также наращи­ванием возможностей и активизацией деятельности иностранной технической разведки. Основной задачей Гостехкомисии СССР яв­лялась в то время организация в стране комплексных работ по за­щите от иностранных технических разведок вооружения и воен­ной техники, военных и военно-промышленных объектов [1].

В начале перестройки Гостехкомиссия СССР Указом Пре­зидента РФ от 5 января 1992 г. № 9 была преобразована в Госу­дарственную техническую комиссию при Президенте РФ, а в 2004 г. в ходе реорганизации структуры федеральных органов ис­полнительной власти преобразована, как уже указывалось выше, в Федеральную службу по техническому и экспортному контролю.

В соответствии с Указом Президента РФ от 16 августа 2004 г. № 1085 Федеральная служба по техническому и экспортному конт­ролю является федеральным органом исполнительной власти, осу­ществляющим реализацию государственйой политики, организа­цию межведомственной координации и взаимодействия, специаль­ные и контрольные функции в области государственной безопас­ности по вопросам:

• обеспечение безопасности информации в системах информаци­онной в телекоммуникационной инфраструктуры, оказывающих существенное влияние на безопасность государства в ин­формационной сфере;

•противодействие иностранным техническим разведкам на тер­ритории Российской Федерации;

•обеспечение защиты (некриптографическими методами) инфор­мации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступам, предотвра­
щения ее утечки ко техническим каналам, несанкционированно­го доступа к ней, специальных воздействий на информацию (но­сители информации) в целях ее добывания, уничтожения, иска­жения и блокирования доступа к ней на территории Российской Федерации;

• защиты информации при разработке, производстве, эксплуата­ции и утилизации неинформационных излучающих комплек­сов, систем и устройств;

• осуществления экспортного контроля.

Так как Федеральная служба по техническому и экспортному контролю (в части функций Гостехкомиссии) является постоянно действующим федеральным органом исполнительной власти, де­ятельность которого направлена на защиту государственной и слу­жебной тайны, то ее задачи в основном соответствуют задачам го­сударственной системы защиты информации от технической раз­ведки.

Федеральная служба по техническому и экспортному контро­лю РФ включает центральный аппарат, головную научную органиг зацию по проблемам технической защиты (Государственный науч­но-исследовательский испытательный институт проблем техничес­кой защиты информации) и территориальные органы. Основными задачами этих органов являются [1]:

•проведение государственной политики по обеспечению эффек­тивной защиты информации, содержащей государственную и служебную тайну, в органах государственной власти и местно­го самоуправления, на предприятиях, в учреждениях и органи­зациях региона;

•организация методического обеспечения и координации де­ятельности по защите информации, составляющей коммерчес­кую, банковскую и другие виды тайн в регионе.

При Гостехкомиссии (Федеральной службе по техническо­му и экспортному контролю) создана коллегия. Так как членами коллегии являются руководящие работники федеральных орга­нов исполнительной власти, государственных органов и организа­ций Российской Федерации, то решениями коллегии обеспечива­ется координация работ в области технической защиты информа­ции в стране.

Деятельность Федеральной службы безопасности РФ (ФСБ) регламентируется Федеральным законом № 40-ФЗ от 3 апре­ля 1995 г. «Об органах Федеральной службы безопасности РФ» и «Положением о Федеральной службе безопасности РФ», утверж­денной Указом Президента № 960 от 11 августа 2003 г. Для защи­ты государственной тайны на органы ФСБ возложены следующие основные функции:

•участие в разработке и реализации меры по защите сведений, составляющих государственную тайну, контроль за обеспече­нием сохранности этих сведений в федеральных органах госу­дарственной власти и органах государственной власти субъек­тов РФ, воинских формированиях и организациях;

•определение порядка осуществления контроля за обеспечени­ем защиты сведений, составляющих государственную тайну, в федеральных органах государственной власти и органах го­сударственной власти субъектов Российской Федерации, во­инских формированиях и организациях, а также порядка до­пуска граждан к сведениям, составляющим государственную
тайну, приемом их на военную службу (работу) в органы и войска;

•определение порядка контроля за организацией и функционированием криптографической и инженерно-технической бе­зопасности информационно-телекоммуникационных систем,
систем шифрованной, засекреченной и иныхвидов специаль­ной связи, за соблюдением режима секретности при обраще­нии с шифрованной информацией в шифровальных подразде­лениях государственных органов и организаций на террито­рии Российской Федерации и в ее учреждениях, находящихсяза пределами Российской Федерации, а также за обеспечением
защиты особо важных объектов (помещений) и находящихся в них технических средств от утечки информации по техничес­ким каналам;

•организация и осуществление шифровальной работы в органахФСБ и войсках;

•организация и обеспечение эксплуатации, безопасности, разви­тия и совершенствования открытой и засекреченной связи, сис­тем оповещения и звукоусиления на объектах органов ФСБ и
войск;

•регулирование в области разработки, производства, реали­зации, эксплуатации, ввоза в Российскую Федерацию и выво­за из Российской Федерации шифровальных (криптографичес­ких) средств и защищенных с использованием шифровальныхсредств систем и комплексов телекоммуникаций, а также в об­ласти предоставления на территории Российской Федерации ус­луг по шифрованию информации и выявлению электронных ус­тройств, предназначенных для негласного получения информа­ции, в помещениях и технических средствах;

•организация и проведение исследований в области защиты ин­формации, экспертных криптографических, инженерно-крип­тографических и специальные исследований шифровальных средств, специальных и закрытых информационно-телекомму­никационных систем;

•подготовка экспертных заключений на предложения о проведе­нии работ по созданию специальных и защищенных с использо­ванием шифровальных (криптографических) средств информа­ционно-телекоммуникационных систем и сетей связи;

•осуществление и организация лицензирования отдельных ви­дов деятельности.

Структура ФСБ РФ, утвержденная Указом Президента РФ от 11 августа 2003 г. № 960, включает:

•центральный аппарат Федеральной службы безопасности РФ (департаменты, управления и другие подразделения, непосредс­твенно реализующие направления деятельности органов феде­ральной службы безопасности, а также подразделения, испол­няющие управленческие функции);

•территориальные органы безопасности (управления, отделы ФСБ по отдельным регионам и субъектам РФ);

•органы безопасности в войсках (управления, отделы в Воо­руженных Силах, других войсках и воинских формированиях, а также в их органах управления);

•пограничные органы (управления, отряды, отделы ФСБ России по пограничной службе);

•другие органы.

Министерства, агентства, службы и другие органы решают в рамках своей компетенции следующие задачи по защите информа­ции:

•конкретизируют перечень охраняемых сведений, составляю­щих государственную тайну;

•обеспечивают разработку и осуществление мер по защите ин­формации в подведомственных организациях и предприятиях;

•организуют и координируют проведение научно-исследователь­ских и опытно-конструкторских работ в области защиты инфор­мации в соответствии с государственными (отраслевыми) про­граммами;

• разрабатывают по согласованию с Гостехкомиссией отраслевые документы по защите информации;

•контролируют выполнение на предприятиях отрасли установ­ленных норм и требований по защите информации;

•создают отраслевые центры по защите информации и контролю эффективности принимаемых мер;

• организуют подготовку и повышение квалификации специалис­тов по защите информации.

В министерствах, ведомствах, органах государственной влас­ти субъектов Российской федерации организуются Советы (Tpi-нические комиссии) и подразделения по защите информации. Основными направлениями работы Советов являются:

§ рассмотрение вопросов, связанных с защитой информации;

§ координация и контроль выполнения работ по вопросам обеспе­чения защиты информации в отрасли (регионе);

§ анализ и выработка рекомендаций по повышению эффектив­ности защиты информации в отрасли (регионе).

На подразделения по защите информации возлагаются следу­ющие основные функции:

§ проведение единой технической политики, организация и коор­динация работ по защите информации;

§ организация аттестования подведомственных объектов по выполнению требований обеспечения защиты информации, сер­тификации средств защиты информации и контроля ее эффек­тивности;

§ организация и координация разработок, внедрение и эксплуата­ция систем мер по предотвращению утечки информации;

•организация и проведение работ по контролю эффективности проводимых мероприятий и принимаемых мер по защите ин­формации;

•методическое обеспечение мер по защите информации;

• организация подготовки и повышения квалификации специа­листов по вопросам защиты информации для подведомствен­ных предприятий, учреждений и организаций, а также органи­зация и проведение занятий с руководящим составом по вопро­сам защиты информации.

Работы по защите информации на предприятиях (в орга­низациях и учреждениях) организуются их руководителями. Подразделения и штатные специалисты по безопасности на пред­приятиях осуществляют мероприятия по защите информации в ходе выполнения работ с использованием сведений, отнесенных к государственной или служебной тайне, определяют совместно с заказчиком работ основные направления комплексной защиты ин­формации, участвуют в согласовании технических (тактико-тех­нических) заданий на проведение работ, дают заключения о воз­можности проведения работ с информацией, отнесенной к госу­дарственной или служебной тайне.

В соответствии с существующим законодательством допуск предприятий (организаций, учреждений) к проведению работ, со­держащих государственную тайну, созданию средств защиты ин­формации и оказанию услуг по защите государственной тайны воз­можен после получении ими лицензий на соответствующий вид

деятельности.

Органами, уполномоченными на ведение лицензионной де­ятельности, являются [6-8]:

§ по допуску предприятий к проведению работ, связанных с ис­пользованием сведений, составляющих государственную тай­ну, — Федеральная служба безопасности РФ и ее территориальные органы (на территории РФ), Служба внешней разведки РФ (за рубежом);

§ на право проведения работ, связанных с созданием средств за­щиты информации, — Федеральная служба по техническому и экспортному контролю РФ, Федеральная служба безопасности РФ, Служба внешней разведки РФ, Министерство обороны РФ (в пределах их компетенции);

§ на право осуществления мероприятий и (или) оказания услуг в области защиты государственной тайны — Федеральная служ­ба безопасности РФ и ее территориальные органы, Федеральная служба по техническому и экспортному контролю РФ, Служба
внешней разведки РФ (в пределах их компетенции).

В отраслях промышленности и в регионах страны создаются и функционируют лицензионные центры, осуществляющие орга­низацию и контроль за деятельностью в области оказания услуг по защите информации.

Лицензии выдаются на срок 3-5 лет на основании результатов специальных экспертиз предприятий и государственной аттеста­ции их руководителей, ответственных за защиту сведений, состав­ляющих государственную тайну, и при выполнении следующих условий [6]:

•соблюдение требований законодательных и иных нормативных актов РФ по обеспечению защиты сведений, составляющих го­сударственную тайну, в процессе выполнения работ, связанных с использованием указанных сведений;

•наличие в структуре предприятия подразделения по защите го­сударственной тайны и необходимого числа специально под­готовленных сотрудников для работы по защите информации, уровень квалификации которых достаточен для обеспечения го­сударственной тайны;

•наличие на предприятии средств защиты информации, имею­щих сертификат, удостоверяющий их соответствие требовани­ям по защите сведений соответствующей степени секретности.

Государственная аттестация руководителей предприятий проводится методом собеседования с целью проверки их знаний, необходимых для организации на предприятии защиты сведений составляющих государственную тайну. Государственная аттестация руководителей предприятии организуется органами, уполно­моченными на ведение лицензионной деятельности, а также ми­нистерствами и ведомствами РФ, руководители которых наделены полномочиями по отношению к государственной тайне сведений в отношении подведомственных им предприятий.

Специальная экспертиза предприятия проводится путем проверки выполнения требований нормативно-методических до­кументов по режиму секретности, противодействию иностранным техническим разведкам и защите информации от утечки по техни­ческим каналам, а также соблюдения других условий, необходи­мых для получения лицензии.

Специальные экспертизы организуются и проводятся [9]:

• Федеральной службой безопасности РФ и территориальными органами безопасности РФ, Федеральной службой по техничес­кому и экспортному контролю РФ, другими министерствами и
ведомствами РФ, руководители которых наделены полномочия­ми по отнесению к государственной тайне сведений в отноше­нии подведомственных им предприятий;

• отраслевыми аттестационными центрами министерств и ве­домств, руководители которых наделены полномочиями по от­несению сведений к государственной тайне, для проведения специальных экспертиз на подведомственных им предприяти­ях;

• региональными аттестационными центрами Федеральной служ­бы безопасности РФ и территориальными органами безопаснос­ти, Федеральной службы по техническому и экспортному конт­ролю РФ, а также администрацией субъектов РФ, для проведе­ния экспертиз на вневедомственных предприятиях.

Специальные экспертизы проводятся экспертными комиссия­ми при Федеральной службе безопасности РФ и территориальных органах безопасности, а также при аттестационных центрах.

Контроль за соблюдением лицензионных условий лицензиа­тами, выполняющими работы, связанные с использованием сведе­ний, составляющие государственную тайну, созданием средств за­щиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны осуществляют органы, уполномоченные на ведение лицензионной деятельности.

Технические средства, используемые для обработки защи­ты информации, должны иметь сертификат соответствия их ха­рактеристик требованиям по защите. Обязательной сертифика­ции подлежат защищенные технические, программно-техничес­кие, программные средства, системы связи, сети и системы вычис­лительной техники, средства защиты и средства контроля эффек­тивности защиты, а также технические и программные средства, предназначенные для обработки информации с ограниченным до­ступом, в том числе иностранного производства.

Сертификацию средств проводят Федеральная служба по тех­ническому и экспортному контролю РФ, ФСБ РФ, Министерство обороны РФ, Служба внешней разведки РФ, аккредитованные ор­ганы по сертификации продукции, аккредитованные испытатель­ные центры (лаборатории). Координация деятельности по сертифи­кации возложена на Межведомственную комиссию по защите го­сударственной тайны.

Объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну, а также ве­дения секретных переговоров, подлежат обязательной аттеста­ции на соответствие их требованиям стандартов или иных норма­тивно-технических документов, утвержденных Гостехкомиссией (Федеральной службой по техническому и экспортному контролю). Аттестационные испытания проводятся аттестационной комисси­ей, формируемой органом, аккредитованным Федеральной служ­бой по техническому и экспортному контролю.