А. Е. Кабанов техническая защита информации icon

А. Е. Кабанов техническая защита информации


Смотрите также:
А. Е. Кабанов техническая защита информации...
А. Е. Кабанов техническая защита информации...
А. Е. Кабанов техническая защита информации...
Курсовая работа по дисциплине: «Инженерно-техническая защита информации»...
Рабочая программа дисциплина Инженерно-техническая защита информации Направление...
«Инженерно-техническая защита информации»...
Дисциплины кафедры «Техническая кибернетика» кв "Защита информации"...
Программа дисциплины опд ф...
Программа дисциплины по кафедре Автоматики и системотехники инженерно-техническая защита...
«новая информационная технология»...
Защита информации в сетях связи...
Отчет о курсовой работе по курсу: Инженерно техническая защита информации...



Загрузка...
скачать


А.Е. Кабанов


ТЕХНИЧЕСКАЯ ЗАЩИТА ИНФОРМАЦИИ


Содержание

Часть 1. Правовые основы деятельности по защите информации.

Тема 1. Закон “Об информации, информационных технологиях и о защите информации”.

Тема 2. Конфиденциальная информация.

Тема 3. Закон Российской Федерации ”О государственной тайне”.

Тема 4. О мерах по обеспечению информационной безопасности при использовании информационно-телекоммуникационных сетей международного информационного обмена.


Тема 5. Закон “О персональных данных”.

Тема 6. Закон “Об электронной подписи”.

Тема 7. Закон "О коммерческой тайне".

^ Часть 2. Технические каналы утечки информации.

Тема 8. Определение и структура технического канала утечки информации.

Тема 9. Побочные электромагнитные излучения и наводки.

Тема 10. Визуально – оптический канал утечки информации.

Тема 11. Виброакустический канал утечки информации.

^ Часть 3. Государственная система защиты информации.

Тема 12. Положение О государственной системе защиты информации в Российской  Федерации от иностранных технических разведок и от её утечки по техническим каналам”.


Контрольные вопросы.


Часть 1. ПРАВОВЫЕ ОСНОВЫ ДЕЯТЕЛЬНОСТИ ПО ЗАЩИТЕ

ИНФОРМАЦИИ.

Тема 1. ЗАКОН “^ ОБ ИНФОРМАЦИИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЯХ И О ЗАЩИТЕ ИНФОРМАЦИИ” ОТ 27 ИЮЛЯ 2006 ГОДА

149-ФЗ.

Данный закон является базовым законодательным актом в сфере информатизации и защиты информации, регулирующим “отношения, возникающие при:

  1. осуществлении права на поиск, получение, передачу, производство и распространение информации;

  2. применении информационных технологий;

  3. обеспечении защиты информации”.

Статья 2 посвящена определению основных понятий, используемых в данном законодательном акте. Так, понятие информация трактуется как “сведения (сообщения, данные) независимо от формы их представления;

информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов;

информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;

информационно-телекоммуникационная сеть – технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники;

обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам;

доступ к информации - возможность получения информации и её использования;

конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия её обладателя;

предоставление информации - действия, направленные на получение информации определенным кругом лиц или передачу информации определенному кругу лиц;

распространение информации - действия, направленные на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц;

электронное сообщение - информация, переданная или полученная пользователем информационно-телекоммуникационной сети;

документированная информация - зафиксированная на материальном носителе путём документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель;

оператор информационной системы - гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных”.

Необходимо обратить внимание на крайне неудачное определение документированной информации. Во-первых, определяемое понятие определяется через самоё себя: “документированная информация - зафиксированная на материальном носителе путем документирования…”. И, во-вторых, допускается “в установленных законодательством Российской Федерации случаях” считать документированной информацией её материальный носитель. По-видимому, целесообразней было бы воспользоваться определением документа из Федерального закона № 77-ФЗ «Об обязательном экземпляре документов»: документ-материальный носитель с зафиксированной на нём в любой форме информацией в виде текста, звукозаписи, изображения и (или) их сочетания, который имеет реквизиты, позволяющие его идентифицировать, и предназначен для передачи во времени и в пространстве в целях общественного использования и хранения.

Важнейшими принципами правового регулирования отношений в сфере информации, информационных технологий и защиты информации статья 3 декларирует:

“1)свобода поиска, получения, передачи, производства и распространения информации любым законным способом;

2) установление ограничений доступа к информации только федеральными законами”

Пункт 2 статьи 5 вводит деление информации в зависимости от категории доступа к ней “на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа)”.

Статья 6 определяет права и обязанности обладателя информации.

Важнейшим положением закона является определение категорий информации доступ, к которым не может быть ограничен:

  1. нормативным правовым актам, затрагивающим права, свободы и обязанности человека и гражданина, а также устанавливающим правовое положение организаций и полномочия государственных органов, органов местного самоуправления;

  2. информации о состоянии окружающей среды;

  3. информации о деятельности государственных органов и органов местного самоуправления, а также об использовании бюджетных средств (за исключением сведений, составляющих государственную или служебную тайну);

  4. информации, накапливаемой в открытых фондах библиотек, музеев и архивов, а также в государственных, муниципальных и иных информационных системах, созданных или предназначенных для обеспечения граждан (физических лиц) и организаций такой информацией;

  5. иной информации, недопустимость ограничения доступа к которой установлена федеральными законами.

Пункт 3 Статьи 11 устанавливает эквивалентность электронной цифровой подписи и собственноручной подписи субъекта: “Электронное сообщение, подписанное электронной цифровой подписью или иным аналогом собственноручной подписи, признается электронным документом, равнозначным документу, подписанному собственноручной подписью, в случаях, если федеральными законами или иными нормативными правовыми актами не устанавливается или не подразумевается требование о составлении такого документа на бумажном носителе”.

Таковы основные моменты и положения этого законодательного акта, на которые хотелось бы обратить особое внимание.


Тема 2. ^ КОНФИДЕНЦИАЛЬНАЯ ИНФОРМАЦИЯ.

Вкупе с рассмотренным законом “Об информации…” практически всегда рассматривается указ Президента № 188 от 6 марта 1997 года "Об утверждении перечня сведений конфиденциального характера", конкретизирующий деление информации в зависимости от категории доступа. В шести пунктах перечислены категории информации, являющиеся конфиденциальными:

“1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.

2. Сведения, составляющие тайну следствия и судопроизводства.

3. Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна).

4. Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).

5. Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна).

6. Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них”.

Таким образом, информация ограниченного доступа делится на информацию, являющуюся конфиденциальной в соответствии данным указом, и информацию, составляющую секретные сведения в соответствии с законом “О государственной тайне” от 21 июня 1993 г. № 5485-I, который будет рассмотрен далее.

Всё вышесказанное графически можно проиллюстрировать следующим образом.


^ Информация по категориям доступа

(ФЗ “Об информации, информационных технологиях и о защите информации”

от 27 июля 2006 года № 149-ФЗ)



Общедоступная

информация

Информация ограниченного доступа

(доступ к информации ограничен федеральными законами)



  • законодательные и другие нормативные акты;

  • информации о состоянии окружающей среды;

  • информации о деятельности государственных органов и органов местного самоуправления, а также об использовании бюджетных средств;

  • информации, накапливаемой в открытых фондах библиотек, музеев и архивов.

Информация, составляющая государственную тайну

Информация, соблюдение

конфиденциальности, которой установлено ФЗ

ФЗ «О государственной тайне» от 21 июня 1993г.

№ 5485-I

ФЗ от 29 июля 2004 г.№ 98

«О коммерческой тайне»;

ФЗ от 27 июля 2006 г.N152

«О персональных данных»;

Указ Президента РФ от 6 марта 1997 года г. № 188

«Об утверждении перечня сведений конфиденциального характера»




Тема 3. ^ ЗАКОН РОССИЙСКОЙ ФЕДЕРАЦИИ ”О ГОСУДАРСТВЕННОЙ ТАЙНЕ” ОТ 21 ИЮНЯ 1993 Г. № 5485-I.

Данный закон регулирует сферу, связанную с обработкой и защитой информации, составляющую государственную тайну.

По определению из статьи 2 государственная тайна - защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.

В законе подробно перечисляются полномочия органов государственной власти и должностных лиц в области отнесения сведений к государственной тайне и их защиты

Статья 5 содержит совокупность категорий сведений, в соответствии с которыми сведения относятся к государственной тайне и засекречиваются на основаниях и в порядке, установленных федеральным законодательством. “Государственную тайну составляют:

1) сведения в военной области:

- о содержании стратегических и оперативных планов, …;

- о планах строительства Вооруженных Сил Российской Федерации,…;

- о разработке, технологии, производстве, об объемах производства, о хранении, об утилизации ядерных боеприпасов,…;

- о тактико-технических характеристиках и возможностях боевого применения образцов вооружения и военной техники,…;

- о дислокации, назначении, степени готовности, защищенности режимных и особо важных объектов,…;

- о дислокации, действительных наименованиях, об организационной структуре, о вооружении, численности войск и состоянии их боевого обеспечения, а также о военно-политической и (или) оперативной обстановке;

2) сведения в области экономики, науки и техники:

- о содержании планов подготовки Российской Федерации и ее отдельных регионов к возможным военным действиям,…;

- об использовании инфраструктуры Российской Федерации в целях обеспечения обороноспособности и безопасности государства;

- о силах и средствах гражданской обороны,…;

- об объемах, о планах (заданиях) государственного оборонного заказа,…;

- о достижениях науки и техники, … влияющих на безопасность государства;

- о запасах платины, природных алмазов в Государственном фонде драгоценных металлов и драгоценных камней Российской Федерации, … а также об объемах запасов в недрах, добычи, производства и потребления стратегических видов полезных ископаемых…;

3) сведения в области внешней политики и экономики:

- о внешнеполитической, внешнеэкономической деятельности Российской Федерации, преждевременное распространение которых может нанести ущерб безопасности государства;

- о финансовой политике в отношении иностранных государств (за исключением обобщенных показателей по внешней задолженности), а также о финансовой или денежно-кредитной деятельности, преждевременное распространение которых может нанести ущерб безопасности государства;

4) сведения в области разведывательной, контрразведывательной и оперативно-розыскной деятельности:

- о силах, средствах, об источниках, о методах, планах и результатах разведывательной, контрразведывательной и оперативно-розыскной деятельности,…;

- о лицах, сотрудничающих или сотрудничавших на конфиденциальной основе с органами, осуществляющими разведывательную, контрразведывательную и оперативно-розыскную деятельность;

- об организации, о силах, средствах и методах обеспечения безопасности объектов государственной охраны,…;

- о системе президентской, правительственной, шифрованной, в том числе кодированной и засекреченной связи,…;

- о методах и средствах защиты секретной информации;

- об организации и о фактическом состоянии защиты государственной тайны;

- о защите Государственной границы Российской Федерации, исключительной экономической зоны и континентального шельфа Российской Федерации;

- о расходах федерального бюджета, связанных с обеспечением обороны, безопасности государства и правоохранительной деятельности в Российской Федерации;

- о подготовке кадров, раскрывающие мероприятия, проводимые в целях обеспечения безопасности государства”.

Статья 7 перечисляет сведения, не подлежащие засекречиванию:

“- о чрезвычайных происшествиях и катастрофах, угрожающих безопасности и здоровью граждан,…;

- о состоянии экологии, здравоохранения, санитарии, демографии, образования, культуры, сельского хозяйства, а также о состоянии преступности;

- о привилегиях, компенсациях и социальных гарантиях, предоставляемых государством гражданам, должностным лицам, предприятиям, учреждениям и организациям;

- о фактах нарушения прав и свобод человека и гражданина;

- о размерах золотого запаса и государственных валютных резервах Российской Федерации;

- о состоянии здоровья высших должностных лиц Российской Федерации;

- о фактах нарушения законности органами государственной власти и их должностными лицами”.

Таким образом, эти сведения по данному закону относятся к общедоступным.

В зависимости “тяжести ущерба, который может быть нанесен безопасности Российской Федерации вследствие распространения указанных сведений” устанавливается три степени секретности сведений: и соответствующие этим степеням грифы секретности для носителей указанных сведений: "особой важности", "совершенно секретно" и "секретно".

Далее, закон подробно описывает порядок отнесения сведений к государственной тайне и порядок засекречивания сведений и их носителей.

Статья 20 закона определяет органы защиты государственной тайны. К таковым относятся:

“- межведомственная комиссия по защите государственной тайны;

- федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, федеральный орган исполнительной власти, уполномоченный в области обороны, федеральный орган исполнительной власти, уполномоченный в области внешней разведки, федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, и их территориальные органы;

- органы государственной власти, предприятия, учреждения и организации и их структурные подразделения по защите государственной тайны”.

Допуск предприятий, учреждений и организаций к проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны, осуществляется путем получения ими в порядке, устанавливаемом Правительством Российской Федерации, лицензий на проведение работ со сведениями соответствующей степени секретности.

Закон требует, чтобы средства защиты информации имели сертификат, удостоверяющий их соответствие требованиям по защите сведений соответствующей степени секретности.


Тема 4. ^ О МЕРАХ ПО ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРИ ИСПОЛЬЗОВАНИИ ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННЫХ СЕТЕЙ МЕЖДУНАРОДНОГО ИНФОРМАЦИОННОГО ОБМЕНА.

Также в паре с законом “О государственной тайне” в контексте информационной безопасности необходимо упомянуть указ Президента от 17 марта 2008 года № 351 “О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена”.

В подпункте а) пункта 1 этого указа говорится о невозможности подключения сетей, в которых обрабатывается и хранится информация, составляющую гостайну к сетям общего пользования.

Но, в случае необходимости(?), как говорится в подпункте б), такое возможно “…только с использованием специально предназначенных для этого средств защиты информации, в том числе шифровальных (криптографических) средств, прошедших в установленном законодательством Российской Федерации порядке сертификацию в Федеральной службе безопасности Российской Федерации и (или) получивших подтверждение соответствия в Федеральной службе по техническому и экспортному контролю”. Как всегда, нигде не поясняется, что такое эта “необходимость”. Тем более, что данный случай более нигде не упоминается в других руководящих документах. Так что лучше придерживается положения подпункта а).

Подпункт г) декларирует возможность размещения технических средств, подключаемых к сетям международного информационного обмена, в выделенных помещениях, “только при наличии сертификата, разрешающего эксплуатацию таких технических средств в указанных помещениях”.

Пункт 3 обязывает высшие органы власти страны “осуществлять взаимодействие с сетью "Интернет" и представлять в нее информацию через сегмент сети "Интернет" для федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, находящийся в ведении Федеральной службы охраны Российской Федерации. В исключительных случаях по согласованию с Федеральной службой охраны Российской Федерации указанные государственные органы могут осуществлять взаимодействие с сетью "Интернет" и представлять в нее информацию через сегменты сети "Интернет" и технологические серверные площадки, находящиеся в ведении федеральных органов исполнительной власти, подведомственных им учреждений и организаций, Российской академии наук, научных академий и иных научных организаций, имеющих государственный статус, а также государственных образовательных учреждений высшего профессионального образования”.

Таковы основные положения рассмотренных нормативных актов, регламентирующих работу с секретной информацией, на которые хотелось бы обратить внимание.

Тема 5. ^ ЗАКОН “О ПЕРСОНАЛЬНЫХ ДАННЫХ” ОТ 27 ИЮЛЯ 2006Г. № 152-ФЗ.

Рассмотрим основные положения данного закона, регулирующего отношения, связанные с обработкой персональных данных, осуществляемой органами власти всех уровней, “юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации”.

Прежде всего, - как определяет закон само понятие персональных данных.

Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Особо важным условием обработки персональных данных следует считать обязательное согласие на это самого субъекта. Согласие не требуется в случаях:

  1. обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

  2. обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

  3. обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

  4. обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

  5. обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

  6. обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

  7. осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

Спорным в этом перечне представляется пункт 6 в силу расплывчатости и неопределённости его формулировки

Обязательным условием обработки персональных данных является конфиденциальность, то есть “ не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания ”.

Закон определяет письменную форму согласия субъекта на обработку его данных:

1) ФИО, адрес, номер документа, удостоверяющего его личность, сведения о дате его выдачи и выдавшем его органе;

2) наименование (ФИО) и адрес оператора, получающего согласие субъекта персональных данных;

3) цель обработки персональных данных;

4) перечень персональных данных, на обработку которых дается согласие субъекта;

5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

6) срок, в течение которого действует согласие, а также порядок его отзыва. И некоторые другие моменты.

Закон подробно определяет также условия доступа субъекта к обрабатываемым оператором данным, взаимоотношения оператора и субъекта, и что особенно важно, даёт субъекту право в любой момент отозвать согласие на обработку его персональных данных.

Тема 6. ЗАКОН “^ ОБ ЭЛЕКТРОННОЙ ПОДПИСИОТ 6 АПРЕЛЯ 2011 Г. № 63-ФЗ

Данный законодательный акт регулирует отношения в области использования электронных подписей при совершении гражданско-правовых сделок, оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, при совершении иных юридически значимых действий.

Закон оперирует следующими основными понятиями:

    • электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию;

    • сертификат ключа проверки электронной подписи - электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи;

    • квалифицированный сертификат ключа проверки электронной подписи (далее - квалифицированный сертификат) - сертификат ключа проверки электронной подписи, выданный аккредитованным удостоверяющим центром или доверенным лицом аккредитованного удостоверяющего центра либо федеральным органом исполнительной власти, уполномоченным в сфере использования электронной подписи (далее - уполномоченный федеральный орган);

    • владелец сертификата ключа проверки электронной подписи - лицо, которому в установленном настоящим Федеральным законом порядке выдан сертификат ключа проверки электронной подписи;

    • ключ электронной подписи - уникальная последовательность символов, предназначенная для создания электронной подписи;

    • ключ проверки электронной подписи - уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи (далее - проверка электронной подписи);

    • удостоверяющий центр - юридическое лицо или индивидуальный предприниматель, осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронных подписей, а также иные функции, предусмотренные настоящим Федеральным законом;

    • аккредитация удостоверяющего центра - признание уполномоченным федеральным органом соответствия удостоверяющего центра требованиям настоящего Федерального закона;

    • средства электронной подписи - шифровальные (криптографические) средства, используемые для реализации хотя бы одной из следующих функций - создание электронной подписи, проверка электронной подписи, создание ключа электронной подписи и ключа проверки электронной подписи;

    • средства удостоверяющего центра - программные и (или) аппаратные средства, используемые для реализации функций удостоверяющего центра;

    • корпоративная информационная система - информационная система, участники электронного взаимодействия в которой составляют определенный круг лиц.

Статья 5 определяет виды электронной подписи: простая электронная подпись и усиленная электронная подпись. Различаются усиленная неквалифицированная электронная подпись (далее - неквалифицированная электронная подпись) и усиленная квалифицированная электронная подпись (далее - квалифицированная электронная подпись). Далее следуют определения:

“Простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом.

Неквалифицированной электронной подписью является электронная подпись, которая:

1) получена в результате криптографического преобразования информации с использованием ключа электронной подписи;

2) позволяет определить лицо, подписавшее электронный документ;

3) позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;

4) создается с использованием средств электронной подписи.

Квалифицированной электронной подписью является электронная подпись, которая соответствует всем признакам неквалифицированной электронной подписи и следующим дополнительным признакам:

1) ключ проверки электронной подписи указан в квалифицированном сертификате;

2) для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом.

Статья 8 определяет полномочия и функции федеральных органов исполнительной власти в сфере использования электронной подписи. В ней перечисляются функции и обязанности Уполномоченного федерального органа, назначаемого Правительством Российской Федерации:


“2. Уполномоченный федеральный орган:

1) осуществляет аккредитацию удостоверяющих центров, проводит проверки соблюдения аккредитованными удостоверяющими центрами требований, которые установлены настоящим Федеральным законом и на соответствие которым эти удостоверяющие центры были аккредитованы, и в случае выявления их несоблюдения выдает предписания об устранении выявленных нарушений;

2) осуществляет функции головного удостоверяющего центра в отношении аккредитованных удостоверяющих центров.

3. Уполномоченный федеральный орган обязан обеспечить хранение следующей указанной в настоящей части информации и круглосуточный беспрепятственный доступ к ней с использованием информационно-телекоммуникационных сетей:

1) наименования, адреса аккредитованных удостоверяющих центров;

2) реестр выданных и аннулированных уполномоченным федеральным органом квалифицированных сертификатов;

3) перечень удостоверяющих центров, аккредитация которых аннулирована;

4) перечень аккредитованных удостоверяющих центров, аккредитация которых приостановлена;

5) перечень аккредитованных удостоверяющих центров, деятельность которых прекращена;

6) реестры квалифицированных сертификатов, переданные в уполномоченный федеральный орган в соответствии со статьей 15 настоящего Федерального закона”

Далее речь идёт о Федеральном органе исполнительной власти, осуществляющем функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере информационных технологий и который устанавливает:

“1) порядок передачи реестров квалифицированных сертификатов и иной информации в уполномоченный федеральный орган в случае прекращения деятельности аккредитованного удостоверяющего центра;

2) порядок формирования и ведения реестров квалифицированных сертификатов, а также предоставления информации из таких реестров;

3) правила аккредитации удостоверяющих центров, порядок проверки соблюдения аккредитованными удостоверяющими центрами требований, которые установлены настоящим Федеральным законом и на соответствие которым эти удостоверяющие центры были аккредитованы”.

В пункте 5 этой статьи речь идёт о Федеральном органе исполнительной власти в области обеспечения безопасности, который:

“1) устанавливает требования к форме квалифицированного сертификата;

2) устанавливает требования к средствам электронной подписи и средствам удостоверяющего центра;

3) осуществляет подтверждение соответствия средств электронной подписи и средств удостоверяющего центра требованиям, установленным в соответствии с настоящим Федеральным законом, и публикует перечень таких средств”.

Статья 9 определяет условия использования простой электронной подписи. Особое внимание в ней следует обратить на пункт 4, гласящий:

“Использование простой электронной подписи для подписания электронных документов, содержащих сведения, составляющие государственную тайну, или в информационной системе, содержащей сведения, составляющие государственную тайну, не допускается”.

В Статье 12 перечисляются требования, предъявляемые к средствам электронной подписи, а пункт 4 акцентирует внимание на дополнительных требованиях к средствам ЭП , предназначенных для работы с гостайной:

“Средства электронной подписи, предназначенные для создания электронных подписей в электронных документах, содержащих сведения, составляющие государственную тайну, или предназначенные для использования в информационной системе, содержащей сведения, составляющие государственную тайну, подлежат подтверждению соответствия обязательным требованиям по защите сведений соответствующей степени секретности в соответствии с законодательством Российской Федерации. Средства электронной подписи, предназначенные для создания электронных подписей в электронных документах, содержащих информацию ограниченного доступа (в том числе персональные данные), не должны нарушать конфиденциальность такой информации”.

Статьи 13 и 15 посвящены перечислению функций и обязанностей удостоверяющих центров и аккредитованных удостоверяющих центров соответственно.

Заключительные 19 и 20 статьи регулируют положения, связанные с применением предыдущего закона "Об электронной цифровой подписи".

Таковы основные положения, на которые хотелось бы обратить внимание при изучении этого закона.


Тема 7. ЗАКОН ^ "О КОММЕРЧЕСКОЙ ТАЙНЕ". ОТ 29 ИЮЛЯ 2004 Г. № 98-ФЗ (В РЕД. ФЕДЕРАЛЬНЫХ ЗАКОНОВ ОТ 02.02.2006 № 19-ФЗ, ОТ 18.12.2006 № 231-ФЗ, ОТ 24.07.2007 № 214-ФЗ

Настоящий Федеральный закон регулирует отношения, связанные с установлением, изменением и прекращением режима коммерческой тайны в отношении информации, составляющей секрет производства (ноу-хау).

Закон следующим образом определяет понятие коммерческой тайны:

коммерческая тайна - режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду”. То есть как режим конфиденциальности информации. А вот саму информацию, составляющую коммерческую тайну (секрет производства), как “сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны”.

Следует обратить внимание на то, что в отличие от государственной тайны “право на отнесение информации к информации, составляющей коммерческую тайну, и на определение перечня и состава такой информации принадлежит обладателю такой информации ”.

В Статье 5 перечисляются сведения, которые не могут составлять коммерческую тайну:

1) содержащиеся “в учредительных документах юридического лица, документах, подтверждающих факт внесения записей о юридических лицах и об индивидуальных предпринимателях в соответствующие государственные реестры”;

2) содержащиеся “в документах, дающих право на осуществление предпринимательской деятельности;

3) о составе имущества государственного или муниципального унитарного предприятия, государственного учреждения и об использовании ими средств соответствующих бюджетов;

4) о загрязнении окружающей среды, состоянии противопожарной безопасности, санитарно-эпидемиологической и радиационной обстановке, безопасности пищевых продуктов и других факторах, оказывающих негативное воздействие на обеспечение безопасного функционирования производственных объектов, безопасности каждого гражданина и безопасности населения в целом;

5) о численности, о составе работников, о системе оплаты труда, об условиях труда, в том числе об охране труда, о показателях производственного травматизма и профессиональной заболеваемости, и о наличии свободных рабочих мест;

6) о задолженности работодателей по выплате заработной платы и по иным социальным выплатам;

7) о нарушениях законодательства Российской Федерации и фактах привлечения к ответственности за совершение этих нарушений;

8) об условиях конкурсов или аукционов по приватизации объектов государственной или муниципальной собственности;

9) о размерах и структуре доходов некоммерческих организаций, о размерах и составе их имущества, об их расходах, о численности и об оплате труда их работников, об использовании безвозмездного труда граждан в деятельности некоммерческой организации;

10) о перечне лиц, имеющих право действовать без доверенности от имени юридического лица;

11) обязательность раскрытия которых или недопустимость ограничения доступа к которым установлена иными федеральными законами”.

^ Режим коммерческой тайны считается установленным, если обладателем информации выполнены следующие условия:

“1) определение перечня информации, составляющей коммерческую тайну;

2) ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;

3) учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана;

4) регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;

5) нанесение на материальные носители (документы), содержащие информацию, составляющую коммерческую тайну, грифа "Коммерческая тайна" с указанием обладателя этой информации (для юридических лиц - полное наименование и место нахождения, для индивидуальных предпринимателей - фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства)”.

Перечисленное выше не исключает использование, по усмотрению обладателя, иных средств и мер технической защиты информации, не противоречащих законодательству Российской Федерации.

В рамках трудовых отношений работодатель обязан ознакомить работника под расписку с перечнем информации, составляющей коммерческую тайну, с мерами режима коммерческая тайна и его нарушениями, создать работнику условия для выполнения этих требований.

В статье 14 закона говорится, что “нарушение настоящего Федерального закона влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации”.


^ ЧАСТЬ 2. ТЕХНИЧЕСКИЕ КАНАЛЫ УТЕЧКИ ИНФОРМАЦИИ.


Тема 8. ОПРЕДЕЛЕНИЕ И СТРУКТУРА ТЕХНИЧЕСКОГО КАНАЛА УТЕЧКИ ИНФОРМАЦИИ.

Техническое определение канала утечки информации:

“Под техническим каналом утечки информации понимают совокупность объекта разведки, технических средств разведки, с помощью которых добывается информация об этом объекте, и физической среды, в которой распространяется информационный сигнал”.

Структура технического канала утечки информации:



Оперативное определение канала утечки информации:

“Под техническим каналом утечки информации, обрабатываемой с помощью средств информатизации, понимают способ получения с помощью технических средств разведки разведывательной информации об объекте”.

Под разведывательной информацией обычно понимаются сведения или совокупность данных об объектах разведки, составляющие государственную или коммерческую тайну, независимо от формы их представления.

Возможные режимы обработки информации, характерные для типового средства вычислительной техники:

  • вывод информации на экран монитора;

  • ввод данных с клавиатуры;

  • запись информации на накопители на магнитных носителях;

  • чтение информации с накопителей на магнитных носителях;

  • передача данных в каналы связи;

  • вывод данных на периферийные устройства - принтеры, плоттеры;

  • запись данных со сканера на магнитный носитель (ОЗУ),


Краткая характеристика источников информативного сигнала:

    • вид кодирования сигнала - импульсный, потенциальный, смешанный потенциально-импульсный;

    • разрядность информативного сигнала - от 1 до 512;

    • частота повторения информативных импульсов - от единиц герц до сотен мегагерц;

    • длительность информативного импульса – от сотен миллисекунд до единиц наносекунд;

    • амплитуда информативного сигнала - от единиц милливольт до единиц киловольт;

    • ширина спектра, занимаемая сигналом - от сотен герц до сотен мегагерц.

Краткая характеристика случайных антенн:

  • геометрические размеры (единицы миллиметров - сотни метров);

  • поляризация - линейная, эллиптическая (круговая);

  • характеристики направленности (слабонаправленные для случайных антенн в виде проводников, средненаправленные - для случайных антенн щелевого типа);

  • прогнозируемый вид паразитной связи случайной антенны с источником информативного сигнала (гальваническое подключение, ёмкостной, индуктивный, трансформаторный, комбинированный);

  • прогнозируемые резонансные частоты в диапазоне частот информативного сигнала (четвертьволновые и полуволновые вибраторы).


Тема 9. ^ ПОБОЧНЫЕ ЭЛЕКТРОМАГНИТНЫЕ ИЗЛУЧЕНИЯ И НАВОДКИ.

Структура канала ПЭМИН:

Объект разведки Среда распространения Средства разведки

информационного сигнала




Работающий компьютер, помимо исполнения своей основной функции - обработки информации, выполняет ещё и роль широкополосного передатчика, передающего в эфир, в том числе и обрабатываемую информацию. Для ПК эти излучения регистрируются в диапазоне до 2 ГГц с максимумом в полосе 50 МГц-300 МГц на расстоянии до одного километра. Основным “поставщиком” информации для канала ПЭМИН в случае компьютера являются: связка видеокарта-монитор и клавиатура. Клавиатура характеризуется достаточно высоким уровнем излучения. В тоже время с неё вводится высококритичная с точки зрения безопасности информация, включая пароли пользователей и администратора системы. Излучение клавиатуры относительно узкополосное и сосредоточено, в основном, в КВ и УКВ диапазонах. Данные, поступающие с клавиатуры, вводятся в последовательном коде. В силу этого они могут быть легко интерпретированы. Механизм появления канала ПЭМИ видеотракта хорошо иллюстрируется нижеследующим рисунком.



Излучения, создаваемые клавиатурой, вкупе с “картинкой” связки видеокарта - монитор следует считать наиболее опасными, дающими полное представление об информации, обрабатываемой в данный момент.

Для блокирования канала ПЭМИН компьютера используют:

  • доработку ПК с целью минимизации уровня излучений;

  • электромагнитную экранировку помещений, в которых расположены компьютеры;

  • активную радиотехническую маскировку.

Доработка ПК осуществляется организациями, имеющими лицензии ФСТЭК России. Для этих целей используются различные радиопоглощающие материалы и схемотехнические решения.

Электромагнитная экранировка помещений в широком диапазоне частот является достаточно сложной технической задачей, требующей значительных затрат и, в силу этого не всегда применима.

Активная радиотехническая маскировка предполагает генерирование в непосредственной близости от компьютера шумоподобного сигнала. Различают энергетический и неэнергетический методы активной защиты.

При энергетической маскировке генерируется шумовой сигнал с уровнем, значительно превышающим во всём частотном диапазоне уровень излучений ПК. Одновременно происходит наводка шумовых колебаний в отходящие токопроводящие цепи. Метод легко реализуем и дёшев, но имеет два недостатка. Во-первых, мощность “накрывающего” шумового сигнала не должна превышать установленных санитарных правил и норм "Электромагнитные излучения радиочастотного диапазона (ЭМИ РЧ)". И, во-вторых, не должна превышать установленных норм на допускаемые радиопомехи. Иначе это устройство будет создавать помехи различным радиоустройствам, расположенным поблизости от защищаемого объекта и потребуется согласование его установки со службой радиоконтроля.

Ниже перечисляются некоторые из устройств активной энергетической маскировки:

"Гном-3" - Диапазон рабочих частот:0,01-1000 МГц.Выходная мощность:3Вт;

"ЛГШ-501" - Диапазон рабочих частот: 0,01-1800 МГц;

"ЛГШ-503" - Диапазон рабочих частот: 0,01-2000 Мгц. Генератор по цепям электропитания, заземления и ПЭМИ;

"ГШ-1000М" - Диапазон рабочих частот: 0,1-1000 МГц. ПЭМИ;

"ГШ-2500" - Диапазон рабочих частот: 0,1-2000 МГц.

Неэнергетический или статистический метод активной защиты заключается в изменении вероятностной структуры сигнала, который будет приниматься приёмником вероятного злоумышленника. При этом устройство неэнергетической активной защиты анализирует информативный сигнал ПК по спектру частот и мощности, и генерирует зашумляющую составляющую по мощности не превосходящую сигнала видеотракта компьютера. Ясно, что такие устройства лишены недостатков устройств активной энергетической маскировки, то есть не требуется согласования со службой радиоконтроля и выполняются требования СанПиН.

В качестве неэнергетического устройства защиты можно привести пример САЗ “Салют”.


Тема 10. ^ ВИЗУАЛЬНО – ОПТИЧЕСКИЙ КАНАЛ УТЕЧКИ ИНФОРМАЦИИ.

Структура визуально – оптического канала утечки информации:

Объект разведки Среда распространения Средства разведки

информационного сигнала



Зрительное восприятие объекта является результатом решения трех задач:

  • обнаружение - наблюдатель выделяет из окружающего фона объект, характер которого остается для него неясным;

  • различение - наблюдатель определяет крупные детали объекта, раздельно воспринимает два объекта, расположенные рядом;

  • идентификация - наблюдатель, различая отдельные мелкие детали, выделяет характерные признаки объекта и может отличить этот объект от других, находящихся в поле его зрения.

Образование визуального канала утечки информации зависит от ряда психофизиологических особенностей восприятия человеком объекта:

  • угловые размеры объекта;

  • контраст объект-фон;

  • уровни адаптационной яркости;

  • время восприятия;

  • зашумленность изображения.

Угловые размеры объекта наблюдения определяются по формуле

α = 2arctg (l/2D),

где l - линейный размер изображения объекта, а D -расстояние от глаза наблюдателя до плоскости наблюдения. Эти характеристики напрямую связаны с физиологическими особенностями конкретного человека. У большинства людей абсолютный порог обнаружения αпор= 0, 5" (тонкая чёрная линия на светлом фоне). С этим показателем связана другая характеристика наблюдения - острота зрения, равная 1/αпор. Острота зрения зависит от расстояния между соседними светочувствительными элементами сетчатки глаза. Она максимальна в центральной части сетчатки (угол зрения - 7°).

Важнейшим моментом восприятия изображения объекта является яркостный контраст объект – фон К= (Вф - Во)/Вф, где Вф – яркость фона и Во – яркость объекта в случае Вф > Во и К= (Во - Вф )/Во в случае Во > Вф.

Контраст выражается в относительных единицах или процентах. Минимальное значение К, при котором глаз различает объект (порог контрастной чувствительности), равен 2-3% в случае, когда точно известно направление на объект, и 7-9% при нефиксированном наблюдении.

Весь диапазон яркостей, которые наш глаз способен воспринять, огромен: по одним данным он составляет от 10−6 кд/м² для глаза, полностью адаптированного к темноте, до 106 кд/м² для глаза, полностью адаптированного к свету, по другим - лежит в пределах 10-7 - 105 кд/м2. Но так или иначе – это 12 порядков яркости!

Существенное влияние оказывают условия временных характеристик восприятия, что связано с инерцией зрения и имеет большое значение при наблюдении за перемещающимися объектами или объектами кратковременного попадания в поле зрения наблюдателя. При этом эффект кратковременности усиливается эффективной яркостью объекта, которая при коротких раздражениях может быть существенно меньше действительной яркости. В этой ситуации яркостный контраст движущегося объекта может быть существенно меньше неподвижного.

Зашумлённость изображения связана с состоянием трассы наблюдения: от чистого воздуха до очень сильного тумана или пылевого загрязнения, соответствующее по метеорологическому коду от 10 до 0, что определяет метеорологическую дальность возможного обнаружения и наблюдения объектов.

Несколько примеров, характеризующих возможности технических разведок, использующих данный канал утечки информации.

Так, аппаратура спутника – шпиона “Key Hole 12” имеет разрешающую способность 10 см. при идеальной трассе наблюдения.

Современные длиннофокусные фотоаппараты способны запечатлеть документ формата А4 с расстояния 5 км.

Миниатюрная телевизионная камера JT-241s (39×39×20 мм.) позволяет вести наблюдение через отверстие 0,3-1,2 мм при угле поля зрения 110° при условиях почти полной темноты (0,04 лк).

Для блокирования визуально – оптического канала используют шторы или жалюзи на окнах, маскировку объектов на местности. То есть уменьшают величину контраста объект-фон до минимума и т.д..


Тема 11. ^ ВИБРОАКУСТИЧЕСКИЙ КАНАЛ УТЕЧКИ ИНФОРМАЦИИ.

Структура виброакустического канала утечки информации:

Объект разведки Среда распространения Средства разведки

информационного сигнала



В качестве аппаратуры ведения разведки в случае виброакустического канала используются два типа датчиков: акустические микрофоны для преобразования акустических сигналов, распространяющихся в воздушной среде и контактные микрофоны или вибродатчики для преобразования виброакустических сигналов, распространяющихся по строительным конструкциям и инженерным коммуникациям зданий.

Закладные устройства (“жучки”) с датчиками первого типа устанавливаются или непосредственно в служебных помещениях, предназначенных для проведения конфиденциальных переговоров (выделенные помещения), или же в выходах кондиционеров и каналах систем вентиляции смежных с выделенными помещений. В них используются микрофоны с чувствительностью 30-50 мВ/Па, обеспечивающие регистрацию тихой речи (уровень громкости 64 дБ) на удалении до 15 м от её источника.

Если физический доступ в интересующее помещение не возможен, то используют закладные устройства с датчиками контактного типа, позволяющими перехватывать речевую информацию через ограждающие железобетонные и кирпичные стены толщиной до 1 м, а по трубопроводам - через 1-2 этажа. Чувствительность контактных микрофонов составляет 50-100 мкВ/Па.

В обычном исполнении (без камуфлирования подо что-то) объем закладного устройства без элементов питания составляет от 0,5-1,3 см3 до

10-20 см3.

Питание закладок осуществляется либо от аккумуляторов или батарей, либо от электросети, либо от телефонной сети.

Перехватываемая закладками информация либо записывается на носители, либо передаётся на пункт сбора информации по радио- и оптическому каналам, электросети, телефонным линиям и т.д.

Закладки, передающие информацию по радиоканалу, называются радиозакладками. Для передачи информации используются VHF (метровый), UHF (дециметровый) и GHz (ГГц) диапазоны длин волн. Наиболее часто используются диапазоны частот: 130-174 МГц; 350-450 МГц; 850-950 МГц и 1100-1300 МГц.

Дальность передачи зависит от мощности передатчика и вида используемой модуляции. Например, при мощности передатчика 1 мВт и узкополосной частотной модуляции (NFM) дальность передачи информации составляет до 100 м. Как правило, без использования ретрансляторов, дальность не превышает 300-500 м.

Для повышения скрытности передачи информации применяются различные способы кодирования и шифрования. Иногда используется разделение этапов съёма и передачи информации. Такие устройства имеют в своём составе цифровой накопитель, и специальный передатчик для ускоренной передачи информации. В течение некоторого времени осуществляется перехват информации, преобразование её в цифровой вид и запись в память закладки. Передача информации осуществляется либо через определенные промежутки времени, либо по команде с пункта управления. Соотношение времени накопления и времени передачи составляет от 40:1 до 120:1.

Для повышения скрытности передачи информации используются также закладные устройства, передающие информацию по оптическому каналу в инфракрасном диапазоне (0,8 - 1,1 мкм). Дальность передачи информации составляет несколько сот метров (до 500 м.).

Кроме радио и ИК канала для передачи информации используются линии электропитания сети 220 В (сетевые закладки). Они внедряются в электророзетки, удлинители, бытовую аппаратуру, питающуюся от сети переменного тока. Для приёма информации, передаваемой ими, используются приёмники, подключаемые к силовой сети в пределах здания (до трансформаторной подстанции). Частотный диапазон, в котором они работают, составляет от 40 до 600 кГц, иногда до 5-10 МГц.

Ниже приведена классификация электронных устройств перехвата речевой информации.




Часть 3. ГОСУДАРСТВЕННАЯ СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ.

Тема 12. Положение “^ О ГОСУДАРСТВЕННОЙ СИСТЕМЕ ЗАЩИТЫ ИНФОРМАЦИИ В РОССИЙСКОЙ  ФЕДЕРАЦИИ ОТ ИНОСТРАН НЫХ  ТЕХНИЧЕСКИХ РАЗВЕДОК И ОТ ЕЕ УТЕЧКИ ПО ТЕХНИЧЕСКИМ КАНАЛАМ”.


Положение определяет структуру государственной системы защиты информации (ГСЗИ), её задачи и функции, основы организации защиты сведений, отнесенных к государственной или служебной тайне, от иностранных технических разведок и от её утечки по техническим каналам.

^ Главными направлениями работ по защите информации документ определяет:

- обеспечение эффективного управления системой защиты информации;

- определение сведений, охраняемых от технических средств разведки, и демаскирующих признаков, раскрывающих эти сведения;

- анализ и оценка реальной опасности перехвата информации техническими средствами разведки, несанкционированного доступа, разрушения (уничтожения) или искажения информации путем преднамеренных программно-технических воздействий в процессе ее обработки, передачи и хранения в технических средствах, выявление возможных технических каналов утечки сведений, подлежащих защите;

- разработка организационно-технических мероприятий по защите информации и их реализация;

- организация и проведение контроля состояния защиты информации.

В Положении говорится, что основными органтзационно-техническими мероприятиями по защите являются:

“- лицензирование деятельности предприятий в области защиты информации;

- аттестование объектов по выполнению требований обеспечения защиты информации при проведении работ со сведениями соответствующей степени секретности;

- сертификация средств защиты информации и контроля за ее эффективностью, систем и средств информатизации и связи в части защищенности информации от утечки по техническим каналам;

- категорирование вооружения и военной техники, предприятий (объектов) по степени важности защиты информации в оборонной, экономической, политической, научно-технической и других сферах деятельности;

- обеспечение условий защиты информации при подготовке и реализации международных договоров и соглашений;

- оповещение о пролетах космических и воздушных летательных аппаратов, кораблях и судах, ведущих разведку объектов (перехват информации, подлежащей защите), расположенных на территории Российской Федерации;

- введение территориальных, частотных, энергетических, пространственных и временных ограничений в режимах использования технических средств, подлежащих защите;

- создание и применение информационных и автоматизированных систем управления в защищенном исполнении;

- разработка и внедрение технических решений и элементов защиты информации при создании и эксплуатации вооружения и военной техники, при проектировании, строительстве (реконструкции) и эксплуатации объектов, систем и средств информатизации и связи;

- разработка средств защиты информации и контроля за ее эффективностью (специального и общего применения) и их использование;

- применение специальных методов, технических мер и средств защиты, исключающих перехват информации, передаваемой по каналам связи.

8. Конкретные методы, приемы и меры защиты информации разрабатываются в зависимости от степени возможного ущерба в случае её утечки, разрушения (уничтожения).

9. Проведение любых мероприятий и работ с использованием сведений, отнесенных к государственной или служебной тайне, без принятия необходимых мер по защите информации не допускается”.

^ Основными задачами государственной системы защиты информации документ определяет:

“- проведение единой технической  политики, организация и координация работ по защите информации в оборонной, экономической, политической, научно-технической и других сферах деятельности;

- исключение или существенное затруднение добывания информации техническими средствами разведки, а также предотвращение ее утечки по техническим каналам, несанкционированного доступа к ней, предупреждение преднамеренных программно-технических воздействий с целью разрушения (уничтожения) или искажения информации в процессе ее обработки, передачи и хранения;

- принятие в пределах компетенции правовых актов, регулирующих отношения в области защиты информации;

- анализ состояния и прогнозирование возможностей технических средств разведки и способов их применения, формирование системы информационного обмена сведениями по осведомленности иностранных разведок;

- организация сил, создание средств защиты информации и контроля за ее эффективностью;

- контроль состояния защиты информации в органах государственной власти и на предприятиях”.

Особое внимание в документе следует обратить на пункт, гласящий, что  организация работ по защите информации на предприятиях осуществляется их руководителями:

“В зависимости от объема работ по защите информации руководителем предприятия создается структурное подразделение по защите информации либо назначаются штатные специалисты по этим вопросам (например Администратор информационной безопасности).

Подразделения по защите информации (штатные специалисты) на предприятиях:

- осуществляют мероприятия по защите информации в ходе выполнения работ с использованием сведений, отнесенных к государственной или служебной тайне;

- определяют совместно с заказчиком работ основные направления комплексной защиты информации;

- участвуют в согласовании технических (тактико-технических) заданий на проведение таких работ;

- дают заключение о возможности проведения работ с информацией, содержащей сведения, отнесенные к государственной или служебной тайне.

Указанные подразделения (штатные специалисты) подчиняются непосредственно руководителю предприятия или его заместителю. Работники этих подразделений (штатные специалисты) приравниваются по оплате труда к соответствующим категориям работников основных структурных подразделений”.


Документ определяет, что целями защиты информации являются:

“1) предотвращение утечки информации по техническим каналам;

2) предотвращение несанкционированного уничтожения, искажения, копирования, блокирования информации в системах информатизации;

3) соблюдение правового режима использования массивов и программ обработки информации, а также обеспечение полноты, целостности и достоверности информации в системах обработки;

4) сохранение возможности управления процессом обработки и пользования информацией.

26. ^ Защита информации осуществляется путем:

1) предотвращение перехвата техническими средствами информации, передаваемой по каналам связи;

2) предотвращение утечки обрабатываемой информации за счет побочных электромагнитных излучений и наводок, создаваемых функционирующими техническими средствами, а также электроакустических преобразований;

3) исключения несанкционированного доступа к обрабатываемой или хранящейся в технических средствах информации;

4) предотвращения специальных программно-технических воздействий, вызывающих разрушение, уничтожение, искажение информации или сбои в работе средств информатизации;

5) выявления возможно внедренных на объекты и в технические средства электронных устройств перехвата информации (закладных устройств);

6) предотвращения перехвата техническими средствами речевой информации из помещений и объектов.

^ Предотвращение перехвата техническими средствами информации, передаваемой по каналам связи, достигается применением криптографических и иных методов и средств защиты, а также проведением организационно-технических и режимных мероприятий.

^ Предотвращение утечки обрабатываемой информации за счет побочных электромагнитных излучений и наводок, а также электроакустических преобразований достигается применением защищенных технических средств, аппаратных средств защиты, средств активного противодействия, экранированием зданий или отдельных помещений, установлением контролируемой зоны вокруг средств информатизации и другими организационными и техническими мерами.

^ Исключение несанкционированного доступа к обрабатываемой или хранящейся в технических средствах информации достигается применением специальных программно-технических средств защиты, использованием криптографических способов защиты, а также организационными и режимными мероприятиями.

Предотвращение специальных программно-технических воздействий, вызывающих разрушение, уничтожение, искажение информации или сбои в работе средств информатизации, достигается применением специальных программных и аппаратных средств защиты (антивирусных процессоров, антивирусных программ), организацией системы контроля безопасности программного обеспечения.

^ Выявление возможно внедренных на объекты и в технические средства электронных устройств перехвата информации (закладных устройств) достигается проведением специальных проверок по выявлению этих устройств.

^ Предотвращение перехвата техническими средствами речевой информации из помещений и объектов достигается применением специальных средств защиты, проектными решениями, обеспечивающими звукоизоляцию помещений, выявлением специальных устройств подслушивания и другими организационными и режимными мероприятиями”.

Пункт 52 Положения гласит, что “ ^ Защита информации считается эффективной, если принимаемые меры соответствуют установленным требованиям или нормам.

Несоответствие мер установленным требованиям или нормам по защите информации является нарушением.

Нарушения по степени важности делятся на три категории:

первая – невыполнение требований или норм по защите информации, в результате чего имелась или имеется реальная возможность ее утечки по техническим каналам;

вторая – невыполнение требований по защите информации, в результате чего создаются предпосылки к ее утечки по техническим каналам;

третья – невыполнение других требований по защите информации”.

И далее описываются мероприятия, которые необходимо предпринять в случае выявления нарушений:

“53. ^ При обнаружении нарушений первой категории руководители органов государственной власти и предприятий обязаны:

1) немедленно прекратить работы на участке (рабочем месте), где обнаружены нарушения и принять меры по их устранению;

2) организовать в установленном порядке расследование причин и условий появления нарушений с целью недопущения их в дальнейшем и привлечения к ответственности виновных лиц;

3) сообщить в Государственную техническую комиссию при Президенте Российской Федерации, руководству органа государственной власти, федеральному органу государственной безопасности и заказчику о вскрытых нарушениях и принятых мерах.

Возобновление работ разрешается после устранения нарушений и проверки достаточности и эффективности принятых мер, проводимой Государственной технической комиссией при Президенте Российской Федерации или по ее поручению подразделениями по защите информации органов государственной власти.

При обнаружении нарушений второй и третьей категорий руководители проверяемых органов государственной власти и предприятий обязаны принять необходимые меры по их устранению в сроки, согласованные с органом, проводившим проверку, или заказчиком (представителем заказчика). Контроль за устранением этих нарушений осуществляется подразделениями по защите информации этих органов государственной власти и предприятий”.

И в заключении говорится, что “финансирование мероприятий по защите информации, содержащей сведения, отнесенные к государственной или служебной тайне, а также подразделений по защите информации в органах государственной власти и на бюджетных предприятиях предусматривается в сметах расходов на их содержание”.

^ КОНТРОЛЬНЫЕ ВОПРОСЫ

К КУРСУ «ТЕХНИЧЕСКАЯ ЗАЩИТА ИНФОРМАЦИИ»


  1. Деление информации в зависимости от категории доступа к ней.

  2. Перечень категорий информации конфиденциального характера.

  3. Законодательство Российской Федерации о сведениях, не подлежащих засекречиванию.

  4. Законодательство Российской Федерации о мерах по обеспечению информационной безопасности при подключении к сетям международного информационного обмена.

  5. Закон “Закон о персональных данных” о форме согласия субъекта на обработку его данных.

  6. Виды электронных подписей.

  7. Уполномоченный федеральный орган. Его функции и обязанности.

  8. Квалификационные требования, предъявляемые к сотрудникам аккредитованного удостоверяющего центра непосредственно занимающимися созданием и выдачей сертификатов ключей проверки ЭП.

  9. Условия, выполнение которых, устанавливает режим коммерческой тайны.

  10. Определение технического канала утечки информации.

  11. Способы блокирования канала ПЭМИН.

  12. Определение яркостного контраста объект – фон.

  13. Перехват речевой информации через ограждающие конструкции.

  14. Положение о ГСЗИ о мероприятиях, которые необходимо предпринять в случае выявления нарушений защиты информации.





Скачать 461,43 Kb.
оставить комментарий
Дата30.09.2011
Размер461,43 Kb.
ТипЗакон, Образовательные материалы
Добавить документ в свой блог или на сайт

Ваша оценка этого документа будет первой.
Ваша оценка:
Разместите кнопку на своём сайте или блоге:
rudocs.exdat.com

Загрузка...
База данных защищена авторским правом ©exdat 2000-2017
При копировании материала укажите ссылку
обратиться к администрации
Анализ
Справочники
Сценарии
Рефераты
Курсовые работы
Авторефераты
Программы
Методички
Документы
Понятия

опубликовать
Загрузка...
Документы

наверх