Система сертификации средств защиты информации в Российской Федерации и её применение

ГОСТ 28195-89. «Оценка качества программных средств. Общие положения»;

    Настоящий стандарт, устанавливает общие положения  по оценке качества программных средств  вычислительной техники (далее - ПС), поставляемых через фонды алгоритмов и программ (ФАП), номенклатуру и применяемость показателей качества ПС.

ГОСТ 6.10.4-84 «Унифицированные системы документации. Придание юридической  силы документам на машинном носителе и  машинограмме, создаваемым  средствами вычислительной техники»;

    Стандарт устанавливает требования к составу и содержанию реквизитов, придающих юридическую силу документам на машинном носителе и машинограмме, создаваемым средствами вычислительной техники, а также порядок внесения изменений в эти документы. Стандарт обязателен для всех предприятий, организаций и учреждений (далее - организаций) осуществляющих информационный обмен документами на машинном носителе и машинограммами.

        
 
 
 
 
 

ГЛАВА II . ОБЪЕКТ СЕРТИФИКАЦИИ ЗАЩИТЫ ИНФОРМАЦИИ.                                     2.1. Типовые требования к содержанию и порядку разработки руководства  по защите информации  от технических разведок и её утечки по техническим каналам.  

     Под объектом  защиты  (далее-объект)  понимается имущественный комплекс: здания,  сооружения,  помещения и территория,  на которой они размещены,  а также расположенные в них технические средства и иное имущество,  требующие защиты и принадлежащие государственным органам, государственным и коммерческим организациям на праве собственности. оперативного управления или хозяйственного ведения.

     Руководство разрабатывается на каждом объекте,  на котором предусматривается защита информации от технических, разведок и  от ее утечки по техническим каналам (далее-защита информации) в ходе  его строительства (реконструкции) и эксплуатации.

     Руководство определяет содержание и порядок  осуществления мероприятий по защите информации, содержащей сведения, отнесённые в установленном порядке к  государственной или служебной  тайне. Мероприятия по  защите информации должны быть увязаны с мероприятиями по легендированию объектов и режиму секретности.

     При разработке Руководства  используются:

     концепция защиты информации от ИТР;

     модель  ИТР применительно к объекту  защиты;

     нормы противодействия средствам технический разведки;

     нормы эффективности  защиты информации,  обрабатываемой техническими средствами;

     инструкции  по защите информации об образцах ВиВТ,  создаваемых или используемых на объекте;

     требования  по  защите информации о создаваемых  образцах ВиВТ и выполняемых работах, подлежащих защите от ИТР;

     инструкция  по  проектированию  технических  мероприятий защиты промышленных объектов от ИТР;

     проектная документация на строительство (реконструкцию) объекта в части мер защиты информации в  ходе  его  эксплуатации, общий маскировочный замысел защиты информация для объектов первой категории;

     результаты  анализа разведдоступности и  аттестование объекта (первая,  вторая, третья категории) или его составных  частей на соответствие требованиям  по защите информации;

     методические и другие руководящие документы в  области  защиты информации.

     При разработке Руководства данные об осведомленности  разведок в отношении, конкретного  объекта получают в соответствующем министерстве (ведомстве).

  2.2. Основное содержание Руководства по защите

  Информации.

     Руководство должно состоять из следующих разделов:

общие положения;

охраняемые  сведения об объекте;

демаскирующие признаки объекта и технические  каналы утечки информации;

оценка  возможностей технических разведок и  других  источников угроз безопасности  информации (возможно спецтехника,  используемая преступными группировками);

организационные и технические мероприятия по защите информации;

оповещение  о ведении разведки (раздел включается в состав  Руководства по необходимости);

обязанности и права должностных лиц;

планирование  работ по защите информации и контролю;

     -      контроль состояния защиты информации;

     -     аттестование рабочих мест;

     - взаимодействие с другими предприятиями (учреждениями,  организациями);

     Общие требования по защите информации на объекте, указывается категория объекта по требованиям обеспечения защиты информации, указываются должностные лица. ответственные за выполнение требований Руководства, определяется порядок финансирования работ по защите информации на объекте, приводятся сведения о полученной лицензии на допуск к работе со сведениями,  составляющими  государственную тайну и об имеющихся сертифицированных средствах защиты информации.

     Конкретная цель, которая должна быть достигнута в результате проведения мероприятий  по  защите  информации  (охраняемых сведений) об объекте, замысел достижения этой цели и приводится перечень охраняемых сведений  об объекте и его деятельности.

     Охраняемые сведения об объекте, в том числе демаскирующие признаки, возникающие в связи с использованием средств обеспечения его деятельности.  Приводятся возможные технические каналы утечки охраняемых сведений об объекте, включая каналы утечки информации в технических средствах ее обработки.

     Перечень видов и средств технической разведки, источников угроз несанкционированного доступа к информации,  в том числе со стороны преступных группировок и результаты оценки их возможностей:

по обнаружению  (определению) демаскирующих признаков объекта, раскрывающих охраняемые сведения;

по перехвату  информации циркулирующей в технических  средствах ее обработки; по перехвату речевой информации из помещений;

по получению, разрушению (уничтожению), искажению  или блокированию информации в результате несанкционированного доступа к ней.

     При оценке используется "Модель...",  "Методики..."  и  другие документы  по этому вопросу.

     Организационные и технические мероприятия, обеспечивающие устранение или ослабление (искажение) демаскирующих признаков и закрытие возможных технических каналов утечки охраняемых сведений об объекте, мероприятия по защите информации о создаваемых (применяемых) образцах ВиВТ в соответствии с Инструкциями по защите информации на эти образцы, мероприятия по защите информации об иной создаваемой (применяемой) продукции и технологиях, мероприятия по защите информации при постоянном контролируемом и неконтролируемом нахождении иностранных граждан, как на территории объекта, так и в непосредственной близости от него, а также мероприятия по защите информации в системах и средствах информатизации и связи.

     При нахождении на территории объекта организации, арендующей территорию данного объекта, требования по защите информации на данный объект должны быть включены в договор аренды.

     Порядок получения, регистрации и передачи данных о пролетах разведывательных ИСЗ, самолетов иностранных   авиакомпаний,   нахождении иностранных судов в открытых портах, местах, маршрутах и времени проведения иностранных инспекций в соответствии с международными договорами, посещении объекта иностранными представителями, появлении в районе дислокации объекта иностранных граждан, подозреваемых в ведении разведки. А также приводятся внутриобъектовая схема оповещения и действия должностных лиц при оповещении.

     Определяются должностные лица подразделений объекта, ответственные за разработку, обеспечение и выполнение мероприятий защите информации, их функциональные обязанности и права, приводится структурная схема взаимодействия подразделении по защите информации на объекте с  соответствующими подразделениями данного объекта.

       Основные руководящие документы для планирования работ по защите информации, требования к  содержанию планов, приводится порядок разработки, согласования, утверждения и оформления планов, устанавливается порядок отчетности и контроля за выполнением планов.

     Задачи контроля, перечень органов и подразделений, имеющих право проверки состояния защиты информации на объекте, привлекаемые силы и средства контроля, порядок привлечения (при необходимости) к этой работе специалистов основных подразделений объекта, устанавливаются периодичность и виды контроля, порядок оформления результатов контроля, определяются действия должностных лиц по устранению нарушений норм и требовании по защите информации и порядок разработки мероприятий по устранению указанных нарушений.

     Подразделения или должностные лица, ответственные за аттестование рабочих мест, стендов, вычислительных комплексов, выделенных помещений и т.д., приводится форма документирования результатов аттестования и порядок выдачи разрешения на проведении работ с секретной информацией, а также порядок и периодичность аттестования.

     Порядок взаимодействия в области защиты информации с предприятиями (учреждениями, организациями) при выполнении совместных работ, применяемые совместные организационные и технические мероприятия по защите информации  ответственность,   права  и  обязанности   взаимодействующих  сторон, а  также приводится структурная

схема взаимодействия.

     В приложения к Руководству  могут включаться:

таблицы, схемы, графики, расчеты, исходные данные и  другие справочные материалы для  оценки обстановки, определения мероприятий  по защите информации;

перечень  создаваемых (применяемых) образцов ВиВТ,  выполняемых НИОКР и другой продукции, подлежащих защите;

     Перечень сведений, подлежащих защите;

план  объекта с указанием схем размещения рабочих мест, стендов и т.д.,                                                                                                                     и схем организации связи и сигнализации объекта;

структура системы защиты информации на объекте;

перечень  руководящих, нормативных и методических документов по защите информации и  др.

     Корректировка приложений  должна проводиться  в случаях изменения характера  и направленности работ, разведобстановки, влияющих на состояние защиты  охраняемых  сведений,  введения  в действие новых нормативных документов по защите информации или уточнений к ним,  а также при уточнении (изменении) легенд прикрытия.

2.3. Порядок разработки, согласования и утверждения

  Руководства по  защите информации.

    Руководство по защите информации разрабатывается  подразделением по защите информации от иностранных технических разведок и от её утечки по техническим каналам совместно с основными подразделениями объекта.

    Руководство подписывается должностным лицом,  ответственным за защиту информации  на  объекте и утверждается руководителем  объекта по согласованию с представителем заказчика, головным подразделением отрасли  по защите информации (для предприятий входящих в состав ведомств) и соответствующим территориальным  органом  государственной безопасности.

    Согласованное Руководство  утверждается  руководителем  органа государственной власти или  предприятия (учреждения, организации).

    Изменения в руководство вносятся,  согласовываются и  утверждаются в том же порядке и на том же уровне,  что и основной документ .

    К ознакомлению с Руководством в полном объеме допускается строго ограниченный круг лиц по решению руководителя  объекта.   Исполнители мероприятий  по  защите информации на объекте должны быть ознакомлены с Руководством в части, их касающейся.