Требования по защите информации и созданию системы защиты информации

12.1. Организация работ по ТКЗИ

Организация работ по ТКЗИ возлагается на руководителей организации, осуществляющих разработку проектов объектов информатизации и их эксплуатацию, а методическое руководство и контроль за эффективностью предусмотренных мер защиты информации на руководителей подразделений по защите информации (служб безопасности) организации.

Научно-техническое руководство и непосредственную организацию работ по созданию (модернизации) СЗИ объекта информатизации осуществляет его главный конструктор или другое должностное лицо, обеспечивающее научно-техническое руководство созданием объекта информатизации.

Разработка системы защиты информации может осуществляться как подразделением организации, так и специализированным предприятием, имеющим лицензии ФСТЭК на соответствующий вид деятельности в области защиты информации. Во втором случае в организации, для которой создается система защиты информации, определяются подразделения (или отдельные должностные лица), ответственные за организацию и проведение мероприятий по защите информации в ходе выполнения работ с использованием конфиденциальной информации.

Разработка и внедрение системы защиты информации (СЗИ) осуществляется во взаимодействии разработчика со службой безопасности организации-заказчика, которая осуществляет методическое руководство и участвует в разработке конкретных требований по защите информации, аналитическом обосновании необходимости создания СЗИ, согласовании выбора средств вычислительной техники и связи, технических и программных средств защиты, организации работ по выявлению возможностей и предупреждению утечки и нарушения целостности защищаемой информации, в аттестации объектов информатизации.

Организация работ по созданию и эксплуатации объектов информатизации и их СЗИ определяется в разрабатываемом "Руководстве по защите информации" или в специальном "Положении о порядке организации и проведения работ по защите информации" и должна предусматривать:

• порядок определения защищаемой информации;
• порядок привлечения подразделений, специализированных сторонних организаций к разработке и эксплуатации объектов информатизации и СЗИ, их задачи и функции на различных стадиях создания и эксплуатации объекта информатизации;
• порядок взаимодействия всех занятых в этой работе организаций, подразделений и специалистов;
• порядок разработки, ввода в действие и эксплуатацию объектов информатизации;
• ответственность должностных лиц за своевременность и качество формирования требований по технической защите информации, за качество и научно-технический уровень разработки СЗИ.

В организации должен быть документально оформлен перечень сведений конфиденциального характера, подлежащих защите в соответствии с нормативными правовыми актами, а также разработана соответствующая разрешительная система доступа персонала к такого рода сведениям.

12.2. Требования по защите информации, содержащейся в информационной системе (на объекте информатизации)

Формирование требований к защите информации осуществляется обладателем информации (заказчиком) с учетом требований действующих нормативных правовых актов и методических документов для конкретного объекта информатизации. Здесь и далее в качестве объекта информатизации будет рассматриваться информационная система.

Требования по защите информации определены в руководящих документах ФСТЭК и ФСБ России. Документы можно разделить на ряд направлений:

1. Защита конфиденциальной информации (в том числе персональных данных);
2. Защита государственной тайны;
3. Защита информации в ключевых системах информационной инфраструктуры (защита информации криптографическими методами).

В рамках данного курса будут рассмотрены требования первой группы.

Одним из основополагающих документов в рамках защиты от утечки по техническим каналам утечки является методический документ Гостехкомиссии "Специальные требования и рекомендации по технической защите конфиденциальной информации" (далее СТР-К).

Документ определяет следующие основные вопросы защиты информации:

• организацию работ по защите информации, в том числе при разработке и модернизации объектов информатизации и их систем защиты информации;
• состав и основное содержание организационно-распорядительной, проектной, эксплуатационной и иной документации по защите информации;
• требования и рекомендации по защите речевой информации при осуществлении переговоров, в том числе с использованием технических средств;
• требования и рекомендации по защите информации при ее автоматизированной обработке и передаче с использованием технических средств;
• порядок обеспечения защиты информации при эксплуатации объектов информатизации;
• особенности защиты информации при разработке и эксплуатации автоматизированных систем, использующих различные типы средств вычислительной техники и информационные технологии;
• порядок обеспечения защиты информации при взаимодействии абонентов с информационными сетями общего пользования.

Рассмотрим основные требования и рекомендации СТР-К.

12.3. Требования и рекомендации по защите акустической речевой информации

1. Документально определенный перечень защищаемых помещений (далее ЗП) и лиц, ответственных за их эксплуатацию; технический паспорт на ЗП (форма паспорта приведена в приложениях СТР-К);
2. ЗП должны быть в пределах контролируемой зоны (далее КЗ). Рекомендуется:
   • Размещать ЗП на удалении от границ КЗ.
   • Ограждающие конструкции не должны быть смежными с помещениями других организаций.
   • Не располагать ЗП на первых этажах.
   • Оборудовать окна ЗП шторами или жалюзи.
3. Рекомендуется оснащать ЗП сертифицированными ОТСС или ВТСС либо средствами, прошедшими специальные исследования и имеющими предписание на эксплуатацию.
4. По решению руководителя может быть проведена специальная проверка ЗП на наличие акустических "закладок"
5. Запрещается использование во время конфиденциальных мероприятий сотовых телефонов, радиотелефонов, аудио и видеозаписывающих устройств. Если в помещении есть телефонные или факсимильные аппараты с автоответчиком или спикерфоном, а также аппараты с автоматическим определителем номера, следует отключать их из сети на время проведения конфиденциальных мероприятий.
6. Чтобы исключить утечку по электроакустическому каналу рекомендуется в качестве оконечных устройств телефонной связи использовать телефонные аппараты (далее ТА), прошедшие специальные исследования, либо оборудовать их сертифицированными средствами защиты информации от утечки за счет электроакустического преобразования.
7. Не рекомендуется устанавливать в ЗП цифровые ТА цифровых АТС, имеющих выход в городскую АТС или к которой подключены абоненты, не являющиеся сотрудниками организации. В случае необходимости, рекомендуется использовать сертифицированные по требованиям безопасности информации цифровые АТС, либо устанавливать в эти помещения аналоговые аппараты.
8. Ввод системы городского радиотрансляционного вещания на территорию организации рекомендуется осуществлять через радиотрансляционный узел (буферный усилитель), размещаемый в пределах КЗ.
9. В случае размещения электрочасовой станции внутри КЗ использование в ЗП электровторичных часов (ЭВЧ) возможно без средств защиты информации. При установке электрочасовой станции вне КЗ в линии ЭВЧ, имеющие выход за пределы КЗ, рекомендуется устанавливать сертифицированные средства защиты информации.
10. Системы пожарной и охранной сигнализации ЗП должны строиться только по проводной схеме сбора информации и, как правило, размещаться в пределах одной с ЗП контролируемой зоне. В качестве оконечных устройств пожарной и охранной сигнализации в ЗП рекомендуется использовать изделия, сертифицированные по требованиям безопасности информации, или образцы средств, прошедшие специальные исследования и имеющие предписание на эксплуатацию.
11. Должна быть звукоизоляция ограждающих конструкций ЗП, их систем вентиляции и кондиционирования. Проверка достаточности звукоизоляции осуществляется путем подтверждения отсутствия возможности разборчивого прослушивания вне ЗП разговоров, ведущихся в нем. При этом уровень тестового речевого сигнала должен быть не ниже используемого во время штатного режима эксплуатации помещения.
12. Рекомендуется предусмотреть организационные меры по предотвращению установки устройств разведки на внешних ограждающих конструкциях для предотвращения утечки по виброакустическому каналу. Также рекомендуется элементы инженерно- технических систем отопления, вентиляции оборудовать звукоизолирующими экранами.

В случае если перечисленные меры недостаточны, рекомендуется применять сертифицированные средства активной защиты, которые будут рассмотрены позже.

Помимо перечисленных мер необходимо предусмотреть организационно-режимные меры, направленные на исключение несанкционированного доступа в помещение.

Передача конфиденциальной речевой информации по открытым проводным каналам связи, выходящим за пределы КЗ, и радиоканалам должна быть исключена. При необходимости такой передачи следует использовать защищенные линии связи, устройства скремблирования или криптографической защиты. В СТР-К также предусмотрены меры по защите информации, циркулирующей в системах звукоусиления и звукового сопровождения кинофильмов и меры по защите информации при проведении звукозаписи.

12.4. Требования и рекомендации по защите информации, обрабатываемой техническими средствами, от утечки за счет побочных электромагнитных излучений и наводок (ПЭМИН)

Как уже отмечалось в предыдущих лекциях, основными направлениями защиты информации в автоматизированной системе (далее АС) является обеспечение безопасности от несанкционированного доступа (НСД) и от утечки по техническим каналам утечки.

В качестве основных мер защиты информации в СТК-К рекомендуется:

• документальное оформление перечня сведений конфиденциального характера с учетом ведомственной и отраслевой специфики этих сведений;
• реализация разрешительной системы допуска исполнителей (пользователей, обслуживающего персонала) к информации и связанным с ее использованием работам, документам;
• ограничение доступа персонала и посторонних лиц в защищаемые помещения и помещения, где размещены средства информатизации и коммуникации, а также хранятся носители информации;
• разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;
• регистрация действий пользователей АС и обслуживающего персонала, контроль за несанкционированным доступом и действиями пользователей, обслуживающего персонала и посторонних лиц;
• учет и надежное хранение бумажных и машинных носителей информации, ключей (ключевой документации) и их обращение, исключающее их хищение, подмену и уничтожение;
• использование СЗЗ, создаваемых на основе физико-химических технологий для контроля доступа к объектам защиты и для защиты документов от подделки; необходимое резервирование технических средств и дублирование массивов и носителей информации. Специальный защитный знак (СЗЗ) - сертифицированное и зарегистрированное в установленном порядке изделие, предназначенное для контроля несанкционированного доступа к объектам защиты путем определения подлинности и целостности СЗЗ, путем сравнения самого знака или композиции "СЗЗ - подложка" по критериям соответствия характерным признакам визуальными, инструментальными и другими методами;
• использование сертифицированных серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации;
• использование технических средств, удовлетворяющих требованиям стандартов по электромагнитной совместимости;
• использование сертифицированных средств защиты информации;
• размещение объектов защиты на максимально возможном расстоянии относительно границы КЗ;
• размещение понижающих трансформаторных подстанций электропитания и контуров заземления объектов защиты в пределах КЗ;
• развязка цепей электропитания объектов защиты с помощью защитных фильтров, блокирующих (подавляющих) информативный сигнал;
• электромагнитная развязка между линиями связи и другими цепями ВТСС, выходящими за пределы КЗ, и информационными цепями, по которым циркулирует защищаемая информация;
• использование защищенных каналов связи (защищенных ВОЛС и криптографических средств ЗИ;
• размещение дисплеев и других средств отображения информации, исключающее несанкционированный просмотр информации;
• организация физической защиты помещений и собственно технических средств с помощью сил охраны и технических средств, предотвращающих или существенно затрудняющих проникновение в здания, помещения посторонних лиц, хищение документов и информационных носителей, самих средств информатизации, исключающих нахождение внутри контролируемой зоны технических средств разведки или промышленного шпионажа;
• криптографическое преобразование информации, обрабатываемой и передаваемой средствами вычислительной техники и связи (при необходимости, определяемой особенностями функционирования конкретных АС и систем связи);
• предотвращение внедрения в автоматизированные системы программ-вирусов, программных закладок[105].