Перечень сведений, подлежащих засекречиванию в организации (предприятии).
В соответствии с ФЗ № 5485-1 от 21.07.1993г. «О гос. Тайне» Статья 6. Принципы засекречивания сведений: Засекречивание сведений и их носителей - введение в предусмотренном настоящим Законом порядке для сведений, составляющих гос тайну, ограничений на их распространение и на доступ к их носителям. Статья 5. Сведения, которые могут быть отнесены к гос тайне. К государственной тайне могут быть отнесены следующие сведения: 1. сведения в военной области: (стратегические и оперативные планы, документов боевого управления по подготовке и проведению операций, стратегическому, оперативному и мобилизационному развертыванию войск, об их боеспособности и мобилизационной готовности, о создании и использовании мобилизационных ресурсов и т.д.); 2. сведения в области экономики, науки и техники: о содержании планов подготовки РФ к возможным военным действиям, мобилизационных мощностях промышленности по изготовлению вооружения и военной техники, об объемах поставок и о запасах стратегических видов сырья и материалов, и т.д.; 3. сведения в области внешней политики и экономики: о внешнеполитической и внешнеэкономической (торговой, кредитной и валютной) деятельности РФ; 4.сведения в области разведывательной, контрразведывательной и оперативно-розыскной деятельности: о силах, средствах, источниках, методах, планах и результатах разведывательной, контрразведывательной и оперативно-розыскной деятельности,; о системе правительственной и об иных видах специальной связи, о гос шифрах, методах и средствах их анализа; о методах и средствах защиты секретной информации; о гос программах и мероприятиях в области защиты гос тайны.
Указ Президента РФ от 6 марта 1997 г. N 188 "Об утверждении перечня сведений конфиденциального характера"
1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях. 2. Сведения, составляющие тайну следствия и судопроизводства, а также сведения о защищаемых лицах и мерах государственной защиты, осуществляемой в соответствии с Федеральным законом от 20 августа 2004 г. N 119-ФЗ "О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства" и другими нормативными правовыми актами Российской Федерации. 3. Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна). 4. Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее). 5. Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна). 6. Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.
В соответствии с Федеральным законом Российской Федерации от 29 июля 2004 г. N 98-ФЗ «О коммерческой тайне»
Статья 4. Право на отнесение информации к информации, составляющей коммерческую тайну, и способы получения такой информации. 1. Право на отнесение информации к информации, составляющей коммерческую тайну, и на определение перечня и состава такой информации принадлежит обладателю такой информации с учетом положений настоящего Федерального закона.
Билет 27
1. Виды юридической ответственности за нарушение правовых норм по защите информации.
Статья 17. (149-ФЗ) Ответственность за правонарушения в сфере информации, информационных технологий и защиты информации
1. Нарушение требований настоящего Федерального закона влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.
2. Лица, права и законные интересы которых были нарушены в связи с разглашением информации ограниченного доступа или иным неправомерным использованием такой информации, вправе обратиться в установленном порядке за судебной защитой своих прав, в том числе с исками о возмещении убытков, компенсации морального вреда, защите чести, достоинства и деловой репутации. Требование о возмещении убытков не может быть удовлетворено в случае предъявления его лицом, не принимавшим мер по соблюдению конфиденциальности информации или нарушившим установленные законодательством Российской Федерации требования о защите информации, если принятие этих мер и соблюдение таких требований являлись обязанностями данного лица.
3. В случае, если распространение определенной информации ограничивается или запрещается федеральными законами, гражданско-правовую ответственность за распространение такой информации не несет лицо, оказывающее услуги:
1) либо по передаче информации, предоставленной другим лицом, при условии ее передачи без изменений и исправлений;
2) либо по хранению информации и обеспечению доступа к ней при условии, что это лицо не могло знать о незаконности распространения информации.
2. Аудит выделенных помещений от несанкционированного получения информации.
Проведение аудита выделенных помещений включает следующие мероприятия: 1)выработка целевой установки; 2)определение масштаба и места проведения поисковых мероприятий, выбор времени проведения; 3)разработка легенды, под прикрытием которой будет проводиться аудит; 4)выработка замысла активации внедренных средств НСД; 5) выбор вариантов действий в случае обнаружения средств НСИ. 6) изучение планов помещений, схем технических коммуникаций, связи, организации охраны, доступа и других необходимых документов. 7)активная стадия, заключающаяся непосредственно в проведении аудита; 8) составление акта о проведенной работе.
Итоговым документом, завершающим работы по обследованию помещений на наличие средств HCИ является акт проведения комплексной специальной проверки помещений. Акт подписывается руководителем и членами поисковой бригады, согласовывается с руководителем организации, проводившей поисковые работы, и утверждается руководителем предприятия Перечень специального оборудования и технических средств, рекомендуемых для проведения аудита помещений: 1. Комплект досмотровых зеркал. 2.Комплект луп, фонарей. 3Технический эндоскоп с дистальным концом. 4Комплект отверток, ключей и радиомонтажного инструмента. 5Досмотровый металлоискатель. 6Прибор нелинейный радиолокации. 7Переносная рентгенотелевизионная установка. 8.Многофункциональный поисковый прибор. 9Низкочастотный нелинейный детектор проводных коммуникаций. 10Комплекс обнаружения радиоизлучающих средств и радиомониторинга. 11обнаружитель скрытых видеокамер. 12Дозиметр поисковый. 13Комплекс для проведения исследований на сверхнормативные побочные электромагнитные излучения. 14Комплекс для проведения акустических и вибро-акустических измерений. Проверку проводных коммуникаций обычно начинают с поиска в них сигналов подслушивающих устройств или других средств съема информации. Для поиска таких сигналов используется специальная аппаратура. В случае обнаружения в линии сигнала подслушивающего устройства осуществляют тщательный визуальный осмотр доступных участков линии и всех подключенных к линии устройств, приборов, коммутационных и электроустановочных изделий. Чтобы убедиться в отсутствии в них средств НСИ, следует провести хотя бы частичную их разборку. Тщательно осматриваются подводящие провода, особенно в местах, где возможно несанкционированное подключение к ним каких-либо устройств или отводов. Проверка телефонных линий и оборудования должна проводиться с особой тщательностью. Помимо традиционного поиска информативных сигналов рекомендуется проверять телефонные линии на наличие нелинейности их параметров и несимметрию, которые могут быть обусловлены подключением к линии средств НСИ. Следует помнить, что индуктивные съемники информации с проводных линий не выявляются ни одним из перечисленных типов приборов. Поэтому визуальный осмотр телефонных линий просто необходим. Особенно детально должны быть осмотрены распределительные коробки и телефонный шкаф, поскольку там наиболее просто может быть осуществлено несанкционированное подключение к линии. Обычно параллельно с проверкой проводных коммуникаций проводится радиомониторинг помещений для выявления информативных побочных излучений оргтехники и сигналов средств НСИ, использующих радиоканал для передачи перехваченной информации. Серьезным проблемным вопросом поисковых работ является выявление средств НСИ, внедренных противником в ПЭВМ или другие электронные приборы. Особую сложность представляет выявление таких средств, которые были внедрены в прибор заранее, до появления прибора в помещении, в условиях, позволивших закамуфлировать средства съема информации с особой тщательностью. В случае подозрения на возможность внедрения противником средств НСИ в ПЭВМ или другие электронные приборы следует провести детальное обследование этих приборов. Прежде всего, проверяемый прибор необходимо разместить отдельно от других подключить его к электросети и попытаться с помощью индикатора поля зафиксировать факт наличии или отсутствия радиоизлучения внедренного средств съема информации. Поиск излучения целесообразно повторить после приведения прибора в рабочее состояние (включения прибора). Следующая стадия обследования – разборка прибора и тщательный визуальный осмотр его содержимого. В процессе осмотра обращают внимание на наличие в приборе нестандартных или дополнительных плат, радиоэлементов, следов не фабричного монтажа. С особой тщательностью, с помощью лупы осматривают крупно габаритные детали: микросхемы, электролитические конденсаторы, мощные транзисторы, коммутационны элементы.
3. Организационные и технические меры инженерно-технической защиты информации в государственных и коммерческих структурах; контроль эффективности защиты информации.
Меры по защите информации делятся на организационные и технические. Организационные меры по ИТЗИ являются частью организационной защиты, основу которой составляют регламентация (установление временных, территориальных и режимных ограничений в работе людей и технических средств) и управление доступом к информации. Важнейшим направление работ по защите информации является контроль эффективности защиты информации, проводимый силами СБ, руководителями организации и структурных организации всеми сотрудниками организации, допущенных к закрытой информации. Различают предварительный (после введения изменений в систему), периодический (осуществляется с целью обеспечения систематического наблюдения за уровнем защиты, проводится выборочно по планам) и постоянный (по скрытым от проверяемых планам) контроль защиты информации.
К техническим относятся меры, реализуемые путем установки новых или модернизации используемых инженерных конструкций и технических средств защиты информации. Эффективность защиты информации от технической разведки оценивается методами технического контроля. В ходе его производится определение технических параметров носителей информации. В результате сравнения их с нормативными значениями принимается решение об уровне безопасности защищаемой информации. В зависимости от используемых для технического контроля средств применяют инструментальный, инструментально-расчетный и расчетный виды технического контроля.Инструментальные методы контроля обеспечивают наиболее точный результат, так как они реализуются с помощью средств измерительной техники в местах контроля, прежде всего на границе контролируемой зоны. Так как измеряемые уровни опасных сигналов сравнимы с уровнями шумов, то для инструментального контроля необходимы высокочувствительные дорогостоящие измерительные приборы. Это обстоятельство существенно затрудняет реальные возможности проведения контроля
Инструментально-расчетный технический контроль позволяет снизить требования к параметрам измерительной техники. Эти методы предполагают проведение измерений не на границе контролируемой зоны, а вблизи возможных источников сигналов. Возле источников сигналов уровни выше и соответственно, требования к чувствительности измерительных приборов ниже. Уровни же сигналов в местах проведения контроля рассчитываются по соответствующим методикам расчета. Так как в качестве исходных данных для расчета применяются результаты измерений, то точность контроля будет определяться точностью измерений и используемого материального аппарата. Расчетный технический контроль осуществляется с путем проведения расчетов по априорным или справочным исходным данным. Существующие методы расчетного технического контроля обеспечивают приемлемые для практики результаты при оценке угроз подслушивания и наблюдения. Для оценки этих угроз существует достаточно большой выбор данных в справочниках по акустике и оптике
Билет 28
1. Роль и место технических средств в организации режима охраны, современная концепция защиты объектов.
Подсистема физической защиты информации создается для противодействия преднамеренным угрозам воздействия злоумышленника и стихийным силам, прежде всего пожару. Средства этой подсистемы реализуют методы физической защиты с помощью инженерных конструкций и технических средств охраны. Основу средств инженерной защиты и технических средств охраны объектов составляют механические средства и инженерные сооружения, препятствующие физическому движению злоумышленника к месту нахождения объектов защиты, технические средства, информирующие сотрудников СБ (охрану) о проникновении злоумышленника в контролируемую зону и позволяющие наблюдать обстановку в них, а также средства и люди, устраняющие угрозы. Современную подсистему физической защиты организации по решаемым задачам можно разделить на комплекс инженерной защиты источников информации и комплекс технической охраны Инженерную защиту информации обеспечивают: 1)естественные и искусственные преграды на возможном пути движения злоумышленника и распространение стихийных сил к источникам информации; 2) преграждающие устройства систем контроля и управления допуском. Совокупность технических средств охраны (ТСО) подразделяется на подкомплексы обнаружения, наблюдения и нейтрализации. Подкомплекс обнаружения должен оповещать сотрудников СБ, прежде всего охранников, органы вневедомственной охраны, милицию, пожарную охрану о проникновении злоумышленников на охраняемую территорию, о пожаре или иных стихийных бедствиях, защита от которых предусмотрена задачами системы.
Все шире применяемые телевизионные средства наблюдения составляют основу подкомплекса наблюдения. В него входят также средства дежурного освещения, обеспечивающие необходимый уровень освещенности охраняемой территории в ночное время. Подкомплекс наблюдения обеспечивает возможность визуального дистанционного контроля за охраняемой территорией и действиями злоумышленников а так же для последующего криминалистического расследования, запись изображений произошедших чрезвычайных событий. Кроме того возможность современных средств наблюдения позволяет автоматически обнаруживать проникновение злоумышленника в контролируемую зону.
Основной задачей подкомплекса нейтрализации является прекращение проникновения злоумышленника или стихийных сил к источнику путем воздействия на них. Типовая подсистема нейтрализации угроз имеет в своем составе силы и средства для физического и психологического воздействия на злоумышленников, проникших на охраняемую территорию, а так же средства тушения пожара. Нейтрализация угрозы является необходимой функцией любого комплекса охраны, так как при ее отсутствии невозможно в принципе обеспечить безопасность источников информации, как и любых других объектов защиты. Возможность нейтрализации угроз определяют время реакции подсистемы физической защиты информации. Основной силой подкомплекса нейтрализации является человек – охранник. Он может состоять в штате подразделения охраны организации или быть сотрудником гос. или частной охранной структуры
2. Порядок разработки и внедрения документов нормативно-методического обеспечения комплексной системы защиты информации организации.
Прежде чем приступить к разработке документов, определяющих порядок ЗИ, нужно провести оценку угроз, определить информационные ресурсы, которые целесообразно защищать в первую очередь, и подумать, что необходимо для обеспечения их безопасности. Правила должны основываться на здравом смысле. Целесообразно обратить внимание на следующие вопросы: 1)принадлежность информации; об информации обязан заботиться тот, кому она принадлежит; 2)определение важности информации; пока не определена значимость информации, не следует ожидать проявлений должного отношения к ней; 3)значение секретности; как пользователи хотели бы защищать секретность информации? Нужна ли она им вообще? На основе концепции защиты информации (концепции безопасности предприятия), законодательства и иных нормативных документов в информационной области с учетом уставных положений и специфики деятельности предприятия определяется и разрабатывается комплект внутренних нормативных и методических документов, как правило, включающий: 1)перечни сведений, подлежащих защите на предприятии; 2)документы, регламентирующие порядок обращения сотрудников предприятия с информацией, подлежащей защите; 3)положения об управлениях и отделах (разделы по ЗИ); 4)документы по предотвращению несанкционированного доступа к информационным ресурсам и АС; 5)документы, регламентирующие порядок взаимодействия предприятия со сторонними организациями по вопросам, связанным с обменом информацией; 6)документы, регламентирующие пропускной и внутриобъектовый режим; 7)документы, регламентирующие порядок эксплуатации автоматизированных систем предприятия; 8)документы, регламентирующие действия должностных лиц и персонала предприятия в условиях чрезвычайных ситуаций, обеспечения бесперебойной работы и восстановления; 9)планы защиты автоматизированных систем предприятия; 10)документы, регламентирующие порядок разработки, испытания и сдачи в эксплуатацию программных средств; 11)документы, регламентирующие порядок закупки программных и аппаратных средств (в т.ч. средств защиты информации); 12)документы, регламентирующие порядок эксплуатации технических средств связи и телекоммуникации. Работа по разработке и внедрению НМД строится на основании приказов руководителя предприятия, распоряжений начальника службы безопасности, утвержденных руководством и согласованных с подразделениями-соисполнителями планов работы по подготовке документов. Для разработки НМД могут создаваться специальные рабочие группы (комиссии). Все разработанные НМД должны быть согласованы с руководителями структурных подразделениями, работающих с конфиденциальной информацией, и утверждены руководителем предприятия. Документы предприятия, регулирующие отношения с государством и с коллективом сотрудников на правовой основе. К ним можно отнести: 1)устав предприятия, закрепляющий условия обеспечения безопасности деятельности и защиты информации; 2)Перечень сведений, содержащих коммерческую тайну; 3)трудовые договоры с сотрудниками предприятия, содержащие требования по обеспечению защиты сведений, составляющих коммерческую тайну и др.; 4)правила внутреннего трудового распорядка рабочих и служащих; 5) должностные обязанности руководителей, специалистов и обслуживающего персонала.
3. Классификация автоматизированных систем и требований по защите информации.
(Руководящий документ Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации от 30 марта 1992 года)
Классификация распространяется на все действующие и проектируемые АС учреждений, организаций и предприятий, обрабатывающие конфиденциальную информацию. Деление АС на соответствующие классы по условиям их функционирования с точки зрения защиты информации необходимо в целях разработки и применения обоснованных мер по достижению требуемого уровня защиты информации. Дифференциация подхода к выбору методов и средств защиты определяется важностью обрабатываемой информации, различием АС по своему составу, структуре, способам обработки информации, количественному и качественному составу пользователей и обслуживающего персонала. Основными этапами классификации АС являются: разработка и анализ исходных данных; выявление основных признаков АС, необходимых для классификации; сравнение выявленных признаков АС с классифицируемыми; присвоение АС соответствующего класса защиты информации от НСД. Необходимыми исходными данными для проведения классификации конкретной АС являются: перечень защищаемых информационных ресурсов АС и их уровень конфиденциальности; перечень лиц, имеющих доступ к штатным средствам АС, с указанием их уровня полномочий; матрица доступа или полномочий субъектов доступа по отношению к защищаемым информационным ресурсам АС; режим обработки данных в АС. К числу определяющих признаков, по которым производится группировка АС в различные классы, относятся: наличие в АС информации различного уровня конфиденциальности; уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации; режим обработки данных в АС - коллективный или индивидуальный.
Устанавливается девять классов защищенности АС от НСД к информации.
Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС. В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности АС.
Третья группа включает АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса - 3Б и 3А.
Вторая группа включает АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности. Группа содержит два класса - 2Б и 2А. Первая группа включает многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности. Не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов - 1Д, 1Г, 1В, 1Б и 1А.
Требования по защите информации от НСД для АС Защита информации от НСД является составной частью общей проблемы обеспечения безопасности информации. Мероприятия по защите информации от НСД должны осуществляться взаимосвязано с мероприятиями по специальной защите основных и вспомогательных средств вычислительной техники, средств и систем связи от технических средств разведки и промышленного шпионажа.
В общем случае, комплекс программно-технических средств и организационных (процедурных) решений по защите информации от НСД реализуется в рамках системы защиты информации от НСД (СЗИ НСД), условно состоящей из следующих четырех подсистем: - управления доступом; - регистрации и учета; - криптографической; - обеспечения целостности. В зависимости от класса АС в рамках этих подсистем должны быть реализованы требования в соответствии с пп. 2.4, 2.7 и 2.10.
Билет 29