Порядок организации и проведения разработок системы защиты секретной информации в ведомствах и на отдельных предприятиях
Порядок организации и проведения разработок системы защиты секретной информации в ведомствах и на отдельных предприятиях - раздел Политика, Большая энциклопедия промышленного шпионажа 7.1. Для Решения Научно-Технических, Методических И Принципиальных Практическ...
7.1. Для решения научно-технических, методических и принципиальных практических вопросов по проблеме защиты информации от НСД в АС в системе ведомств может проводиться комплекс научно-исследовательских и опытно-конструкторских работ по отраслевым планам.
7.2. В целях организации проблемных исследований, централизации разработок средств и систем защиты информации от НСД, осуществления научно-методического руководства проведением работ по этой проблеме в системе ведомств при головных организациях по АС могут создаваться специализированные отраслевые подразделения, осуществляющие взаимодействие с аналогичными подразделениями других министерств и ведомств.
7.3. Научное руководство работами по защите информации от НСД осуществляет главный конструктор интегрированных АС страны.
7.4. Общее руководство работами по защите информации от НСД, осуществление единой технической политики, организационно-методическое руководство и координацию работ, финансирование НИОКР по отраслевым заказам, взаимодействие с Гостехкомиссией России, другими ведомствами, а также контроль за организацией и проведением работ по защите информации от НСД в центральных аппаратах ведомств осуществляют научно-технические и режимные подразделения или назначаются кураторы этого направления работ.
7.5. На предприятии научно-техническое руководство и непосредственную организацию работ по созданию СЗСИ интегрированной АС осуществляет главный конструктор этой системы, а по типам AC — главные конструкторы этих систем, научные руководители тем, начальники объектов ЭВТ или другие должностные лица, обеспечивающие научно-техническое руководство всей разработкой соответствующей АС.
7.6. При разработке системы защиты в АС следует руководствоваться классификацией автоматизированных систем, подлежащих защите от несанкционированного доступа к информации, и требованиями по защите информации в автоматизированных системах различных классов.
Система защиты секретной информации реализуется в виде подсистемы АС и включает комплекс организационных, программных, технических (в том числе криптографических) средств, систем и мероприятий по защите информации от НСД. СЗСИ состоит из системной и функциональной частей. Системная часть является общей и применяется при разработке, внедрении и эксплуатации всех или большинства задач АС, функциональная часть обеспечивает защиту информации при решении конкретных задач.
7.7. Разработку СЗСИ АС осуществляют подразделение, разрабатывающее на предприятии АС, группа или отдельные специалисты по разработке средств и мер защиты и (или) специализированные научно-исследовательские, конструкторские и проектные предприятия (в том числе других министерств и ведомств) по договорам, заключаемым заказчиком АС.
В структуре крупных подразделений с большим объемом работ по режимному обеспечению выделяются также службы безопасности или секретные органы.
7.8. На подразделение разработки средств и мер защиты информации возлагаются разработка и внедрение системного режимного обеспечения (адаптация и настройка программных и технических средств и систем централизованной разработки), а также разработка требований к функциональному режимному обеспечению.
К разработке и внедрению системного режимного обеспечения привлекаются специалисты — разработчики обеспечивающих и функциональных подсистем АС, служб безопасности или секретных органов.
Разработка и внедрение режимного обеспечения АС осуществляется при взаимодействии со специальными научно-техническими подразделениями — службами защиты информации и подразделениями режимно-секретной службы предприятия.
7.9. Методическое руководство и участие в разработке требований по защите информации от НСД, аналитического обоснования необходимости создания режимного обеспечения АС, согласование выбора СВТ (в том числе общесистемного программного обеспечения), программных и технических средств и систем защиты, организацию работ по выявлению возможностей и предупреждению утечки секретной информации при ее автоматизированной обработке осуществляет СНТП предприятия.
В выработке требований по защите информации от НСД СНТП участвует совместно с заказчиком соответствующей АС, отраслевым органом обеспечения безопасности и военным представительством Министерства обороны в части вопросов, относящихся к его компетенции.
7.10. Общее руководство работами по обеспечению режима секретности при разработке АС осуществляет заместитель руководителя предприятия-разработчика по режиму.
Общее руководство работами по обеспечению режима секретности при эксплуатации АС осуществляет заместитель руководителя предприятия (организации), отвечающий за обеспечение режима секретности.
Организацию контроля эффективности средств и мер защиты информации разрабатывает предприятие и осуществляет руководитель, отвечающий на предприятии за организацию работ по защите информации.
7.11. При разработке СЗСИ необходимо максимально использовать имеющиеся или разрабатываемые типовые общесистемные компоненты, заимствуя программные и технические средства и системы защиты информации от НСД централизованной разработки, используя защищенные СВТ.
7.12. В рамках существующих стадий и этапов создания АС (ГОСТ 34.601-90) выполняются необходимые этапы работ по созданию СЗСИ.
7.13. В комплексе работ по созданию АС должны предусматриваться опережающая разработка и внедрение системной части СЗСИ.
7.14. На предпроектной стадии по обследованию объекта автоматизации группой обследования, назначенной приказом заказчика АС:
>• устанавливается наличие или отсутствие секретной информации в АС, подлежащей разработке, оценивается ее степень секретности и объемы;
>• определяются режим обработки секретной информации, классАС, комплекс основных технических СВТ, общесистемные программные
средства, предполагаемые к использованию в разрабатываемойАС;
>• оценивается возможность использования типовых или разрабатываемых централизованно и выпускаемых серийно средств защиты информации;
>• определяются степень участия персонала ВЦ, функциональных и производственных служб, научных и вспомогательных работников объекта автоматизации в обработке информации, характер взаимодействия между собой и с подразделениями режимно-секретной службы;
>• определяются мероприятия по обеспечению режима секретностинастадии разработки секретных задач.
7.15. На основании результатов предпроектного обследования разрабатываются аналитическое обоснование создания СЗСИ и раздел ТЗ на ее отработку.
7.16. На стадии разработки проектов СЗСИ заказчик контролируетее разработку.
7.17. На стадиях технического и рабочего проектирования разработчик системной части СЗСИ обязан:
>• уточнить состав средств защиты в применяемых версиях ОС и ППП, описать порядок их настройки и эксплуатации, сформулировать требования к разработке функциональных задач и баз данных АС;
>• разработать или адаптировать программные и технические средства защиты, разработать организационные мероприятия по системной части СЗСИ;
>• разработать организационно-распорядительную и проектную документацию СЗСИ и рабочую документацию по эксплуатации средств и мер защиты;
>• осуществлять методическую помощь разработчикам функциональной части СЗСИ.
7.18. На стадиях технического и рабочего проектирования разработчик функциональной части СЗСИ обязан:
>• представить разработчику системной части СЗСИ необходимые исходные данные для проектирования;
>• при методической помощи разработчиков системной части СЗСИ предусмотреть при решении функциональных задач АС использование средств и мер защиты;
>• разработать проектную документацию по режимному обеспечению задачи АС и рабочие инструкции для эксплуатации функциональных задач АС, определяющие порядок работы персонала ВЦ и пользователей при обработке секретной информации с учетом функционирования СЗСИ;
>• обосновать количество лиц (и их квалификацию), необходимых для непосредственной эксплуатации (применения) разработанных средств (системы) защиты секретной информации;
>• определить порядок и условия использования стандартных штатных средств защиты обрабатываемой информации, включенных разработчиком в ОС, ППП и т.п.;
7.19. Разработка, внедрение и эксплуатация СЗСИ АС осуществляется в отрасли или на отдельном предприятии в соответствии с требованиями следующей организационно-распорядительной и проектной документацией, учитывающей конкретные условия функционирования АС различного уровня и назначения:
>• Положение о порядке организации и проведения в отрасли(на предприятии) работ по защите секретной информации в АС;
>• Инструкция по защите секретной информации, обрабатываемой вАС отрасли (на предприятии или в подразделениях предприятия);
>• раздел Положения о разрешительной системе допуска исполнителей к документам и сведениям на предприятии, определяющий особенности системы допуска в процессе разработки и функционирования АС;
приказы, указания, решения:
>• о создании соответствующих подразделений разработчиков, о формировании группы обследования, о создании экспертных комиссий;
>• о начале обработки на объекте ЭВТ информации определенной степени секретности;
>• о назначении лиц, ответственных за эксплуатацию вычислительной системы, баз данных СЗСИ;
>• о назначении уполномоченных службы безопасности и т.д.;
>• проектная документация различных стадий созданияСЗСИ.
7.20. Разработка, внедрение и эксплуатация СЗСИ в АС производится установленным порядком в соответствии с требованиями ГОСТ 34.201-89, ГОСТ 34.602-89, ГОСТ 34.601-90, РД 50-680—88, РД 50-682-89, РД 50-34.698-90 и других документов.
21. Модернизация АС должна рассматриваться как самостоятельная разработка самой АС и СЗСИ для нее. Организация работ при этом должна соответствовать содержанию настоящего раздела.
Эта книга наиболее полно освещает вес основные современные способы негласного съема информации и методы защиты от промышленного шпионажа. Энциклопедический характер изложенного материала, рассмотрение широкого круга аспектов информационной безопасности делают настоящее издание настольной книгой для представителей государственных органов и сотрудников служб безопасности, преподавателей, студентов и других лиц, обеспокоенных проблемой защиты информации. Книга может использоваться как учебное пособие и как справочник для специалистов, имеющих опыт практической работы. Надеемся, что она будет интересна и для людей, впервые столкнувшихся с этой проблемой...
Закладные устройства с передачей информации по радиоканалу
Общие сведения о закладных устройствах
Один из эффективных путей негласного получения коммерческой информации основан на применении так называемых закладных устройств (ЗУ), скрытно
Закладные устройства с передачей информации по проводным каналам
Техническая возможность применения токоведущих линий для передачи перехваченной акустической информации практически реализована в целом ряде ЗУ. Наиболее широкое распространение получили закладки,
Направленные микрофоны
Общие понятия о направленных микрофонах
В начале 90-х годов направленные микрофоны вызывали повышенный интерес у организаций и частных лиц, которые занимались вопросами сбора инфор
Диктофоны
Осуществление негласной (скрытой) звукозаписи является одним из наиболее распространенных приемов промышленного шпионажа. Полученные записи используют для получения односторонних преимуществ в комм
Устройства, реализующие методы высокочастотного навязывания
Общая характеристика высокочастотного навязывания
Под высокочастотным навязыванием (ВЧ-навязыванием) понимают способ несанкционированного получения речевой информации, основанный н
Оптико-механические приборы
Зрение человека играет исключительно важную роль в познании окружающего мира, так как примерно 90 % получаемой информации приходится именно на зрение и только 10 % — на другие органы чувств. Интере
Приборы ночного видения
Рассмотренные выше оптико-механические приборы позволяют вести наблюдение при освещенности, близкой к нормальной (в светлое время суток), и при удовлетворительных погодных условиях (ясно или слабая
Средства для проведения скрытой фотосъемки
Важным элементом промышленного шпионажа является получение документов, подтверждающих тот или иной вид деятельности конкурентов. При этом фотоматериалы могут быть незаменимы при решении задач докум
Технические средства получения видеоинформации
Наиболее совершенным способом получения конфиденциальной информации является скрытое телевизионное или видеонаблюдение. Применение специальных миниатюрных камер позволяет сделать это наблюдение абс
Основные способы несанкционированного доступа
Изобретение компьютера дало людям уникальный инструмент, который существенно раздвинул границы человеческих возможностей. Вычислительным машинам стали доверять многие секреты, используя ЭВМ как сре
Преодоление программных средств защиты
В настоящее время известно огромное количество хакерских разработок, предназначенных для преодоления программных средств защиты. Они обладают различной эффективностью, но позволяют в той или иной с
Преодоление парольной защиты
Один из наиболее распространенных способов разграничения доступа к ресурсам вычислительных систем — введение паролей. В целом это достаточно надежный способ защиты, однако необходимо представлять е
Роль и место правового обеспечения
Разработка методов и средств защиты от промышленного шпионажа является важной составной частью общегосударственного процесса построения системы защиты информации. Значимость этого процесса определя
Февраля 1995 г.
Президент Российской Федерации Б. Ельцин
«О ГОСУДАРСТВЕННОЙ ТАЙНЕ»
Закон РФ от 21 июля 1993 г. № 5485-1 (с изменениями от 6 октября 1997 г.)
ПостановлениеВС РФ
Июля 1993 г.
Президент Российской Федерации Б. Ельцин
«О ФЕДЕРАЛЬНЫХ ОРГАНАХ ПРАВИТЕЛЬСТВЕННОЙ СВЯЗИ И ИНФОРМАЦИИ»
Закон РФ от 19 февраля 1993 г. № 4524-1 (с изменениями от
Февраля 1993 г.
Президент Российской Федерация Б. Ельцин
«ОБ ОРГАНАХ ФЕДЕРАЛЬНОЙ СЛУЖБЫ БЕЗОПАСНОСТИ В РОССИЙСКОЙ ФЕДЕРАЦИИ»
Федеральный закон от 3 апреля 1995 г. № 40-ФЗ Приня
Апреля 1995 г.
Президент Российской Федерации Ельцин Б.
«О СЕРТИФИКАЦИИ ПРОДУКТОВ И УСЛУГ» Закон РФ от 10 июня 1993 г. № 5151-1 (в ред. Федерального закона от 27 декабря 1995 г. № 211-ФЗ)
Августа 1995 г.
Президент Российской Федерации Б. Ельцин
«О МЕРАХ ПО РЕАЛИЗАЦИИ ПРАВОВОЙ ИНФОРМАТИЗАЦИИ» Указ Президента РФ от 28 июня 1993 г. № 963
В целях ускорения работ по пра
Июня 1993 г.
Президент Российской Федерации Б. Ельцин
«ОБ ОБРАЗОВАНИИ ФЕДЕРАЛЬНОЙ КОМИССИИ ПО ПРАВОВОЙ ИНФОРМАТИЗАЦИИ ПРИ ПРЕЗИДЕНТЕ РОССИЙСКОЙ ФЕДЕРАЦИИ» Указ Президента РФ от 28 января 199
Января 1994 г.
Президент Российской Федерации Б. Ельцин
ПОЛОЖЕНИЕ
О Федеральной комиссии по правовой информатизации при Президенте Российской Федерации
I. Общ
Апреля 1995 г.
Президент Российской Федерации Б. Ельцин
«ПОЛОЖЕНИЕ
О ГОСУДАРСТВЕННОЙ ТЕХНИЧЕСКОЙ КОМИССИИ ПРИ ПРЕЗИДЕНТЕ РОССИЙСКОЙ ФЕДЕРАЦИИ»
Указ Президента
Февраля 1999 г.
Президент Российской Федерации Б. Ельцин
ПОЛОЖЕНИЕ
О Государственной технической комиссии при Президенте Российской Федерации Утверждено Указом Президента РФ от
Область применения
Настоящий стандарт устанавливает классификацию и перечень факторов, воздействующих на защищаемую информацию, в интересах обоснования требований защиты информации на объекте информатизации.
Определения и сокращения
2.1. В настоящем стандарте применяют следующие термины с соответствующими определениями:
информация — сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от фор
Основные положения
3.1. Выявление и учет факторов, воздействующих или могущих воздействовать на защищаемую информацию в конкретных условиях, составляют основу для планирования и осуществления эффективных мероприятий,
Общие положения
1.1. Настоящее Положение устанавливает единый на территории Российской Федерации порядок исследований и разработок в области:
>• защиты информации, обрабатываемой автоматизированными с
Порядок контроля эффективности защиты секретной информации в АС
10.1. Контроль эффективности защиты информации в АС проводится в целях проверки сертификатов на средства защиты и соответствия СЗИ требованиям стандартов и нормативных документов Гостехкомиссии Рос
Общие положения
1.1. Настоящий документ излагает систему взглядов, основных принципов, которые закладываются в основу проблемы защиты информации от НСД, являющейся частью общей проблемы безопасности информации.
Определение НСД
2.1. При анализе общей проблемы безопасности информации выделяются те направления, в которых преднамеренная или непреднамеренная деятельность человека, а также неисправности технических средств, ош
Основные принципы защиты от НСД
3.1. Защита СВТ и АС основывается на положениях и требованиях существующих законов, стандартов и нормативно-методических документов по защите от НСД к информации.
3.2. Защита СВТ обеспечи
Модель нарушителя в АС
4.1. В качестве нарушителя рассматривается субъект, имеющий доступ к работе со штатными средствами АС и СВТ как части АС.
Нарушители классифицируются по уровню возможностей, предоставляем
Основные направления обеспечения защиты от НСД
6.1. Обеспечение защиты СВТ и АС осуществляется:
СРД субъектов к объектам доступа;
обеспечивающими средствами для СРД.
6.2. Основными функциями СРД являются:
Классификация АС
8.1. Классификация необходима для более детальной, дифференцированной разработки требований по защите от НСД с учетом специфических особенностей этих систем.
8.2. В основу системы классиф
Организация работ по защите от НСД
9.1. Организация работ по защите СВТ и АС от НСД к информации должна быть частью общей организации работ по безопасности информации.
9.2. Обеспечение защиты основывается на требованиях по
Классификация АС
1.1. Классификация распространяется на все действующие и проектируемые АС учреждений, организаций и предприятий, обрабатывающие конфиденциальную информацию.
1.2. Деление АС на соответству
Требования по защите информации от НСД для АС
2.1. Защита информации от НСД является составной частью общей проблемы обеспечения безопасности информации. Мероприятия по защите информации от НСД должны осуществляться взаимосвязано с мероприятия
Общие положения
1.1. Данные показатели содержат требования защищенности СВТ от НСД к информации.
1.2. Показатели защищенности СВТ применяются к общесистемным программным средствам и операционным системам
Требования к показателям защищенности
2.1. Показатели защищенности
2.1.1. Перечень показателей по классам защищенности СВТ приведен в таблице.
Показатель защищенности /Класс защищенности
/6 /5 /4 /3 /2 /1
Оценка класса защищенности СВТ (сертификация СВТ)
Оценка класса защищенности СВТ проводится в соответствии с Положением о сертификации средств и систем вычислительной техники и связи по требованиям защиты информации, Временным положением по органи
Общие положения
1.1. Данные показатели содержат требования к средствам защиты, обеспечивающим безопасное взаимодействие сетей ЭВМ, АС посредством управления межсетевыми потоками информации, и реализованных в виде
Требования к межсетевым экранам
2.1. Показатели защищенности
2.1.1. Перечень показателей по классам защищенности МЭ.
Показатель защищенности /Класс защищенности
/5 /4 /3 /2 /1
Управление до
Термины и определения
Администратор МЭ — лицо, ответственное за сопровождение МЭ.
Дистанционное управление компонентами МЭ — выполнение функций по сопровождению МЭ (компоненты) администратором МЭ с узла (рабоч
Общие положения
1.1. Классификация распространяется на ПО, предназначенное для защиты информации ограниченного доступа.
1.2. Устанавливается четыре уровня контроля отсутствия недекларированных возможност
Термины и определения
2.1. Недекларированные возможности — функциональные возможности ПО, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, до
Требования к уровню контроля
3.1. Перечень требований
Требование /Уровень контроля
/4 /3 /2 /1
Требования к документации
I. Контроль состава и содержания документации/ / /
Общие положения
1.1. Настоящий руководящий документ устанавливает классификацию по классам защиты специальных защитных знаков, предназначенных для контроля доступа к объектам защиты, а также для защиты документов
Термины и определения
Специальный защитный знак (СЗЗ) — сертифицированное и зарегистрированное в установленном порядке изделие, предназначенное для контроля несанкционированного доступа к объектам защиты путем определен
Классификация специальных защитных знаков и общие требования
3.1. Все СЗЗ делятся на 18 классов. Классификация СЗЗ осуществляется на основе оценки их основных параметров: возможности подделки, идентифицируемости и стойкости защитных свойств.
Класс
Основные понятия информационной безопасности
После знакомства с некоторыми правовыми актами, которые регулируют (или по крайней мере должны регулировать) деятельность тех лиц, чья сфера интересов находится в области защиты информации или ее с
Организационные мероприятия по защите информации
Как говорилось выше, защита информации — есть комплекс мероприятий, проводимых собственником информации, по ограждению своих прав на владение и распоряжение информацией, созданию условий, ограничив
Общие принципы выявления
Одним из элементов системы защиты информации является выявление возможно внедренных закладных устройств (ЗУ). Оно реализуется на основе двух групп методов (рис. 2.3.1).
Индикаторы поля
В соответствии с классификацией, приведенной на рис. 2.3.1, основными способами выявления радиозакладных устройств являются:
>• использование индикаторов поля;
>• п
Специальные радиоприемные устройства
Панорамные приемники и их основные характеристики
Радиоприемные устройства, безусловно, являются более сложным и более надежным средством выявления радиозакладок, чем индикаторы по
Программно-аппаратные комплексы
Дальнейшим шагом по пути совершенствования процедуры поиска ЗУ является применение программно-аппаратных комплексов радиоконтроля и выявления каналов утечки информации, так как их возможности значи
Нелинейные радиолокаторы
Общие сведения о нелинейных локаторах
Одной из наиболее сложных задач в области защиты информации является поиск внедренных ЗУ, не использующих радиоканал для передачи информации,
Общие принципы защиты
Среди всего многообразия способов несанкционированного перехвата информации особое место занимает прослушивание телефонных разговоров, поскольку телефонная линия — самый удобный источник связи межд
Аппаратура контроля линий связи
Индикаторные устройства
Принцип действия приборов указанного типа основан на измерении и анализе параметров телефонных линий. Основными параметрами, которые наиболее просто поддают
Средства защиты линий связи
Многофункциональные устройства индивидуальной защиты телефонных линий
На практике разработаны и широко используются специальные схемы предотвращения прослушивания помещений через Т
Криптографические методы и средства защиты
Радикальной мерой предотвращения подслушивания телефонных разговоров является использование криптографических методов защиты. Проблемы защиты информации волновали человечество с незапамятных времен
Защита от пиратских подключений
Отдельная, но очень актуальная проблема — борьба с лицами, незаконно подключившимися к чужим телефонным сетям и использующими их для своих целей, например для звонков в дальнее зарубежье. На Западе
Защита информации от высокочастотного навязывания
При рассмотрении методов ведения промышленного шпионажа в п. 1.3.5. были выделены основные принципы применения методов ВЧ-навязывания для съема информации с различных объектов. Теперь остановимся н
Обнаружители диктофонов
В разделе 1.5 отмечалось, что диктофон может быть использован как в качестве закладного подслушивающего устройства, так и для негласной записи доверительных бесед какой-либо из заинтересованных сто
Устройства подавления записи работающих диктофонов
Из материалов предыдущего подраздела видно, что обнаружение диктофона — очень сложная техническая задача. Вместе с тем работающий на запись диктофон можно подавить, то есть создать условия, при кот
Виды потенциально опасных воздействий
Защита информационных ресурсов, хранящихся и обрабатываемых в компьютерных системах, как никогда стала актуальной в связи с широким внедрением последних во все области нашей жизни. Причем возникла
Защита от ошибок обслуживающего персонала
Компьютер — это сложная самонастраивающаяся система, работающая с минимальным участием оператора. Особенно высокой степени автоматизации внутренних процессов компьютеров корпорации Microsoft удалос
Защита от заражения компьютерными вирусами
В наше время никого уже не надо убеждать в необходимости защиты информации, хранящейся и обрабатываемой в компьютере, от вирусов. Однако далеко не все знают, что и как нужно делать, чтобы защитить
Новости и инфо для студентов