11.1. Подготовка молодых специалистов и переподготовка кадров в области защиты информации, обрабатываемой в АС, от НСД осуществляется в системе Госкомитета Российской Федерации по делам науки и высшей школы и Вооруженных Сил кафедрами вычислительной техники и автоматизированных систем высших учебных заведений по договорам с министерствами, ведомствами и отдельными предприятиями.
11.2. Подготовка осуществляется по учебным программам, согласованным с Гостехкомиссией России.
11.3. Повышение квалификации специалистов, работающих в этой области, осуществляют межотраслевые и отраслевыми институты повышения квалификации и вышеуказанные кафедры вузов по программам, согласованным с Гостехкомиссией России и отраслевыми органами контроля.
«ПОЛОЖЕНИЕ
О ГОСУДАРСТВЕННОМ ЛИЦЕНЗИРОВАНИИ ДЕЯТЕЛЬНОСТИ В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ» Совместное решение Гостехкомиссии России и ФАПСИ № 10 от 27 апреля 1994 г.
1.1. Настоящее Положение устанавливает основные принципы, организационную структуру системы государственного лицензирования деятельности предприятий, организаций и учреждений (далее — предприятий) независимо от их ведомственной принадлежности и форм собственности в области защиты информации, обрабатываемой (передаваемой) техническими средствами, а также порядок лицензирования и контроля за деятельностью предприятий, получивших лицензии.
1.2. Система Государственного лицензирования предприятий в области защиты информации является составной частью Государственной системы защиты информации.
Деятельность системы Государственного лицензирования организуют Государственная техническая комиссия при Президенте Российской Федерации (Гостехкомиссия России), Федеральное агентство правительственной связи и информации при Президенте Российской Федерации (ФАПСИ) и другие министерства и ведомства в пределах компетенции, установленной законодательством Российской Федераций.
1.3. Государственному лицензированию подлежат следующие виды деятельности по защите информации.
1.3.1. Гостехкомиссией России:
а) сертификация защищенных средств обработки информации, средств защиты и контроля защищенности информации, программных средств по требованиям безопасности информации;
б) аттестование объектов информатики(СМ.Сноску 1) на соответствие требованиям по безопасности информации;
в) специсследования на побочные электромагнитные излучения и наводки технических средств обработки информации (ТСОИ) на соответствие требованиям по безопасности информации;
г) экспертиза программных средств защиты информации и защищенных программных средств обработки информации на соответствие требованиям по предотвращению несанкционированного доступа к информации;
д) создание, монтаж, наладка, установка, ремонт, сервисное обслуживание технических средств защиты информации, защищенныхТСОИ, технических средств контроля эффективности мер защиты информации, программных средств защиты информации, защищенных программных Средств обработки информации, программных средств контроля защищенности информации;
е) проектирование объектов информатики в защищенном исполнении;
ж) контроль защищенности, информации в ТСОИ и на объектах информатики.
1.3.2. ФАПСИ:
а) разработка, производство, проведение сертификационных испытаний, реализация, эксплуатация шифровальных средств, предназначенных для криптографической защиты информации, содержащей сведения, составляющие государственную или иную охраняемую законом тайну, при ее обработке, хранении и передаче по каналам связи, а также предоставление услуг в области шифрования этой информации;
б) разработка, производство, проведение сертификационных испытаний, эксплуатация систем и комплексов телекоммуникаций высших органов государственной власти Российской Федерации;
1.4. Государственная лицензия на право деятельности по защите информации выдается подавшему заявку на получение такой лицензии предприятию, располагающему необходимой испытательной базой, нормативной и
___
Сноска 1. Под объектами информатики понимаются автоматизированные системы, системы связи, отображения и размножения вместе с помещениями, в которых они установлены, предназначенные для обработки и передачи информации, подлежащей защите, а также помещения, предназначенные для ведения конфиденциальных переговоров.
___
методической документацией, научным и инженерно-техническим персоналом, обладающим современным уровнем знаний в соответствующей области деятельности на основании результатов экспертизы деятельности предприятия по заявленному направлению работ.
1.5. Лицензии на реализацию и эксплуатацию шифровальных средств, закрытых систем и комплексов телекоммуникаций, а также на предоставление услуг в области шифрования информации выдаются предприятиям только при наличии сертификатов ФАПСИ на указанные средства, системы и комплексы.
1.6. Лицензиат, предоставляющий услуги по шифрованию информации, обязан обеспечить тайну переписки, телефонных переговоров, документальных и иных сообщений лиц, пользующихся этими услугами, а в необходимых случаях обеспечить возможность проведения оперативно-розыскных и следственных мероприятий в соответствии с действующим законодательством Российской Федерации.
1.7. Лицензии на использование шифровальных средств, закрытых систем и комплексов телекоммуникаций для криптографической защиты информации при передаче ее по каналам взаимоувязанной сети связи (ВСС) выдаются только при наличии соответствующих сертификатов и лицензий Министерства связи Российской Федерации.
1.9. Государственная лицензия выдается заявителю на конкретный вид деятельности на срок до 3-х лет, по истечению которых лицензия продлевается на очередные три года, установленным в п. 3.1.4. порядком.
1.10. Лицензиаты несут юридическую и финансовую ответственность за полноту и качество выполнения работ и обеспечение сохранности государственных и коммерческих секретов, доверенных им в ходе практической деятельности.
1.11. Юридические и физические лица, осуществляющие деятельность, виды которой указаны в п. 1.3. настоящего Положения, без лицензии или нарушившие установленные правила лицензирования деятельности несут ответственность, предусмотренную законодательством Российской Федерации.
2.1. Организационную структуру государственной системы лицензирования деятельности предприятий в области защиты информации образуют:
>• государственные органы по лицензированию;
>• отраслевые (ведомственные, региональные) лицензионные центры (далее — лицензионные центры);
>• предприятия-заявители (лицензируемые предприятия, лицензиаты);
>• предприятия и организации, в том числе заказывающие управления (заказчики), размещающие работы по защите информации (далее — предприятия-потребители).
2.2. Государственными органами по лицензированию являются Гостехкомиссия России, ФАПСИ, которые в пределах своей компетенции осуществляют следующие функции:
>• организуют обязательное государственное лицензирование деятельности предприятий;
>• выдают государственные лицензии предприятиям-заявителям по представлению лицензионных центров;
>• осуществляют научно-методическое руководство лицензионной деятельностью;
>• осуществляют контроль и надзор за соблюдением правил лицензирования, полнотой и качеством проводимых лицензиатами работ на объектах информатики;
>• обеспечивают публикацию необходимых сведений о ходе и порядке лицензирования;
>• рассматривают спорные вопросы, возникающие в ходе лицензирования. 2.3. Лицензионные центры осуществляют следующие функции:
>• формируют экспертные комиссии и представляют их состав на утверждение в соответствующие государственные органы по лицензированию;
>• планируют и проводят работы по экспертизе заявителей;
>• готовят по результатам экспертизы представления в соответствующие государственные органы по лицензированию;
>• контролируют полноту и качество выполненных лицензиатами работ;
>• систематизируют отчеты лицензиатов и представляют сводный отчет в соответствующие государственные органы по лицензированию ежегодно;
>• принимают участие в работе соответствующих государственных органов по лицензированию при рассмотрении спорных вопросов, возникающих в процессе лицензирования, и фактов некачественной работы лицензиатов.
Лицензионные центры назначаются совместными приказами руководства соответствующих государственных органов по лицензированию и отраслей промышленности, ведомств, органов регионального управления.
2.3.1. Для всестороннего обследования предприятий-заявителей с целью оценки их возможностей проводить работы в избранном направлении защиты информации и вынесения по материалам обследования заключения о возможности предоставления им права на эти работы при лицензионных центрах создаются экспертные комиссии.
Экспертные комиссии формируются из числа компетентных в соответствующей области защиты информации специалистов отраслей промышленности, Вооруженных Сил, органов государственного управления, других организаций и учреждений.
2.4. Лицензиаты имеют право пользоваться нормативно-методическими документами соответствующих государственных органов по лицензированию, обращаться к ним за необходимыми консультациями и содействием, а также ссылаться в официальных документах и рекламных материалах на полученную лицензию.
2.5. Предприятия-потребители имеют право обращаться с рекламациями на некачественно выполненные лицензиатами работы по защите информации в соответствующий лицензионный центр либо непосредственно в государственный орган по лицензированию.
3.2. Контроль и надзор за полнотой и качеством проводимых лицензиатами работ на объектах информатики осуществляется:
>• в ходе проверок Гостехкомиссией России, ФАПСИ и отраслевыми органами контроля состояния защиты на предприятиях-потребителях, воспользовавшихся услугами лицензиатов;
>• при контроле Гостехкомиссией России, ФАПСИ, лицензионными центрами качества выполненных лицензиатами работ по рекламациям предприятий-потребителей.
В зависимости от характера выявленных нарушений к лицензиатам могут быть применены следующие санкции:
>• поручение устранить за свой счет выявленные недостатки;
>• лишение лицензии.
Возмещение понесенных предприятием-потребителем затрат (ущерба) в случаях выявления нарушений состояния защиты производится в судебном порядке через хозяйственный суд (арбитраж).
Основные требования к предприятиям-заявителям на право получения лицензий в области защиты информации
К предприятиям-заявителям на право получения лицензий предъявляются требования по:
>• уровню квалификации специалистов;
>• наличию и качеству измерительной базы;
>• наличию и качеству производственных помещений;
>• наличию режимного органа и обеспечению охраны материальных ценностей и секретов заказчика.
1.1. Специалисты предприятий-заявителей на право получения лицензий должны ЗНАТЬ (в пределах своих функциональных обязанностей):
>• основные руководящие документы по обеспечению защиты информации и контролю ее эффективности;
>• нормативно-методические документы по защите и контролю защищенности информации, циркулирующей в технических средствах ее передачи и обработки и в помещениях, предназначенных для ведения служебных (секретных) переговоров;
>• необходимое программно-аппаратное оснащение подразделений защиты информации и контроля ее защищенности;
>• устройство, технические характеристики, принципы работы технических средств (по направлениям деятельности). Принципы формирования информативных сигналов в системах (технических средствах) обработки, передачи информации и пути циркуляции этих сигналов. Схемно-конструктивные решения основных типов технических средств информатики;
>• физические основы возникновения каналов утечки информации при ее обработке в средствах информатики и ведении служебных переговоров в выделенных помещениях. Временные, частотные, амплитудные и спектральные характеристики аналоговых и дискретных сигналов, циркулирующих в средствах информатики, и выделенных помещениях. Отличительные особенности информативных сигналов каждого вида технических средств передачи и обработки информации. Теоретические основы распространения электромагнитных полей в ближней и дальней зонах;
>• возможные каналы утечки секретной информации при ее обработке, передаче, хранении и отображении в средствах информатики и акустической информации, циркулирующей в выделенных помещениях. Причины возникновения паразитной генерации, электроакустических преобразований, побочных электромагнитных излучений, неравномерности потребления тока в сети электропитания и наводок на токопроводящие цепи, вспомогательные коммуникации и другие металлоконструкции при работе технических средств информатики;
>• структуру и функции программных средств управления вычислительным процессом (операционные системы, сетевые пакеты, системы управления базами данных). Принципы системного и прикладного алгоритмирования и программирования. Языки программирования. Принципы организации мультиплексных, многопользовательских и монопольных режимов работы средств информатики;
>• возможности технических средств разведки по добыванию информации или нарушению ее целостности;
>• основные программные, технические, организационные и режимные меры защиты информации от разрушения, искажения, копирования и утечки за счет несанкционированных действий как пользователей, так и лиц, недопущенных к обрабатываемой информации. Методы обеспечения разграничения и контроля доступа. Рекомендованные аппаратные и программные средства шифрования и криптографии, защиты от программ «вирусов» и закрытия физических каналов утечки информации, порядок и способы их применения;
>• возможности и технические характеристики программных и аппаратных средств защиты информационных технологий и информации, циркулирующей в выделенных помещениях, и комплексного контроля эффективности систем защиты информации;
>• требования к тест-программам, применяемым при измерении уровня побочных электромагнитных излучений средств информатики. Основные тест-программы, принципы их работы, возможность использования (применимость) для проверки конкретных типов технических, средств информатики и выделенных помещений;
5^ требования к тест-программам по проверке систем защиты от несанкционированного доступа. Основные тест- программы, принципы их работы, возможность использования (применимость) для проверки на конкретных типах технических средств вычислительной техники и порядок их использования при проверке;
>• метрологические требования к техническим средствам и условиям проведения измерений;
>• организацию работ и предприятия, обеспечивающие техническое обслуживание, ремонт и метрологическую поверку аппаратуры контроля;
>• принципы работы применяемой контрольно-измерительной аппаратуры, ее тактико-технические характеристики и возможности.
1.2. Специалисты предприятий-заявителей на право получения лицензий должны УМЕТЬ:
>• планировать и организовывать мероприятия по проведению специсследований технических средств информатики, аттестации и комплексного технического контроля эффективности систем защиты информации, циркулирующей в средствах информатики и выделенных помещениях на проверяемых объектах. Анализировать полученные результаты;
>• готовить отчетные документы по результатам проведенной работы;
>• определять характеристики и параметры контролируемого средства или выделенного помещения и проводить их анализ;
>• определять состав и структуру системы защиты информации, ее организационное и программно-аппаратное обеспечение. Проверять полноту соответствия технической документации требованиям нормативно-методических документов. Выявлять возможные каналы утечки или несанкционированного доступа к информации;
>• применять средства криптографической защиты;
>• организовать работу и применять средства защиты от специального программного воздействия (программ-"вирусов");
>• выявлять нарушения в технологии обработки информации. С применением программных, аппаратных и аналитических методов проверять правильность функционирования систем разграничения доступа и защиты от несанкционированных действий. Проверять наличие, качество и анализировать достаточность оперативных средств самоконтроля системы защиты информации;
>• разработать тест-программу, организовать ее запуск и функционирование во время проведения специальных исследований;
>• инструментально-расчетным методом с использованием различной аппаратуры контроля определять источник и параметры опасного сигнала, выполнение в местах возможного размещения средств разведки норм защиты информации, обрабатываемой средствами информатики, и речевой информации, циркулирующей в выделенных помещениях, разведопасные направления для перехвата информации, влияние условий размещения средств информатики, прокладки их линий связи и других коммуникаций на объекте, окружающих предметов (металлоконструкций), а также расположения выделенных помещений на возможности перехвата информации в реальных условиях;
>• проверять возможность утечки информации по различным каналам, образующимся при обработке информации средствами информатики, и речевой информации, циркулирующей в выделенных помещениях, за счет неравномерностей потребления тока в цепях питания, электромагнитных наводок во вспомогательных коммуникациях, цепях заземления, других токопроводящих коммуникациях и металлоконструкциях, возникновения паразитных электроакустических преобразований и генерации в средствах информатики, распространения звуковых волн в различных средах;
>• эксплуатировать, готовить, проверять основные технические параметры штатной аппаратуры контроля, характеризующие ее готовность к работе. Калибровать аппаратуру контроля;
>• работать на персональных ЭВМ. С помощью специального программного обеспечения выполнять необходимые расчеты при обработке результатов контроля, работать с базами данных, готовить выходные (отчетные) документы;
>• организовать ремонт, техническое обслуживание и поверку применяемой контрольно-измерительной аппаратуры, вычислительной и специальной техники.
1.3. Специалисты предприятий-заявителей должны ИМЕТЬ опыт практической работы по обеспечению защиты информации, обрабатываемой средствами информатики и циркулирующей в выделенных помещениях, и проверке эффективности мер защиты информации на объектах контроля.
2.1. Каждый определенный в заявке вид работ по защите информации должен быть обеспечен средствами измерений и контроля в объеме и по качеству достаточном для проведения, в соответствии с действующими на момент заявления методиками, измерений параметров технических средств, типы которых определены в заявлении. Допускается использование средств измерений на условиях аренды.
2.2. Измерительная база должна ОБЕСПЕЧИВАТЬ:
>• возможность проведения измерений полей в диапазоне частот, установленном в действующей методике (требования по диапазону частот);
>• возможность измерения уровней полей технических средств (требования по чувствительности);
>• возможность измерения опасных сигналов на фоне стационарных полей посторонних радиоэлектронных средств (требования по избирательности);
>• достоверность полученных значений полей (требования по точности, требования по динамическому диапазону);
>• возможность идентификации опасных излучений конкретному образцу, физической цепи (требования по идентификации).
Каждый тип средства измерений и контроля должен быть предназначен для проведения конкретных видов измерений (требования по назначению).
Средства измерений и контроля должны быть метрологически проверены (требования по метрологическому обеспечению).
При измерениях в цепях (средах), опасных для здоровья, должны быть предусмотрены пробники, съемники, датчики и средства защиты, обеспечивающие безопасность проведения работ.
3.1. Требования к помещениям, предназначенным для проведения измерений при предварительных и лабораторных специсследованиях (сертификации продукции), и их технической и технологической оснащенности рассматриваются как совокупность требований к разработанной технологии проведения измерений, измерительной аппаратуре, помещениям, стендам, антенным камерам, а также к организации их содержания, обслуживания и поверки, выполнение которых позволяет организации, претендующей на проведение работ, указанных в заявке, получить лицензию на право их проведения. Кроме того, на предприятии, претендующем на получение лицензии, должны быть выделены помещения, обеспечивающие сохранность исследуемых технических средств заказчика и документов.
4.1. В целях обеспечения сохранности материальных ценностей заказчика и его коммерческих и других секретов, а также обеспечения заявителя секретной нормативно-методической документацией у него должен быть предусмотрен режимно-секретный орган (орган обеспечения безопасности информации) и обеспечена надежная охрана. Допускается отсутствие у заявителя собственных указанных служб при условии обеспечения его услугами таких служб предприятием, у которого арендуются помещения.
«КОНЦЕПЦИЯ ЗАЩИТЫ СРЕДСТВ ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ И АВТОМАТИЗИРОВАННЫХ СИСТЕМ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ИНФОРМАЦИИ»
Руководящий документ Гостехкомиссии РФ
Принятые сокращения
AC — автоматизированная система
КСЗ — комплекс средств защиты НСД — несанкционированный доступ
ОС — операционная система
ППП — пакет прикладных программ
ПРД — правила разграничения доступа
РД — руководящий документ
СВТ — средства вычислительной техники
СЗИ — система защита информации СЗИ
НСД — система защиты информации от несанкционированного доступа
СЗСИ — система защиты секретной информации
СНТП — специальное научно-техническое подразделение
СРД — система разграничения доступа
СУБД — система управления базами данных
ТЗ — техническое задание ЭВМ — электронно-вычислительная машина
ЭВТ — электронно-вычислительная техника