Лицензированная деятельность в области защиты информации

 

Лицензии ФСТЭК

 

1. Лицензия на деятельность по технической защите конфиденциальной информации (ТЗКИ). Положение о лицензировании деятельности по тзки определяется постановлением правительства №504 15.08.2006. Согласно этому положению:

- од технической защитой КИ понимается комплекс мероприятий и (или) услуг по ее защите от НСД, в том числе и по техническим каналам, а так же от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней.

- лицензионными требованиями и условиями являются [1]:

а) Наличие в штате соискателя специалистов, имеющих высшее профессиональное образование в области ТЗКИ, либо высшее и средне специальное образование и прошедших переподготовку или повышение квалификации по вопросам ТЗКИ. Нужно 2 специалиста со стажем не менее 5 лет в области ЗИ;

б) Наличие у соискателя помещений для осуществления лицензируемой деятельности, соответствующих техническим нормам и требованиям технической защиты информации, установленным нормативными правовыми актами РФ;

в) Наличие на любом законном основании производственного, испытательного и контрольно-измерительного оборудования, прошедших в соответствии с законодательством РФ метрологическую поверку (калибровка), маркирование и сертификацию;

 

Лекция 2 03.10.2011

 

г) Использование АС, обрабатывающих конфиденциальную информацию, а так же средств защиты такой информации, прошедших оценку соответствия (сертифицированных) по требованиям технической безопасности;

д) Использование, предназначенных для осуществления лицензированной деятельности программ для ЭВМ и БД на основании договора с правообладателем;

е) Наличие нормативно-правовых актов, нормативно-методических документов по вопросам технической безопасности.

Для получения лицензии необходимо предоставить в лицензирующий орган следующие документы:

1). Заявление о предоставлении лицензии и копии учредительных документов (ст.9 п.1 закон №99);

2). Копии документов, подтверждающие квалификацию специалистов по защите информации (дипломы, удостоверения, свидетельства);

3). Копии документов, подтверждающие права собственности, права хозяйственного ведения или оперативного ведения помещением, либо копии договоров аренды;

4). Копии аттестатов соответствия защищаемых помещений требованиям безопасности информации;

5). Копии технического паспорта АС с приложениями, акт о классификации по требованиям безопасности, план размещения основных и вспомогательных средств и систем, аттестата соответствия автоматизированной системы, а так же перечень защищаемых в АС ресурсов с документальным подтверждением степени конфиденциальности каждого ресурса, описание технологического процесса обработки информации в АС;

6). Копии документов, подтверждающих право на используемые программы и БД;

7). Сведения о наличии производственного и контрольно-измерительного оборудования, средств защиты информации и средств контроля защищенности с приложением копий документов о поверке контрольно-измерительного оборудования;

8). Сведения об имеющихся у соискателя нормативно-правовых актах, нормативно-методических документах по вопросам технической защиты информации.

 

Лицензирующий орган принимает решение о предоставлении или отказе в предоставлении лицензии в срок не более 45 дней. Срок действия лицензии составляет 5 лет, затем необходимо продление.

2. Помимо лицензии ФСЭК на деятельность по защите конфиденциальной информации существует лицензия на деятельность по разработке и (или) производству средств защиты конфиденциальной информации. Требования к получению двух этих лицензий одинаковы, поэтому обычно получают две лицензии.

 

Один из вариантов перечня производственного, испытательного, контрольно-измерительного оборудования и средств защиты информации необходимых для деятельности по защите информации:

1. Контрольно-измерительное, испытательное оборудование:

- комплекс обнаружения радиоизлучающих средств и радо мониторинга (Крона 6000);

- комплекс радионаблюдения и контроля утечки информации (МКТК -1) (нейтрализация подслушивающий устройств и подслушивающих)

- анализатор спектра ( ХП Е 440 5В) (измерение уровня и спектральных характеристик побочных Электромагнитных излучений и наводок)

- комплекс контроля эффективности защиты речевой информации (СПРУТ) (проверка выполнения норм эффективности защиты речевой информации от утечки по акустическому и вибро-акустическому каналу)

- программно-аппаратный комплекс измерения ПЭМИН от АС ВТ (поиск и измерение ПЭМИН от средств ВТ при аттестации объектов информатизации) (ЗОРЯ)

- программно-аппаратный комплекс радио мониторинга (ПАТРУЛЬ) (сбор и анализ информации о радиочастотном спектре, определение значений напряженности электромагнитных помех)

- программно-аппаратный комплекс определения коэффициента реальных затуханий ЭМП (зонд);

- генератор шума низкочастотный (Г2-57);

- комплекс измерительных антенн (альбатрос)

- контроль ПЭМИН и проведение спец. исследований СВТ (легенда 2)

- генератор сигнала высокочастотный (Г4-116)

- генератор импульсов (Г5-56)

- программно-аппаратный комплекс эффективности защиты речевой информации (Шепот)

 

2. Средства защиты информации

- ревизор 1-хр средство создания модели разграничения доступа

- ревизор 2-хр программа контроля полномочий доступа к инф. ресурсам

- анализатор уязвимости средств защиты СВТ от НСД (НКВД). Проводит проверки соответствия системы защиты с установленными средствами от НСД

- анализатор очистки внешней памяти (НКВД v. 2.4)

- анализатор очистки оперативной памяти (НКВД 2.5)

- программа фиксации и контроля исходного состояния программного комплекса (Фикс)

- сканер сетевой безопасности – обнаружение уязвимости в ВС (Nessus)

- программно-аппаратный комплекс СЗИ от НСД Аккорд

 

Проект нового положения о лицензировании деятельности по технической защите конфиденциальной информации.

Согласно проекту положения о лицензировании лицензированию подлежат следующие виды работ (услуг):

а) контроль защищенности конфиденциальной информации от утечки по техническим каналам в средствах и системах информатизации, а так же помещениях со средствами (сист) подлежащими защите и помещениях предназначенных для ведения конф переговоров

б) контроль защищенности конф инф от НСД и модификации в средствах и системах информатизации, технических средствах не обрабатывающих конф инф но размещенных в помещениях где она обрабатывается

в) сертификационные испытания на соответствие требованиям по безопасности информации в разработанной продукции используемой в целях ЗИ

г) аттестация на соответствие требованиям по ЗИ средств и систем информатизации;

TC не обрабатывающих конф инф но размещенных в помещениях где она обрабатывается;

помещений со средствами подлежащими защите;

помещений предназначенных для проведения конф переговоров.

д) проектирование объектов в защищенном исполнении

средств и систем информатизации

помещений со средствами подлежащими защите;

помещений предназначенных для проведения конф переговоров.

г) установка, монтаж, испытание, ремонт средств защиты информации, защищенных программных средств обработки информации, программных средств контроля защищенности.

Новое положение включает в себя новое требование к лицензиату – это наличие системы менеджмента качества соответствующей требованиям нац. стандарта ГОСТ Р ИСО/МЭК 17025-2006

Лекция 4

 

Для деятельности, помимо лицензии фстэк, по защите конфиденциальной информации вполне вероятно понадобится лицензия фсб на распространение, настройку, средств криптографической защиты.

Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К).

Актуальный СТР-К одобрен коллегией гостех комисии России от 2 марта 2002 года решение 72, носит гриф конфиденциальности ДСП.

СТР-К устанавливает :

 порядок организации работ

 рекомендации по обеспечению технической защиты конфиденциальной информации не включая ГТ

СТР-К распространяется на защиту государственных информационных ресурсов не криптографическими методами. При проведении работ по защите негосударственных информационных ресурсов (банковская тайна) требования носят рекомендательный характер.

Информационные ресурсы, являющиеся собственностью государства находятся в ведении органов гос. Власти и подлежат учету и защите.

СТР-К рассматривает следующие основные вопросы:

1. Организация работ по защите информации ( при разработке и модернизации);

2. Состав и основное содержание организационно-распорядительной, проектной, эксплуатационной и иной документации по защите информации.

3. Требования и рекомендации по защите речевой информации при ведении переговоров в том числе с использованием технических средств защиты.

4. Требования и рекомендации по защите информации при ее автоматизированной обработке и передаче с использованием технических средств.

5. Порядок обеспечения защиты информации при взаимодействии абонентов с сетями

Объектами защиты являются:

 защищаемые помещения

 технические средства и системы, не обрабатывающие конфиденциальную инф., но размещенные в помещении, где она обрабатывается.

 Средства и системы информатизации, где происходит обработка конфиденциальной информации.( СВТ, АС)

Защита информации на объекте информатизации достигается выполнением комплекса организационных мероприятий и применения технических средств защиты.

Основное внимание должно быть уделено защите информации в отношении которой угрозы безопасности реализуются без применения сложных технических средств.

1. Речевая информация, которая циркулирует в защищаемом помещении (ЗП).

2. Информация, обрабатываемая В СВТ от НСД

3. Информация выводимая на монитор.

4. Информация, которая хранится на физических носителях.

5. Информация, которая передается по каналам связи и выходит за пределы КЗ

Разработка мер, и обеспечение защиты информации осуществляется подразделениями по защите информации или отдельными специалистами, назначенными руководителями организации. Эти работы могут осуществляться так же сторонними организациями, имеющими соответствующими лицензиями. Для защиты конфиденциальной информации должны использоваться только сертифицированные, по требованиям безопасности информации технические средства. Реестр сертифицированных средств на сайте фстеэка.

Объекты информатизации должны быть аттестованы по требованиям безопасности информации соответствии с актуальными нормативными документами. Ответственность за обеспечение требований по технической защите конфиденциальной информации возлагается на руководителя организации, эксплуатирующей объект информатизации.

 

Организация работ по защите конфиденциальной информации

Организация работ по созданию и эксплуатации объектов информатизации должна предусматривать:

1. Порядок определения защищаемой информации

2. Порядок привлечения подразделений организации и сторонних организаций к эксплуатации объектов информатизации

3. Порядок взаимодействия всех занятых в этой работе организаций, подразделений, специалистов

4. Ответственность должностных лиц за своевременность и качество формирования требований по защите информации.

 

Лекция 5

 

Организация работ и эксплуатация объектов информатизации определяется в разрабатываемом «положении о порядке организации и проведении работ по защите конфиденциальной информации», которое должно предусматривать:

см. выше

В организации должен быть документально оформлен перечень сведений конфиденциального характера (шаблон этого документа дан в приложениях (СТР-К Приложение №2).

Рекомендуются следующие стадии создания средств защиты информации:

1. Пред проектная стадия:

- пред проектное обследование объекта

- разработка аналитического обоснования необходимости создания средств защиты информации

- техническое задание (частное тз)

2. Проектирование, включающее разработку средств защиты информации в составе объекта информатизации: формирование списка программных и технических средств защиты, оптимизация сети

3. Стадия ввода в действие средств защиты информации:

- опытная эксплуатация и приемно сдаточные испытания средств защиты информации

- аттестация объекта информатизации на соответствие требованиям безопасности.

 

Содержание пред проектной стадии, обследования:

1. Устанавливается необходимость обработки конфиденциальной информации

2. Определяется перечень сведений конфиденциального характера подлежащего защите

3. Определяются угрозы безопасности информации и модель вероятного нарушителя.

4. Определяются условия расположения объекта информатизации относительно границ контролируемой зоны

5. Определяется конфигурация и топология автоматизированной системы (функциональные, физические, технологические связи)

6. Определяются технические средства и системы предполагаемые к использованию в АС, условия их расположения, общесистемные и прикладные программные средства;

7. Определяется режим обработки информации;

8. Определяется класс защищенности АС;

9. Определяется степень участия персонала в обработке ( обсуждение, передача, хранение);

10. Определяются мероприятия по обеспечению конфиденциальности информации;

 

Аналитическое обоснования необходимости создания средств защиты должно содержать:

1. Информационную характеристику и организационную структуру объекта информатизации

2. Характеристику комплекса основных и вспомогательных технических средств и программного обеспечения, а так же технологического процесса обработки информации;

3. Возможные каналы утечки информации и перечень мероприятий по их устранению и ограничению;

4. Перечень предлагаемых к использованию сертифицированных средств защиты;

5. Обоснование необходимости привлечение специализированных организаций, имеющих необходимые лицензии;

6. Оценка материальных, трудовых и финансовых затрат на разработку и внедрение СЗИ;

7. Ориентировочные сроки разработки и внедрения СЗИ.

 

Создание частного технического задания на разработку СЗИ содержит:

1. Обоснование разработки

2. Исходные данные, создаваемого (модифицированного) объекта информации в техническом, программном, информационном и организационном аспектах.

3. Класс защищенности

4. Ссылка на нормативно-методические документы, на основании которых будет разрабатываться СЗИ.

5. Требования к средствам защиты информации на основе нормативно-методич. док-ов

6. Перечень предполагаемых к использованию сертифицированных средств защиты

7. Обоснование проведения разработок собственных средств защиты информации, при невозможности или нецелесообразности использования средств представленных на рынке.

8. Состав, содержание и сроки проведения работ по этапам

9. Перечень подрядных организаций, исполнителей.

10. Перечень предъявляемой заказчиком научно-технической продукции и документации.

 

Стадия проектирования

На стадии проектирования и объекта информатизации или СЗИ осуществляется:

1. Разработка задания и проекта на строительно-монтажные работы с учётом требований ТЗ;

2. Строительно-монтажные работы в соответствии с проектной документацией.

3. Разработка организационно-технических мероприятий по ЗИ в соответствии с предъявляемыми требованиями

4. Закупка сертифицированных средств защиты

5. Разработка или закупка и последующая сертификация по требованиям безопасности программных СЗИ, в случае если на рынке отсутствуют требуемые продукты.

6. Организация охраны и физической защиты помещений объекта информатизации, исключающая НСД к ТС обработки их хищение и нарушение работоспособности.

7. Разработка и реализация разрешительной системы доступа пользователя к обрабатываемой на объекте информатизации информации

8. Выполнение инсталляции пакета прикладных программ в комплексе с программными средствами защиты информации

9. Разработка эксплуатационной документации на объект информатизации и СЗИ, а так же разработка организационно-распорядительно документации по ЗИ.

10. Выполнение других мероприятий специфичных для других организаций

 

Лекция 6

После выполнения стадии проектирования и создания защищенного объекта информатизации должны быть разработаны следующие документы:

1. Пояснительная записка с изложением решений по комплексу организационных мер и программно-технических средств обеспечение ИБ с указанием соответствию ТЗ.

2. Описание технического, программного, информационного обеспечения и технологии обработки информации.

3. План организационно-технических мероприятий по подготовке ОИ к внедрению средств и мер защиты информации

4. Технический паспорт объекта информатизации

5. Инструкции по эксплуатации технических средств для администраторов и пользователей.

 

Стадия ввода в действие объекта информатизации и средства защиты информации– заключительная.

1. На этой стадии осуществляется опытная эксплуатация в целях проверки их работоспособности.

2. Приёма сдаточные испытания с оформлением приёма сдаточного акта, подписываемого как разработчиком и заказчиком.

3. Аттестация объекта информатизации.

На этой стадии разрабатываются следующие документы:

- акты внедрения средств защиты информации по результатам приемо-сдаточных испытаний.

- протоколы аттестационных испытаний и заключение по их результатам

- аттестаты соответствий ОИ

Помимо всех разработанных документов необходимо подготовить пакет организационно-распорядительной документации – эта документация разрабатывается и подписывается непосредственно защищаемой организации непосредственно без участия сторонних организаций.

 

Требования и рекомендации по защите речевой конфиденциальной информации.

 

Утечка речевой информации возможна за счет:

1. Акустическое излучение информативного сигнала

2. Виброакустических сигналов возникающего в процессе преобразовании акустического сигнала при его воздействии на конструкции

3. Подслушивание по каналам общего пользования за счет скрытного подключения оконечных устройств

Основные требования по защите речевой информации:

- в организации должен быть документально зафиксирован перечень защищаемых помещений и лиц, допущенных к их эксплуатации, защищенное помещение должно находится в пределах КЗ, ЗАЩИЩЕННЫЕ ПОМЕЩЕНИЯ ОСНАЩАЮТСЯ СЕРТИФИЦИРОВАННЫМИ СРЕДСТВАМИ ЗАЩИТЫ

- во время проведения конфиденциальных мероприятий запрещается использование в защищенном помещении радиотелефонов, оконечных устройств сотовой и пейджинговой связи, а так же незащищенных магнитофонов

- для исключения возможности скрытного подключения к телефонной сети не рекомендуется устанавливать в них цифровые телефонные аппараты цифровых АТС, имеющих выход в городскую АТС.

- системы пожарной и охранной сигнализации в защищаемом помещении должны строится только по проводной схеме и как правило размещаться в одной ЗП в КЗ.

Если предложенными выше методами не удается обеспечить необходимую акустическую защиту следует применять организационные меры, ограничивая в период проведения переговоров

доступ в места возможного подслушивания

 

Лекция 7

 

Аттестация объектов информатизации.

 

1. Создание акта о готовности средств защиты информации. Формирование этого документа осуществляется комиссией по вопросам ИБ , в которую входит как представитель как аттестуемой организации, так и аттестующий. В документе необходимо указать список, применяемых СЗИ, с обязательным указанием заводского номера. На основании каких, методических и организационных документов будет проведена аттестация. В заключение указывается решение комиссии о готовности СЗИ к эксплуатации.

2. Формирование программы проведения аттестационных испытаний. В программе необходимо осветить след. вопросы:

- технический состав объекта информатизации, в который могут входить: данные, обрабатываемые в ИС, программы обработки данных, а так же ТС, хранения и обработки данных.

- необходимо отразить цели и задачи аттестационных испытаний;

- отражен процесс организации выставляемы условия для аттестации.

- какие сведения предоставляются заказчиком о выполнении работ «организационно-распорядительная документация».

Заказчик должен предоставить:

- ТЗ на создание СЗИ;

- технический паспорт ОИ;

- АКТ классификации;

- модель нарушителя и модель угроз;

- положение по организации и проведению работ по обеспечению ИБ;

- перечень сведений конфиденциального характера;

- должностные инструкции в части обеспечении безопасности;

- рекомендации или инструкции по использованию СЗИ;

- план размещения ТС ИС, линий коммуникаций, выходящих за пределы КЗ;

- состав и схемы размещения средств ЗИ;

- план контролируемо зоны;

- перечень защищаемых ресурсов защищенной системы, с подтверждение степени конфиденциальности обрабатываемой информации и др.

Указываются используемые методики испытаний, обычно в этих методиках рассматривается:

1. Испытание по ПЭМИН

2. Испытание по НСД.

Указываются контрольно-измерительные и тестовые средства

 


[1] Федеральный закон от 4 мая 2011 года №99 «О лицензировании отдельных видов деятельности»