Защита от утечки информации по техническим каналам.

Общие положения

К защищаемой информацииотносится информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации [3]. Это, как правило, информация ограниченного доступа, содержащая сведения, отнесенные к государственной тайне, а также сведения конфиденциального характера.

Защита информации ограниченного доступа (далее - защищаемой информации) от утечки по техническим каналам осуществляется на основе Конституции Российской Федерации, требований законов Российской Федерации “Об информации, информатизации и защите информации”, “О государственной тайне”, “О коммерческой тайне”, других законодательных актов Российской Федерации, “Положения о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам”, утвержденного Постановлением Правительства РФ от 15.09.93 № 912-51, “Положения о лицензировании деятельности предприятий, организаций и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны”, утвержденного Постановлением Правительства РФ от 15 апреля 1995 г. № 333, “Положения о государственном лицензировании деятельности в области защиты информации”, утвержденного Постановлением Правительства РФ от 27 апреля 1994 г. № 10, “Положения о лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации” утвержденного Постановлением Правительства РФ от 27 мая 2002 г. № 348, с изменениями и дополнениями от 3 октября 2002 г. № 731, “Положения о сертификации средств защиты информации”, утвержденного Постановлением Правительства РФ от 26 июня 1995 г. № 608, Постановлений Правительства Российской Федерации “О лицензировании деятельности по технической защите конфиденциальной информации” (от 30 апреля 2002 г. № 290, с изменениями и дополнениями от 23 сентября 2002 г. № 689 и от 6 февраля 2003 г. № 64), “О лицензировании отдельных видов деятельности” (от 11 февраля 2002 г. № 135), а также “Положения по аттестации объектов информатизации по требованиям безопасности информации”, утвержденного Председателем Гостехкомиссии России 25 ноября 1994 г., и других нормативных документов.

Требования и рекомендации нормативных документов распространяются на защиту государственных информационных ресурсов. При проведении работ по защите негосударственных информационных ресурсов, составляющих коммерческую тайну, банковскую тайну и т.д., требования нормативных документов носят рекомендательный характер.

Режим защиты информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну (далее - конфиденциальной информации), устанавливается собственником информационных ресурсов или уполномоченным лицом в соответствии с законодательством Российской Федерации.

В дальнейшем рассмотрим методические рекомендации по организации защиты конфиденциальной информации, собственником которой являются негосударственные предприятия (организации, фирмы).

Мероприятия по защите конфиденциальной информации от утечки по техническим каналам (далее - технической защите информации) являются составной частью деятельности предприятий и осуществляются во взаимосвязи с другими мерами по обеспечению их информационной безопасности.

Защита конфиденциальной информации от утечки по техническим каналам должна осуществляться посредством выполнения комплекса организационных и технических мероприятий, составляющих систему технической защиты информации на защищаемом объекте (СТЗИ), и должна быть дифференцированной в зависимости от установленной категории объекта информатизации или выделенного (защищаемого) помещения (далее – объекта защиты).

Организационные мероприятия по защите информации от утечки по техническим каналам в основном основываются на учете ряда рекомендаций при выборе помещений для установки технических средств обработки конфиденциальной информации (ТСОИ) и ведения конфиденциальных переговоров, введении ограничений на используемые ТСОИ, вспомогательные технические средства и системы (ВТСС) и их размещение, а также введении определенного режима доступа сотрудников предприятия (организации, фирмы) на объекты информатизации и в выделенные помещения.

Технические мероприятия по защите информации от утечки по техническим каналам основываются на применении технических средств защиты и реализации специальных проектных и конструкторских решений.

Техническая защита информации осуществляется подразделениями по защите информации (службами безопасности) или отдельными специалистами, назначаемыми руководителями организаций для проведения таких работ. Для разработки мер по защите информации могут привлекаться сторонние организации, имеющие лицензии ФСТЭК или ФСБ России на право проведения соответствующих работ.

Для защиты информации рекомендуется использовать сертифицированные по требованиям безопасности информации технические средства защиты. Порядок сертификации определяется законодательством Российской Федерации.

Перечень необходимых мер защиты информации определяется по результатам специального обследования объекта защиты, сертификационных испытаний и специальных исследований технических средств, предназначенных для обработки конфиденциальной информации.

Уровень технической защиты информации должен соответствовать соотношению затрат на организацию защиты информации и величины ущерба, который может быть нанесен собственнику информационных ресурсов.

Защищаемые объекты должны быть аттестованы по требованиям безопасности информации в соответствии с нормативными документами ФСТЭК России на соответствие установленным нормам и требованиям по защите информации. По результатам аттестации дается разрешение (аттестат соответствия) на обработку конфиденциальной информации на данном объекте.

Ответственность за обеспечение требований по технической защите информации возлагается на руководителей организаций, эксплуатирующих защищаемые объекты.

В целях своевременного выявления и предотвращения утечки информации по техническим каналам должен осуществляться контроль состояния и эффективности защиты информации. Контроль заключается в проверке по действующим методикам выполнения требований нормативных документов по защите информации, а также в оценке обоснованности и эффективности принятых мер. Защита информации считается эффективной, если принятые меры соответствуют установленным требованиям и нормам. Организация работ по защите информации возлагается на руководителей подразделений, эксплуатирующих защищаемые объекты, а контроль за обеспечением защиты информации - на руководителей подразделений по защите информации (служб безопасности).

Установка технических средств обработки конфиденциальной информации, а также средств защиты информации должна выполняться в соответствии с техническим проектом или техническим решением. Разработка технических решений и технических проектов на установку и монтаж ТСОИ, а также средств защиты информации производится подразделениями по защите информации (службами безопасности предприятий) или проектными организациями, имеющими лицензию ФСТЭК, на основании технических заданий на проектирование, выдаваемых заказчиками.

Технические решения по защите информации от утечки по техническим каналам являются составной частью технологических, планировочных, архитектурных и конструктивных решений и составляют основу системы технической защиты конфиденциальной информации.

Непосредственную организацию работ по созданию СТЗИ осуществляет должностное лицо, обеспечивающее научно-техническое руководство проектированием объекта защиты.

Разработка и внедрение СТЗИ может осуществляться как силами предприятий (организаций, фирм), так и другими специализированными организациями, имеющими лицензии ФСТЭК и (или) ФСБ России на соответствующий вид деятельности.

В случае разработки СТЗИ или ее отдельных компонентов специализированными организациями в организации - заказчике определяются подразделения или отдельные специалисты, ответственные за организацию и проведение мероприятий по защите информации, которые должны осуществлять методическое руководство и участвовать в специальном обследовании защищаемых объектов, аналитическом обосновании необходимости создания СТЗИ, согласовании выбора ТСОИ, технических и программных средств защиты, разработке технического задания на создание СТЗИ, организации работ по внедрению СТЗИ и аттестации объектов защиты.

Порядок организации на предприятии работ по созданию и эксплуатации объектов информатизации и выделенных (защищаемых) помещений определяется в специальном “Положении о порядке организации и проведения на предприятии работ по защите информации от ее утечки по техническим каналам” с учетом конкретных условий, которое должно определять:

· порядок определения защищаемой информации;

· порядок привлечения подразделений организации, специализированных сторонних организаций к разработке и эксплуатации объектов информатизации и СТЗИ, их задачи и функции на различных стадиях создания и эксплуатации защищаемого объекта;

· порядок взаимодействия всех занятых в этой работе организаций, подразделений и специалистов;

· порядок разработки, ввода в действие и эксплуатацию защищаемых объектов;

· ответственность должностных лиц за своевременность и качество формирования требований по защите информации, за качество и научно-технический уровень разработки СТЗИ.

На предприятии (учреждении, фирме) должен быть документально оформлен перечень сведений, подлежащих защите в соответствии с нормативными правовыми актами, а также разработана соответствующая разрешительная система доступа персонала к такого рода сведениям.

При организации работ по защите утечки по техническим каналам информации на защищаемом объекте можно выделить три этапа [6, 9]:

· первый этап (подготовительный, предпроектный);

· второй этап (проектирование СТЗИ);

· третий этап (этап ввода в эксплуатацию защищаемого объекта и системы технической защиты информации).