П О Л О Ж Е Н И Е
ПО АТТЕСТАЦИИ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ ПО ТРЕБОВАНИЕМ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
1. Положение устанавливает основные принципы, организационную структуру системы аттестации объектов информатизации* по требованиям безопасности информации.
2. Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых специальным документом - Аттестатом соответствия подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных Гостехкомиссией России.
3. Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров. В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по инициативе заказчика или владельца объекта информатизации.
4. При аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации от несанкционированного доступа, в том числе от компьютерных вирусов, от утечки за счет побочных электромагнитных излучений и наводок при специальных воздействиях на объект (высокочастотное навязывание и облучение, электромагнитное и радиационное воздействие), от утечки или воздействия на нее за счет специальных устройств, встроенных в объекты информатизации.
5. Аттестат соответствия выдается владельцу аттестованного объекта информатизации органом по аттестации на период, в течение которого обеспечивается неизменность условий функционирования объекта информатизации и технологии обработки защищаемой информации, могущих повлиять на характеристики, определяющие безопасность информации (состав и структура технических средств, условия размещения, используемое программное обеспечение, режимы обработки информации, средства и меры защиты), но не более чем на 3 года.
В сентябре 2001г. Президент Российской Федерации В. В. Путин утвердил Доктрину информационной безопасности. Какую роль она сыграет в развитии отечественных информационных технологий и средств защиты информации?
Информационные технологии - бурно и динамично развивающаяся отрасль мирового хозяйства. Объем рынка информационной продукции составил за прошлый год 2 триллиона долларов США, что сопоставимо с бизнесом в сферах топлива и энергетики, автомобилестроения. Серьезную опасность для России представляют стремления ряда стран к доминированию в мировом информационном пространстве, вытеснению России с внутреннего и внешнего рынка информационных услуг, разработка рядом государств концепций "информационных войн", предусматривающих создание средств воздействия на информационные сферы других стран мира, нарушение нормального функционирования информационных и телекоммуникационных систем, а также сохранности информационных ресурсов, получение несанкционированного доступа к ним.
Доктрина информационной безопасности закладывает основы информационной политики государства. С учетом существующих угроз для защиты национальных интересов России государство планирует активно развивать отечественную индустрию средств информации, коммуникации и связи с последующим выходом продукции на мировой рынок, обеспечивать гарантии безопасности для национальных информационных и телекоммуникационных систем и защиту государственных секретов с помощью соответствующих технических средств. Одновременно предусматривается повышать эффективность информационного обеспечения деятельности государства.
Принятие данного документа ставит в повестку дня и вопрос о необходимости совершенствования российского законодательства. К примеру, речь идет о принятии законов, касающихся пресечения компьютерной преступности.
1. Закон Российской Федерации " О государственной тайне" от 21.7.93 г. № 5485-1.
2. Закон Российской Федерации "Об информации, информатизации и защите информации" от 25.1.95 г.
3. Закон Российской Федерации "О коммерческой тайне" (проект, версия 28.12.94 г.).
4. Закон Российской Федерации "О персональных данных" (проект, версия 20.02.95 г.).
5. Закон Российской Федерации "О федеральных органах правительственной связи и информации" от 19.2.93 г. № 4524-1.
6. Положение о государственной системе защиты информации в Российской Федерации от ИТР и от утечки по техническим каналам.(Постановление Правительства РФ от 15.9.93 г. № 912-51).
7. Положение о Государственной технической комиссии при Президенте Российской Федерации (Гостехкомиссии России), распоряжение Президента Российской Федерации от 28.12.92 г. № 829-рпс.
1. РД. АС. Защита от НСД к информации. Классификация АС и требования по защите информации. -М.: Гостехкомиссия России, 1992.
2. РД. СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации. -М.: Гостехкомиссия России, 1992.
3. РД. Концепция защиты СВТ и АС от НСД к информации. -М.: Гостехкомиссия России, 1992.
4. РД. Защита от НСД к информации. Термины и определения. -М.: Гостехкомиссия России, 1992.
5. РД. Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от НСД в АС и СВТ. -М.: Гостехкомиссия России, 1992..
6. Положение об обязательной сертификации продукции по требованиям безопасности информации. -M.:Гостехкомиссия России, 1994.
7. Положение о лицензировании деятельности в области защиты информации. -М.: Гостехкомиссия России, ФАПСИ, 1994.
8. Система сертификации ГОСТ Р.
9. Терминология в области защиты информации. Справочник: ВНИИ стандарт, 1993 г..
10. ГОСТ Р 50739-95 "СВТ. Защита от НСД к информации. ОТТ".
Документы ФАПСИ
1. Положение о порядке разработки,производства,реализации и использования средств криптографической защиты информации с ограниченным доступом,не содержащих сведений,состовляющих государственную тайну (Положение ПКЗ-99)
2. Положение о разработке, изготовлении и обеспечении эксплуатации шифровальной техники, систем связи и комплексов вооружения, использующих шифровальную технику, в Российской Федерации (Положение ПШ-93)
3. Система сертификации средств криптографической защиты информации (Система сертификации СКЗИ), рег. номер Госстандарта России РОСС RU.0001.030001 от 15.11.93
4. Положение об испытательном центре (лаборатории) средств криптографической защиты информации (ИЦ СКЗИ),аккредитованном ФАПСИ на испытания СКЗИ по требованиям безопасности информации
5. Классификация средств криптографической защиты информации, не составляющей государственной тайны" .
6. Положение о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам.
Разработка СЗИ должна производиться только предприятиями, имеющими лицензии на этот вид деятельности.
Проектирование и внедрение СЗИ в АС проходит во взаимодействии с подразделениями службы безопасности предприятия-заказчика, которые осуществляют на предприятии методическое руководство и участие в разработке конкретных требований по защите информации, аналитического обоснования необходимости создания СЗИ, согласование выбора средств вычислительной техники и связи, технических и программных средств защиты, организацию работ по выявлению возможностей и предупреждению утечки информации, участвуют в согласовании технических заданий на проведение работ, в аттестации АС по требованиям безопасности информации.
Устанавливаются следующие стадии создания СЗИ:
1. предпроектная стадия, включающая обследование объекта информатизации, разработку аналитического обоснования необходимости создания СЗИ и раздела технического задания на создание АС по разработке СЗИ;
2. стадия разработки проектов, включающая разработку СЗИ в составе АС;
3. стадия ввода в действие СЗИ, включающая опытную эксплуатацию и приемочные испытания средств защиты информации, а также аттестацию АС по требованиям безопасности информации.
На предпроектной стадии по обследованию объекта информатизации:
· устанавливается необходимость обработки секретной информации в АС, подлежащей разработке, оценивается ее степень секретности и объемы;
· определяются режимы обработки этой информации, комплекс основных технических средств, условия расположения объекта информатизации, общесистемные программные средства, предполагаемые к использованию в разрабатываемой АС;
· определяется категория СВТ;
· определяется класс АС;
· определяется степень участия персонала АС в обработке (передаче, хранении, обсуждении) информации, характер их взаимодействия между собой и с подразделениями защиты информации;
· оценивается возможность использования имеющихся на рынке сертифицированных средств защиты информации;
· определяются мероприятия по защите секретной информации на стадии разработки АС;
· на основе действующих государственных нормативных документов по защите информации с учетом установленных категории СВТ и класса защищенности АС задаются конкретные требования к СЗИ АС, включаемые в раздел ТЗ на создание АС по разработке СЗИ.