Приложение. Концепция технической защиты информации в Ханты-Мансийском автономном округе - Югре на период до 2010 года. Распоряжение Губернатора Ханты-Мансийского АО - Югры от 07.09.2006 N 367-рг "О Концепции технической защиты информации в Ханты-Мансийском автономном округе - Югре на период до 2010 года"

Приложение

к распоряжению Губернатора

Ханты-Мансийского

автономного округа

от 7 сентября 2006 г. N 367-рг

Концепция
технической защиты информации в Ханты-Мансийском автономном
округе - Югре на период до 2010 года

Концепция технической защиты информации в Ханты-Мансийском автономном округе - Югре на период до 2010 года представляет собой систему взглядов на содержание проблемы технической защиты информации, содержащей сведения, отнесенные к государственной тайне или к информации конфиденциального характера, а также на цели, задачи, основные направления формирования и развития системы технической защиты информации в автономном округе (далее - СТЗИ).

Концепция предназначена для использования в исполнительных органах государственной власти автономного округа, органах местного самоуправления муниципальных образований автономного округа (далее именуются - органы власти) и подведомственных им организациях (далее - организации).

Главной целью Концепции является общая постановка задачи защиты информационной среды органов власти (организаций) и ее решение на основе законодательства Российской Федерации и иных нормативных правовых актов, регулирующих вопросы информационной безопасности.

В настоящей Концепции используются следующие основные понятия:

автоматизированная система в защищенном исполнении - автоматизированная система, реализующая информационную технологию выполнения установленных функций в соответствии с требованиями стандартов и/или нормативных документов по защите информации;

безопасность информации - состояние защищенности информации, характеризуемое способностью персонала, технических средств и информационных технологий обеспечивать конфиденциальность, т.е. сохранение в тайне от субъектов, не имеющих полномочий на ознакомление с ней, целостность и доступность информации при ее обработке техническими средствами;

государственная тайна - защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно - розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации;

документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию, или в установленных законодательством Российской Федерации случаях ее материальный носитель;

доступность информации - состояние информации, характеризуемое способностью автоматизированной системы (далее - АС) обеспечивать беспрепятственный доступ к информации субъектов, имеющих на это полномочия;

защита информации - деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию;

защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации. Собственником информации может быть государство, юридическое лицо, группа физических лиц, отдельное физическое лицо;

защищаемые помещения - помещения (служебные кабинеты, актовые, конференц-залы и т.д.), специально предназначенные для проведения конфиденциальных мероприятий (совещаний, обсуждений, конференций, переговоров и т.п.);

информационный сигнал - электрические сигналы, акустические, электромагнитные и другие физические поля, по параметрам которых может быть раскрыта конфиденциальная информация, передаваемая, хранимая и обрабатываемая в основных технических средствах или обсуждаемая в защищенных помещениях (далее - ЗП);

информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;

информационные ресурсы - отдельные документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах);

информационный процесс - процесс создания, сбора, обработки, накопления, хранения, поиска и распространения информации;

информация - сведения (сообщения, данные) независимо от формы их представления;

информация о гражданах - сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность;

информация с ограниченным доступом - документированная информация, которая по условиям ее правового режима подразделяется на информацию, отнесенную к государственной тайне, и конфиденциальную;

контроль состояния защиты информации - проверка соответствия организации и эффективности защиты информации, установленным требованиям и/или нормам в области защиты информации;

контроль эффективности защиты информации - проверка соответствия эффективности мероприятий по защите информации установленным требованиям или нормам эффективности защиты;

конфиденциальная информация - информация с ограниченным доступом, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничивается в соответствии с законодательством Российской Федерации;

конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя;

локальная вычислительная сеть - совокупность основных технических средств и систем, осуществляющих обмен информацией между собой и с другими информационными системами, в том числе с локальной вычислительной сетью (далее - ЛВС), через определенные точки входа/выхода информации, которые являются границей ЛВС;

мероприятие по защите информации - совокупность действий, направленных на разработку и/или практическое применение способов и средств защиты информации;

несанкционированный доступ к информации - доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники (далее - ВТ) или АС;

объект информатизации (далее - ОИ) - совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров;

объект технической защиты (объект защиты информации) - информация, или носитель информации, или информационный процесс, которые необходимо защищать в соответствии с поставленной целью защиты информации;

охраняемые сведения - сведения, составляющие государственную или иную охраняемую законом тайну;

пользователь (потребитель) информации - субъект, обращающийся к информационной системе или посреднику за получением необходимой ему информации и пользующийся ею;

программное обеспечение автоматизированной системы - совокупность программ на носителях данных и программных документов, предназначенная для отладки, функционирования и проверки работоспособности АС;

система разграничения доступа - совокупность реализуемых правил разграничения доступа в средствах вычислительной техники или автоматизированных системах;

средства обеспечения автоматизированных информационных систем и их технологий - программные, технические, лингвистические, правовые, организационные средства (программы для электронных вычислительных машин); средства вычислительной техники и связи; словари, тезаурусы и классификаторы; инструкции и методики; положения, уставы, должностные инструкции; схемы и их описания, другая эксплуатационная и сопроводительная документация;

техническая защита конфиденциальной информации - комплекс мероприятий и (или) услуг по защите ее от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на нее в целях уничтожения, искажения или блокирования доступа к ней;

технический канал утечки информации - совокупность объекта защиты, физической среды и средства технической разведки, которыми добывается защищаемая информация;

целостность информации - состояние защищенности информации, характеризуемое способностью АС обеспечивать сохранность и неизменность конфиденциальной информации при ее попытках несанкционированных или случайных воздействий на нее в процессе обработки или хранения.

1. Общие положения

К основным факторам, определяющим необходимость создания и развития СТЗИ, относятся:

1) возрастание зависимости результатов деятельности органов власти и организаций от достоверности используемой ими информации, своевременности ее получения, надежности принятых мер по сохранению в тайне информации ограниченного доступа;

2) увеличение объемов конфиденциальной информации, циркулирующей в органах власти. Неоднозначность классификации одной и той же информации при ее обработке в различных государственных и негосударственных учреждениях. Необходимость равнопрочной защиты такой информации независимо от места нахождения ее носителей;

3) широкое использование в органах власти региональных и глобальных информационных систем, накапливающих и передающих значительные объемы важной информации и, в то же время, уязвимых для угроз несанкционированного доступа к конфиденциальной информации, возрастание риска и опасности несанкционированных и непреднамеренных воздействий на информацию в этих системах;

4) возрастание опасности информационных угроз, возникающих в непосредственной близости от защищаемых объектов автономного округа или на них самих. Использование криминальными структурами устройств негласного получения информации, рост числа преступлений в сфере компьютерной информации. Невозможность своевременно и достоверно прогнозировать и выявлять эти угрозы, оценивать их опасность, принимать адекватные меры по их устранению;

5) неспособность большинства организаций автономного округа самостоятельно обеспечить эффективную защиту информации вследствие отсутствия подготовленных специалистов, необходимых нормативно-методических документов, высокой стоимости средств технической защиты информации и услуг по ее защите.

1.1. Цели системы технической защиты информации

Основными целями СТЗИ в автономном округе являются:

1) предотвращение или существенное снижение ущерба безопасности автономного округа, его граждан с использованием методов и средств технической защиты информации;

2) обеспечение условий, способствующих реализации государственной политики в сфере информационной безопасности на территории автономного округа;

3) содействие экономическому, научно-техническому прогрессу автономного округа, обеспечению его безопасности и устойчивого развития.

1.2. Задачи системы технической защиты информации

Основными задачами СТЗИ в автономном округе являются:

1) организация и координация работ по технической защите информации на территории автономного округа;

2) исключение или существенное затруднение добывания информации средствами технической разведки, а также предотвращение утечки информации по техническим каналам, несанкционированного доступа к ней, предупреждение специальных воздействий на информацию с целью ее уничтожения, искажения и блокирования;

3) принятие в автономном округе в пределах своей компетенции нормативных правовых актов, регулирующих отношения в области технической защиты информации;

4) анализ состояния и прогнозирование источников угроз безопасности информации;

5) формирование и организация деятельности подразделений по технической защите информации, внедрение средств технической защиты информации и контроля ее эффективности;

6) контроль и анализ состояния технической защиты информации в органах власти и организациях;

7) выявление ключевых проблем в области технической защиты информации, определение направлений развития системы технической защиты информации в автономном округе;

8) научно-техническое, нормативно-методическое и информационное обеспечение работ по технической защите информации в органах власти, а также в организациях.

1.3. Систему технической защиты информации в автономном округе образуют:

Губернатор автономного округа;

Совет по вопросам технической защиты информации;

территориальные органы Федеральной службы безопасности Российской Федерации, Службы спецсвязи Федеральной службы охраны Российской Федерации, Министерства внутренних дел Российской Федерации и Министерства обороны Российской Федерации;

Правительство автономного округа;

Администрация Губернатора автономного округа;

постоянно действующая техническая комиссия по защите информации;

Военно-мобилизационное управление Администрации Губернатора автономного округа с входящим в него отделом защиты и безопасности информации;

исполнительные органы государственной власти автономного округа;

подразделения (штатные специалисты) по технической защите информации исполнительных органов государственной власти автономного округа;

органы местного самоуправления муниципальных образований автономного округа;

подразделения (штатные специалисты) по технической защите информации органов местного самоуправления;

государственные и муниципальные организации, использующие конфиденциальную информацию или сведения, составляющие государственную тайну;

подразделения (штатные специалисты) по технической защите информации предприятий государственной или муниципальной собственности;

постоянно-действующие технические комиссии по защите информации (ПДТК) органов местного самоуправления и предприятий государственной собственности;

организации, выполняющие работы и оказывающие услуги в области технической защиты информации, расположенные на территории автономного округа;

учебные заведения по подготовке, профессиональной переподготовке и повышению квалификации специалистов в области информационной безопасности.

К основным объектам защиты в рамках системы технической защиты информации в автономном округе относятся объекты информатизации, объекты органов управления, информационные ресурсы.

2. Состояние системы технической защиты информации
и ключевые проблемы ее развития

К основным проблемам, характеризующим современное состояние СТЗИ, относятся:

различные уровни развития организационных структур СТЗИ в органах власти. В частности, в муниципальных образованиях автономного округа существенно различается обеспеченность квалифицированными специалистами, нормативно-методическими документами в области технической защиты информации (далее - ТЗИ), а также сертифицированными средствами ТЗИ;

не равномерно территориальное распределение лицензионных и испытательных центров (лабораторий) по сертификации средств ТЗИ, аттестации объектов информатизации по требованиям безопасности информации, подготовке специалистов в области ТЗИ;

отсутствие современных информационно-аналитических систем поддержки решений в области ТЗИ и обеспечения управления СТЗИ;

подразделения по защите информации организаций, как правило, не имеют аппаратуру контроля эффективности ТЗИ;

медленные темпы формирования необходимой для регламентации и обеспечения деятельности СТЗИ системы нормативных и методических документов в области ТЗИ.

Вследствие существования перечисленных выше проблем обеспечение эффективной ТЗИ относительно защищаемых объектов становится все более сложной задачей.

Перечисленные проблемы выдвигают в число приоритетных задачу развития СТЗИ. Сложность и многогранность этой проблемы обусловливают необходимость решения задачи развития СТЗИ в рамках федеральных целевых программ и целевых программ автономного округа, а также реализации Концепции технической защиты информации в Уральском федеральном округе.

3. Цели и задачи развития системы технической защиты информации

Главной целью развития СТЗИ является формирование эффективных компонентов системы технической защиты информации в автономном округе соответствующих задачам обеспечения национальной безопасности Российской Федерации, безопасности и устойчивого развития автономного округа.

Цели развития СТЗИ, направленные на достижение главной цели, состоят в создании условий, обеспечивающих предотвращение добывания охраняемых сведений об объектах защиты средствами технической разведки в результате предотвращения утечки информации, содержащей сведения, отнесенные к государственной тайне или к информации конфиденциального характера, по техническим каналам, несанкционированного доступа к информации и специальных воздействий на нее в социально-экономической, административно-управленческой, правоохранительной и других сферах деятельности автономного округа.

Основными задачами развития СТЗИ, обеспечивающими достижение целей развития, являются:

формирование и совершенствование организационной структуры СТЗИ, развитие ее научно-технического и кадрового потенциала;

создание необходимых и достаточных правовых, организационных, экономических и научно-технических условий на уровне автономного округа для обеспечения деятельности СТЗИ;

обеспечение эффективной технической защиты информации на объектах органов власти и организаций;

создание эффективной и гибкой системы управления деятельностью СТЗИ, приспособленной к различным изменяющимся условиям.

4. Основные направления развития системы технической
защиты информации

Основными направлениями развития СТЗИ, обеспечивающими достижение целей и решение основных задач развития этой системы, являются:

4.1. При решении задачи формирования и совершенствования организационной структуры СТЗИ, развития ее научно-технического и кадрового потенциала:

а) назначение заместителя руководителя, отвечающего за деятельность органа власти (организации) по основному предназначению, ответственным за организацию и руководство работами по ТЗИ, создание возглавляемой им постоянно действующей технической комиссии по защите государственной тайны;

б) создание самостоятельного подразделения (назначение штатного специалиста) органа власти (организации), наделенного полномочиями по руководству и контролю состояния защиты информации во всех подразделениях органа власти (организации) и подведомственных ему структурах, подчиненного заместителю руководителя, ответственному за организацию и руководство работами по защите информации. Функциональное подчинение этого подразделения (штатного специалиста) подразделению (штатному специалисту) по противодействию иностранным техническим разведкам и технической защите информации вышестоящего органа власти;

в) создание и развитие в автономном округе системы подготовки и переподготовки специалистов в области ТЗИ.

4.2. При решении задачи создания необходимых и достаточных правовых, организационных, экономических и научно-технических условий для обеспечения деятельности СТЗИ:

а) совершенствование концептуальных и правовых основ деятельности СТЗИ;

б) организация и обеспечение работ по выявлению и оценке угроз безопасности информации в автономном округе, прогнозированию их развития, разработке типового перечня угроз безопасности информации для автономного округа в целом и объектов защиты в частности;

в) обеспечение нормативными правовыми актами и методическими документами по ТЗИ органов, входящих в СТЗИ, разработка системы организационно-распорядительных и нормативных документов автономного округа по технической защите информации, конкретизирующих и дополняющих документы федерального уровня применительно к условиям автономного округа;

г) оснащение структурных подразделений по ТЗИ органов власти, организаций современными сертифицированными средствами технической защиты информации (в том числе контроля эффективности технической защиты информации).

4.3. При решении задачи обеспечения эффективной технической защиты информации на объектах органов власти и подведомственных им организаций:

а) разработка и внедрение типовых систем ТЗИ для защищаемых объектов;

б) проведение мероприятий по технической защите информации при проведении региональных выставок, конференций, совещаний с участием представителей иностранных государств, при осуществлении международного информационного обмена, в том числе с использованием открытых информационных систем;

в) использование сертифицированного общего и специального программного обеспечения, сертифицированных средств технической защиты информации.

4.4. При решении задачи создания эффективной и гибкой системы управления деятельностью СТЗИ, приспособленной к различным изменяющимся условиям:

а) совершенствование взаимодействия федеральных органов исполнительной власти и органов власти автономного округа при организации и выполнении мероприятий по ТЗИ;

б) создание системы мониторинга состояния СТЗИ в интересах информационного обеспечения и принятия решений по ТЗИ;

в) создание и развертывание в автономном округе информационно-аналитической системы обеспечения деятельности в области ТЗИ в рамках Единой информационно-аналитической системы Федеральной службы по техническому и экспортному контролю и реестра информационных ресурсов Уральского федерального округа.

Главными приоритетами развития СТЗИ являются:

а) совершенствование концептуальных и правовых основ деятельности СТЗИ;

б) формирование структурных подразделений по защите информации в органах власти и в организациях, их оснащение средствами защиты информации, а также средствами контроля эффективности защиты информации;

в) организация и обеспечение работ по выявлению и оценке угроз безопасности информации в автономном округе, прогнозированию их развития.

5. Основные этапы развития системы технической защиты информации в
Ханты-Мансийском автономном округе - Югре

Формирование и развитие СТЗИ в Ханты-Мансийском автономном округе - Югре предполагается осуществлять в три этапа.

На первом этапе:

разрабатывается механизм взаимодействия территориальных органов федеральных органов исполнительной власти Российской Федерации, органов власти автономного округа, организаций, входящих в СТЗИ автономного округа, при решении задач технической защиты информации, создается организационно-правовая база;

формируется Совет по вопросам технической защиты информации автономного округа;

определяются перечни информационных ресурсов, подлежащих защите, определяются структура и порядок деятельности соответствующих систем формирования, учета, хранения и распространения информационных ресурсов;

создаются подразделения по защите информации в органах власти (организациях);

осуществляются подготовка и переподготовка специалистов в области технической защиты информации;

осуществляется разработка первоочередных нормативных правовых, организационно-распорядительных и нормативно-методических документов для СТЗИ;

начинается оснащение элементов системы технической защиты информации органов власти (организаций) существующими средствами технической защиты информации и контроля эффективности технической защиты информации;

организуется периодический контроль состояния технической защиты информации и начинается создание элементов информационно-аналитической системы оценки состояния технической защиты информации в автономном округе.

Ориентировочная длительность первого этапа 1-2 года.

На втором этапе:

совершенствуется нормативно-методическое и техническое обеспечение СТЗИ, разрабатываются основные организационно-распорядительные и нормативные документы по организации и ведению работ по защите информации на объектах защиты всех уровней;

внедряются и совершенствуются методы, системы, средства и технологии технической защиты информации в системах информатизации и связи автономного округа;

создается информационно-аналитическая система выявления, прогнозирования угроз безопасности информации и планирования мероприятий по защите информации.

Ориентировочная длительность второго этапа 2-3 года.

На третьем этапе:

осуществляется дальнейшее совершенствование нормативно-методического и технического обеспечения СТЗИ;

начинается оснащение важнейших объектов СТЗИ перспективными высокоэффективными средствами технической защиты информации, а также контроля состояния технической защиты информации;

разрабатывается и создается система контроля технической защиты информации в автономном округе;

осуществляется интеграция информационно-аналитической системы технической защиты информации автономного округа в Единую информационно-аналитическую систему Федеральной службы по техническому и экспортному контролю и реестр информационных ресурсов Уральского федерального округа.

Ориентировочная длительность третьего этапа 1-2 года.

6. Пути реализации Концепции технической защиты информации в
Ханты-Мансийском автономном округе - Югре

Основные положения Концепции технической защиты информации реализуются в результате целенаправленной повседневной деятельности органов власти (организаций) путем выполнения общегосударственных и научно-технических программ автономного округа в области технической защиты информации, а также программ его информатизации.

7. Особенности построения системы технической
защиты информации

7.1. Условия и требования к организации и функционированию СТЗИ Основными требованиями и условиями при осуществлении деятельности по технической защите информации с ограниченным доступом (сведений, составляющих государственную тайну, конфиденциальной информации) органов власти (организаций) Ханты-Мансийского автономного округа - Югры являются:

осуществление деятельности по технической защите информации с ограниченным доступом специалистами, имеющими высшее профессиональное образование по специальностям "Компьютерная безопасность", "Комплексное обеспечение информационной безопасности автоматизированных систем" или "Информационная безопасность телекоммуникационных систем", либо специалистами, прошедшими переподготовку по вопросам защиты информации;

соответствие выделенных, защищаемых помещений органов власти (организаций) техническим нормам и требованиям, установленным государственными стандартами Российской Федерации, руководящими и нормативно-методическими документами, утвержденными приказами Федеральной службы по техническому и экспортному контролю (ФСТЭК России);

использование для обработки информации с ограниченным доступом сертифицированных (аттестованных по требованиям безопасности информации) автоматизированных систем, а также сертифицированных средств защиты информации.

7.2. Основные направления построения СТЗИ

В органах власти (организациях), являющихся собственниками информационных ресурсов, должны быть документально оформлены обобщенные перечни конфиденциальной информации (сведений ограниченного доступа). Все работники, использующие данную информацию, должны быть ознакомлены с этими перечнями. Доступ к данной информации исполнителей необходимо осуществлять согласно разработанной разрешительной системе. Все носители информации, используемые в технологическом процессе обработки информации в автоматизированных информационных системах (АИС), подлежат учету в том функциональном подразделении, которое является владельцем АИС, обрабатывающей данную информацию. Организация работ по ТЗИ должна определяться в руководстве по защите информации. С целью своевременного выявления и предотвращения утечки информации по техническим каналам, исключения или существенного затруднения несанкционированного доступа и предотвращения специальных программно-технических воздействий, вызывающих нарушение целостности информации или работоспособности технических средств, на объектах информатизации должен проводиться периодический (не реже одного раза в год) контроль состояния защиты информации.

Внутреннее и внешнее (Internet) информационные пространства должны разделяться с помощью сетевых экранов (FireWall). Для приема почтовых сообщений должен использоваться внешний почтовый сервер. Для передачи информации ограниченного доступа по каналам связи, выходящим за пределы контролируемой зоны, необходимо использовать каналы связи, защищенные криптографическими средствами.

Сведения с ограниченным доступом должны обрабатываться только в изолированных ЛВС, расположенных в пределах контролируемой зоны, и при условии использования межсетевого экрана. Защиту информации при межсетевом взаимодействии необходимо осуществлять с использованием технологии и стандартов виртуальных частных сетей (VPN).

Средства защиты от несанкционированного доступа (НСД) должны использоваться во всех АИС, обрабатывающих информацию ограниченного доступа. При работе с системами управления базами данных (СУБД) необходимо использовать либо штатные сертифицированные средства защиты от НСД, либо сертифицированные дополнения в виде системы защиты информации от НСД.

7.3. Критерии оценки эффективности СТЗИ

Критерием оценки эффективности системы защиты информации органов власти (организаций) служит величина предотвращенного ущерба, являющегося следствием реализации угроз информационной безопасности. Ценность ресурсов определяется с точки зрения стоимости их замены или восстановления работоспособности соответствующих средств информатизации.

Содержание установленного критерия оценки эффективности СТЗИ раскрывается через ряд показателей:

1) недопущение фактов утечки (разглашения) сведений с ограниченным доступом;

2) предупреждение или пресечение противоправных действий со стороны персонала органов власти (организаций) и посетителей;

3) сохранность имущества;

4) предупреждение нештатных ситуаций, дезорганизующих деятельность органов власти (организаций);

5) своевременное обнаружение и пресечение НСД к элементам АИС.

В качестве вспомогательных критериев могут быть использованы:

1) ущерб, связанный с разглашением персональных данных отдельных граждан;

2) финансовые потери от разглашения конфиденциальной информации;

3) критичность к нарушению целостности (достоверности) данных;

4) финансовые потери, связанные с восстановлением ресурсов;

5) потери, связанные с отказами работоспособности АИС.

Ранжирование критериев информационной безопасности проводится на основе результатов комплексных проверок эффективности системы защиты информации, проводимых по отдельному плану с привлечением специализированных организаций.

8. Угрозы безопасности информации органов власти (организаций)
Ханты-Мансийского автономного округа - Югры

Под угрозами информационной безопасности понимается потенциально или реально существующая опасность совершения какого-либо деяния (действия или бездействия), направленного против объекта защиты, наносящего ущерб собственнику информационных ресурсов, проявляющегося в опасности искажения и/или потери информации либо неправомерного ее использования.

8.1. Источники угроз безопасности информации

Для органов власти (организаций) возможны следующие источники угроз безопасности информации:

1) несанкционированный доступ и несанкционированные действия по отношению к информации в автоматизированных системах, в том числе с использованием информационных сетей общего пользования;

2) воздействие на технические или программные средства информационных систем в целях нарушения конфиденциальности, целостности и доступности информации, работоспособности технических средств, средств защиты информации посредством специально внедренных программных средств;

3) просмотр информации с экранов дисплеев и других средств ее отображения, бумажных и иных носителей информации, в том числе с помощью оптических средств;

4) утечка информации с ограниченным доступом за счет побочных электромагнитных излучений и наводок информационного сигнала;

5) утечка информации с ограниченным доступом за счет акустоэлектрических преобразований информационного сигнала;

6) утечка информации с ограниченным доступом по цепям электропитания и заземления;

7) утечка информации с ограниченным доступом по акустическому и виброакустическому каналам;

8) утечка информации с ограниченным доступом по оптико-электронному каналу;

9) утечка сведений с ограниченным доступом за счет внедренных средств негласного съема информации;

10) хищение технических средств с хранящейся в них информацией или отдельных носителей информации.

Выявление и устранение угроз безопасности информации органов власти (организаций) необходимо осуществлять в соответствии с требованиями руководящих документов Федеральной службы по техническому и экспортному контролю (ФСТЭК России).

Источники угроз информационной безопасности органов власти (организаций) автономного округа обусловлены:

действиями субъекта (нарушителя);

техническими средствами;

стихийными источниками.

Действия нарушителей классифицируются как непреднамеренные и умышленные. Непреднамеренные угрозы вызваны ошибками в проектировании выделенных (защищаемых) помещений (ВП, ЗП), АС и ее элементов, ошибками в программном обеспечении, ошибками в действиях персонала и т.п. Преднамеренные (умышленные) угрозы связаны с корыстными устремлениями людей (злоумышленников).

8.2. Обобщенная модель нарушителя безопасности информации

В качестве нарушителя информационной безопасности органов власти (организаций) рассматривается субъект, имеющий доступ к работе со штатными средствами АС и СВТ.

Нарушители классифицируются по уровню возможностей, предоставляемых им штатными средствами АС и СВТ. Выделяются пять уровней этих возможностей. Классификация является иерархической, т.е. каждый следующий уровень включает в себя функциональные возможности предыдущего.

Первый уровень - отсутствие полномочий доступа к закрытой информации. Нарушитель первого уровня не должен располагать именами зарегистрированных пользователей АИС, может вести разведку имен и паролей легальных пользователей.

Второй уровень определяет самый низкий уровень возможностей ведения диалога - запуск задач (программ) из фиксированного набора, реализующих заранее предусмотренные функции по обработке информации. Доступ пользователя второго уровня, его аутентификация и права, которыми он обладает по доступу к информационным ресурсам, регламентируются политикой безопасности, принятой на объектах информатизации.

Третий уровень определяется возможностью создания и запуска собственных программ с новыми функциями по обработке информации. Кроме того, пользователь третьего уровня полномочий может располагать любыми фрагментами информации о топологии и технических средствах обработки информации, любыми сведениями, к которым данный пользователь имеет доступ.

Четвертый уровень определяется возможностью управления функционированием АС, т.е. воздействием на базовое программное обеспечение системы и на состав и конфигурацию ее оборудования. Пользователь четвертого уровня обладает полномочиями администратора сети, обладает полной информацией об АС, имеет доступ ко всем техническим средствам обработки данных (кроме шифрования данных и средств протоколирования действий операторов), обладает правами административной настройки некоторой части технических средств обработки информации.

Пятый уровень определяется возможностью доступа к средствам защиты информации и протоколирования и к части криптоключей. Пользователь пятого уровня имеет полномочия администратора безопасности, т.е. не имеет никаких прав к конфигурированию технических средств сети за исключением инспекционных.

Классификация возможных нарушителей безопасности информации органов власти (организаций) производится по категориям, представленным в таблице 1. При этом предполагается, что в своем уровне нарушитель является специалистом высшей квалификации, знает все о ВП, ЗП, АС и, в частности, о системе и средствах ее защиты.

Таблица 1. Модель нарушителя информационной безопасности

Категория нарушителя	Уровень возможностей
Внешние нарушители
Недобросовестные коммерческие организации	II
Посетители	I
Хакеры	I
Разработчики программных средств	IV
Преступные организации	I
Внутренние нарушители
Администраторы	IV
Технический персонал	III
Пользователи (сотрудники)	II
Руководители	III
Сотрудники, уволенные с работы	II - IV

Основные угрозы нарушения безопасности органов власти (организаций)

Классификация основных видов угроз безопасности информации органов власти (организаций) приведена в таблице 2.

Таблица 2. Классификация основных видов угроз

Класс угрозы	Наименование класса угрозы
1.	Угрозы техногенного характера
2.	Несанкционированный доступ к защищаемой информации со стороны внутренних нарушителей
3.	Разглашение защищаемой информации лицами, имеющими к ней право доступа
4.	Утечка информации по техническим каналам
5.	Неправомерные действия со стороны лиц, имеющих право доступа к защищаемой информации
6.	Неправильное организационное обеспечение защиты информации
7.	Ошибки обслуживающего персонала автоматизированных систем
8.	Несанкционированный доступ к защищаемой информации со стороны внешних нарушителей

9. Облик системы защиты информации органов власти (организаций)
Ханты-Мансийского автономного округа - Югры

9.1. Общие требования к системе защиты информации

Система защиты информации (далее - СЗИ) органов власти (организаций) в соответствии с настоящей Концепцией строится поэтапно и на модульном принципе.

Поэтапность означает реализацию мер по обеспечению безопасности информации с учетом обеспечения максимально достижимого на каждом этапе уровня защиты реально необходимого времени на выполнение мероприятий, а также возможности их финансирования.

Модульный принцип позволяет обеспечить последовательное наращивание уровней защищенности в соответствии с развитием технологий защиты и проникновения в СЗИ, при этом должны обеспечиваться максимально эффективное использование установленных ранее средств защиты, техническая и программная совместимость старых и вновь устанавливаемых средств.

Требования к СЗИ органов власти (организаций) подразделяются на:

1) общесистемные требования;

2) функциональные требования;

3) технические требования;

4) экономические требования;

5) организационно-правовые требования;

6) требования к документации.

Защищаемыми компонентами объектов информатизации органов власти (организаций) являются:

1) информационные ресурсы, содержащие защищаемую информацию, представленные в виде документов или записей в носителях на магнитной и оптической основе, информационных физических полях, массивах и базах данных;

2) средства вычислительной техники (СВТ), автоматизированные системы различного уровня и назначения на базе СВТ;

3) программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение);

4) средства телекоммуникаций;

5) средства защиты информации, используемые для обработки секретной (конфиденциальной) информации;

6) вспомогательные технические средства и системы органов власти (организаций);

7) выделенные (защищаемые) помещения.

Система защиты информации органов власти (организаций) должна предусматривать комплекс организационных, технических, программных и криптографических средств и мер по защите информации в процессе традиционного документооборота при работе исполнителей с секретными (конфиденциальными) документами и сведениями, при обработке информации в автоматизированных системах различного уровня и назначения, при передаче по каналам связи, при ведении закрытых переговоров.

9.2. Организационные меры защиты информации органов власти (организаций) Ханты-Мансийского автономного округа - Югры

Организационные меры защиты информации органов власти (организаций) осуществляются на основе введения в установленном порядке системы специальных нормативно-правовых документов и включают:

1) заключение со всеми сотрудниками соглашения о соблюдении установленного режима защиты информации и неразглашении закрытых сведений конфиденциального характера и их инструктаж;

2) выделение контролируемой зоны объектов информатизации органов власти (организаций);

3) обеспечение соблюдения авторских прав и защиты программных продуктов от копирования;

4) создание разрешительной системы допуска сотрудников к обработке информации с ограниченным доступом и установление персональной ответственности за нарушения;

5) регламентация процессов модернизации защищенных подсистем, связанных многочисленными изменениями аппаратно-программной конфигурации;

6) регламентация процедур опечатывания узлов и блоков АС, которые участвуют в обработке защищаемой информации и к которым имеется доступ в процессе эксплуатации обслуживающего персонала;

7) регламентация утилизации оборудования и носителей информации;

8) оборудование объектов средствами охранной сигнализации и противопожарной защиты, формализация требований по размещению оборудования, организация бесперебойного электропитания и заземления;

9) регламентация отключения неиспользуемых в процессе обработки защищаемой информации устройств ввода/вывода, неиспользуемых сервисов общесистемных программных продуктов;

10) своевременность обеспечения материально-технической базой;

11) подготовка и переподготовка специалистов в области защиты информации;

12) обеспечение материального и морального поощрения и др.

9.3. Организация управления безопасностью

Для управления системой защиты информации органов власти (организаций) создаются соответствующие подразделения (службы). Задачи подразделений (служб) формулируются исходя из конкретных угроз со стороны нарушителей и нацелены, в первую очередь, на обеспечение надежности функционирования системы защиты информации органов власти (организаций).

Подразделения (службы) по технической защите информации реализуют комплекс организационных и технических мероприятий, проводимых с целью предотвращения (снижения до безопасного уровня) утечки, хищения, утраты, несанкционированного распространения, уничтожения, искажения, подделки, копирования или блокирования информации.

Основными функциями подразделений (служб) по ТЗИ являются:

разработка мероприятий и программ в сфере защиты информации, обрабатываемой и передаваемой средствами и системами вычислительной техники и связи, координация и контроль за их реализацией;

подготовка, согласование и представление в установленном порядке проектов нормативных правовых актов по вопросам технической защиты информации, а также контроль за выполнением этих правовых актов;

реализация единой политики информационной безопасности на объектах информатизации;

определение необходимого уровня информационной защищенности объектов информатизации органов власти (организаций);

обеспечение эксплуатации технических и аппаратно-программных средств защиты информации, проведение работ по их внедрению, модернизации и развитию;

организация приобретения вычислительной техники в защищенном исполнении, программных продуктов и средств по защите информации;

осуществление контроля за сохранностью электронных секретных (конфиденциальных) документов (носителей информации), за обеспечением защиты информации, обрабатываемой и передаваемой средствами и системами вычислительной техники и связи (административные меры защиты информации);

практическая проверка функционирования отдельных механизмов защиты: предотвращения изменений программ и оборудования, контроль всех процедур с файлами на носителях и т.д.;

контроль действий администраторов сети и пользователей;

контроль исполнения инструкций по безопасности на местах;

организация подготовки и повышения квалификации работников органов власти (организаций) по эксплуатации технических средств защиты информации;

ознакомление персонала со всеми новыми разработками по обеспечению сохранности информации с ограниченным доступом;

консультирование всех сотрудников по вопросам обеспечения сохранности информации с ограниченным доступом.

В органах власти (организациях) в зависимости от объемов работ должны быть введены должности администратора информационной безопасности автоматизированных систем.

Основные функции администратора информационной безопасности (АИБ) СЗИ:

конфигурирование системы защиты информации;

распределение прав и полномочий пользователей, паролей, ключей;

организация инструментального контроля за эффективностью принятых мероприятий по защите;

выявление и оценка степени опасности технических каналов утечки информации;

проверка машинных и ручных протоколов выполнения работ со стороны пользователей;

учет средств аутентификации пользователей (магнитных карт, ключевых дискет и т.п., если они используются);

хранение нормативно-методической и эксплуатационной документации СЗИ.

В составе СТЗИ органов власти (организаций) может быть несколько администраторов безопасности, каждый из которых имеет свою зону ответственности. Каждый администратор должен вести учет технических и аппаратно-программных средств защиты информации в его зоне ответственности, включая электронные документы, базы данных и каналы связи.

9.4. Постоянно действующая техническая комиссия по защите информации

В рамках функционирования СТЗИ необходимо обеспечить участие руководителей органов власти (организаций) в решении вопросов обеспечения информационной безопасности. Для этого в органах власти (организациях) должны быть созданы постоянно действующие технические комиссии по защите информации (ПДТК).

Основными задачами ПДТК являются:

а) оценка и выработка основных направлений (стратегии) деятельности по обеспечению технической защиты информации;

б) разработка перспективных программ совершенствования системы информационной безопасности;

в) разработка предложений о содержании и характере взаимодействия с правоохранительными органами в целях установления и поддержания мер безопасности, оценка эффективности предложений;

г) рассмотрение совместных планов структурных подразделений по обеспечению безопасности функционирования;

д) рассмотрение проектов решений о составе, состоянии и развитии системы защиты информации органов власти (организаций);

е) определение системы критериев оценивания эффективности построения системы защиты информации;

ж) рассмотрение вопросов стимулирования персонала в вопросах обеспечения сохранности сведений конфиденциального характера.

9.5. Нормативно-методическая база и организационно-распорядительная документация

Надежность и эффективность функционирования системы защиты информации органов власти (организаций) напрямую зависит от выполнения правил политики информационной безопасности.

Согласно требованиям нормативных документов (Специальные требования и рекомендации по защите государственной тайны, утвержденные решением Государственной технической комиссии при Президенте Российской Федерации от 23 мая 1997 года N 55, Специальные требования и рекомендации по технической защите конфиденциальной информации, утвержденные приказом Гостехкомиссии России от 30 августа 2002 года N 282 и др.) в органах власти (организациях) должны быть разработаны комплекты организационно-распорядительных документов, определяющие политику защиты объектов информатизации:

а) общесистемные документы на ОИ:

положение о защите информации в органе власти (организации), включая методику отнесения сведений к информации с ограниченным доступом, обобщенный перечень сведений с ограниченным доступом, обязательство о неразглашении конфиденциальных сведений, типовой контракт;

план мероприятий по обеспечению режима конфиденциальности на объектах информатизации органов власти (организаций);

план защиты автоматизированных информационных систем органов власти (организаций);

положение о конфиденциальном делопроизводстве;

положение о подразделении по ТЗИ;

общие обязанности сотрудников при обработке защищаемой информации в автоматизированных системах;

план обеспечения непрерывной работы и восстановления объектов информатизации органов власти (организаций);

б) документы по защите объектов информатизации:

политика безопасности объектов информатизации;

порядок эксплуатации программных средств;

порядок проведения ремонта и сервисного обслуживания средств вычислительной техники;

инструкция по защите конфиденциальной информации при обработке с помощью средств вычислительной техники;

в) технологические инструкции, положения:

должностные инструкции сотрудников подразделения защиты информации;

должностные инструкции администратора безопасности информации;

памятка пользователя по защите информации;

инструкция по архивированию и резервированию информации;

инструкция о действиях во внештатных ситуациях;

инструкция о действиях в случае обнаружения атак;

специальные обязанности лиц, допущенных к конфиденциальной информации и руководителей структурных подразделений.

9.6. Правовое обеспечение юридических отношений с работниками органов власти (организаций)

Установление юридических отношений с работниками органов власти (организаций) по вопросам технической защиты информации строится с учетом следующих правовых аспектов безопасности:

1) безопасность информации с ограниченным доступом;

2) доказуемость факта нарушения условий конфиденциальности;

3) ответственность при нарушении условий конфиденциальности.

Условия 1) и 2) обеспечиваются организацией формальных процедур оформления документов при приеме сотрудников на работу, во время их работы и после увольнения.

Ответственность 3) наступает в случае доказательства факта нарушения условия конфиденциальности и регулируется законодательством Российской Федерации (административным или уголовным в зависимости от последствий нарушения).

Перечень документов, необходимых для поддержания  безопасности информации и обеспечения доказуемости фактов нарушения условий конфиденциальности, включает:

1. Положение о порядке обработки сведений конфиденциального характера.

2. Перечень конфиденциальных сведений.

3. Наличие в контракте, заключаемом с сотрудниками при приеме на работу, специальных пунктов о сохранении сведений конфиденциального характера, ставших им известными в ходе служебной деятельности.

4. Специальный контракт о неразглашении и ответственности за разглашение сведений конфиденциального характера для лиц, имеющих доступ к сведениям ограниченного распространения согласно должностным обязанностям.

5. Обязательство о сохранении служебной тайны при увольнении из органа власти (организации).

10. Архитектура системы защиты информации

10.1. Функциональные подсистемы

В составе комплексной системы защиты информации органов власти (организаций) выделяются функциональные модули, обеспечивающие:

1) защиту от НСД к информации;

2) защиту информации при межсетевом взаимодействии;

3) защиту информации при взаимодействии абонентов органов власти (организаций) с сетями общего пользования;

4) защиту от вредоносных программ (ВрП);

5) защиту от утечки информации по техническим каналам;

6) физическую защиту зданий, помещений, контролируемых зон.

10.2. Требования по защите от несанкционированного доступа к информации

Защита от НСД к информации органов власти (организаций) реализуется в рамках комплекса мер (средств) защиты информации от НСД - системы защиты информации от несанкционированного доступа (СЗИ НСД).

По функциональному признаку выделяются следующие подсистемы СЗИ НСД органов власти (организаций):

1) подсистема разграничения доступа;

2) подсистема криптографической защиты информации и цифровой подписи;

3) подсистема регистрации и учета;

4) подсистема контроля целостности данных.

10.2.1. Требования к подсистеме разграничения доступа

Подсистема разграничения доступа должна обеспечить:

1) идентификацию и проверку подлинности субъектов доступа при входе в систему по идентификатору и паролю и запрет работы ЭВМ с незарегистрированным пользователем;

2) идентификацию терминалов, ЭВМ, узлов сети ЭВМ, каналов связи, внешних устройств ЭВМ по их логическим адресам (номерам);

3) идентификацию программ, каталогов, файлов, записей, полей записей по именам;

4) разграничение доступа к файлам для работающего в данный момент зарегистрированного пользователя по отношению к операциям: чтение файла, запись файла, выполнение файла;

5) разграничение доступа к каталогам для работающего в данный момент зарегистрированного пользователя по отношению к операциям: использование каталога в качестве текущего или в качестве промежуточного звена при доступе к файлу, чтение информации о файлах, принадлежащих данному каталогу, изменение информации о файлах, принадлежащих данному каталогу, создание или удаление файлов в данном каталоге;

6) разграничение доступа к драйверам для работающего в данный момент зарегистрированного пользователя.

Подсистема разграничения доступа должна контролировать:

1) вход пользователя в подсистему разграничения доступа (регистрация в системе);

2) выход пользователя из подсистемы разграничения доступа (завершение сеанса);

3) подтверждение личности пользователя по истечении паузы неактивности.

Субъектами доступа к объектам информатизации являются: должностные лица органов власти (организаций), внешние пользователи, администраторы АИС (ЛВС), администратор безопасности информации.

Объектами доступа являются: файлы, регистры, задания, процессы, программы, тома, внешние устройства, память.

10.2.2. Требования к подсистеме криптографической защиты

Подсистема криптографической защиты информации должна включать:

1) комплекс средств криптографической защиты информации от несанкционированного доступа по каналам связи;

2) комплекс средств криптографической защиты информации баз данных и рабочих станций пользователей. Комплекс средств криптографической защиты информации от несанкционированного доступа по каналам связи должен обеспечивать шифрование и расшифровку потока информации и включать:

3) программно-аппаратный комплекс шифрования потоков информации;

4) программно-аппаратный комплекс управления системой.

Средства криптографической защиты информации, устанавливаемые в АИС органов власти (организаций), должны иметь интерфейс, обеспечивающий формирование этими АИС запросов на выполнение криптографических функций, передачу средствами защиты, подлежащих обработке данных (файлов и/или участков памяти) и получение результатов криптографической обработки обратно.

10.2.3. Требования к подсистеме регистрации и учета.

Подсистема регистрации и учета должна обеспечить:

1) регистрацию входа/выхода субъектов доступа в систему/из системы либо регистрацию загрузки и инициализации операционной системы и ее программного останова с указанием параметров времени, даты, результата попытки и идентификатора субъекта доступа;

2) регистрацию и учет выдачи печатных (графических) документов на твердую копию;

3) регистрацию запуска/завершения программ и процессов (заданий, задач), предназначенных для обработки защищаемых файлов;

4) регистрацию попыток доступа программных средств к защищаемым файлам;

5) учет всех защищаемых носителей информации с помощью их маркировки и регистрация их выдачи/приема.

СЗИ НСД должна обеспечивать мониторинг и самоконтроль протоколов.

10.2.4. Требования к подсистеме контроля целостности данных

Подсистема должна обеспечивать контроль целостности программ, который выполняется при старте системы путем сравнения контрольных сумм отдельных блоков программ с их эталонными суммами с целью защиты от несанкционированного изменения прикладных и специальных программ нарушителем.

Технические средства хранения данных должны исключать потерю или искажение информации, используемой в технологическом процессе. Для этого применяется резервирование информации, хранимой на жестких магнитных дисках, а также архивирование этой информации с помощью стримеров либо устройств записи на оптических носителях.

Общее (локальное и сетевое) и прикладное ПО не должны содержать явных и скрытых возможностей, позволяющих пользователю выполнять следующие действия:

1) редактирование областей оперативной памяти, содержащих собственный исполняемый код, областей оперативной памяти других программ, процессов;

2) передачу управления в произвольные области оперативной памяти, в том числе в области оперативной памяти, содержащие собственные данные;

3) изменение информации на магнитных носителях в обход стандартных функций операционной системы, предназначенных для работы с файлами и каталогами операционной системы;

4) модификацию файлов, содержащих выполняемый код;

5) создание и выполнение пользователем собственных программ.

10.3. Защита информации при межсетевом взаимодействии

В части обеспечения защиты информации при межсетевом взаимодействии общая политика безопасности органов власти (организаций) должна предусматривать построение жесткого периметра вычислительной сети на основе технологии виртуальных защищенных сетей, обеспечении небольшого числа контролируемых точек открытого доступа в периметр защищенной вычислительной сети, построение эшелонированной системы защиты с контролем проникновения в защищенный периметр, обеспечением дистанционного администрирования и аудита всех компонентов системы защиты, глубокой проработке вопросов событийного протоколирования и подотчетности пользователей, технического персонала, внешних абонентов.

Компонентами защиты межсетевого взаимодействия являются:

1) построение "жесткой" системы защиты сетевого уровня, основанной на технологии виртуальных защищенных сетей;

2) применение средств событийного протоколирования, дистанционный аудит;

3) межсетевой экран как средство объединения и разграничения сегментов сетей;

4) применение наряду с пакетным фильтром средств фильтрации информации прикладного уровня (proxy-системы);

5) построение эшелона защиты внутри защищенного периметра на основе средств обнаружения проникновения;

6) мониторинг безопасности и оперативная сигнализация о возникающих угрозах;

7) защищенные приложения.

В соответствии с общими требованиями к СЗИ органов власти (организаций), вытекающими из выбранных классов защищенности, для защиты автоматизированных информационных систем при их взаимодействии с другими АИС органов власти (организаций) по каналам связи необходимо использовать межсетевые экраны не ниже класса 4.

10.4. Защита информации при взаимодействии абонентов с сетями общего пользования

Защита информации при взаимодействии абонентов с сетями общего пользования должна обеспечиваться следующими методами:

1) межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов;

2) мониторингом вторжений в ЛВС, нарушающих или создающих предпосылки к нарушению установленных в организации требований по защите информации;

3) анализ защищенности АС, предполагающий применение специализированных программных средств (сканеров безопасности), позволяющих осуществлять анализ защищенности АС;

4) шифрование информации при ее передаче по сети, а также использование электронно-цифровой подписи для контроля целостности и подтверждения подлинности отправителя и/или получателя информации;

5) использование смарт-карт, электронных замков и других носителей информации для надежной идентификации и аутентификации пользователей;

6) использование средств антивирусной защиты;

7) централизованное управление системой информационной безопасности АС.

10.5. Требования защиты от вредоносных программ

Комплексная система защиты информации органов власти (организаций) должна обеспечивать выполнение следующих требований:

1) недопущение проникновения вредоносных программ (далее - ВрП) на объекты информатизации;

2) в комплекте объекта информатизации (ОИ) должны быть современные антивирусные средства борьбы с вредоносными программами;

3) информационные процессы должны иметь средства предотвращения воздействий ВрП;

4) воздействие ВрП должно локализовываться программно-аппаратной средой ОИ;

5) должны быть лицензионные копии программных продуктов;

6) программные средства ОИ, вне зависимости от их приобретения, должны проверяться на предмет заражения ВрП;

7) машинные носители информации должны быть предварительно проверены (просканированы) на отдельном стенде;

8) отладочные входы в системное и прикладное математическое обеспечение должны быть исключены из применяемых программ.

Антивирусные средства защиты ОИ, которые могут быть включены в состав объектов органов власти (организаций), должны обеспечивать сканирование, обнаружение изменений и вакцинирование программ.

10.6. Требования по защите объектов информатизации от утечки информации по техническим каналам

Требования по защите объектов информатизации от утечки информации по техническим каналам направлены на исключение (существенное затруднение) возможности перехвата речевой информации ограниченного доступа, циркулирующей в выделенных и защищаемых помещениях.

Защита объектов информатизации органов власти (организаций) от утечки информации по техническим каналам при ее обработке, хранении, передаче предусматривает:

1) предотвращение утечки обрабатываемой техническими средствами информации за счет побочных электромагнитных излучений и наводок, а также электроакустических преобразований, создаваемых функционирующими техническими средствами;

2) предотвращение утечки информации в линиях связи;

3) исключение перехвата техническими средствами речевой информации при ведении разговоров в выделенных (защищаемых) помещениях.

Технические средства ОИ должны удовлетворять следующим требованиям:

1) иметь сертификат соответствия требованиям нормативных документов по защите;

2) иметь "Предписание на эксплуатацию";

3) характеристики технических и программных средств, средств защиты ОИ не должны изменяться в процессе эксплуатации ОИ.

Меры по защите информации в автоматизированных системах обработки информации (АС)

1. Для обеспечения защиты информации в процессе эксплуатации АС необходимо выполнять ряд требований:

допуск к защищаемой информации лиц, работающих в АС (пользователей, обслуживающего персонала), должен производиться в соответствии с порядком, установленным разрешительной системой допуска;

на период обработки защищаемой информации в помещениях, где размещаются основные технические средства и системы, могут находиться только лица, допущенные в установленном порядке к обрабатываемой информации, допуск других лиц для проведения других профилактических или ремонтных работ может осуществляться в эти помещения только с разрешения руководителя организации или руководителя службы безопасности;

в случае размещения в одном помещении нескольких технических средств отображения информации, должен быть исключен несанкционированный просмотр выводимой на них информации;

по окончании обработки информации пользователь обязан произвести стирание остаточной информации на несъемных носителях (жестких дисках) и в оперативной памяти. Одним из способов стирания остаточной информации в оперативной памяти является перезагрузка ПЭВМ;

изменение или ввод новых программ обработки защищаемой информации в АС должен осуществляться совместно разработчиком АС и администратором АС, при этом АС подлежит переаттестации;

при увольнении или перемещении администраторов АС руководителем организации по согласованию со службой безопасности должны быть приняты меры по оперативному изменению паролей и идентификаторов.

2. Все носители информации на бумажной, магнитной, оптической (магнитно-оптической) основе, используемые в технологическом процессе обработки информации в АС, подлежат учету в соответствующем подразделении.

3. Учет съемных носителей информации (гибкие магнитные диски, съемные накопители информации большой емкости или картриджи, съемные пакеты дисков, иные магнитные, оптические или магнитно-оптические диски, магнитные ленты и т.д.), а так же распечаток текстовой, графической и иной информации на бумажной или пластиковой (прозрачной) основе осуществляется по карточкам или журналам установленной формы, в том числе автоматизировано с использованием средств вычислительной техники. Журнальная форма учета может использоваться в АС с небольшим объемом документооборота.

4. Съемные носители информации на магнитной или оптической основе в зависимости от характера или длительности использования допускается учитывать совместно с другими документами по установленным для этого учетным формам.

При этом перед выполнением работ сотрудником, ответственным за их учет, на этих носителях информации предварительно проставляются любым доступным способом следующие учетные реквизиты: учетный номер и дата, пометка "Для служебного пользования", "Коммерческая тайна" и т. п., номер экземпляра, подпись этого сотрудника, а так же другие возможные реквизиты, идентифицирующие носитель информации.

5. Распечатки допускается учитывать совместно с другими традиционными печатными документами по установленным для этого учетным формам.

6. Временно не используемые носители информации должны храниться пользователем в местах, недоступных для посторонних лиц.

Меры защиты информации, циркулирующей в выделенных, защищаемых помещениях (ВП, ЗП), должны обеспечивать выполнение следующих требований и рекомендаций:

1. Во время проведения закрытых переговоров запрещается использование в ВП, ЗП радиотелефонов, оконечных устройств сотовой, пейджинговой и транкинговой связи, переносных магнитофонов и других средств аудио и видеозаписи. При установке в ВП, ЗП телефонных и факсимильных аппаратов с автоответчиком или спикерфоном, а также аппаратов с автоматическим определителем номера, следует отключать их из сети на время проведения этих мероприятий.

2. Для исключения возможности утечки информации за счет электроакустического преобразования рекомендуется использовать в ВП, ЗП в качестве оконечных устройств телефонной связи, имеющих прямой выход в городскую АТС, телефонные аппараты (ТА), прошедшие специальные исследования, либо оборудовать их сертифицированными средствами защиты информации от утечки за счет электроакустического преобразования.

3. Ограждающие конструкции выделенных и защищаемых помещений должны быть оборудованы активными средствами виброакустической защиты.

4. Системы пожарной и охранной сигнализации ЗП должны строиться только по проводной схеме сбора информации (связи с пультом) и, как правило, размещаться в пределах одной с ЗП контролируемой зоне.

5. Звукоизоляция ограждающих конструкций ЗП, их систем вентиляции и кондиционирования должна обеспечивать отсутствие возможности прослушивания ведущихся в нем разговоров из-за пределов ВП, ЗП.

Используемые средства защиты информации должны быть сертифицированы по требованиям безопасности информации.

Замена вышедших из строя элементов и узлов технических средств ОИ должна производиться на элементы и узлы, прошедшие специсследования и спецпроверки.

11. Контроль эффективности защиты информации

Контроль эффективности средств (систем) защиты информации предусматривает инструментальную проверку функционирования технических средств на соответствие установленным требованиям и нормам безопасности.

Контроль СТЗИ выполняет функцию обратной связи, позволяющей определить истинное состояние уровня защиты обследуемого объекта, величину возможного ущерба, вызванного нарушениями требований и норм по защите, размеры экономического стимулирования или "наказания", а также дает качественную оценку уровню защиты объекта на период проведения проверок (испытаний).

Проводимые в органах власти (организациях) контрольно-проверочные мероприятия должны включать следующие основные мероприятия:

1) проверка технического состояния средств, систем и комплексов защиты, а также мер, предотвращающих несанкционированный доступ к ним и нарушение режимов их эксплуатации;

2) комплексная проверка организационно-режимных мер, исключающих несанкционированное распространение охраняемой информации;

3) комплексные проверки эффективности системы защиты информации с составлением протоколов и другие проверки, осуществляемые по плану;

4) контроль эффективности защиты объектов информатизации, аттестованных на соответствие требованиям по безопасности информации, включающие проведение объектовых испытаний (специсследования, спецпроверка) организацией, имеющей лицензию на оказание таких услуг и аттестат аккредитации Федеральной службы по техническому и экспортному контролю Российской Федерации.

12. Ожидаемые результаты реализации Концепции технической защиты
информации в Ханты-Мансийском автономном округе - Югре

Реализация Концепции позволит:

создать систему технической защиты информации автономного округа, обеспечивающую выполнение требований нормативных правовых актов Российской Федерации, действующих в области безопасности информации;

решить кадровый вопрос и повысить оснащенность органов власти и организаций высокоэффективными средствами защиты информации, а также средствами контроля эффективности ТЗИ;

улучшить обеспеченность органов власти (организаций) документами в области технической защиты информации;

повысить обоснованность, оперативность и качество управления СТЗИ за счет создания в автономном округе информационно-аналитической системы обеспечения деятельности в области защиты информации и ее сопряжения с Единой информационно-аналитической системой Государственной системы технической защиты информации и реестром информационных ресурсов Уральского федерального округа.

В результате реализации основных направлений развития СТЗИ будет создана система, соответствующая задачам обеспечения национальной безопасности Российской Федерации, безопасности и устойчивого развития автономного округа как субъекта Российской Федерации.

Созданная система технической защиты информации будет способна адекватно реагировать на угрозы безопасности информации в социально-экономической, административно-управленческой, правоохранительной и других сферах деятельности автономного округа.