book_OI

ке) должностных лиц и граждан, допущенных к государственной тайне» от 14.10.94 N 1161

12.«О государственном учете и регистрации баз и банков данных» от 28.02.96 N 226

13.«О порядке размещения и использования на территории Российской Федерации, на континен& тальном шельфе и в исключительной экономической зоне Российской Федерации иностранных технических средств наблюдения и контроля» от 29.08.01 N 633

14.«Об утверждении Порядка разработки списка продукции военного назначения, разрешенной к передаче иностранным заказчикам, и Порядка разработки списка государств, в которые разре& шена передача продукции военного назначения, указанной в списке продукции военного назна& чения, разрешенной к передаче иностранным заказчикам» от 30.08.01 N 647

15.«Об утверждении Положения об участии российских организаций в проведении выставок и по& казов продукции военного назначения» 13.12.99 N 1384

16.«Положение о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти» от 03.11.94 г. № 1233.

Наиболее важными нормативно*правовыми актами Гостехкомиссии (ФСТЭК) России в обла& сти защиты конфиденциальной информации кроме изложенных в первой главе являются:

1.Защита информации. специальные защитные знаки. классификация и общие требования.

2.Средства защиты информации. защита информации в контрольно&кассовых машинах и автомати& зированных кассовых системах. классификация контрольно&кассовых машин, автоматизирован& ных кассовых систем и требования по защите информации.

3.Инструкция о порядке проведения специальных экспертиз по допуску предприятий, учреждений

иорганизаций к проведению работ, связанных с использованием сведений, составляющих госу& дарственную тайну.

4.Положение о государственном лицензировании деятельности в области защиты информации.

5.Положение о сертификации средств защиты информации по требованиям безопасности инфор& мации.

6.Типовое положение об испытательной лаборатории.

7.Типовое положение об органе по аттестации объектов информации по требованиям безопаснос&

ти информации.

8.Типовое положение об органе по сертификации средств защиты информации по требованиям безопасности информации.

9.Положение об аккредитации испытательных лабораторий и органов по сертификации средств за& щиты информации по требованиям безопасности информации.

10.Положение по аттестации объектов информатизации по требованиям безопасности информации.

2.1.1.Специальные требования и рекомендации по технической защите конфиденциальной информации

В руководящем документе СТР&К [8] приводятся основные термины и определения по защите ин& формации, а также устанавливается порядок организации работ, указываются требования и рекомен& дации по обеспечению технической защиты информации с ограниченным доступом (конфиденциаль& ная информация), не содержащей сведений составляющих государственную тайну, на территории Российской Федерации.

Документ включает следующие шесть разделов: 1. Термины, определения и сокращения.

2.Общие положения.

3.Организация работ по защите информации.

4.Требования и рекомендации по защите речевой информации.

5.Требования и рекомендации по защите информации, обрабатываемой средствами вычислитель& ной техники.

6.Рекомендации по обеспечению защиты информации, содержащейся в негосударственных инфор& мационных ресурсах, при взаимодействии абонентов с информационными сетями общего поль& зования.

30

оглавление

1

2

3

4

5

В первом разделе даются определения: автоматизированной системы, безопасности информа& ции, вспомогательного технического средства и системы, закладочного устройства, защиты информа& ции от несанкционированного доступа, защищаемого помещения, контролируемой зоны (КЗ), конфи& денциальной информации, локальной вычислительной сети, межсетевого экрана, несанкциониро& ванного доступа и т. д.

Во втором разделе указывается, что защите подлежит информация, как речевая, так и обраба& тываемая техническими средствами, а также представленная в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, оптической и иной основе, в виде информационных массивов и баз данных в АС.

Объектами защиты при этом являются:

•средства и системы информатизации (средства вычислительной техники, автоматизированные системы различного уровня и назначения на базе средств вычислительной техники, в том числе информационно&вычислительные комплексы, сети и системы, средства и системы связи и переда& чи данных, технические средства приема, передачи и обработки информации (телефонии, звуко& записи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, сред& ства изготовления, тиражирования документов и другие технические средства обработки рече& вой, графической, видео и буквенно&цифровой информации), программные средства (операци& онные системы, системы управления базами данных, другое общесистемное и прикладное про& граммное обеспечение), средства защиты информации используемые для обработки конфиден& циальной информации;

•технические средства и системы, не обрабатывающие непосредственно конфиденциальную ин& формацию, но размещенные в помещениях, где она обрабатывается (циркулирует);

•защищаемые помещения.

Защита информации должна осуществляться посредством выполнения комплекса мероприятий

иприменения (при необходимости) средств ЗИ по предотвращению утечки информации или воздей& ствия на нее по техническим каналам, за счет несанкционированного доступа к ней, по предупреж& дению преднамеренных программно&технических воздействий с целью нарушения целостности (уничтожения, искажения) информации в процессе ее обработки, передачи и хранения, нарушения

ее доступности и работоспособности технических средств.

Основное внимание должно быть уделено защите информации, в отношении которой угрозы без& опасности информации реализуются без применения сложных технических средств перехвата ин& формации:

•речевой информации, циркулирующей в защищаемых помещениях;

•информации, обрабатываемой средствами вычислительной техники, от несанкционированного доступа и несанкционированных действий;

•информации, выводимой на экраны видеомониторов;

•информации, передаваемой по каналам связи, выходящим за пределы КЗ.

Разработка мер, и обеспечение защиты информации осуществляются подразделениями по защи&

те информации (службами безопасности) или отдельными специалистами, назначаемыми руковод& ством предприятия (учреждения) для проведения таких работ. Разработка мер защиты информации может осуществляться также сторонними предприятиями, имеющими соответствующие лицензии Гостехкомиссии России, либо ФСБ России, на право осуществления соответствующих работ.

Втретьем разделе основное внимание уделяется организации работ по созданию и эксплуата& ции объектов информатизации и их СЗИ. Эти работы отражаются в разрабатываемом на предприятии «Руководстве по защите информации» или в специальном «Положении о порядке организации и про& ведения работ по защите информации.

Требования и рекомендации четвертого раздела направлены на исключение (существенное за& труднение) возможности перехвата конфиденциальной речевой информации, циркулирующей в ЗП,

всистемах звукоусиления (СЗУ) и звукового сопровождения кинофильмов (СЗСК), при осуществле& нии ее магнитной звукозаписи и передачи по каналам связи.

Вучреждении (предприятии) должен быть документально определен перечень ЗП и лиц, ответ& ственных за их эксплуатацию в соответствии с установленными требованиями по защите информа&

31

оглавление

1

2

3

4

5

ции, а также составлен технический паспорт на ЗП (форма технического паспорта приведена в при& ложении № 4).

Защищаемые помещения должны размещаться в пределах контролируемой территории учрежде& ния (предприятия). При этом рекомендуется размещать их на максимальном удалении от границ кон& тролируемой зоны, ограждающие конструкции (стены, полы, потолки) не должны являться смежны& ми с помещениями других учреждений (предприятий). Не рекомендуется располагать ЗП на первых этажах зданий.

Для исключения просмотра текстовой и графической конфиденциальной информации через ок& на помещения рекомендуется оборудовать их шторами (жалюзи).

В состав пятого раздела входят следующие подразделы:

•общие требования и рекомендации по ЗИ обрабатываемой средствами вычислительной техники;

•основные требования и рекомендации по защите служебной тайны и персональных данных;

•основные рекомендации по защите информации, составляющей коммерческую тайну;

•порядок обеспечения защиты конфиденциальной информации при эксплуатации АС;

•защита конфиденциальной информации на автоматизированных рабочих местах на базе авто& номных ПЭВМ;

•защита информации при использовании съемных накопителей большой емкости для автоматизи& рованных рабочих мест на базе автономных ПЭВМ;

•защита информации в локальных вычислительных сетях;

•защита информации при межсетевом взаимодействии;

•защита информации при работе с системами управления базами данных.

В состав шестого раздела входят следующие подразделы:

•общие положения по обеспечению защиты информации, содержащейся в негосударственных ин& формационных ресурсах, при взаимодействии абонентов с информационными сетями общего пользования,

•условия подключения абонентов к Сети,

•порядок подключения и взаимодействия абонентских пунктов с Сетью, требования и рекоменда& ции по обеспечению безопасности информации.

В семи приложениях к СТР&К приводятся примеры документов по защите конфиденциальной ин& формации, разрабатываемые на предприятии.

Развитием СТР&К является ГОСТ Р ИСО/МЭК 15408:2002.

Наиболее важными государственными стандартами РФ в области защиты конфиденциаль& ной информации являются:

1.ГОСТ Р 34.11&94 Информационная технология. Криптографическая защита информации Функция хеширования от 23.05.94 № 154

2.ГОСТ 28147&89 Системы обработки информации защита криптографическая Алгоритм криптогра&

фического преобразования. Дата введения 01.07.90

3.ГОСТ Р 50922&96 Защита информации. Основные термины и определения. 1996 г.

4.ГОСТ Р 34.10&94 Информационная технология. Криптографическая защита информации. Проце& дуры выработки и проверки электронной цифровой подписи на базе асимметричного криптогра& фического алгоритма. от 23.05.94 № 154

5.ГОСТ Р 51275&99 «Защита информации. Объект информатизации. Факторы воздействующие на ин& формацию. Общие положения»

6.ГОСТ Р 50922&96 «Защита информации. Основные термины и определения»

7.ГОСТ Р 51583&2000 «Порядок создания автоматизированных систем в защищенном исполнении»

8.ГОСТ Р 51241&98 «Средства и системы контроля и управления доступом. Классификация. Общие технические требования. Методы испытаний»

9.ГОСТ 12.1.050&86 «Методы измерения шума на рабочих местах»

10.ГОСТ Р ИСО 7498&1&99 «Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель»

11.ГОСТ Р ИСО 7498&2&99 «Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации»

32

оглавление

1

2

3

4

5

12.ГОСТ Р 50739&95 «Средства вычислительной техники. Защита от несанкционированного доступа к информации»

13.ГОСТ Р 51320&99 «Совместимость технических средств электромагнитная. Радиопомехи индустри& альные. Методы испытаний технических средств — источников индустриальных радиопомех»

14.ГОСТ 13661&92 «Совместимость технических средств электромагнитная. Пассивные помехоподав& ляющие фильтры и элементы. Методы измерения вносимого затухания»

2.2. Организация работ по созданию и эксплуатации объектов информатизации и их СЗИ.

Организация работ по определяется в разрабатываемом на предприятии «Руководстве по защите информации» или в специальном «Положении о порядке организации и проведения работ по защи& те информации» и должна предусматривать:

•порядок определения защищаемой информации;

•порядок привлечения подразделений предприятия, специализированных сторонних организаций к разработке и эксплуатации объектов информатизации и СЗИ, их задачи и функции на различных стадиях создания и эксплуатации объекта информатизации;

•порядок взаимодействия всех занятых в этой работе организаций, подразделений и специалистов;

•порядок разработки, ввода в действие и эксплуатацию объектов информатизации;

•ответственность должностных лиц за своевременность и качество формирования требований по технической защите информации, за качество и научно&технический уровень разработки СЗИ.

В учреждении (на предприятии) должен быть документально оформлен перечень сведений кон&

фиденциального характера (приложение № 6), подлежащих защите в соответствии с нормативными правовыми актами, а также разработана соответствующая разрешительная система доступа персона& ла к такого рода сведениям.

Класс защищенности АС от НСД к информации устанавливается совместно заказчиком и разработ& чиком АС с привлечением специалистов по защите информации в соответствии с требованиями руко& водящего документа (РД) Гостехкомиссии России «Автоматизированные системы. Защита от несанк& ционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» и раздела 5 СТР&К и оформляется актом.

Пересмотр класса защищенности АС производится в обязательном порядке, если произошло из& менение хотя бы одного из критериев, на основании которых он был установлен.

Эксплуатация объекта информатизации осуществляется в полном соответствии с утвержденной организационно&распорядительной и эксплуатационной документацией, с учетом требований и по& ложений, изложенных в разделах 4&6 СТР&К.

С целью своевременного выявления и предотвращения утечки информации по техническим кана& лам, исключения или существенного затруднения несанкционированного доступа и предотвращения специальных программно&технических воздействий, вызывающих нарушение целостности информа& ции или работоспособности технических средств, в учреждении (на предприятии) проводится пери& одический (не реже одного раза в год) контроль состояния защиты информации.

Контроль осуществляется службой безопасности учреждения (предприятия), а также отраслевы& ми и федеральными органами контроля (для информации, режим защиты которой определяет госу& дарство) и заключается в оценке:

•соблюдения нормативных и методических документов Гостехкомиссии России;

•работоспособности применяемых средств защиты информации в соответствии с их эксплутаци& онной документацией;

•знаний и выполнения персоналом своих функциональных обязанностей в части защиты информации. При проведении аттестации объектов информатизации и периодическом контроле состояния за&

щиты конфиденциальной информации предприятиями (учреждениями) могут использоваться «Вре& менные методики оценки защищенности конфиденциальной информации...», указанные в приложе& нии №7 к СТР&К.

При обработке или хранении в АС информации, не отнесенной к категории секретной, в рамках СЗИ НСД государственным, коллективным, частным и совместным предприятиям, а также частным ли&

33

оглавление

1

2

3

4

5

цам рекомендуются следующие организационные мероприятия:

•выявление конфиденциальной информации и ее документальное оформление в виде перечня сведений, подлежащих защите;

•определение порядка установления уровня полномочий субъекта доступа, а также круга лиц, ко& торым это право предоставлено;

•установление и оформление правил разграничения доступа, т.е. совокупности правил, регламен& тирующих права доступа субъектов к объектам;

•ознакомление субъекта доступа с перечнем защищаемых сведений и его уровнем полномочий, а также с организационно&распорядительной и рабочей документацией, определяющей требова& ния и порядок обработки конфиденциальной информации;

•получение от субъекта доступа расписки о неразглашении доверенной ему конфиденциальной информации;

•обеспечение охраны объекта, на котором расположена защищаемая АС, (территория, здания, по& мещения, хранилища информационных носителей) путем установления соответствующих постов, технических средств охраны или любыми другими способами, предотвращающими или сущест& венно Утрудняющими хищение средств вычислительной техники (СВТ), информационных носите& лей, а также НСД к СВТ и линиям связи;

•выбор класса защищенности АС в соответствии с особенностями обработки информации (техно& логия обработки, конкретные условия эксплуатации АС) и уровнем ее конфиденциальности;

•организация службы безопасности информации (ответственные лица, администратор АС), осу& ществляющей учет, хранение и выдачу информационных носителей, паролей, ключей, ведение служебной информации СЗИ НСД (генерацию паролей, ключей, сопровождение правил разграни& чения Доступа), приемку включаемых в АС новых программных средств, а также контроль за хо& дом технологического процесса обработки конфиденциальной информации и т.д.;

•разработка СЗИ НСД, включая соответствующую организационно распорядительную и эксплуата& ционную документацию;

•осуществление приемки СЗИ НСД в составе АС.

Пересмотр класса защищенности АС производится в обязательном порядке, если произошло из&

менение хотя бы одного из критериев, на основании которых он был установлен. На стадии ввода в действие объекта информатизации и СЗИ оформляются:

•акты внедрения средств защиты информации по результатам их приемо&сдаточных испытаний;

•предъявительский акт к проведению аттестационных испытаний;

•заключение по результатам аттестационных испытаний.

При положительных результатах аттестации на объект информатизации оформляется «Аттестат соответствия требованиям по безопасности информации» (форма «Аттестата соответствия» для АС приведена в приложении № 2, для ЗП в приложении № 3)

Кроме вышеуказанной документации в учреждении (на предприятии) оформляются приказы, указания и решения:

•о проектировании объекта информатизации и назначении ответственных исполнителей;

•о формировании группы обследования и назначении ее руководителя;

•о заключении соответствующих договоров на проведение работ;

•о назначении лиц, ответственных за эксплуатацию объекта информатизации;

•о разрешении обработки в АС (обсуждения в ЗП) конфиденциальной информации.

Эксплуатация объекта информатизации осуществляется в полном соответствии с утвержденной организационно&распорядительной и эксплуатационной документацией.

При необходимости, по решению руководителя предприятия, могут быть организованы работы по поиску электронных устройств съема информации («закладочных устройств»), возможно внедренных в ЗП или технические средства, осуществляемые организациями, имеющими соответствующие лицен& зии ФАПСИ или ФСБ России на конкретный вид деятельности по поиску таких устройств. В организа& циях Минобороны России работы по поиску электронных устройств съема информации («закладоч& ных устройств»), возможно внедренных в ЗП или технические средства, могут проводиться организа& циями, допущенными к проведению этих работ в установленном порядке.

34

оглавление

1

2

3

4

5

2.3. Требования и рекомендации по защите речевой конфиденциальной информации

При проведении мероприятий с использованием конфиденциальной речевой информации и тех& нических средств ее обработки возможна утечка информации за счет:

•акустического излучения информативного речевого сигнала;

•виброакустических сигналов, возникающих посредством преобразования информативного акус& тического сигнала при воздействии его на строительные конструкции и инженерно&технические системы ЗП;

•прослушивания разговоров, ведущихся в ЗП, по информационным каналам общего пользования (городская телефонная сеть, сотовая, транкинговая и пейджинговая связь, радиотелефоны) за счет скрытного подключения оконечных устройств этих видов связи;

•электрических сигналов, возникающих в результате преобразования информативного сигнала из акустического в электрический за счет микрофонного эффекта и распространяющихся по прово& дам и линиям передачи информации, выходящие за пределы КЗ;

•побочных электромагнитных излучений информативного сигнала от обрабатывающих конфиден& циальную информацию технических средств, в т.ч. возникающих за счет паразитной генерации, и линий передачи информации;

•электрических сигналов, наводимых от обрабатывающих конфиденциальную информацию техни& ческих средств и линий ее передачи, на провода и линии, выходящих за пределы КЗ;

•радиоизлучений, модулированных информативным сигналом, возникающих при работе различ& ных генераторов, входящих в состав технических средств, установленных в ЗП, или при наличии паразитной генерации в их узлах (элементах);

•радиоизлучений, электрических или инфракрасных сигналов, модулированных информативным си& гналом от специальных электронных устройств съема речевой информации («закладочных уст& ройств»), закладываемых в ЗП, в технические средства и системы обработки информации.

Также следует учитывать возможность хищения технических средств с хранящейся в них инфор&

мацией или отдельных носителей информации.

В учреждении (предприятии) должен быть документально определен перечень ЗП и лиц, ответ& ственных за их эксплуатацию в соответствии с установленными требованиями по защите информа& ции, а также составлен технический паспорт на ЗП (форма технического паспорта приведена в при& ложении № 4 к СТР&К).

Защищаемые помещения должны размещаться в пределах контролируемой территории учрежде& ния (предприятия). При этом рекомендуется размещать их на максимальном удалении от границ кон& тролируемой зоны, ограждающие конструкции (стены, полы, потолки) не должны являться смежны& ми с помещениями других учреждений (предприятий). Не рекомендуется располагать ЗП на первых этажах зданий.

Для исключения просмотра текстовой и графической конфиденциальной информации через ок& на помещения рекомендуется оборудовать их шторами (жалюзи).

Защищаемые помещения рекомендуется оснащать сертифицированными по требованиям без& опасности информации ОТСС и ВТСС, либо средствами, прошедшими специальные исследования и имеющими предписание на эксплуатацию.

Эксплуатация ОТСС, ВТСС должна осуществляться в соответствии с предписаниями и эксплутаци& онной документацией на них.

Специальная проверка ЗП и установленного в нем оборудования с целью выявления возможно внедренных в них электронных устройств съема информации («закладочных устройств») проводится, при необходимости, по решению руководителя предприятия.

Во время проведения конфиденциальных мероприятий запрещается использование в ЗП радио& телефонов, оконечных устройств сотовой, пейджинговой и транкинговой связи, не имеющих предпи& саний на эксплуатацию переносных магнитофонов и других средств аудио и видеозаписи. При уста& новке в ЗП телефонных и факсимильных аппаратов с автоответчиком или спикерфоном, а также ап& паратов с автоматическим определителем номера, следует отключать их из сети на время проведения этих мероприятий.

35

оглавление

1

2

3

4

5

Для исключения возможности утечки информации за счет электроакустического преобразования рекомендуется использовать в ЗП в качестве оконечных устройств телефонной связи, имеющих пря& мой выход в городскую АТС, телефонные аппараты (ТА), прошедшие специальные исследования, либо оборудовать их сертифицированными средствами защиты информации от утечки за счет электроаку& стического преобразования.

Для исключения возможности скрытного подключения ТА и прослушивания ведущихся в ЗП разго& воров не рекомендуется устанавливать в них цифровые ТА цифровых АТС, имеющих выход в городскую АТС или к которой подключены абоненты, не являющиеся сотрудниками учреждения (предприятия).

Вслучае необходимости, рекомендуется использовать сертифицированные по требованиям без& опасности информации цифровые АТС, либо устанавливать в эти ЗП аналоговые аппараты или цифро& вые ТА с вмонтированными в них сертифицированными средствами защиты.

Ввод системы городского радиотрансляционного вещания на территорию учреждения (предпри& ятия) рекомендуется осуществлять через радиотрансляционный узел (буферный усилитель), разме& щаемый в пределах контролируемой зоны.

При вводе системы городского радиовещания без буферного усилителя, в ЗП следует использо& вать абонентские громкоговорители в защищенном от утечки информации исполнении, а также трех& программные абонентские громкоговорители в режиме приема 2&й и 3&й программы (с усилителем).

Вслучае использования однопрограммного или трехпрограммного абонентского громкоговорите& ля в режиме приема первой программы (без усиления), необходимо их отключать на период прове& дения конфиденциальных мероприятий.

Вслучае размещения электрочасовой станции внутри КЗ, использование в ЗП электровторичных часов (ЭВЧ) возможно без средств защиты информации. При установке электрочасовой станции вне КЗ в линии ЭВЧ, имеющие выход за пределы КЗ, рекомендуется устанавливать сертифицированные средства защиты информации.

Системы пожарной и охранной сигнализации ЗП должны строиться только по проводной схеме сбора информации (связи с пультом) и, как правило, размещаться в пределах одной с ЗП контроли& руемой зоне.

Вкачестве оконечных устройств пожарной и охранной сигнализации в ЗП рекомендуется исполь&

зовать изделия, сертифицированные по требованиям безопасности информации, или образцы средств, прошедшие специальные исследования и имеющие предписание на эксплуатацию.

Звукоизоляция ограждающих конструкций ЗП, их систем вентиляции и кондиционирования должна обеспечивать отсутствие возможности прослушивания ведущихся в нем разговоров из&за пределов ЗП.

Проверка достаточности звукоизоляции осуществляется аттестационной комиссией путем подтвер& ждения отсутствия возможности разборчивого прослушивания вне ЗП разговоров, ведущихся в нем.

При этом уровень тестового речевого сигнала должен быть не ниже используемого во время штат& ного режима эксплуатации помещения.

Для обеспечения необходимого уровня звукоизоляции помещений рекомендуется оборудование дверных проемов тамбурами с двойными дверями, установка дополнительных рам в оконных про& емах, уплотнительных прокладок в дверных и оконных притворах и применение шумопоглотителей на выходах вентиляционных каналов.

Если предложенными выше методами не удается обеспечить необходимую акустическую защиту, следует применять организационно&режимные меры, ограничивая на период проведения конфиден& циальных мероприятий доступ посторонних лиц в места возможного прослушивания разговоров, ве& дущихся в ЗП.

Для снижения вероятности перехвата информации по виброакустическому каналу рекомендует& ся организационно&режимными мерами исключить возможность установки посторонних (внештат& ных) предметов на внешней стороне ограждающих конструкций ЗП и выходящих из них инженерных коммуникаций (систем отопления, вентиляции, кондиционирования).

Для снижения уровня виброакустического сигнала рекомендуется расположенные в ЗП элементы инженерно&технических систем отопления, вентиляции оборудовать звукоизолирующими экранами.

В случае, если указанные выше меры защиты информации от утечки по акустическому и вибро&

36

оглавление

1

2

3

4

5

акустическому каналам недостаточны или нецелесообразны, рекомендуется применять метод актив& ного акустического или виброакустического маскирующего зашумления.

Для этой цели должны применяться сертифицированные средства активной защиты.

При эксплуатации ЗП необходимо предусматривать организационно&режимные меры, направлен& ные на исключение несанкционированного доступа в помещение:

•двери ЗП в период между мероприятиями, а также в нерабочее время, необходимо запирать на ключ;

•выдача ключей от ЗП должна производиться лицам, работающим в нем или ответственным за это помещение;

•установка и замена оборудования, мебели, ремонт ЗП должны производиться только по согласо& ванию и под контролем подразделения (специалиста) по защите информации учреждения (пред& приятия).

3.Организация работ по аттестации объектов информатизации и связи на соответствие требованиям безопасности информации

3.1. Аттестация объектов информатизации (ОИ)

Аттестационные испытания проводятся на соответствие требованиям организационно&распоря& дительных и нормативных документов по защите информации, в реальных условиях эксплуатации объектов информатизации в соответствии с «Положением по аттестации объектов информатики по требованиям безопасности информации», утвержденном Председателем Гостехкомиссии России от

25.11.94г.

Аттестационные испытания проводятся в соответствии с порядком, определяемым следующим ос&

новным перечнем работ для каждого объекта информатизации:

•анализ и оценка исходных данных и документации по защите информации на объекте информа& тизации;

•проверка соответствия представленных заявителем исходных данных реальным условиям разме& щения, монтажа и эксплуатации технических средств, изучение технологического процесса обра& ботки, передачи и хранения секретной информации, анализ информационных потоков, определе& ние состава использованных для обработки, передачи и хранения секретной информации техни& ческих средств;

•проверка состояния организации работ и выполнения организационно&технических требований

по защите информации, оценка правильности категорирования выделенных помещений и техни& ческих средств и систем объектов информатизации, классификации автоматизированных систем (АС), оценка полноты и уровня разработки организационно&распорядительной, проектной и экс& плуатационной документации, оценка уровня подготовки кадров и распределения ответственно& сти за выполнение требований по защите информации;

•испытания инженерного оборудования объекта информатизации, отдельных технических и про& граммных средств АС, средств и систем защиты информации на соответствие требованиям защи& ты информации по утвержденным или согласованным с заявителем методикам испытаний;

•комплексные испытания объекта информатизации на соответствие требованиям по защите ин& формации;

•подготовка отчетной документации — протоколов испытаний и заключения по результатам атте& стационных испытаний с выводами комиссии о соответствии (или несоответствии) объекта ин& форматизации установленным требованиям, которые представляются в орган по аттестации для принятия решения о выдаче «Аттестата соответствия».

37

оглавление

1

2

3

4

5

При проведении аттестационных испытаний применяются следующие методы проверок и испытаний:

•экспертно&документальный метод,

•измерение и оценка уровней защищенности для отдельных технических средств и каналов утеч& ки информации;

•проверка функций или комплекса функций защиты информации от несанкционированного досту& па (НСД) с помощью тестирующих средств, а также путем пробного запуска средств защиты ин& формации от НСД и наблюдения за их выполнением.

Экспертно документальный метод предусматривает проверку соответствия объекта информати& зации установленным требованиям на основании экспертной оценки полноты и достаточности пред& ставленных документов по обеспечению необходимых мер защиты информации, а также соответ& ствия реальных условий эксплуатации требованиям по размещению, монтажу и эксплуатации техни& ческих средств.

Измерение и оценка уровней защищенности проводятся в соответствии с действующими норма& тивными и методическими документами по защите информации от ее утечки по техническим каналам с использованием поверенной контрольно&измерительной аппаратуры

Проверка и испытания функций или комплекса функций защиты информации от НСД с помощью тестирующих средств проводятся для отдельных средств АС (технических и программных) или про& граммно&технической среды в целом по выбору аттестационной комиссии.

Впроцессе испытаний технических и программных средств используются тестирующие средства, принятые в установленном порядке.

Целью аттестационных испытаний АС является оценка соответствия данных объекта информати& зации требованиям руководящих документов по защите информации.

Задачей аттестационных испытаний является оценка соответствия условий эксплуатации объек& тов информатизации требованиям по защите информации:

•от утечки за счет побочных электромагнитных излучений и наводок (ПЭМИН) — объектов ВТ;

•от утечки за счет электронных устройств перехвата информации — объектов ВТ;

•от несанкционированного доступа (НСД) — объектов ВТ.

Всоответствии с требованиями «Временных методических указаний» введенных в действие при&

казом Председателя Гостехкомиссии России 21 июня 2002 года и Специальными требованиями и ре& комендациями, после выдачи аттестата не реже 1 раза в год планируется проводить контроль за со& стоянием и эффективностью защиты информации на объекте.

Для проведения аттестационных испытаний комиссии организацией&заявителем должны быть представлены следующие документы:

1.Описание технологического процесса обработки информации в АС.

2.Технический паспорт на АС с приложениями:

3.состав технических и программных средств входящих в АС;

4.план размещения АС относительно контролируемой зоны;

5.план размещения ОТСС, ВТСС;

6.схема прокладки линий передачи данных, цепей питания, заземления и их характеристики.

7.Справка УФСБ об отсутствии (наличии) в 1000 метровой зоне представительств иностранных го& сударств (США, Великобритания, Франция), обладающих правом экстерриториальности.

8.Приказ о классификации и категорировании (назначении комиссии).

9.Акт категорирования средств вычислительной техники входящих в структуру АС.

10.Акт классификации АС по требованиям безопасности информации.

11.Организационно&распорядительная документация разрешительной системы доступа персонала к защищаемым ресурсам АС.

12.Инструкция администратору безопасности.

13.Инструкция по антивирусному контролю.

14.Инструкция пользователю.

15.Приказ о вводе в эксплуатацию (после выдачи аттестата соответствия на АС).

38

оглавление

1

2

3

4

5

Аттестационные испытания АС включают:

•анализ организационной структуры объекта информатизации;

•анализ и оценка исходных данных и документации по защите информации на полноту содержания;

•изучение технологического процесса обработки и хранения конфиденциальной информации, анализ информационных потоков, определение состава использованных для обработки защища& емой информации средств ВТ;

•проверку состояния организации работ и выполнения организационно&технических требований по защите информации;

•оценку правильности классификации объектов информатизации;

•оценку правильности категорирования объектов информатизации;

•оценку полноты и уровня разработки организационно&распорядительной и эксплуатационной до& кументации и ее соответствия требованиям нормативной документации по защите информации;

•оценку уровня подготовки кадров и распределения ответственности за выполнение требований по обеспечению безопасности информации;

•испытания отдельных технических и программных средств, средств и систем защиты информации, на соответствие требованиям безопасности информации по утвержденным или согласованным методикам испытаний;

•комплексные испытания объектов информатизации на соответствие требованиям безопасности информации в реальных условиях эксплуатации путем проверки фактического выполнения уста& новленных требований на различных этапах технологического процесса обработки защищаемой информации;

•подготовку отчетной документации — протоколов испытаний и заключения по результатам атте& стационных испытаний с выводами комиссии о соответствии объектов информатизации требова& ниям по безопасности информации.

3.2.Методика анализа защищенности

Внастоящее время, видимо, не существует каких&либо стандартизированных методик анализа за& щищенности АС. Поэтому в конкретных ситуациях алгоритмы действий аудиторов могут существенно

различаться. Однако типовую методику анализа защищенности корпоративной сети предложить все& таки возможно. И хотя данная методика не претендует на всеобщность, ее эффективность многократ& но проверена на практике.

Типовая методика включает использование следующих методов:

•изучение исходных данных по АС;

•оценка рисков, связанных с осуществлением угроз безопасности в отношении ресурсов АС;

•анализ механизмов безопасности организационного уровня, политики безопасности организации и организационно&распорядительной документации по обеспечению режима информационной

безопасности и оценка их соответствия требованиям существующих нормативных документов,

а также их адекватности существующим рискам;

•ручной анализ конфигурационных файлов маршрутизаторов, МЭ и прокси&серверов, осуществля& ющих управление межсетевыми взаимодействиями, почтовых и DNS серверов, а также других критических элементов сетевой инфраструктуры; сканирование внешних сетевых адресов ЛВС из сети Интернет;

•сканирование ресурсов ЛВС изнутри;

•анализ конфигурации серверов и рабочих станций ЛВС при помощи специализированных про& граммных агентов.

Перечисленные методы исследования предполагают использование как активного, так и пассив&

ного тестирования системы защиты. Активное тестирование системы защиты заключается в эмуляции действий потенциального злоумышленника по преодолению механизмов защиты.

Пассивное тестирование предполагает анализ конфигурации ОС и приложений по шаблонам с ис& пользованием списков проверки. Тестирование может производиться вручную, либо с использовани& ем специализированных программных средств.

39

оглавление

1

2

3

4

5