Самостоячтельная работа по защите информации

Должен  уметь организовывать:

• разработку мероприятий по защите сведений о предприятии и выпускаемой продукции, составляющих государственную тайну, и оценку их достаточности;
• проведение анализа возможностей разведки по добыванию сведений, составляющих государственную тайну;
• аттестование рабочих мест по всему технологическому циклу разработки, изготовления и испытания продукции;
• комплексный контроль выполнения принимаемых мер по защите сведений, составляющих государственную тайну.

Быть  ознакомленным:

• с государственной системой лицензирования деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны;
• с возможностями иностранных разведок по добыванию сведений, составляющих государственную тайну;
• с методиками контроля выполнения норм противодействия иностранным техническим разведкам.

      От  государственной аттестации освобождаются  руководители предприятий, окончившие учебные заведения, готовящие специалистов по специальностям защиты информации.

Сертификация  средств защиты информации.

      Национальным  органом по сертификации является Госстандарт  РФ. Госстандартом в 1994 г. утверждены "Правила по проведению сертификации в РФ", в соответствии с которыми целями сертификации являются:

• создание условий для деятельности предприятий и предпринимателей на товарном рынке РФ и участия в международной торговли;
• содействие потребителям в компетентном выборе продукции;
• содействие экспорту и повышение конкурентоспособности продукции;
• защита потребителя от недобросовестности изготовителя (продавца, исполнителя);
• контроль безопасности продукции для окружающей среды, жизни и имущества;
• подтверждение показателей качества продукции, заявленных изготовителями.

Сертификация средств ЗИ прежде всего подразумевает проверку их качественных характеристик для реализации основной функции - защиты информации на основании государственных стандартов и требований по безопасности информации. Применительно к сведениям, составляющим государственную тайну, общие принципы организации сертификации средств ЗИ определены нормами статьи 28 Закона "О государственной тайне" - средства защиты информации должны иметь сертификат, удостоверяющий их соответствие требованиям по защите сведений соответствующей степени секретности.

Организация сертификации средств ЗИ возлагается  на ФСТЭК, Министерство обороны РФ в  соответствии с функциями, возложенными на них законодательством РФ. Сертификация осуществляется на основании требований государственных стандартов РФ и иных нормативных документов, утверждаемых Правительством РФ. Одним из основных руководящих документов по сертификации ЗИ является Положение о сертификации средств ЗИ, утвержденное Постановлением Правительства РФ от 25.06.95 г. № 608, реализующим нормы Закона "О сертификации продукции и услуг" №5151-1 от 10.06.93.

Порядок проведения сертификации основан на следующих принципах:

Сертификация  изделий, обеспечивающих защиту ГТ, является обязательной.

Обязательность  использования криптографических  алгоритмов, являющихся стандартами.

На сертификацию принимаются изделия только от заявителей, имеющих лицензию.

      Таким образом, в соответствии с вышеназванными документами разработаны и введены  в действие перечни средств защиты информации, подлежащих обязательной сертификации; государственным организациям и предприятиям запрещено использование в информационных системах шифровальных средств (в т.ч. электронной подписи и защищенных технических средств хранения, обработки и передачи информации), не имеющих сертификата.

      Осуществляется  следующий порядок сертификации:

В Центральный  орган по сертификации подается заявление  и полный комплект технической документации. Центральный орган назначает  испытательный центр (лабораторию) для проведения испытания.

Испытания проводятся на основании хозяйственного договора между заявителем и испытательным центром.

      Сертификация (экспертиза материалов и подготовка документов для выдачи) осуществляется Центральным органом. Сертификат выдается на срок до 5 лет.

      Кроме указанных выше целей сертификация средств ЗИ необходима также для решения вопросов экономической безопасности предприятия в связи с постоянным ростом компьютерных преступлений (КП).

      Правовой  основой предупреждения КП является Указ Президента РФ "О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставление услуг в области шифрования информации" № 334 от 03.04.95 г.

        В соответствии с данным документом:

• государственным организациям и предприятиям запрещено использование шифровальных средств, технических средств хранения, обработки и передачи информации, не имеющих сертификата;
• запрещено размещение государственных заказов на предприятиях, в организациях, использующих указанные средства, не имеющие сертификата;
• Центральному банку России (ЦБР) принять меры к коммерческим банкам не использующих сертифицированных средств при их информационном взаимодействии с ЦБР;
• запретить деятельность физических и юридических лиц в области шифровальных и защищенных средств без лицензии;
• запретить ввоз на территорию России не лицензированных шифровальных средств и защищенной техники иностранного производства;
• создать Федеральный центр защиты экономической информации (для планирования комплексных программ экономической безопасности российских финансовых структур).

      Лицензирование  деятельности и сертификация средств  защиты конфиденциальной информации Закон  РФ «О лицензировании отдельных видов  деятельности» от 8 августа 2001 г. N 128-ФЗ (ред. от 11 марта 2003 г. N 32-ФЗ).

Действие  данного Федерального закона не распространяется на следующие виды деятельности, связанные  с ЗИ:

• деятельность, связанная с защитой государственной тайны;
• деятельность в области связи;
• использование результатов интеллектуальной деятельности.

В соответствии с настоящим Федеральным законом  лицензированию подлежат следующие  виды деятельности в области ЗИ:

• разработка, производство, распространение, техническое обслуживание и предоставление услуг в области шифрования информации; шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем;
• деятельность по выдаче сертификатов ключей электронных цифровых подписей, регистрации владельцев электронных цифровых подписей, оказанию услуг, связанных с использованием электронных цифровых подписей, и подтверждению подлинности электронных цифровых подписей;
• деятельность по выявлению электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя);
• деятельность по разработке и (или) производству средств защиты конфиденциальной информации;
• деятельность по технической защите конфиденциальной информации;
• разработка, производство, реализация и приобретение в целях продажи специальных технических средств, предназначенных для негласного получения информации, индивидуальными предпринимателями и юридическими лицами, осуществляющими предпринимательскую деятельность.

      Срок  действия лицензии не может быть менее  чем пять лет и может быть продлен  по заявлению лицензиата. Продление  срока действия лицензии осуществляется в порядке переоформления документа, подтверждающего наличие лицензии. За рассмотрение лицензирующим органом заявления о предоставлении лицензии взимается лицензионный сбор в размере 300 рублей. За предоставление лицензии взимается лицензионный сбор в размере 1000 рублей. Закон РФ «О сертификации продукции и услуг» от 10 июня 1993 года N 5151-1 (ред. от 31.07.98 N 154-ФЗ).Закон устанавливает правовые основы обязательной и добровольной сертификации продукции, услуг. Система сертификации создается федеральными органами исполнительной власти, осуществляющими сертификацию по правилам, установленным в соответствии с настоящим Законом.

В систему  сертификации могут входить организации  независимо от форм собственности, а  также общественные объединения.

      Постановление Правительства РФ от 23.04.96 N 509 устанавливает порядок сертификации средств защиты информации в Российской Федерации и ее учреждениях за рубежом. Это технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации. Положение о сертификации средств защиты информации по требованиям безопасности информации ведено в действие приказом Председателя Гостехкомиссии России от 27 октября 1995 г. № 199. В соответствии с которым обязательной сертификации подлежат средства, в том числе иностранного производства, предназначенные для защиты информации, составляющей государственную тайну, и другой информации с ограниченным доступом, а также средства, использующиеся в управлении экологически опасными объектами. В остальных случаях сертификация носит добровольный характер (добровольная сертификация) и осуществляется по инициативе разработчика, изготовителя или потребителя средства защиты информации. Сертификационные испытания средств защиты в рамках данной системы сертификации предусматривают комплекс мероприятий по проверке соответствия этих средств формальным базовым требованиям по обеспечению безопасности информации, изложенным в нормативных документах Гостехкомиссии России. К нормативным документам относятся руководящие документы Гостехкомиссии России - по требованиям к автоматизированным системам, к средствам ВТ, к межсетевым экранам.

Формы сертификата, знака соответствия и других документов устанавливаются Гостехкомиссией России. Использование формальных критериев оценки при сертификации позволяет сделать обоснованный вывод о возможности средств защиты выполнять свои функции не только на качественном уровне, но и на количественном уровне. В зависимости от степени соответствия средств защиты совокупности предъявляемых к ним формальных требований может быть сделан вывод о возможности либо невозможности использования данных средств для защиты информации в зависимости от степени ее конфиденциальности, схемы циркуляции защищаемой информации и других параметров. Перечень нормативных документов постоянно расширяется с учетом новых требований к информационной безопасности и тенденций изменения информационных технологий. В настоящее время готовятся к изданию новые руководящие документы, регламентирующие требования по безопасности информации для VPN и VLAN (глобальные и локальные сети) решений. Ведутся работы по адаптации отечественной нормативной базы в области информационной безопасности к требованиям международного стандарта.

Стандарты информационной безопасности

      Ключевым  аспектом решения проблемы безопасности информационных технологий (ИТ) является выработка системы требований, критериев  и показателей для оценки уровня безопасности ИТ. Необходимо было разработать эту систему в виде международного стандарта.

История создания данного  стандарта.

      В начале 80-х годов в США были разработаны "Критерии оценки доверенных компьютерных систем" (TCSEC).В Европе в 1991г. были разработаны "Критерии оценки безопасности информационных технологий" (ITSEC) версии 1.2, совместно Францией, Германией, Нидерландами и Великобританией.В Канаде в начале 1993 г. были созданы "Канадские критерии оценки доверенных компьютерных продуктов" (CTCPEC) версии 3.0.В США в это же время был издан проект стандарта "Федеральные критерии безопасности информационных технологий" (FC) версии 1.0, использовавший другой подход к объединению североамериканской и европейской концепций критериев оценки.

В 1990 г. Международной организацией по стандартизации (ISO) была начата разработка международного стандарта критериев оценки для общего использования. Версия 1.0 ОК была завершена в январе 1996 г. и одобрена ISO в апреле 1996 г. Бета-версия 2.0 ОК появилась в октябре 1997 г.

      В результате этих работ появился Международный  стандарт ISO/IEC 15408-99 "Критерии оценки безопасности информационных технологий" или так называемые "Общие критерии". В России аналогичный стандарт подготовлен  в 2001г. Это ГОСТ Р ИСО/МЭК 15408-1-2001 «Критерии оценки безопасности информационных технологий».

Данный  стандарт содержит общие критерии (ОК) оценки безопасности информационных технологий. Стандарт предназначен в качестве руководства  при разработке и приобретении коммерческих продуктов или систем с функциями безопасности ИТ.

ОК применимы  к мерам безопасности ИТ, реализуемым  аппаратными, программно-аппаратными  и программными средствами. Критерии для оценки специфических качеств  криптографических алгоритмов не входят в ОК. ОК безопасности продуктов и систем ИТ предназначены в основном для потребителей, разработчиков и оценщиков. ОК предоставляют потребителям, независимую от реализации структуру, называемую профилем защиты (ПЗ), для выражения их специфических требований к мерам безопасности ИТ в объекте оценки. Кроме указанного выше используется также ГОСТ Р50922-96 «Защита информации. Основные термины и определения». В настоящее время разработан и действует еще один международный стандарт ISO/IEC 17799 "Безопасность информационных систем". Лицензирование и сертификация в области международного информационного обмена. Вопросы международного обмена конфиденциальной информацией регулируются федеральным законом "Об участии в международном информационном обмене" № 85-Ф3 от 4.07.96 г. В статье 9 этого закона записано: «Защита конфиденциальной информации государством распространяется только на ту деятельность по международному информационному обмену, которую осуществляют физические и юридические лица, обладающие лицензией на работу с конфиденциальной информацией и использующие сертифицированные средства международного информационного обмена». В статье 17 говорится о сертификации информационных продуктов, информационных услуг и средств международного информационного обмена. «При ввозе информационных продуктов в РФ импортер предоставляет сертификат, на соответствие данных продуктов требованиям договора. Средства международного информационного обмена, обрабатывающие информацию с ограниченным доступом подлежат обязательной сертификации». В статье 18 говорится о лицензировании деятельности по международному информационному обмену. «Деятельность по международному информационному обмену в РФ подлежит лицензированию, если в результате этой деятельности за пределы РФ вывозятся государственные информационные ресурсы либо ввозятся для их пополнения».