Самостоячтельная работа по защите информации

      Для обеспечения защиты государственной тайны и конфиденциальной информации в РФ действует Государственная система защиты информации (ГСЗИ), которая включает:

• совокупность органов (ФСБ, ФСТЭК, СБ), сил и средств, осуществляющих деятельность в области защиты информации (ЗИ);
• систему лицензирования деятельности в области ЗИ;
• систему сертификации средств ЗИ;
• систему подготовки и переподготовки специалистов в области ЗИ.

      Необходимость введения государством механизма лицензирования и сертификации в области защиты информации определяется следующими причинами:

выполнение  работ, в процессе реализации которых  могут использоваться сведения, составляющие государственную тайну, может осуществляться, наряду с государственными учреждениями и организациями, - предприятиями и учреждениями негосударственного сектора, как это принято в большинстве цивилизованных стран;

органы  государственной власти, Вооруженные  Силы и спецслужбы перестали быть исключительными потребителями  средств ЗИ.

Ныне  эти средства в значительных объемах востребованы организациями финансово-кредитной сферы и предпринимательскими структурами, а в ближайшем будущем получат распространение среди граждан РФ. Наиболее приемлемым, а может быть и единственно приемлемым способом воздействия государства на данную сферу, установления разумного контроля в этой области является формирование системы лицензирования.

      Лицензирование - это процесс передачи или получения  в отношении физических или юридических  лиц прав на проведение определенных работ. Получить право или разрешение на определенную деятельность может не каждый субъект, а только отвечающий определенным критериям в соответствии с правилами лицензирования.

      Лицензия - документ, дающий право на осуществление  указанного вида деятельности в течении  определенного времени.

      Перечень  видов деятельности в области  ЗИ, на которые выдаются лицензии, определен  Постановлением Правительства РФ - "О лицензировании отдельных видов  деятельности" от 24.12.94 г. №1418. К ним, в частности, относится разработка, производство, реализация и сервисное обслуживание:

• шифровальных средств для криптографической ЗИ;
• защищенных систем телекоммуникаций;
• программных средств;
• специальных технических средств ЗИ;
• подготовка и переподготовка кадров в области ЗИ.

 

      Сертификация - это подтверждение соответствия продукции или услуг установленным требованиям или стандартам.

Сертификат  на средство ЗИ - документ, подтверждающий соответствие средства ЗИ требованиям  по безопасности информации.

Законодательной и нормативной базой лицензирования и сертификации в области ЗИ являются следующие документы.

Законы  РФ:

"О  государственной тайне" № 5485-1 от 21.07.93;

"О  сертификации продукции и услуг"  №5151-1 от 10.06.93;

"О  защите прав потребителей" №  2300-1 от 07.02.92;

"Об  информации, информатизации и защите информации" № 24-Ф3 от 20.02.95;

"О  стандартизации" № 5154-1 от 10.06.93.

“О  лицензировании отдельных видов  деятельности”, от 8.08 2001г. №128 (ред. от 11.03.2003г. №32);

Постановления Правительства РФ:

"О  лицензировании отдельных видов  деятельности" № 1418 от 24.12.94;

"О  лицензировании деятельности предприятий..." № 333 от 15.04.95;

"О  сертификации средств ЗИ" №  608 от 26.06.95. (ред. №509 от 23.04.96.)

А также  Указы Президента РФ, и ряд подзаконных  актов.

Лицензирование  деятельности по защите государственной тайны

      Общие нормы, устанавливающие порядок  организации и осуществления  этой деятельности, содержатся в статье 27 Закона "О государственной тайне". В соответствии с которой:

• лицензия выдается только на основании результатов специальной экспертизы (проверки готовности организации к работе со сведениями, составляющими государственную тайну);
• в структуре организации должно быть подразделение по защите государственной тайны и специально подготовленные сотрудники;
• организация должна иметь сертифицированные средства защиты информации;
• необходима государственная аттестация руководителей организации, ответственных за защиту государственных секретов.

      Положение о лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны утверждено Постановлением Правительства Российской Федерации от 15.04.95 г. № 333.

Данным  Положением, в частности, установлено: Лицензия является официальным документом, который разрешает осуществление  на определенных условиях конкретного  вида деятельности в течение установленного срока. Лицензия действительна на всей территории Российской Федерации, а также в учреждениях Российской Федерации, находящихся за границей.

      Органами, уполномоченными на ведение лицензионной деятельности, являются:

по допуску  предприятий к проведению работ, связанных с использованием сведений, составляющих государственную тайну - Федеральная служба безопасности (ФСБ) и ее территориальные органы (на территории Российской Федерации), Служба внешней разведки (СВР) (за рубежом); на право проведения работ, связанных с созданием средств защиты информации - Федеральная служба технического и экспортного контроля (бывшая Гостехкомиссия), ФСБ (в пределах их компетенции); на право осуществления мероприятий и (или) оказания услуг в области защиты государственной тайны - ФСБ и ее территориальные органы, Федеральная служба технического и экспортного контроля (ФСТЭК), СВР (в пределах их компетенции).

      Лицензирование  деятельности предприятий ФСБ, Министерства обороны, Федеральной пограничной  службы, СВР, ФСТЭК по допуску к  проведению работ, связанных с использованием сведений, составляющих государственную тайну, осуществляется руководителями министерств и ведомств РФ, которым подчинены указанные предприятия. Срок действия лицензии устанавливается в зависимости от специфики вида деятельности, но не может быть менее трех и более пяти лет. Продление срока действия лицензии производится в порядке, установленном для ее получения. На каждый вид деятельности выдается отдельная лицензия. Основанием для отказа в выдаче лицензии является:

• наличие в документах, представленных заявителем, недостоверной или искаженной информации;
• отрицательное заключение экспертизы;
• отрицательное заключение по результатам государственной аттестации руководителя предприятия.

 

Специальные экспертизы предприятий выполняются по следующим направлениям:

• режим секретности;
• противодействие иностранной технической разведке;
• защита информации от утечки по техническим каналам.

 

      Экспертизы  осуществляется экспертными комиссиями Лицензионного центра либо Аттестационными центрами, формируемые при ФСБ, ФСТЭК, и их органах на местах.

      Система лицензирования построена на следующих  основных принципах:

Лицензирование  в области ЗИ является обязательным.

Деятельность  в области ЗИ физических и юридических  лиц, не прошедших лицензирование, запрещена (с применением соответствующих статей ГК и УК к нарушителям). Лицензии на право деятельности в области ЗИ выдаются только юридическим лицам независимо от организационно - правовой формы (физические лица не в состоянии удовлетворить установленным требованиям).

Лицензии  выдаются только предприятиям, зарегистрированным на территории РФ.

Лицензии  выдаются только на основании специальной  экспертизы заявителя на соответствие предъявляемым к предприятию  требованиям и аттестации руководителя предприятия. Для получения лицензии предприятие обязано предъявить определенный перечень документов. К заявлению на получение лицензии необходимо приложить следующие документы:

• копия свидетельства о государственной регистрации предприятия;
• копии учредительных документов, заверенных нотариусом;
• копии документов на право собственности или аренды имущества, необходимого для ведения заявленной деятельности;
• справка налогового органа о постановке на учет;
• представление органов государственной власти РФ с ходатайством о выдаче лицензии;
• документ, подтверждающий оплату рассмотрения заявления.

 

      Например, к коммерческому банку, претендующему  на получение лицензии на эксплуатацию шифровальных средств для защиты конфиденциальной информации, предъявляются  требования по:

• наличию и составу необходимых аппаратно-программных средств и помещений;
• размещению, охране и специальному оборудованию помещений, в которых находятся средства криптографической ЗИ;
• обеспечению режима и порядка доступа к средствам криптографической ЗИ;
• обеспечению необходимой технической и эксплуатационной документацией;
• уровню квалификации и подготовленности специалистов в области защиты и эксплуатации автоматизированных систем (АС);
• режиму эксплуатации и хранения средств криптографической ЗИ.

      Система лицензирования обеспечивает в отношении  АС выполнение 3 основных требований к  защищаемой информации:

• доступность;
• целостность;
• конфиденциальность.

      Лицензирование  в области производства средств  ЗИ и на предмет предоставления услуг  в области ЗИ производится по тем же принципам, за исключением того, что не во всех случаях здесь речь идет о работе со сведениями, составляющими государственную тайну. Поэтому при производстве средств ЗИ прежде всего проверяется научный и технологический потенциал, имеющийся у предприятия-производителя, другие производственные факторы, а также наличие и действенность системы безопасности. По организациям, оказывающим услуги в области ЗИ, может идти речь о мероприятиях по проверке компьютерной и оргтехники в отношении опасных в информационном плане излучений и наличия несанкционированных устройств, проверке помещений на предмет наличия в них устройств скрытого съема информации и т.д.

Государственная аттестация руководителей  ответственных за ГТ.

      Основная  цель государственной аттестации – повысить компетентность руководителей в части обеспечения сохранности сведений, составляющих государственную тайну.

      Документом, по организации государственной  аттестации руководителей является «Инструкция о порядке проведения государственной аттестации руководителей предприятий, учреждений и организаций, ответственных за защиту сведений, составляющих государственную тайну», утвержденная Председателем Гостехкомиссии России 17.10.95 г. Государственное аттестация проводится методом собеседования аттестационной комиссии с руководителем предприятия.

К аттестуемому предъявляются следующие требования.

Должен  знать:

• законодательные акты Российской Федерации по вопросам защиты государственной тайны;
• нормативные документы, утверждаемые Правительством Российской Федерации, по обеспечению защиты сведений, составляющих государственную тайну;
• нормативно-методические документы по режиму секретности, противодействию иностранным техническим разведкам и защите информации от утечки по техническим каналам, утверждаемые ФСБ и ГТК;
• перечень продукции предприятия, подлежащей защите от разведок, основные охраняемые сведения о предприятии и выпускаемой продукции;
• возможные каналы утечки информации по всему технологическому циклу разработки, изготовления и испытаний продукции предприятия;
• деловые и моральные качества сотрудников структурного подразделения предприятия по защите государственной тайны.