Главная стр 1
скачать




Лекция 07-11-2008 Организационное обеспечение ИБ

Задачи и структура государственной системы инженерно-технической защиты информации


Для обеспечения инженерно-технической защиты информации (ИТЗИ) необходимы силы и средства, техни­ческая и нормативно-правовая база, а также постоянно проводимые мероприятия по ее обеспечению. Защиту информации обеспе­чивает ее владелец и пользователь. Защиту информации, содержа­щую государственную тайну, обеспечивают государственные ор­ганы и пользователи информации.

Инженерно-техническая защита информации проводится по двум основным направлениям: физическая защита носителя информации и ее скрытие. Предотвращением и нейтрализацией сил воздействия и утечки информации традиционно занимаются раз­личные ведомства и органы, используются различные технические средства защиты информации.

Защита носителей информации в виде материальных тел не отличается от охраны любых других материальных ценностей. Охрану материальных ценностей от криминальных структур и элементов обеспечивают органы внутренних дел, а их защиту от пожара - соответствующие органы противопожарной безопасности Министерства по делам гражданской обороны, чрезвычайным ситуациям и ликвидации последствий стихийных бедствий.

Вопросами противодействия технической разведке эти органы не занимаются.

В разгар холодной войны, когда с одной стороны, существенно возросли активность и технические возможности иностранных технических разведок, а с другой, - в условиях гонки вооружения стремительно увеличивался объем секретной информации, воз никла необходимость в создании специализированных органов по защите информации от технической разведки. Эти органы состав­ляют основу государственной системы защиты информации, со­держащей государственную тайну. Структура государственной системы защиты информации от технической разведки, ее задачи и функции определе­ны в Постановлении Совета Министров РФ от 15 сентября 1993 г. № 912-51 под названием «Положение о государственной системе защиты информации в Российской Федерации от иностранной тех­нической разведки и от утечки ее по техническим каналам» .

Главными направлениями работ по защите информации являются:

* обеспечение эффективного управления системой защиты информации;

* определение состава сведений и демаскирующих признаков, ох­раняемых от технической разведки;

* анализ и оценка угроз безопасности информации;

* разработка организационно-технических мероприятий по за­щите информации и их реализация;

* организация и проведения контроля состояния защиты инфор­мации.

Основные задачи государственной системы защиты, информа­ции от технической разведки, сформулированные в этом положе­нии, следующие:

* проведение единой технической политики, организация и коор­динация работ по защите информации в различных сферах де­ятельности государства;

* исключение или существенное затруднение добывания инфор­мации техническими средствами разведки;

* принятие правовых актов, регулирующих отношения в области защиты информации;

* анализ состояния и прогнозирование возможностей техничес­ких средств разведки и способов их применения, формирования системы информационного обмена сведениями по осведомлен­ности иностранных разведок;

эффективности; контроль состояния защиты информации в органах государс­твенной власти и на предприятиях.

Решение указанных задач осуществляется путем:

* предотвращения перехвата техническими средствами информа­ции, передаваемой по каналам связи;


  • предотвращения утечки обрабатываемой информации за счет побочных электромагнитных излучений и наводок, создавае­мых функционирующими техническими средствами, а также электроакустических преобразователей;

  • исключения несанкционированного доступа к обрабатываемой или хранящейся в технических средствах информации; предотвращения специальных программно-технических воз­действий, вызывающих разрушение, уничтожение, искажение информации или сбои в работе средств информатизации; выявления возможно внедренных на объекты и в технические средства электронных устройств перехвата информации (за­кладных устройств);

* предотвращения перехвата техническими средствами речевой информации из помещений и объектов.

Защита информации считается эффективной, если принима­емые меры соответствуют установленным требованиям или нор­мам. Несоответствия мер установленным требованиям или нормам по защите информации являются нарушениями, которые делятся на три категории:

первая - невыполнение требований или норм по защите ин­формации, в результате чего имелась или имеется реальная воз­можность ее утечки по техническим каналам;

вторая - невыполнение требований или норм по защите ин­формации, в результате чего создаются предпосылки к ее утеч­ке по техническим каналам;

третья - невыполнение других требований по защите инфор­мации.

Основными органами государственной системы защиты информации являются:

Межведомственная комиссия по защите государственной тайны;

Федеральная служба по техническому и экспортному контролю (ФСТЭК) России;

Федеральная служба безопасности (ФСБ) РФ;

другие органы исполнительной федеральной власти и их струк­турные подразделения по защите информации;

органы исполнительной власти субъектов федерации и их струк­турные подразделения;

структурные подразделения и штатные специалисты по защите информации организаций (предприятий, учреждений).

Кроме того, косвенно в систему защиты информации входят органы МВД и МЧС, обеспечивающие физическую защиту мате­риальных ценностей, в том числе источников информации.

Эти органы образуют три правовых уровня защиты информа­ции: федеральный, субъектов федерации и уровень предпри­ятий (организаций). Так как количество органов по мере сниже­ния уровня возрастает, то силы и средства государственной систе­мы защиты информации образуют пирамиду. Наверху этой пира­миды находятся Межведомственная комиссия, Федеральная служ­ба по техническому и экспортному контролю, ФСБ РФ, а основание образуют органы предприятий и организаций.

Межведомственная комиссия по защите государствен­ной тайны образована Указом Президента РФ от 8 ноября 1995 г. № 1108. Положение о Межведомственной комиссии защите госу­дарственной тайны утверждено Указом Президента РФ № 71 от 20 января 1996 года. Межведомственная комиссия является кол­легиальным органом, основная функция которого - координация деятельности федеральных органов государственной власти и ор­ганов государственной власти субъектов РФ по защите государс­твенной.

В соответствии с положением она имеет право:

* формировать перечень сведений, отнесенных к государствен­ной тайне, и перечень должностных лиц органов государствен­ной власти, наделяемых полномочиями по отнесению сведе­ний к государственной тайне; подготавливать и представлять в Правительство РФ предложения по правилам отнесения сведе­ний, составляющих государственную тайну, к различным сте­пеням секретности;

* подготавливать для Правительства РФ предложения по орга­низации разработки и выполнения государственных федерального законодательства о государственной тайне;

* рассматривать и представлять Президенту и Правительству РФ предложения по правовому регулированию вопросов защиты государственной тайны и совершенствованию системы защиты государственной тайны в РФ;

* определять порядок рассекречивания сведений, составляющих государственную тайну; организовывать работу межведомс­твенных экспертных групп по рассекречиванию и продлению сроков засекречивания архивных документов; рассматривать запросы органов власти, предприятий, организаций, учрежде­ний и граждан о рассекречивании сведений, отнесенных к госу­дарственной тайне;

* подготавливать для Правительства РФ экспертные заключения на документы, содержащие сведения, отнесенные к государс­твенной тайне, в целях решения вопроса о возможности переда­чи указанных сведений другим государствам;

* подготавливать предложения по порядку определения разме­ров ущерба и рассматривать экспертные заключения о размерах ущерба, который может быть нанесен безопасности РФ вследс­твие несанкционированного распространения сведений, состав­ляющих государственную тайну, а также ущерба, наносимого предприятиям, учреждениям, организациям и гражданам в свя­зи с засекречиванием информации, находящейся в их собствен­ности;



  • давать заключения на решения органов государственной влас­ти, которые могут привести к изменению перечня сведений, от­несенных к государственной тайне, приостанавливать или оп­ротестовывать их решения;

* координировать работы по организации сертификации средств защиты, по лицензированию деятельности предприятий, учреждений и организации, связанной с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны.

Структуру Межведомственной комиссии образуют ее предсе­датель, два заместителя, члены комиссии, ответственный секретарь, комиссии по рассекречиванию документов, межведомственные рабочие и экспертные группы по направлениям деятельности, а так­же структурное подразделение центрального аппарата ФСТЭК России, осуществляющего организационно-техническое обеспече­ние деятельности Межведомственной комиссии.

В Федеральную службу по техническому и экспортному контролю РФ преобразована Указом Президента РФ от 9 мар­та 2004 г № 2314 «О системе и структуре федеральных органов ис­полнительной власти» Государственная техническая комиссия при Президенте РФ. Государственная техническая комиссия СССР (Гостехкомиссия) впервые была создана для организации и коор­динации работ по противодействию иностранной технической разведке Постановлением Совета Министров СССР от 18 декабря 1973 г. N2 903-303. Ее образование вызвано научно-техническим прогрессом в 80-е годы в военной технике, прежде всего, широ­ким внедрением в нее радиоэлектронных средств, создающих по­бочные электромагнитные излучения и наводки, а также наращиванием возможностей и активизацией деятельности иностранной технической разведки. Основной задачей Гостехкомисии СССР яв­лялась в то время организация в стране комплексных работ по за­щите от иностранных технических разведок вооружения и воен­ной техники, военных и военно-промышленных объектов.

В начале перестройки Гостехкомиссия СССР Указом Президента РФ от 5 января 1992 г. № 29 была преобразована в Госу­дарственную техническую комиссию при Президенте РФ, а в 2004 г. в ходе реорганизации структуры федеральных органов ис­полнительной власти преобразована, как уже указывалось Выше, в Федеральную службу по техническому и экспортному контролю.

В соответствии с Указом Президента РФ от 16 августа 2004 г. № 1085 Федеральная служба по техническому и экспортному конт­ролю является федеральным органом исполнительной власти, осуществляющим реализацию государственной политики, организа­цию межведомственной государственной безопасности по вопросам:

* обеспечение безопасности информации в системах информаци­онной в телекоммуникационной инфраструктуры, оказывающих существенное влияние на безопасность государства в ин­формационной сфере;

* противодействие иностранным техническим разведкам на тер­ритории Российской Федерации;

* обеспечение защиты (некриптографическими методами) инфор­мации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступам, предотвра­щения ее утечки по техническим каналам, несанкционированно­го доступа к ней, специальных воздействий на информацию (но­сители информации) в целях ее добывания, уничтожения, иска­жения и блокирования доступа к ней на территории Российской Федерации;

* защиты информации при разработке, производстве, эксплуата­ции и утилизации неинформационных излучающих комплек­сов, систем и устройств;

* осуществления экспортного контроля.

Так как Федеральная служба по техническому и экспортному контролю (в части функций Гостехкомиссии) является постоянно действующим федеральным органом исполнительной власти, де­ятельность которого направлена на защиту государственной и слу­жебной тайны, то ее задачи в основном соответствуют задачам го­сударственной системы защиты информации от технической раз­ведки.

Федеральная служба по техническому и экспортному контро­лю РФ включает центральный аппарат, головную научную органи­зацию по проблемам технической защиты (Государственный науч­но-исследовательский испытательный институт проблем технической защиты информации) и территориальные органы. Основными задачами этих органов являются:



  • проведение государственной политики по обеспечению эффек­тивной защиты информации, содержащей государственную и служебную тайну, в органах государственной власти и местно­го самоуправления, на предприятиях, в учреждениях и органи­зациях региона;

  • организация методического обеспечения и координации де­ятельности по защите информации, составляющей коммерчес­кую, банковскую и другие виды тайн в регионе.

При Гостехкомиссии (Федеральной службе по техническо­му и экспортному контролю) создана коллегия. Так как членами коллегии являются руководящие работники федеральных орга­нов исполнительной власти, государственных органов и организа­ций Российской Федерации, то решениями коллегии обеспечива­ется координация работ в области технической защиты информа­ции в стране.

Деятельность Федеральной службы безопасности РФ (ФСБ) регламентируется Федеральным законом № 40-Ф3 от 3 апре­ля 1995 г. «Об органах Федеральной службы безопасности РФ» и «Положением о Федеральной службе безопасности РФ», утверж­денной Указом Президента N~ 960 от 11 августа 2003 г. Для защи­ты государственной тайны на органы ФСБ возложены следующие основные функции:

* участие в разработке и реализации меры по защите сведений, составляющих государственную тайну, контроль за обеспече­нием сохранности этих сведений в федеральных органах госу­дарственной власти и органах государственной власти субъек­тов РФ, воинских· формированиях и организациях;


  • определение порядка осуществления контроля за обеспечени­ем защиты сведений, составляющих государственную тайну, в федеральных органах государственной власти и органах го­сударственной власти субъектов Российской Федерации, во­инских формированиях и организациях, а также порядка до­пуска граждан к сведениям, составляющим государственную тайну, приемом их на военную службу (работу) в органы и войска;

* определение порядка контроля за организацией и функциони­рованием криптографической и инженерно-технической бе­зопасности информационно-телекоммуникационных систем, систем шифрованной, засекреченной и иных видов специаль­ной связи, за соблюдением режима секретности при обраще­нии с шифрованной информацией в шифровальных подразде­лениях государственных органов и организаций на террито­рии Российской Федерации и в ее учреждениях, находящихся за пределами Российской Федерации, а также за обеспечением защиты особо важных объектов (помещений) и находящихся в них технических средств от утечки информации по техничес­ким каналам;

организация и осуществление шифровальной работы в органах ФСБ и войсках;



  • организация и обеспечение эксплуатации, безопасности, развития и совершенствования открытой и засекреченной связи, сис­тем оповещения и звукоусиления на объектах органов ФСБ и войск;

* регулирование в области разработки, производства, реализации, эксплуатации, ввоза в Российскую Федерацию и выво­за из Российской Федерации шифровальных (криптографичес­ких) средств и защищенных с использованием шифровальных средств систем и комплексов телекоммуникаций, а также в об­ласти предоставления на территории Российской Федерации ус­луг по шифрованию информации и выявлению электронных ус­тройств, предназначенных для негласного получения информа­ции, в помещениях и технических средствах;

  • организация и проведение исследований в области защиты ин­формации, экспертных криптографических, инженерно-крип­тографических и специальные исследований шифровальных средств, специальных и закрытых информационно-телекоммуникационных систем;

  • подготовка экспертных заключений на предложения о проведе­нии работ по созданию специальных и защищенных с использо­ванием шифровальных (криптографических) средств информа­ционно-телекоммуникационных систем и сетей связи; осуществление и организация лицензирования отдельных видов деятельности.

Структура ФСБ РФ, утвержденная Указом Президента РФ от 11 августа 2003 г. № 960, включает:

  • центральный аппарат Федеральной службы безопасности РФ (департаменты, управления и другие подразделения, непосредс­твенно реализующие направления деятельности органов феде­ральной службы безопасности, а также подразделения, испол­няющие управленческие функции);

  • территориальные органы безопасности (управления, отделы ФСБ по отдельным регионам и субъектам РФ);

* органы безопасности в войсках (управления, отделы в Воо­руженных Силах, других войсках и воинских формированиях, а также в их органах управления);

  • пограничные органы (управления, отряды, отделы ФСБ России по пограничной службе);

• другие органы.

Министерства, агентства, службы и другие органы решают в рамках своей компетенции следующие задачи по защите информации:



  • конкретизируют перечень охраняемых сведений, составляю­щих государственную тайну;

  • обеспечивают разработку и осуществление мер по защите ин­формации в подведомственных организациях и предприятиях;

  • организуют и координируют проведение научно-исследователь­ских и опытно-конструкторских работ в области защиты инфор­мации в соответствии с государственными (отраслевыми) про­граммами;

  • разрабатывают по согласованию с Гостехкомиссией отраслевые документы по защите информации;

  • контролируют выполнение на предприятиях отрасли установ­ленных норм и требований по защите информации;

* создают отраслевые центры по защите информации и контролю эффективности принимаемых мер;

  • организуют подготовку и повышение квалификации специалис­тов по защите информации.

В министерствах, ведомствах, органах государственной влас­ти субъектов Российской федерации организуются Советы (Тех­нические комиссии) и подразделения по защите информации. Основными направлениями работы Советов являются:

  • рассмотрение вопросов, связанных с защитой информации;

  • координация и контроль выполнения работ по вопросам обеспе­чения защиты информации в отрасли (регионе);

  • анализ и выработка рекомендаций по повышению эффектив­ности защиты информации в отрасли (регионе).

На подразделения по защите информации возлагаются следу­ющие основные функции:

* проведение единой технической политики, организация и коор­динация работ по защите информации;

* организация аттестования подведомственных объектов по вы­полнению требований обеспечения защиты информации, сер­тификации средств защиты информации и контроля ее эффективности;

* организация и координация разработок, внедрение и эксплуатация систем мер по предотвращению утечки информации; организация и про ведение работ по контролю эффективности проводимых мероприятий и принимаемых мер по защите информации;



  • методическое обеспечение мер по защите информации;

* организация подготовки и повышения квалификации специа­листов по вопросам защиты информации для подведомствен­ных предприятий, учреждений и организаций, а также органи­зация и проведение занятий с руководящим составом по вопросам защиты информации.

Работы по защите информации на предприятиях (в организациях и учреждениях) организуются их руководителями. Подразделения и штатные специалисты по безопасности на предприятиях осуществляют мероприятия по защите информации в ходе выполнения работ с использованием сведений, отнесенных к государственной или служебной тайне, определяют совместно с заказчиком работ основные направления комплексной защиты ин­формации, участвуют в согласовании технических (тактико-технических) заданий на проведение работ, дают заключения о воз­можности проведения работ с информацией, отнесенной к государственной или служебной тайне.

В соответствии с существующим законодательством допуск предприятий (организаций, учреждений) к проведению работ, содержащих государственную тайну, созданию средств защиты ин­формации и оказанию услуг по защите государственной тайны воз­можен после получении ими лицензий на соответствующий вид деятельности.

Органами, уполномоченными на ведение лицензионной деятельности, являются:

* по допуску предприятий к проведению работ, связанных с использованием сведений, составляющих государственную тай­ну, - Федеральная служба безопасности РФ и ее территориальные органы (на территории РФ), Служба внешней разведки РФ (за рубежом);

* на право проведения работ, связанных с созданием средств за­щиты информации, - Федеральная служба по техническому и экспортному контролю РФ, Федеральная служба безопасности РФ, Служба внешней разведки РФ, Министерство обороны РФ (в пределах их компетенции);

* на право осуществления мероприятий и (или) оказания услуг в области защиты государственной тайны - Федеральная служ­ба безопасности РФ и ее территориальные органы, Федеральная служба по техническому и экспортному контролю РФ, Служба внешней разведки РФ (в пределах их компетенции).

В отраслях промышленности и в регионах страны создаются и функционируют лицензионные центры, осуществляющие орга­низацию и контроль за деятельностью в области оказания услуг по защите информации.

Лицензии выдаются на срок 3-5 лет на основании результатов специальных экспертиз предприятий и государственной аттеста­ции их руководителей, ответственных за защиту сведений, состав­ляющих государственную тайну, и при выполнении следующих условий:

* соблюдение требований законодательных и иных нормативных актов РФ по обеспечению защиты сведений, составляющих го­сударственную тайну, в процессе выполнения работ, связанных с использованием указанных сведений;

* наличие в структуре предприятия подразделения по защите го­сударственной тайны и необходимого числа специально под­готовленных сотрудников для работы по защите информации, уровень квалификации которых достаточен для обеспечения государственной тайны;

* наличие на предприятии средств защиты информации, имею­щих сертификат, удостоверяющий их соответствие требовани­ям по защите сведений соответствующей степени секретности.

Государственная аттестация руководителей предприятий проводится методом собеседования с целью проверки их знаний, необходимых для организации на предприятии защиты сведений составляющих государственную тайну. Государственная аттестация руководителей предприятий организуется органами, уполно­моченными на ведение лицензионной деятельности, а также ми­нистерствами и ведомствами РФ, руководители которых наделены полномочиями по отношению к государственной тайне сведений в отношении подведомственных им предприятий.

Специальная экспертиза предприятия проводится путем проверки выполнения требований нормативно-методических до­кументов по режиму секретности, противодействию иностранным техническим разведкам и защите информации от утечки по техническим каналам, а также соблюдения других условий, необходи­мых для получения лицензии.

Специальные экспертизы организуются и проводятся:


  • Федеральной службой безопасности РФ и территориальными органами безопасности РФ,

* Федеральной службой по техническому и экспортному контролю РФ, другими министерствами и ведомствами РФ, руководители которых наделены полномочиями по отнесению к государственной тайне сведений в отношении подведомственных им предприятий;

* отраслевыми аттестационными центрами министерств и ве­домств, руководители которых наделены полномочиями по отнесению сведений к государственной тайне, для проведения специальных экспертиз на подведомственных им предприятиях;

* региональными аттестационными центрами Федеральной службы безопасности РФ и территориальными органами безопасности, Федеральной службы по техническому и экспортному конт­ролю РФ, а также администрацией субъектов РФ, для проведе­ния экспертиз на вневедомственных предприятиях.

Специальные экспертизы проводятся экспертными комиссия­ми при Федеральной службе безопасности РФ и территориальных органах безопасности, а также при аттестационных центрах.

Контроль за соблюдением лицензионных условий лицензиа­тами, выполняющими работы, связанные с использованием сведе­ний, составляющие государственную тайну, созданием средств за­щиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны осуществляют органы, уполномоченные на ведение лицензионной деятельности.

Технические средства, используемые для обработки защи­ты информации, должны иметь сертификат соответствия их ха­рактеристик требованиям по защите. Обязательной сертифика­ции подлежат защищенные технические, программно-техничес­кие, программные средства, системы связи, сети и системы вычис­лительной техники, средства защиты и средства контроля эффек­тивности защиты, а также технические и программные средства, предназначенные для обработки информации с ограниченным до­ступом, в том числе иностранного производства.



Сертификацию средств проводят Федеральная служба по тех­ническому и экспортному контролю РФ, ФСБ РФ, Министерство обороны РФ, Служба внешней разведки РФ, аккредитованные ор­ганы по сертификации продукции, аккредитованные испытатель­ные центры (лаборатории). Координация деятельности по сертифи­кации возложена на Межведомственную комиссию по защите го­сударственной тайны.

Объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну, а также ве­дения секретных переговоров, подлежат обязательной аттеста­ции на соответствие их требованиям стандартов или иных норма­тивно-технических документов, утвержденных Гостехкомиссией (Федеральной службой по техническому и экспортному контролю). Аттестационные испытания проводятся аттестационной комисси­ей, формируемой органом, аккредитованным Федеральной службой по техническому и экспортному контролю.
скачать


Смотрите также:
Лекция 07-11-2008 Организационное обеспечение иб
166.32kb.
Лекция 28-11-08 Организационное обеспечение иб
214.81kb.
Лекция 21-11-08 Организационное обеспечение иб
147.18kb.
Лекция 14-10-08 Организационное обеспечение иб
192.49kb.
Лекция 26-09-08 Организационное обеспечение иб
232.99kb.
Лекция 26-09-08 Организационное обеспечение иб
232.99kb.
Конспект лекций по дисциплине лекция 05-09-2008 Организационное обеспечение информационной безопасности Тема Принципы, силы, средства и условия организационной защиты информации
206.96kb.
Конспект лекций по дисциплине лекция 05-09-2008 Организационное обеспечение информационной безопасности Тема Принципы, силы, средства и условия организационной защиты информации
206.96kb.
Лекция 05-12-08 Организационное обеспечение иб
148.29kb.
Гоу впо «академия социального управления» региональный комплексный проект модернизации образования в московской области организационное, методическое
360.11kb.
Дисциплина: Информационные технологии в рекламе
27.06kb.
Конспект лекций по курсу «Организационное поведение»
1240.02kb.