Вы находитесь на странице: 1из 377

БЕЗОПАСНОСТЬ

ИНФОРМАЦИОННЫХ
ТЕХНОЛОГИЙ

Руководство слушателя курса

Курс Б Т О 1
© Copyright 2001-2012 Учебный Центр «Информзащита»

Все предоставляемые слушателям учебные материалы и


программные средства являются объектами интеллектуальной
собственности Учебного Центра «Информзащита».

Слушатель курса имеет право на использование всех полученных


от Учебного Центра «Информзащита» учебных, вспомогательных и
справочных материалов в пределах своей организации без права
тиражирования. Передача указанных материалов третьим лицам
(в том числе, в откорректированном в и д е ) , любые полные или
частичные публикации или репродукции данных материалов в
печатной, электронной или любой иной форме, категорически
запрещены без предварительного прямого письменного согласия
Учебного Центра «Информзащита».

Автономная некоммерческая организация


Учебный Центр «Информзащита»
Адрес: Москва, ул. Образцова, д. 38
И 127018, Москва, а/я 55
S (495) 980-2345
E-mail: edu@its ecurity.ru
HTTP: www.itsecurity.ru

Последняя редакция - 4 мая 2012 года

Информзащита
У чебным ц ентр
3

ОГЛАВЛЕНИЕ

ВВЕДЕНИЕ В КУРС «БЕЗОПАСНОСТЬ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ» . 12


Описание к у р с а ...................................................... 12
Слушатели......................................................... 12
Содержание курса................................................. 13
Необходимая базовая подготовка.................................. 13
Приобретаемые знания и н а в ы к и ................................... 14
Структура к у р с а .....................................................15

РАЗДЕЛ I . ОСНОВЫ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ .. 17


Р а з д е л I - Т е м а 1: А к т у а л ь н о с т ь п р о б л е м ы о б е с п е ч е н и я б е з о п а с н о с т и
и н ф о р м а ц и о н н ы х т е х н о л о г и й ........................................................ 18

Место и роль информационных систем в управлении бизнес-процессами .18


Основные причины обострения проблемы обеспечения безопасности
информационных технологий .......................................... 19
Защита информационных технологий как процесс управления
рисками. Сложность количественной оценки р и с к о в ............... 21
Особенности современных автоматизированных систем как
объектов защиты.................................................. 27
Р а з д е л I - Т е м а 2: О с н о в н ы е п о н я т и я в о б л а с т и б е з о п а с н о с т и и н ф о р м а ц и о н н ы х
т е х н о л о г и й ...................................................................... 29

Что такое безопасность информационных технологий.................. 2 9


Информация и информационные отношения.............................. 30
Субъекты информационных отношений, их безопасность ................ 31
Цель защиты автоматизированной системы и циркулирующей в ней
инфо р м а ц и и .......................................................... 34
Р а з д е л I - Т е м а 3: У г р о з ы б е з о п а с н о с т и и н ф о р м а ц и о н н ы х т е х н о л о г и й .............. 36
Уязвимость основных структурно-функциональных элементов
распределённых автоматизированных систем........................... 3 6
Угрозы безопасности информации, автоматизированных систем и
субъектов информационных отношений................................. 37
Источники угроз безопасности........................................39
Классификация угроз безопасности................................... 39
Основные непреднамеренные искусственные уг р о з ы .................... 4 0
Основные преднамеренные искусственные угрозы...................... 41
Классификация каналов проникновения в автоматизированную систему
и утечки и н ф о р м а ц и и ................................................ 42
Неформальная модель нарушителя..................................... 4 4
Почему свои сотрудники являются самой массовой категорией
нарушителей безопасности......................................... 4 6
В ы в о д ы .............................................................. 47
Р а з д е л I - Т е м а 4: Виды м е р и о с н о в н ы е п р и н ц и п ы о б е с п е ч е н и я б е з о п а с н о с т и
и н ф о р м а ц и о н н ы х т е х н о л о г и й ........................................................ 49
Виды мер противодействия угрозам безопасности..................... 4 9
Правовые (законодательные).......................................49
Морально-этические............................................... 4 9

rill
I Информзащита
—■
— Учебным центр
Организационные...................................................4 9
Технологические...................................................50
Меры физической защиты........................................... 50
Технические....................................................... 50
Достоинства и недостатки различных видов мер защиты............... 51
Законодательные и морально-этические м е р ы ...................... 51
Организационные м е р ы ............................................. 51
Физические и технические средства з а щ и т ы ........................51
Основные принципы построения системы обеспечения безопасности
информации в автоматизированной системе............................ 52
Законность........................................................ 52
Системность....................................................... 53
Комплексность..................................................... 53
Своевременность...................................................53
Непрерывность защиты............................................. 53
Преемственность и совершенствование............................. 54
Разделение функций............................................... 54
Разумная достаточность (экономическая целесообразность,
сопоставимость возможного ущерба и затрат) ..................... 54
Персональная ответственность.....................................54
Минимизация полномочий................... ....................... 54
Взаимодействие и сотрудничество................................. 54
Гибкость системы защиты.......................................... 55
Открытость алгоритмов и механизмов з а щ и т ы ...................... 55
Простота применения средств з а щ и т ы .............................. 55
Научная обоснованность и техническая реализуемость............. 55
Специализация и профессионализм................................. 55
Взаимодействие и координация.....................................55
Обязательность контроля.......................................... 55
В ы в о д ы ...............................................................5 6
Р а з д е л I - Т е м а 5: П р а в о в ы е о с н о в ы о б е с п е ч е н и я б е з о п а с н о с т и и н ф о р м а ц и о н н ы х
технологий .......................................................................57
Вв е д е н и е ............................................................ 57
Защищаемая информация .............................................. 58
Персональные данные.............................................. 63
Коммерческая тайна............................................... 71
Служебная тайна...................................................73
Банковская тайна..................................................7 4
Информация в ключевых системах информационной инфраструктуры ... 75
Лицензирование ...................................................... 7 6
Сертификация средств защиты и аттестация объектов информатизации . .84
Сертификация...................................................... 94
Аттестация........................................................ 96
Новое поколение нормативно-технических документов
(ГОСТ Р ИСО/МЭК 15408-2008)......................................... 99
Специальные требования и рекомендации по технической защите
конфиденциальной информации........................................ 104
Юридическая значимость электронных документов с электронной
подписью ........................................................... 106
Ответственность за нарушения в сфере защиты информации ........... 111
Статья 183. Незаконное получение и разглашение сведений,
составляющих коммерческую или банковскую т а й н у ................ 111

Информзащита
Учебным ц ентр
5

Статья 272. Неправомерный доступ к компьютерной информации ....112


Статья 273. Создание, использование и распространение
вредоносных программ для Э В М ................................... 112
Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или
их сети ......................................................... 112
Статья 13.11. Нарушение установленного законом порядка сбора,
хранения, использования или распространения информации о
гражданах (персональных данных) ................................ 113
Статья 13.12. Нарушение правил защиты информации.............. 113
Статья 13.13. Незаконная деятельность в области защиты
информации.......................................................114
Статья 13.14. Разглашение информации с ограниченным доступом ..114
Статья 1253. Ответственность юридических лиц и индивидуальных
предпринимателей за нарушения исключительных п р а в .............114
Статья 1290. Ответственность по договорам, заключаемым автором
произведения.................................................... 114
Статья 1301. Ответственность за нарушение исключительного
права на произведение........................................... 115
Статья 1311. Ответственность за нарушение исключительного
права на объект смежных п р а в ................................... 115
Статья 1472. Ответственность за нарушение исключительного
права на секрет производства................................... 115
Статья 11. Охрана конфиденциальности информации в рамках
трудовых отношений.............................................. 116
Статья 14. Ответственность за нарушение Федерального закона
«О коммерческой тайне»..........................................116
Статья 15. Ответственность за непредоставление органам
государственной власти, иным государственным органам, органам
местного самоуправления информации, составляющей коммерческую
тайну ........................................................... 117
Р а з д е л I - Т е м а 6: Г о с у д а р с т в е н н а я с и с т е м а з а щ и т ы и н ф о р м а ц и и ................ 118
В в е д е н и е ........................................................... 118
Государственная система защиты информации........................ 119
Организация защиты информации в системах и средствах
информатизации и связи ............................................ 123
Контроль состояния защиты информации.............................. 12 5
Финансирование мероприятий по защите информации.................. 127
Р а з д е л I - Т е м а 7: О с н о в н ы е з а щ и т н ы е м е х а н и з м ы , р е а л и з у е м ы е в р а м к а х р а з л и ч н ы х
м е р и с р е д с т в з а щ и т ы ............................................................ 128
Основные механизмы защиты информационных систем .................. 128
Идентификация и аутентификация пользователей..................... 128
Разграничение доступа зарегистрированных пользователей к ресурсам
автоматизированной системы.........................................131
Списки управления доступом к о б ъ е к т у ...........................135
Списки полномочий субъектов.................................... 135
Атрибутные схемы................................................ 136
Полномочное управление доступом................................ 137
Замкнутая программная среда.................................... 137
Регистрация и оперативное оповещение о событиях безопасности.... 138
Криптографические методы защиты информации....................... 139
Криптография с симметричными к л ю ч а м и ...........................140
Криптография с открытыми ключами ............................... 141
_i--
Информзащита
^ -* Учебные центр

=4^
6

Доверие к открытому ключу и цифровые сертификаты.............. 144


Контроль целостности программных и информационных р е с у р с о в ...... 14 8
Обнаружение а т а к ...................................................149
Защита периметра компьютерных сетей............................... 150
Управление механизмами защиты......................................151
Страхование информационных рисков................................. 154
Страховой случай................................................ 154
Принятие решения об использовании страхования................. 154
Процедура страхования информационных р и с к о в ................... 155
Параметры, влияющие на ставку страхования..................... 155
В ы в о д ы ............................................................. 156

РАЗДЕЛ II. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ


ТЕХНОЛОГИЙ.............................................. 157
Р а з д е л II - Т е м а 8: О р г а н и з а ц и о н н а я с т р у к т у р а с и с т е м ы о б е с п е ч е н и я б е з о п а с н о с т и
и н ф о р м а ц и о н н ы х т е х н о л о г и й ....................................................... 158
Понятие технологии обеспечения (управления) безопасности
информации и ресурсов в автоматизированной системе............... 158
Цели создания системы обеспечения информационной безопасности ....160
Влияние на безопасность информационных технологий со стороны
руководства организации......................................... 161
Влияние на безопасность информационных технологий со стороны
Службы безопасности............................................. 162
Влияние на безопасность информационных технологий со стороны
подразделения автоматизации.....................................162
Влияние на безопасность информационных технологий со стороны
сотрудников структурных подразделений организации ............. 163
Регламентация действий пользователей и обслуживающего персонала
автоматизированной системы......................................... 164
Институт ответственных за обеспечение безопасности И Т ........ 165
Политика безопасности организации................................. 166
Основные организационные и организационно-технические мероприятия
по созданию и обеспечению функционирования комплексной системы
защиты ............................................................. 168
Разовые мероприятия............................................. 168
Периодически проводимые мероприятия ............................ 170
Мероприятия, проводимые по необходимости ...................... 170
Постоянно проводимые мероприятия ............................... 171
Распределение функций по обеспечению безопасности информационных
технологий......................................................... 171
Подразделение безопасности (отдел защиты информации) .......... 171
Подразделение автоматизации (отдел эксплуатации и отдел
телекоммуникаций) ............................................... 172
Подразделение автоматизации (фонд алгоритмов и программ) ..... 172
Все структурные подразделения организации ..................... 173
Система организационно-распорядительных документов по обеспечению
безопасности информационных технологий............................ 173
Р а з д е л 1 1 - Т е м а 9: О б я з а н н о с т и к о н е ч н ы х п о л ь з о в а т е л е й и о т в е т с т в е н н ы х з а
ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ В ПОДРАЗДЕЛЕНИЯХ ........... 176
Проблема человеческого фактора................................. 176

Информзащита
У чебн ы м ц е н т р
7

Общие правила обеспечения безопасности информационных технологий


при работе сотрудников с р е с урсами автоматизированной системы .... 177
О б яз а н н о с т и о т ветственного за обеспечение безопасности информации
в п о д р а з д е л е н и и ......................................................... 179
О тветственный за обеспечение безопасности информации обязан: ..179
Ответственный за обеспечение безопасности информации имеет
п р а в о : ................................................................ 180
Ответственность за н а р у ш е н и я ........................................... 180
Поддержка процедур р е г л а м е н т а ц и и ...................................... 181
Порядок работы с носителями ключевой и н ф о р м а ц и и .................... 182
О б я з а н н о с т и и с п о л н и т е л я ............................................. 183
Действия при ко м п р о м етации ключей ................................. 185
У нич т о ж е н и е к л ю ч е й ................................................... 186
Права и с п о л н и т е л я .................................................... 18 6

Р а з д е л 1 1 - Т е м а 10: Д о к у м е н т ы , р е г л а м е н т и р у ю щ и е п р а в и л а п а р о л ь н о й и
антивирусной защиты ............................................................ 187
Инструкция по организации парольной з а щ и т ы .......................... 187
Инструкция по орга н и з а ции антивирусной з а щ и т ы ...................... 188
Применение средств а нтивирусного контроля ........................ 189
Действия при обнаружении вирусов .................................. 189
О т в е т с т в е н н о с т ь ....................................................... 190

Р а з д е л 1 1 - Т е м а 11: Д о к у м е н т ы , р е г л а м е н т и р у ю щ и е п о р я д о к д о п у с к а к р а б о т е и
изменения полномочий п о л ь з о в а т е л е й а в т о м а т и з и р о в а н н о й с и с т е м ы .................. 191
Правила именования п о л ь з о в а т е л е й .................................. 191
Процедура авто р и з а ц ии с о т р у д н и к о в ................................. 192

Р а з д е л II - Т е м а 12: Д о к у м е н т ы , р е г л а м е н т и р у ю щ и е п о р я д о к и з м е н е н и я
к о н ф и г у р а ц и и а п п а р а т н о - п р о г р а м м н ы х с р е д с т в а в т о м а т и з и р о в а н н о й с и с т е м ы .......... 194
Обеспечение и контроль физической целостности и неизменности
ко н фигурации а п п а р а т но-программных средств автоматизированной
с и с т е м ы ............................................................... 194
Регламентация процессов обслуживания и осуществления
модификации аппаратных и программных средств
автоматизированной с и с т е м ы ..........................................195
Процедура внесения изменений в конфигурацию аппаратных и
программных средств защищённых серверов и рабочих с т а н ц и й .....196
Э кстренная моди ф и к а ц ия (обстоятельства форс-мажор) ............. 199

Р а з д е л II - Т е м а 13: Р е г л а м е н т а ц и я п р о ц е с с о в р а з р а б о т к и , и с п ы т а н и я , опытной
э к с п л у а т а ц и и , в н е д р е н и я и с о п р о в о ж д е н и я з а д а ч .................................. 2 00
В з аимодействие по д р а з д елений на этапах проектирования,
разработки, испытания и внедрения новых автоматизированных
п о д с и с т е м ................................................................ 201
При проектировании и р а з р а б о т к е ....................................201
При проведении и с п ы т а н и й ............................................ 202
При сдаче в промышленную э к с п л у а т а ц и ю ............................ 202
В процессе э к с п л у а т ации (сопровождения) .......................... 202

Р а з д е л II - Т е м а 14 : О п р е д е л е н и е т р е б о в а н и й к з а щ и т е и к а т е г о р и р о в а н и е
р е с у р с о в . П роведение информационных об следований и анализ подсистем
а в т о м а т и з и р о в а н н о й с и с т е м ы к а к о б ъ е к т а з а щ и т ы .................................. 204

Определение градаций в ажности и соответствующих уровней


обеспечения защи т ы р е с у р с о в ............................................ 204

Информзащита
^ — УчеЁнмя ц ентр
8

Категорирование защищаемых ресурсов............................... 206


Категории защищаемой информации................................ 206
Категории функциональных з а д а ч ................................. 207
Категории компьютеров........................................... 207
Порядок определения категорий защищаемых ресурсов
автоматизированной системы......................................208
Проведение информационных обследований и документирование
защищаемых ресурсов ............................................... 209
Р а з д е л II - Т е м а 15: П л а н ы з а щ и т ы и п л а н ы о б е с п е ч е н и я н е п р е р ы в н о й р а б о т ы и
ВОССТАНОВЛЕНИЯ ПОДСИСТЕМ АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ ............................ 2 12
План защиты информации ............................................ 212
План обеспечения непрерывной работы и восстановления............. 212
Классификация кризисных ситуаций ............................... 212
Меры обеспечения непрерывной работы и восстановления
работоспособности автоматизированной с и с т е м ы .................. 214
Общие требования................................................ 214
Средства обеспечения непрерывной работы и восстановления..... 215
Обязанности и действия персонала по обеспечению непрерывной
работы и восстановлению автоматизированной системы ............216
Обязанности системного инженера по обеспечению непрерывной
работы и восстановлению автоматизированной с и с т е м ы ............218
Р а з д е л II - Т е м а 16: О с н о в н ы е з а д а ч и п о д р а з д е л е н и я о б е с п е ч е н и я б е з о п а с н о с т и
информационных т е х н о л о г и й . О рганизация работ по о б ес печ ен ию безопасности
и н ф о р м а ц и о н н ы х т е х н о л о г и й ....................................................... 2 1 9

Организационная структура, основные функции подразделения


безопасности....................................................... 219
Р а з д е л II - Т е м а 17: К о н ц е п ц и я б е з о п а с н о с т и и н ф о р м а ц и о н н ы х т е х н о л о г и й
предприятия (о р г а н и з а ц и и ) ...................................................... 222
Назначение и статус документа..................................... 222

РАЗДЕЛ III. СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ ОТ


НЕСАНКЦИОНИРОВАННОГО ДОСТУПА 224
Р а з д е л I I I - Т е м а 18: Н а з н а ч е н и е и в о з м о ж н о с т и с р е д с т в з а щ и т ы и н ф о р м а ц и и о т
несанкционированного доступа ................................................... 225
Задачи, решаемые средствами защиты информации от
несанкционированного доступа.......................................225
Р а з д е л I I I - Т е м а 19: Р е к о м е н д а ц и и п о в ы б о р у с р е д с т в з а щ и т ы и н ф о р м а ц и и о т
несанкционированного доступа ................................................... 227
Распределение показателей защищённости по классам для
автоматизированных систем ......................................... 228
Требования руководящих документов ФСТЭК России к средствам защиты
информации от несанкционированного доступа....................... 22 9
Рекомендации по выбору средств защиты информации от
несанкционированного доступа.......................................230
Р а з д е л I I I - Т е м а 20: А п п а р а т н о - п р о г р а м м н ы е с р е д с т в а з а щ и т ы и н ф о р м а ц и и о т
несанкционированного доступа ................................................... 232
Краткий обзор существующих на рынке средств защиты информации от
несанкционированного доступа.......................................232

'- г
Информзащита
У чв би ы н ц ен т р
9

Обзор задач, решаемых средствами аппаратной поддержки систем


защиты информации от несанкционированного доступа................ 243
Существующие средства аппаратной поддержки....................... 24 3
Другие средства и способы аутентификации..........................24 6
Устройства аутентификации на базе смарт-карт и/или USB-токенов 247
eToken ГОСТ......................................................248
Рутокен ......................................................... 250
Аутентификация с использованием одноразовых п а р о л е й ...........251
Аутентификация с использованием пассивных идентификаторов .... 2 52
Биометрическая аутентификация .................................. 253
Комбинированные схемы и многофакторная аутентификация ........ 257
Задача защиты от вмешательства посторонних и аппаратные средства
аутентификации.....................................................258
Р а з д е л I I I - Т е м а 21: Возможности п р и м е н е н и я ш т а т н ы х и д о п о л н и т е л ь н ы х с р е д с т в
з а щ и т ы и н ф о р м а ц и и о т н е с а н к ц и о н и р о в а н н о г о д о с т у п а ...............................2 5 9

Стратегия безопасности Microsoft.................................. 259


Сертифицированные решения Microsoft............................... 2 60
Защита от вмешательства в процесс нормального функционирования АС
и НСД к информации посторонних л и ц ................................ 2 61
Биометрия в Windows 7 ........................................... 2 64
Задача разграничения доступа зарегистрированных пользователей к
ресурсам автоматизированной системы............................... 2 64
Избирательное разграничение д о ступа............................2 64
Полномочное (мандатное) разграничение д о с т у п а ................. 2 64
Разграничение доступа к программному обеспечению в режиме
замкнутой программной с р е д ы .................................... 2 69
Задача регистрации событий, имеющих отношение к безопасности.
Оперативное оповещение о зарегистрированных попытках
несанкционированного доступа...................................... 272
Службы ACS (Audit Collection Services) ........................ 273
Система зашиты информации от несанкционированного доступа
Secret Net 6 .................................................... 275
Подсистема «Аккорд-РАУ».........................................275
Задача защиты от несанкционированной модификации программ и
д а н н ы х ............................................................. 276
Задача защиты данных от несанкционированного копирования и
перехвата средствами шифрования................................... 277
Управление средствами защиты...................................... 278

РАЗДЕЛ IV. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ КОМПЬЮТЕРНЫХ СИСТЕМ И


С Е Т Е Й ................................................... 281
Р а з д е л I V - Т е м а 22: П р о б л е м ы о б е с п е ч е н и я б е з о п а с н о с т и в к о м п ь ю т е р н ы х с и с т е м а х
и с е т я х ......................................................................... 2 82

Типовая корпоративная сеть.........................................282


Уровни информационной инфраструктуры корпоративной с е т и ......... 283
Уязвимости и их классификация..................................... 284
Введение......................................................... 284
Источники возникновения уязвимостей............................ 285
Классификация уязвимостей по уровню в инфраструктуре
автоматизированной системы..................................... 287

J Информзащита
U Учебмми ц ентр
Классификация уязвимостей по степени р и с к а .................... 287
Получение информации по уязвимостям............................ 295
Часто используемые уязвимости («Тор 20») ...................... 297
Классификация а т а к ................................................ 298
Классификация атак по ц е л я м .....................................298
Классификация по местонахождению нарушителя ................... 298
Механизмы реализации а т а к ....................................... 2 99
Примеры а т а к ....................................................... 30 0
Перехват паролей к почтовым я щ и к а м ............................. 300
Определение операционной системы у з л а ..........................301
Атака SynFlood...................................................302
Атака «ARP-Spoofing»............................................ 304
Переполнение буфера............................................. 304
Ошибка обработки WMF-файлов (CVE-2005-4560) ................... 305
Выводы .......................................................... 305
Средства защиты с е т е й ............................................. 306
Р а з д е л I V - Т е м а 23: Н а з н а ч е н и е , в о з м о ж н о с т и , и о с н о в н ы е з а щ и т н ы е м е х а н и з м ы
межсетевых экранов .............................................................. 307
В в е д е н и е ........................................................... 307
МЭ - основные сведения ............................................ 308
Механизмы защиты, реализуемые М Э ............................... 308
Фильтрация сетевого трафика.....................................308
Трансляция адресов.............................................. 30 9
Шифрование трафика.............................................. 311
Классификация М Э ...................................................311
Введение......................................................... 311
Пакетные фильтры................................................ 312
Пакетный фильтр iptables в ОС L i n u x ............................ 313
Достоинства и недостатки пакетных филь т р о в .................... 315
Иллюстрация статичности пакетных ф и л ь т р о в ..................... 316
Шлюзы уровня соединения......................................... 318
Stateful inspection ............................................... 319
Варианты расположения МЭ .......................................... 322
Полит и к а б е з о п а с н о с т и и М Э ............................................. 324
Недостатки М Э ...................................................... 32 6
Общий обзор...................................................... 32 6
Туннелирование...................................................326
Что такое «HoneyNet»? ............................................. 328
Введение......................................................... 328
Назначение и особенности........................................ 328
Типовая схема «HoneyNet»........................................ 32 8
Р а з д е л I V - Т е м а 24: А н а л и з с о д е р ж и м о г о п о ч т о в о г о и W e b - т р а ф и к а (Co n t e n t
S e c u r i t y ) .......................................................................3 31
В в е д е н и е ........................................................... 331
Постановка з а д а ч и ................................................. 331
Электронная п о ч т а ................................................. 331
HTTP - т р а ф и к ...................................................... 332
Варианты решений задачи анализа содержимого ...................... 332
Системы анализа содержимого........................................ 334
Р а з д е л I V - Т е м а 25: В и р т у а л ь н ы е ч а с т н ы е с е т и ................................ 337

Информзащита
11

В в е д е н и е ........................................................... 337
Виды виртуальных частных сетей.................................... 338
Решение на базе ОС Windows 2003 ................................... 339
VPN на основе криптошлюза «Континент-К»...........................339
Угрозы, связанные с использованием V P N ............................ 342
Раздел IV - Тема 2 б : Обнаружение и устранение уязвимостей. Возможности
СКАНЕРОВ БЕЗОПАСНОСТИ........................................................... 344
Контроль эффективности системы защиты............................. 344
Классификация средств анализа защищённости....................... 344
Обзор средств анализа защищённости сетевого уровня ............... 347
Обзор средств анализа защищённости уровня узла ................... 351
Специализированный анализ защищённости............................ 352
Раздел IV - Тема 2 7 : Мониторинг событий безопасности........................ 354
В в е д е н и е ........................................................... 354
Введение в управление журналами событий...........................354
Категории журналов событий.........................................354
Инфраструктура управления журналами событий...................... 355
Способы построения инфраструктуры управления журналами событий .. .357
Реализация инфраструктуры управления журналами событий на основе
протокола syslog .................................................. 357
Инфраструктура «SEM» .............................................. 358
Дополнительные компоненты инфраструктуры управления журналами . . . .359
Средства сбора и анализа сетевого т р афика..................... 35 9
Системы обнаружения атак уровня у з л а ...........................3 60
Дополнительные утилиты и инструменты...........................3 60
Введение в технологию обнаружения а т а к ............................ 3 60
Классификация систем обнаружения а т а к ............................. 363
Классификация по источнику д а н н ы х .............................. 363
Классификация по технологии обнаружения....................... 364
Механизмы реагирования.......................................... 367
Специализированные системы обнаружения а т а к ...................... 369
Список литературы...............................................................371

Информзащита
— центр
Введение в курс «Безопасность
информационных технологий»

Описание курса
Программа учебного курса «БЕЗОПАСНОСТЬ ИНФОРМАЦИОННЫХ
ТЕХНОЛОГИИ» утверждена Федеральной службой по техническому и экспортному
контролю (ФСТЭК России) в качестве программы курсов повышения квалификации и
профессиональной переподготовки руководителей и специалистов подразделений
технической защиты информации.

С л у ш ател и Программа учебного курса ориентирована на:


■ руководителей подразделений технической защиты информации (ТЗИ),
непосредственно отвечающих за состояние безопасности информационных
технологий (ИТ) и организацию работ по созданию комплексных систем
защиты информации в автоматизированных системах (АС);
■ аналитиков по вопросам компьютерной безопасности, отвечающих за
анализ состояния безопасности ИТ, определение требований к
защищённости различных подсистем АС и путей обеспечения их защиты, а
также за разработку необходимых нормативно-методических и
организационно-распорядительных документов по вопросам защиты
информации;
■ администраторов средств защиты, контроля защищённости и
управления безопасностью, отвечающих за сопровождение и
администрирование штатных и дополнительных средств защиты
информации и средств анализа защищённости подсистем АС;
■ менеджеров по работе с конечными пользователями и обслуживающим
персоналом АС, отвечающих за реализацию и контроль исполнения
регламентов безопасной обработки информации в АС.

Информзащита
У i6 n i
13

Содержание курса В рамках курса рассматриваются:


■ теоретические и правовые вопросы защиты информации и обеспечения
безопасности информационных технологий;
■ принципы построения комплексных систем защиты АС;
■ основные направления деятельности служб технической защиты
информации (подразделений обеспечения безопасности ИТ;
■ современная технология обеспечения безопасности ИТ, предусматривающая
рациональное распределение функций и организацию эффективного
взаимодействия по вопросам защиты информации сотрудников всех
подразделений, использующих АС и обеспечивающих её
функционирование;
■ вопросы разработки нормативно-методических и организационно­
распорядительных документов, необходимых для реализации технологии
обеспечения безопасности ИТ;
■ возможности и порядок применения сертифицированных ФСТЭК России и
ФСБ России технических средств разграничения доступа к ресурсам АС и
средств обеспечения безопасности в компьютерных системах и сетях.

Необходимая Для лучшего усвоения материала курса слушателям желательно иметь


базовая подготовка представление о современных информационных технологиях и
автоматизированных системах управления, о правовых, организационных и
технических аспектах проблемы обеспечения безопасности ИТ.

Й5
Информзащита
Приобретаемые В ходе изучения курса слушатели приобретают знания и практические навыки
знания и навыки по:
■ основам обеспечения безопасности информационных
технологий, современным концепциям построения и
эффективного применения комплексных систем защиты
информации в АС;
■ современным методам и средствам технической защиты
информации, подходам к выбору необходимых программно­
аппаратных средств защиты информации в АС и сетях;
■ планированию защиты, рациональному распределению функций
по ТЗИ между подразделениями и сотрудниками предприятия,
по организации их взаимодействия на различных этапах
жизненного цикла подсистем АС;
■ основам проведения информационных обследований и анализа
подсистем АС как объектов защиты;
■ разработке организационно-распорядительных документов по
вопросам защиты информации;
■ порядку применения средств защиты информации от
несанкционированного доступа (СЗИ НСД);
■ проблемам информационной безопасности в сетях
Internet/Intranet, уязвимостям сетевых протоколов и служб,
атакам в 1Р-сетях;
■ межсетевым экранам, средствам анализа защищённости,
средствам обнаружения атак, порядку их применения для
обнаружения и устранения уязвимостей в информационных
системах и обеспечения безопасности в IP-сетях;
■ основам поиска и использования оперативной информации о
новых уязвимостях в системном и прикладном программном
обеспечении, о средствах защиты, и другой актуальной
информации по обеспечению безопасности ИТ.

Информзащита
15

Структура курса

День 1 Раздел I. Основы безопасности информационных технологий


Тема 1: Актуальность проблемы обеспечения безопасности информационных
технологий.
Тема 2: Основные понятия в области безопасности информационных
технологий.
Тема 3: Угрозы безопасности информационных технологий.
Тема 4: Виды мер и основные принципы обеспечения безопасности
информационных технологий.

День 2 Тема 5: Правовые основы обеспечения безопасности информационных


технологий.
Тема 6: Государственная система защиты информации.
Тема 7: Основные защитные механизмы, реализуемые в рамках различных мер
и средств защиты.

День 3 Раздел II. Обеспечение безопасности информационных технологий


Тема 8: Организационная структура системы обеспечения безопасности
информационных технологий.
Тема 9: Обязанности конечных пользователей и ответственных за обеспечение
безопасности информационных технологий в подразделениях.
Тема 10: Документы, регламентирующие правила парольной и антивирусной
защиты.
Тема 11: Документы, регламентирующие порядок допуска к работе и изменения
полномочий пользователей автоматизированной системы.
Тема 12: Документы, регламентирующие порядок изменения конфигурации
аппаратно-программных средств автоматизированной системы.
Тема 13: Регламентация процессов разработки, испытания, опытной
эксплуатации, внедрения и сопровождения задач.
Тема 14: Определение требований к защите и категорирование ресурсов.
Проведение информационных обследований и анализ подсистем
автоматизированной системы как объекта защиты.

Информзащита
—^
День 4 Тема 15: Планы защиты и планы обеспечения непрерывной работы и
восстановления подсистем автоматизированной системы.
Тема 16: Основные задачи подразделений обеспечения безопасности
информационных технологий. Организация работ по обеспечению
безопасности информационных технологий.
Тема 17: Концепция безопасности информационных технологий предприятия
(организации).
Раздел III. Средства защиты информации от несанкционированного
доступа
Тема 18: Назначение и возможности средств защиты информации от
несанкционированного доступа.
Тема 19: Рекомендации по выбору средств защиты информации от
несанкционированного доступа.
Тема 20: Аппаратно-программные средства защиты информации от
несанкционированного доступа.
Тема 21: Возможности применения штатных и дополнительных средств защиты
информации от несанкционированного доступа.

День 5 Раздел IV. Обеспечение безопасности компьютерных систем и сетей


Тема 22: Проблемы обеспечения безопасности в компьютерных системах и
сетях.
Тема 23: Назначение, возможности и основные защитные механизмы
межсетевых экранов.
Тема 24: Анализ содержимого почтового и Web-трафика (Content Security).
Тема 25: Виртуальные частные сети.
Тема 26: Обнаружение и устранение уязвимостей. Возможности сканеров
уязвимостей.
Тема 27: Мониторинг событий безопасности.
Итоговое занятие (зачёт)

Информзащита
Учебным ц ентр
Раздел I .
Основы безопасности
информационных технологий

Тема 1: Актуальность проблемы обеспечения безопасности


информационных технологий.
Тема 2: Основны е понятия в области безопасности
информационных технологий.
Тема 3: Угрозы безопасности информационных технологий.
Тема 4: Виды мер и основные принципы обеспечения
безопасности информационных технологий.
Тема 5: Правовые основы обеспечения безопасности
информационных технологий.
Тема 6: Государственная система защиты информации.
Тема 7: Основны е защитные механизмы, реализуемые в
рамках различных мер и средств защиты.

Информзащита
Раздел I - Тема 1:
Актуальность проблемы обеспечения
безопасности информационных технологий

Место и роль информационных систем в управлении


бизнес-процессами
Информационные технологии, основанные на последних достижениях в области
вычислительной техники и связи, находят все более широкое применение буквально во
всех сферах нашей жизни и деятельности. В отличие от индустриальных технологий, где
основным объектом переработки является сырье и материалы, информационные
технологии потребляют и перерабатывают информацию. С развитием ИТ объёмы
обрабатываемой и передаваемой информации, как в абсолютных величинах, так и по
отношению к объёмам обработки сырья и материалов в индустриальных технологиях,
непрерывно возрастают. В связи с этим многие специалисты даже говорят о переходе к
новой качественной ступени развития - информационному обществу.
Почему же современные компьютеры и средства телекоммуникации так широко
востребованы? Что такое они умеют делать, что становятся необходимыми практически
везде? Чаще всего приходится слышать ответ, что компьютеры позволяют
автоматизировать умственный труд. Но разве физический труд они не позволяют
автоматизировать (или автоматизировать его в большей степени)? Что это за такой
«умственный труд»?
Ответ на все эти вопросы очень прост. Компьютерные технологии позволяют
автоматизировать процессы управления (умственный труд по управлению - по принятию
решений в конкретных ситуациях на основе имеющейся информации). А поскольку
управление необходимо везде, всегда и всем, то и средства автоматизации управления
применяются повсеместно. Автоматизация на основе современных ИТ позволяет
принимать решения более оперативно и обоснованно, позволяет учитывать при принятии
управленческих решений больший объем сведений, тем самым, повышая качество и
эффективность управления. Управления чем бы то ни было, —от отдельных узлов и
агрегатов, например, в автомобилях, деятельностью отдельных людей, технологическими
процессами на производстве, бизнес процессами компаний, экономическими и
социально-политическими процессами в обществе.
Отсюда и все возрастающее внимание к защите применяемых для автоматизации
управления информационных технологий и непосредственно информации. Любые
нарушения и неполадки в работе информационных систем (ИС), систем обработки и
передачи информации, - и, как следствие, снижение качества или полная потеря
управления критичными процессами со всеми вытекающими убытками и потерями.
Если посмотреть внимательнее, то можно увидеть, что любая информационная система,
как бы она не называлась, всегда является частью соответствующей системы управления.
А любая автоматизированная информационная система (АИС) - частью
автоматизированной системы управления (АСУ).
Любое фундаментальное техническое или технологическое новшество, предоставляя
возможности для решения одних социальных проблем и открывая широкие перспективы
для развития личности и общества, всегда вызывает обострение старых или порождает
новые, ранее неизвестные проблемы, становится источником новых потенциальных
опасностей.

Информзащита
Учебным центр
19

Без должного внимания к вопросам обеспечения безопасности последствия перехода


общества к новым технологиям могут быть катастрофическими для него и его граждан.
Именно так обстоит дело в области атомных, химических и других экологически опасных
технологий, в сфере транспорта. Аналогично обстоит депо и с информатизацией
общества.
Неправомерное искажение или фальсификация, уничтожение или разглашение
определённой части информации, равно как и дезорганизация процессов её обработки и
передачи в информационно-управляющих системах наносят серьёзный материальный и
моральный урон многим субъектам (государству, юридическим и физическим лицам),
участвующим в процессах автоматизированного информационного взаимодействия.
Жизненно важные интересы этих субъектов, как правило, заключаются в том, чтобы
определённая часть информации, касающаяся их экономических, политических и других
сторон деятельности, конфиденциальная коммерческая и персональная информация,
была бы постоянно легко доступна и в то же время надёжно защищена от
неправомерного её использования: нежелательного разглашения, фальсификации,
незаконного тиражирования, блокирования или уничтожения.
Имеются веские основания полагать, что применяемые в настоящее время большинством
организаций меры не обеспечивают необходимого уровня безопасности субъектов,
участвующих в процессе информационного взаимодействия, и не способны в
необходимой степени противостоять разного рода воздействиям с целью доступа к
критичной информации и дезорганизации работы автоматизированных систем.
К сожалению, как и любое другое достижение человеческого гения, компьютер, решая
одни технические, экономические и социальные проблемы, одновременно порождает и
другие, порою не менее сложные. Если в должной мере не позаботиться о нейтрализации
сопутствующих прогрессу негативных факторов, то эффект от внедрения новейших
достижений науки и техники может оказаться в целом отрицательным.
Основные причины обострения проблемы обеспечения
безопасности информационных технологий
Актуальность проблемы защиты информационных технологий в современных условиях
определяется следующими основными факторами:
■ обострением противоречий между объективно существующими
потребностями общества в расширении свободного обмена информацией и
чрезмерными или наоборот недостаточными ограничениями на её
распространение и использование;
■ расширением сферы использования электронно-вычислительных машин
(ЭВМ), многообразием и повсеместным распространением информационно-
управляющих систем, высокими темпами увеличения парка средств
вычислительной техники (СВТ) и связи;
■ повышением уровня доверия к автоматизированным системам управления и
обработки информации, использованием их в критических областях
деятельности;
■ вовлечением в процесс информационного взаимодействия все большего
числа людей и организаций, резким возрастанием их информационных
потребностей, наличием интенсивного обмена информацией между
участниками этого процесса;
■ концентрацией больших объёмов информации различного назначения и
принадлежности на электронных носителях;

Информзащита
—^
■ количественным и качественным совершенствованием способов доступа
пользователей к информационным ресурсам;
■ отношением к информации, как к товару, переходом к рыночным
отношениям в области предоставления информационных услуг;
■ многообразием видов угроз и возникновением новых возможных каналов
несанкционированного доступа к информации;
■ ростом числа квалифицированных пользователей вычислительной техники и
возможностей по созданию ими нежелательных программно­
математических воздействий на системы обработки информации;
■ увеличением потерь (ущерба) от уничтожения, фальсификации, разглашения
или незаконного тиражирования информации (возрастанием уязвимости
различных затрагиваемых субъектов);
■ развитием рыночных отношений в сфере информационных технологий (в
области разработки, поставки, обслуживания вычислительной техники,
разработки программных средств, в том числе средств защиты).
Острота проблемы обеспечения безопасности субъектов информационных отношений,
защиты их законных интересов при использовании информационных и управляющих
систем, хранящейся и обрабатываемой в них информации все более возрастает. Этому
есть целый ряд объективных причин.
Прежде всего - это расширение сферы применения средств вычислительной техники
и возросший уровень доверия к автоматизированным системам управления и
обработки информации. Компьютерным системам доверяют самую ответственную
работу, от качества выполнения которой зависит жизнь и благосостояние многих людей.
Автоматизированные системы управляют технологическими процессами на
предприятиях и атомных электростанциях, управляют движением самолётов и поездов,
выполняют финансовые операции, обрабатывают секретную и конфиденциальную
информацию.
Изменился подход и к самому понятию «информация». Этот термин все чаще
используется для обозначения особого товара, стоимость которого зачастую превосходит
стоимость автоматизированной системы, в рамках которой он существует.
Осуществляется переход к рыночным отношениям в области создания и предоставления
информационных услуг, с присущей этим отношениям конкуренцией и промышленным
шпионажем.
Проблема зашиты автоматизированных систем становится ещё более серьёзной и в связи
с развитием и распространением информационно-телекоммуникационных сетей,
территориально распределённых систем и систем с удалённым доступом к совместно
используемым ресурсам.
Доступность средств вычислительной техники и, прежде всего, персональных ЭВМ
привела к распространению компьютерной грамотности в широких слоях населения,
что закономерно, привело к увеличению числа попыток неправомерного вмешательства в
работу государственных и коммерческих автоматизированных систем, как со злым
умыслом, так и чисто «из спортивного интереса». К сожалению, многие из этих попыток
имеют успех и наносят значительный урон всем заинтересованным субъектам
информационных отношений.
Отставание в области создания стройной и непротиворечивой системы законодательно­
правового регулирования отношений в сфере накопления, использования и защиты
информации создаёт условия для возникновения и широкого распространения
«компьютерного хулиганства» и «компьютерной преступности».

Информзащита
Учебным иемтр
21

Ещё одним весомым аргументом в пользу усиления внимания к вопросам безопасности


автоматизированных систем является бурное развитие и широкое распространение
так называемых компьютерных вирусов, способных скрытно существовать в системе и
совершать потенциально любые несанкционированные действия.
Особую опасность для компьютерных систем представляют злоумышленники,
специалисты - профессионалы в области вычислительной техники и
программирования, досконально знающие все достоинства и слабые места
автоматизированных систем и располагающие подробнейшей документацией и самыми
совершенными инструментальными и технологическими средствами для анализа и
взлома механизмов защиты.
С развитием возможностей новых информационных технологий мы «поручаем»
компьютерным системам решение все более объёмных, сложных, важных и все более
ответственных задач, и ... попадаем в ещё большую зависимость от соответствующих
АС. Нетрудно понять, что при таком развитии событий актуальность проблемы
обеспечения безопасности применяемых информационных технологий в дальнейшем
будет все время только возрастать.
Исследование в области информационной безопасности, проведённое консалтинговой
компанией «Ernst & Young» в России и странах СНГ, показало, что более 65% российских
компаний столкнулись с нарушениями информационной безопасности. В 50% случаев
нарушения информационной безопасности связаны с хакерскими атаками, в том числе с
проникновением в информационную систему извне; с несанкционированным доступом
изнутри компании; с атаками, имеющими целью вызвать отказ в обслуживании; с
саботажем; с финансовым мошенничеством и хищением коммерческой информации.
Проблема обеспечения безопасности информационных технологий относится к числу
трудноразрешимых. Это связано со следующими объективными обстоятельствами:
■ недостаточным (неадекватным реалиям) пониманием необходимости
защиты используемых информационных технологий;
■ высокой степенью неопределённости рисков, связанных с применением
новейших ИТ;
■ высокой сложностью АС как объектов защиты;
■ необходимостью комплексного подхода к защите ИТ с учётом их серьёзной
зависимости от человеческого фактора;
■ сложностью разрешения конфликтов интересов между различными
категориями субъектов (собственниками информационных систем,
системными и сетевыми администраторами, администраторами
безопасности, пользователями, обслуживающим персоналом систем и
менеджерами различных уровней);
■ отставанием методов и средств защиты от развития информационных
технологий, а также от развития методов и средств нападения;
■ недостатком квалифицированных специалистов в сфере компьютерной
безопасности и низким уровнем компьютерной культуры пользователей
(слабой осведомлённостью последних в вопросах безопасности ИТ).
Защита информационных технологий как процесс управления рисками.
Сложность количественной оценки рисков
Следует помнить, что создать абсолютно непреодолимую систему защиты
принципиально невозможно. Пока информация находится в обращении, принимаемые
меры могут только снизить вероятность негативных воздействий или ущерб от них, но не
исключить их полностью. При достаточном количестве времени и средств можно

Информзащита
Учв&ньм ц ентр
преодолеть любую защиту. Поэтому имеет смысл рассматривать некоторый приемлемый
уровень обеспечения безопасности соответствующий существующим угрозам (рискам).
Суть защиты ресурсов корпоративных сетей —есть управление рисками, связанных с
использованием этих сетей.
Что же такое риск?
Мы уже уточнили, что угроза - это нежелательное событие, наносящее ущерб субъектам.
Риск - это оценка опасности определённой угрозы. Риск выражает вероятностно­
стоимостную оценку возможных потерь (ущерба) и характеризуется:
■ вероятностью успешной реализации угрозы А,;
■ стоимостью потерь (ущерба) в случае реализации угрозы В,.
Стоимостную составляющую информационной безопасности хорошо иллюстрирует
упрощённая формула оценки издержек, связывающая количественные характеристики
рисков, стоимость реализации мер защиты и суммарные издержки.

ОБОБЩЕННАЯ ОЦЕНКА ИЗДЕРЖЕК

R Rmax

п - количество рисков (угроз)


А - вероятностная оценка риска (0-1)
В - стоимостная оценка риска ($)
С - стоимость реализации мер защиты ($)
R - суммарные издержки ($)
R m ax - допустимые издержки ($)

Анализ рисков состоит в том, чтобы выявить существующие угрозы и оценить их


опасность (дать им количественную или качественную оценку). На этапе анализа рисков
должны быть выявлены все значимые угрозы, то есть угрозы с большой частотой
(вероятностью) реализации и/или приводящие к существенным (ощутимым) потерям.
Управление рисками заключается в принятии мер защиты (контрмер), направленных на
снижение частоты успешной реализации угроз и/или на снижение размера ущерба в
случае их реализации. При этом защитные меры выбираются на основе принципа
разумной достаточности (экономической целесообразности, сопоставимости возможного
ущерба и затрат на защиту) исходя из минимизации общих издержек - затрат на защиту
плюс остаточных потерь от угроз.
Известно два основных подхода к анализу рисков - качественный и количественный.
Наиболее привлекательным, на первый взгляд, является количественный подход,
позволяющий сравнивать защищённость различных систем. К сожалению, имеются
сложности его внедрения, связанные с:
■ отсутствием достоверной статистики в быстро меняющемся мире ИТ;

Информзащита
23

■ трудностью оценки ущерба по нематериальным активам (репутация,


конфиденциальность сведений, идеи, бизнес-планы, здоровье персонала);
■ трудностью оценки всех косвенных потерь от реализации угроз;
■ обесцениванием результатов длительной количественной оценки рисков из-
за постоянной модификации и реконфигурации АИС.
Поэтому в основном для анализа рисков в настоящее время используется качественный
подход, предусматривающий простое ранжирование угроз и связанных с ними рисков по
степени их опасности.
Существует несколько вариантов противодействия выявленным рискам (угрозам).
Первый из них связан с признанием допустимости риска от конкретной угрозы,
например, если вероятность реализации угрозы ничтожна мала или затраты на защиту от
неё катастрофически велики.
Второй вариант действий предусматривает частичную передачу ответственности за
инциденты в сфере безопасности ИТ сторонней организации, например страховой
компании.
Третий и основной вариант действий связан с проведением комплекса мероприятий (мер
противодействия), позволяющих либо уменьшить риск до разумных величин, либо
полностью исключить его.
Основными этапами анализа и управления рисками являются:
■ определение границ системы и методологии оценки рисков;
■ идентификация и оценка информационных ресурсов системы (ценностей);
■ идентификация угроз и оценка вероятностей их реализации;
■ определение риска и выбор средств защиты;
■ внедрение средств защиты и оценка остаточного риска.
При выборе метода оценки целесообразности затрат на обеспечение безопасности ИТ
необходимо чётко представлять преследуемые цели:
во-первых - метод должен обеспечивать количественную оценку затрат на безопасность
ИТ, используя качественные показатели оценки вероятностей событий и их последствий;
во-вторых —метод должен быть прозрачен с точки зрения пользователя, и давать
возможность вводить собственные эмпирические данные;
в-третьих - метод должен быть универсален, то есть одинаково применим к оценке затрат
на приобретение аппаратных средств, специализированного и универсального
программного обеспечения, затрат на услуги, затрат на перемещение персонала и
обучение конечных пользователей и т.д.;
в-четвертых - метод должен позволять моделировать ситуацию, при которой существует
несколько контрмер, направленных на предотвращение определённых угроз, в разной
степени влияющих на сокращение вероятности происшествия.
Затраты, связанные с безопасность ИТ, подразделяются на несколько категорий:
1. Затраты на формирование и поддержание звена управления системой защиты
информации (организационные затраты);
2. Затраты на контроль (определение и подтверждение достигнутого уровня
защищённости ресурсов АИС);

I Информзащита
— Учебным центр
3. Внутренние затраты на ликвидацию последствий нарушений политики безопасности
ИТ (затраты, понесённые в результате того, что требуемый уровень защищённости не
был достигнут);
4. Внешние затраты на ликвидацию последствий нарушения политики безопасности
ИТ;
5. Затраты на техническое обслуживание системы безопасности ИТ и мероприятия по
предотвращению нарушений политики безопасности ИТ (предупредительные
мероприятия).
Затраты на формирование и под держание звена управления системой защиты
информации (организационные затраты):
■ затраты на формирование политики безопасности ИТ;
■ затраты на приобретение и ввод в эксплуатацию программно-технических
средств (серверов, компьютеров конечных пользователей (настольных и
мобильных), периферийных устройств и сетевых компонентов;
■ затраты на приобретение и настройку средств защиты информации;
■ затраты на содержание персонала, стоимость работ и аутсорсинг.
Затраты на контроль (определение и подтверждение достигнутого уровня защищённости
ресурсов АИС):
■ контроль за соблюдением политики безопасности ИТ:
- затраты на контроль реализации функций, обеспечивающих управление
безопасностью ИТ;
- затраты на организацию взаимодействия между подразделениями для
решения конкретных задач по обеспечению безопасности ИТ;
- затраты на проведение аудита безопасности по каждой части АС;
- материально-техническое обеспечение системы контроля доступа к
объектам и ресурсам;
■ плановые проверки и испытания:
- затраты на проверки и испытания средств защиты информации;
- затраты на проверку навыков эксплуатации средств защиты персоналом;
- затраты на обеспечение работы лиц, ответственных за реализацию
конкретных процедур безопасности по подразделениям;
- оплата работ по контролю правильности ввода данных в прикладных
системах;
- оплата инспекторов по контролю требований, предъявляемых к
средствам защиты при разработке систем (контроль на стадии
проектирования и спецификации требований);
■ внеплановые проверки и испытания:
- оплата работы испытательного персонала специализированных
организаций;
- обеспечение испытательного персонала материально-техническими
средствами;
■ затраты на внешний аудит:

Информзащита
25

- затраты на контрольно-проверочные мероприятия, связанные с


лицензионно-разрешительной деятельностью в сфере безопасности ИТ.
Внутренние затраты на ликвидацию последствий нарушений политики безопасности ИТ
(затраты, понесённые в результате того, что требуемый уровень защищённости не был
достигнут):
■ пересмотр политики безопасности ИТ (проводится периодически):
- затраты на идентификацию угроз безопасностью ИТ;
- затраты на поиск уязвимостей системы безопасности ИТ;
- оплата специалистов, выполняющих работы по определению
возможного ущерба и переоценки степени риска;
■ затраты на ликвидацию последствий нарушения режима безопасности:
- восстановление системы безопасности ИТ до соответствия требованиям
политики безопасности;
- установка патчей или приобретение последних версий программных
средств защиты информации;
- приобретение технических средств взамен, пришедших в негодность;
- проведение дополнительных испытаний и проверок технологических
информационных систем;
- затраты на утилизацию скомпрометированных ресурсов;
■ восстановление информационных ресурсов:
- затраты на восстановление баз данных и прочих информационных
массивов;
- затраты на проведение мероприятий по контролю достоверности данных,
подвергшихся атаке на целостность;
■ затраты на выявление причин нарушения политики безопасности:
- затраты на проведение расследований нарушений политики
безопасности ИТ (сбор данных о способах совершения, механизме и
способах сокрытия неправомерного деяния, поиск следов, орудий,
предметов посягательства, выявление мотивов неправомерных действий
и т.д.);
- затраты на обновление планов обеспечения непрерывности деятельности
службы безопасности;
■ затраты на переделки:
- затраты на внедрение дополнительных средств защиты, требующих
существенной перестройки системы безопасности ИТ;
- затраты на повторные проверки и испытания системы безопасности ИТ.
Внешние затраты на ликвидацию последствий нарушения политики безопасности ИТ:
■ внешние затраты на ликвидацию последствий нарушения политики
безопасности ИТ:
- обязательства перед государством и партнёрами;
- затраты на юридические споры и выплаты компенсаций;
- потери в результате разрыва деловых отношений с партнёрами;

Информзащита
У чеб н ы й ц е н т р
26

■ потери новаторства:
- затраты на проведение дополнительных исследований и разработки
новой рыночной стратегии;
- отказ от организационных, научно-технических или коммерческих
решений, ставших неэффективными в результате утечки сведений, и
затраты на разработку новых средств ведения конкурентной борьбы;
- потери от снижения приоритета в научных исследованиях и
невозможности патентования и продажи лицензий на научно­
технические достижения;
■ прочие затраты:
- заработная плата секретарей и служащих, организационные и прочие
расходы, которые непосредственно связаны с предупредительными
мероприятиями;
- другие виды возможного ущерба, в том числе связанные с
невозможностью выполнения функциональных задач.
Затраты на техническое обслуживание системы безопасности ИТ и мероприятия по
предотвращению нарушений политики безопасности ИТ (предупредительные
мероприятия):
■ затраты на управление системой безопасности ИТ:
- затраты на планирование системы безопасности ИТ;
- затраты на изучение возможностей инфраструктуры по обеспечению
безопасности ИТ;
- затраты на техническую поддержку персонала при внедрении средств
защиты информации и процедур, а также планов по безопасности ИТ;
- проверка сотрудников на лояльность, выявление угроз безопасности ИТ;
- организация системы допуска исполнителей и сотрудников к
защищаемым ресурсам;
■ регламентное обслуживание средств защиты информации:
- затраты, связанные с обслуживанием и настройкой программно­
технических средств защиты информации, ОС и сетевого оборудования;
- затраты, связанные с организацией сетевого взаимодействия и
безопасного использования ИС;
- затраты на поддержание системы резервного копирования и ведения
архива данных;
- проведение инженерно-технических работ по установлению
сигнализации, оборудованию хранилищ конфиденциальных документов,
защите телефонных линий связи, СВТ и т.п.;
■ аудит системы безопасности ИТ:
- затраты на контроль изменений состояния информационной среды;
- затраты на систему контроля за действиями исполнителей;
■ обеспечение соответствия используемых ИТ заданным требованиям:
- затраты на обеспечение соответствия используемых ИТ требованиям по
безопасности, совместимости и надёжности, в том числе анализ

Информзащита
27

возможных негативных аспектов ИТ, которые влияют на целостность и


доступность;
- затраты на доставку (обмен) конфиденциальной информации;
- удовлетворение субъективных требований пользователей (стиль,
удобство интерфейса и др.);
■ обеспечение требований стандартов:
- затраты на обеспечение соответствия принятым стандартам и
требованиям;
■ обучение персонала:
- повышение квалификации сотрудников по вопросам использования
имеющихся средств защиты, выявления и предотвращения угроз
безопасности ИТ;
- развитие нормативной базы и технической оснащённости подразделения
безопасности.
Как видим, высокоэффективная система защиты стоит дорого, использует при работе
существенную часть ресурсов компьютерной системы. Излишние меры безопасности,
помимо экономической неэффективности, приводят к созданию дополнительных
неудобств и раздражению персонала. Важно правильно выбрать тот достаточный уровень
защиты, при котором затраты на контрмеры и размер возможного ущерба были бы
приемлемыми.
Особенности современных автоматизированных систем
как объектов защиты
Большинство современных автоматизированных систем обработки информации в общем
случае представляет собой территориально распределённые системы интенсивно
взаимодействующих (синхронизирующихся) между собой по данным (ресурсам) и
управлению (событиям) локальных вычислительных сетей (ЛВС) и отдельных ЭВМ.
В распределённых АС возможны все «традиционные» для локально расположенных
(централизованных) вычислительных систем способы несанкционированного
вмешательства в их работу и доступа к информации. Кроме того, для них характерны и
новые специфические каналы проникновения в систему и несанкционированного доступа
к информации, наличие которых объясняется целым рядом их особенностей.
Перечислим основные особенности распределённых АС:
■ территориальная разнесенность компонентов системы и наличие
интенсивного обмена информацией между ними;
■ широкий спектр используемых способов представления, хранения и
протоколов передачи информации;
■ интеграция данных различного назначения, принадлежащих различным
субъектам, в рамках единых баз данных и, наоборот, размещение
необходимых некоторым субъектам данных в различных удаленных узлах
сети;
■ абстрагирование владельцев данных от физических структур и места
размещения данных;
■ использование режимов распределенной обработки данных;
■ участие в процессе автоматизированной обработки информации большого
количества пользователей и персонала различных категорий;

Информзащита
У ч е б н и к ц ентр
■ непосредственный и одновременный доступ к ресурсам (в том числе и
информационным) большого числа пользователей (субъектов) различных
категорий;
■ высокая степень разнородности используемых средств вычислительной
техники и связи, а также их программного обеспечения;
■ отсутствие специальных средств защиты в большинстве типов технических
средств, широко используемых в АС.
Трудности решения практических задач обеспечения безопасности конкретных АС
связаны с отсутствием развитой стройной теории и необходимых научно-технических и
методических основ обеспечения защиты информации в современных условиях.

Информзащита
У ч е б » ^ ж центр
29

Раздел I - Тема 2:
Основные понятия в области безопасности
информационных технологий

Прежде всего, необходимо понять, что же такое безопасность информационных


технологий, определить что (кого), от чего (от кого), почему (зачем) и как (в какой
степени и какими средствами) надо защищать. Только получив чёткие ответы на
данные вопросы, можно правильно сформулировать общие требования к системе
обеспечения безопасности ИТ и переходить к обсуждению вопросов построения
соответствующих систем защиты.
Что такое безопасность информационных технологий
Что же такое безопасность и безопасность ИТ в частности? Очень часто говорят, что
безопасность это отсутствие опасностей. Это не совсем правильно, так как полностью
устранить все возможные опасности нельзя. Безопасность - это защищённость от
опасностей. Точнее, безопасность - это защищённость от возможного ущерба,
наносимого при реализации этих опасностей (угроз).
Наносимый при осуществлении угроз ущерб может быть материальным, моральным или
физическим. Наноситься этот ущерб может напрямую или косвенно. Субъектами
нанесения ущерба, в конечном счёте, всегда являются люди. Даже если пострадают
материальные объекты или информационные ресурсы, ущерб (косвенный) в итоге будет
причинён людям, каким-либо образом, связанным с этими объектами или
заинтересованным в их сохранности и целостности. Самим этим объектам (ресурсам) -
все равно. Они не живые, у них нет своих интересов. Но от них зависят люди, которым
повреждения этих объектов (ресурсов) могут быть далеко небезразличны.
Реальность такова, что чем с большим числом объектов нас что-то связывает, тем в
большей опасности для косвенного нанесения нам ущерба мы находимся.
Если мы заинтересованы в надлежащей работе АС, то косвенный ущерб нашим
интересам может быть нанесён путём нарушения нормального функционирования этих
систем или нарушения необходимых нам свойств отдельных компонентов и ресурсов АС.
Причём, среди таких компонентов не только информация, но и её носители (устройства
хранения, обработки, передачи данных), а также процессы обработки и передачи
информации.
Под автоматизированной системой обработки информации будем понимать
организационно-техническую систему, представляющую собой совокупность следующих
взаимосвязанных компонентов:
■ технических средств обработки и передачи данных (средств вычислительной
техники и связи);
■ методов и алгоритмов обработки данных в виде программного обеспечения;
■ информации (массивов, наборов, баз данных) на различных носителях;
■ обслуживающего персонала и пользователей системы,
объединённых по организационно-структурному, тематическому, технологическому или
другим признакам для выполнения автоматизированной обработки информации (данных)
с целью удовлетворения информационных потребностей субъектов информационных
отношений (см. Рис. 1.2.1).

Информзащита
А В Т О М А Т И ЗИ РО В А Н Н А Я С И С ТЕМ А

Обслуживающий Конечные
персонал пользователи

Т ехнические средства
Г*
П1 ■tm . Программное обеспечение

Данные (информация)

Рис. 1.2.1. Основные компоненты автоматизированной системы

Под обработкой информации в АС будем понимать любую совокупность операций


(приём, накопление, хранение, преобразование, отображение, передача и т.п.),
осуществляемых над информацией (сведениями, данными) с использованием средств АС.
Информация и информационные отношения
Под информацией будем понимать сведения о фактах, событиях, процессах и явлениях, о
состоянии объектов (об их свойствах, характеристиках) в некоторой предметной области,
необходимые для оптимизации принимаемых решений в процессе управления этими
объектами.
Информационные ресурсы —отдельные документы и отдельные массивы документов,
документы и массивы документов в информационных системах (библиотеках, архивах,
фондах, банках данных, других информационных системах).
Отметим некоторые, важные для нас свойства информации:
■ существование в виде данных (в кодированном виде).
Информация может существовать в различных формах в виде совокупностей
некоторых кодовых знаков (символов, знаков, сигналов и т.п.) на носителях
различных типов. Информация - это смысл (семантика), а данные - это код -
носитель смысла (синтаксис). Информация существует в виде данных, то
есть всегда закодирована;
■ неисчерпаемость ресурса (при копировании информации ничего не
убывает);
■ потенциальная полезность при монопольном владении, позволяющая
получить определённую выгоду в экономической, политической, военной

Информзащита
У чеб и ьм центр
31

или иной области (отсюда и смысл введения ограничений на


распространение данной информации, то есть - тайны).
Субъекты информационных отношений, их безопасность
В дальнейшем под субъектами информационных отношений будем понимать:
■ государство (в целом или отдельные его ведомства, органы и организации);

общественные или коммерческие организации (объединения) и предприятия


(юридические лица),

отдельных граждан (физические лица).

В процессе своей деятельности субъекты могут находиться друг с другом в разного рода
отношениях, в том числе, касающихся вопросов получения, хранения, обработки,
распространения и использования определённой информации. Такие отношения между
субъектами будем называть информационными отношениями, а самих участвующих в
них субъектов —субъектами информационных отношений.
Различные субъекты по отношению к определённой информации могут (возможно,
одновременно) выступать в качестве (в роли):
■ источников (поставщиков) информации;
■ потребителей (пользователей) информации;
■ собственников, владельцев, обладателей, распорядителей информации и
систем ее обработки;
■ физических и юридических лиц, о которых собирается информация;
■ участников процессов обработки и передачи информации и т.д.
Для успешного осуществления своей деятельности по управлению объектами некоторой
предметной области субъекты информационных отношений могут быть заинтересованы
в обеспечении:
■ своеврем енного дост упа (за приемлемое для них время) к необходимой им
информации и определенным автоматизированным службам (услугам);
■ конфиденциальности (сохранения в тайне) определенной части
информации;
■ достоверности (полноты, точности, адекватности, целостности)
информации и защиты от навязывания им ложной (недостоверной,
искаженной) информации (то есть от дезинформации);
■ защиты части информации от незаконного ее тиражирования (защиты
авторских прав, прав интеллектуальной собственности, прав собственника
информации);
■ разграничения ответственности за нарушения законных прав (интересов)
других субъектов информационных отношений и установленных правил
обращения с информацией;
■ возможности осуществления непрерывного контроля и управления
процессами обработки и передачи информации и т.д.
Будучи заинтересованным в обеспечении хотя бы одного из вышеназванных свойств и
возможностей, субъект информационных отношений является уязвимым, то есть

Jl Информзащита
потенциально подверженным нанесению ему ущерба (прямого или косвенного,
морального или материального) посредством воздействия на критичную для него
информацию, её носители и процессы её обработки либо посредством неправомерного
использования такой информации.
Поэтому все субъекты информационных отношений в той или иной степени
(в зависимости от размеров ущерба, который им может быть нанесён) заинтересованы
в обеспечении своей информационной безопасности.
Об этом же самом, только другими словами, сказано в первой части стандарта
ГОСТ Р ИСО/МЭК 15408-2008 «Информационная технология. Методы обеспечения
безопасности. Критерии оценки безопасности информационных технологий»
(см. Рис. 1.3.2).

Рис. 1.3.2. Понятия безопасности и их взаимосвязь (ГОСТ Р ИСО/МЭК 15408-1-2008)

Для обеспечения законных прав и удовлетворения перечисленных выше интересов


субъектов информационных отношений (т.е. обеспечения информационной безопасности
субъектов) необходимо постоянно поддерживать (обеспечивать, защищать) следующие
необходимые субъектам свойства информации и систем её обработки:
■ доступность информации - такое свойство системы (средств и технологий
обработки, инфраструктуры, в которой циркулирует информация), которое
характеризует способность обеспечивать своевременный доступ субъектов к
интересующей их информации и соответствующим автоматизированным

Информзащита
службам всегда, когда в обращении к ним возникает необходимость
(готовность к обслуживанию поступающих от субъектов запросов);
■ целостность информации —такое свойство информации, которое
заключается в ее существовании в неискаженном виде (неизменном по
отношению к некоторому фиксированному ее состоянию).
Точнее говоря, субъектов интересует обеспечение более широкого
свойства - достоверности информации, которое складывается из
адекватности (полноты и точности) отображения состояния предметной
области и непосредственно целостности информации, то есть ее
неискаженности. Однако, мы ограничимся только рассмотрением вопросов
обеспечения целостности информации, так как вопросы адекватности
отображения выходят далеко за рамки проблемы безопасности ИТ;
■ конфиденциальность информации —такую субъективно определяемую
(приписываемую собственником) характеристику (свойство) информации,
которая указывает на необходимость введения ограничений на круг
субъектов, имеющих доступ к данной информации, и обеспечиваемую
способностью системы (инфраструктуры) сохранять указанную
информацию в тайне от субъектов, не имеющих прав на доступ к ней.
Объективные предпосылки подобного ограничения доступности
информации для одних субъектов заключены в необходимости защиты
законных интересов других субъектов информационных отношений.
Поскольку в нашем случае (речь об информационной безопасности) ущерб субъектам
информационных отношений может быть нанесён только опосредованно, через
определённую информацию и её носители, то закономерно возникает заинтересованность
субъектов в защите этой информации, её носителей, процессов и систем её обработки.
Отсюда следует, что в качестве объектов, подлежащих защите с целью обеспечения
безопасности субъектов информационных отношений, должны рассматриваться:
информация, любые её носители (отдельные компоненты и АС в целом) и процессы её
обработки (передачи).
Вместе с тем, говоря о защите АС, всегда следует помнить, что уязвимыми, в конечном
счёте, являются именно заинтересованные в обеспечении определённых свойств
информации и систем её обработки субъекты (информация, равно как и средства её
обработки, не имеют своих интересов, которые можно было бы ущемить). Поэтому, под
безопасностью АС или циркулирующей в ней информации, всегда следует понимать
косвенное обеспечение безопасности соответствующих субъектов, участвующих в
процессах автоматизированного информационного взаимодействия.
Термин «безопасность информации» нужно понимать как защищённость информации
от нежелательного для соответствующих субъектов информационных отношений её
разглашения (нарушения конфиденциальности), искажения или утраты (нарушения
целостности, фальсификации) или снижения степени доступности (блокирования)
информации, а также незаконного её тиражирования (неправомерного использования).
Поскольку субъектам информационных отношений ущерб может бьггь нанесён также
посредством воздействия на процессы и средства обработки критичной для них
информации, то становится очевидным необходимость обеспечения защиты системы
обработки и передачи данной информации от несанкционированного вмешательства в
процесс её функционирования, а также от попыток хищения, незаконной модификации
и/или разрушения любых компонентов данной системы.
Под «безопасностью автоматизированной системы» (системы обработки
информации, компьютерной системы) следует понимать защищённость всех её
компонентов (технических средств, программного обеспечения, данных, пользователей и
персонала) от разного рода нежелательных для соответствующих субъектов воздействий.

Информзащита
34

Надо отметить, что пользователи и персонал системы также являются


заинтересованными в обеспечении безопасности субъектами (внутренними).
Безопасность любого компонента (ресурса) АС складывается из обеспечения трёх его
свойств: конфиденциальности, целостности и доступности.
Конфиденциальность компонента (ресурса) АС заключается в том, что он доступен
только тем субъектам (пользователям, программам, процессам), которым предоставлены
на то соответствующие полномочия.
Целостность компонента (ресурса) АС предполагает, что он может быть
модифицирован только субъектом, имеющим для этого соответствующие права.
Целостность является одним из условий корректности (неизменности,
работоспособности) компонента в любой момент времени.
Доступность компонента (ресурса) АС означает, что имеющий соответствующие
полномочия субъект может без особых проблем получить своевременный доступ к
необходимому компоненту системы.
Кроме того, для защиты субъектов от пиратства и разграничения их ответственности
необходимо обеспечивать следующие свойства информационной инфраструктуры:
■ неотказуемость субъектов от выполненных критичных действий;
■ защиту от неправомерного тиражирования открытой информации.
Так же необходимо различать понятия «информационная безопасность» и
«безопасность информации», которые до недавнего времени воспринимались как
синонимы. Под информационной безопасностью понимается защищённость общества и
личности от деструктивного информационного воздействия (пропаганды, агрессивной
рекламы, низкопробных видов искусства и т.п.), а под безопасностью информации
понимается состояние защищённости информации от угроз.
Цель защиты автоматизированной системы
и циркулирующей в ней информации
При рассмотрении проблемы обеспечения компьютерной, информационной
безопасности следует всегда исходить из того, что защита информации и самой системы
её обработки не является самоцелью.
Конечной целью обеспечения безопасности АС является защита всех категорий
субъектов (как внешних, так и внутренних), прямо или косвенно участвующих в
процессах информационного взаимодействия, от нанесения им ощутимого
материального, морального или иного ущерба в результате случайных или
преднамеренных нежелательных воздействий на информацию и системы её обработки и
передачи. В качестве защищаемых объектов должны рассматриваться информация, все её
носители (отдельные компоненты и автоматизированная система обработки информации
в целом) и процессы обработки.
Целью защиты циркулирующей в АС информации является предотвращение
разглашения (утечки), искажения (модификации), утраты, блокирования (снижения
степени доступности) или незаконного тиражирования информации.
Обеспечение безопасности автоматизированной системы предполагает создание
препятствий для любого несанкционированного вмешательства в процесс её
функционирования, а также для попыток хищения, модификации, выведения из строя или
разрушения её компонентов, то есть защиту всех компонентов АС: оборудования,
программного обеспечения, данных (информации) и её персонала.
В этом смысле защита информации от несанкционированного доступа (НСД) является
только частью общей проблемы обеспечения безопасности компьютерных систем и
защиты законных интересов субъектов информационных отношений, а сам термин НСД

Информзащита
Учебный u*wrp
было бы правильнее трактовать не как «несанкционированный доступ» (к информации), а
шире, —как «несанкционированные (неправомерные) действия», наносящие ущерб
субъектам информационных отношений.

Информзащита
Раздел I - Тема 3:
Угрозы безопасности информационных
технологий

Одним из важнейших аспектов проблемы обеспечения безопасности компьютерных


систем является определение, анализ и классификация возможных угроз безопасности
АС. Перечень значимых угроз, оценки вероятностей их реализации, а также модель
нарушителя служат основой для проведения анализа рисков и формулирования
требований к системе защиты АС.
Уязвимость основных структурно-функциональных элементов
распределённых автоматизированных систем
В общем случае АС состоят из следующих основных структурно-функциональных
элементов:
■ рабочих станций - отдельных ЭВМ или терминалов сети, на которых
реализуются автоматизированные рабочие места пользователей (абонентов,
операторов);
■ серверов или host-машин (служб файлов, печати, баз данных и т.п.) не
выделенных (или выделенных, то есть не совмещенных с рабочими
станциями) высокопроизводительных ЭВМ, предназначенных для
реализации функций хранения, печати данных, обслуживания рабочих
станций сети и т.п. действий;
■ сетевых устройств (маршрутизаторов, коммутаторов, шлюзов, центров
коммутации пакетов, коммуникационных ЭВМ) - элементов,
обеспечивающих соединение нескольких сетей передачи данных, либо
нескольких сегментов одной и той же сети, возможно имеющих различные
протоколы взаимодействия;
■ каналов связи (локальных, телефонных, с узлами коммутации и т.д.).
Рабочие станции являются наиболее доступными компонентами сетей и именно с них
могут быть предприняты наиболее многочисленные попытки совершения
несанкционированных действий. С рабочих станций осуществляется управление
процессами обработки информации, запуск программ, ввод и корректировка данных, на
дисках рабочих станций могут размещаться важные данные и программы обработки. На
видеомониторы и печатающие устройства рабочих станций выводится информация при
работе пользователей (операторов), выполняющих различные функции и имеющих
разные полномочия по доступу к данным и другим ресурсам системы. Именно на
рабочих станциях осуществляется ввод имён и паролей пользователями. Поэтому рабочие
станции должны быть надёжно защищены от доступа посторонних лиц и должны
содержать средства разграничения доступа к ресурсам со стороны законных
пользователей, имеющих разные полномочия. Кроме того, средства защиты должны
предотвращать нарушения нормальной настройки (конфигурации) рабочих станций и
режимов их функционирования, вызванные неумышленным вмешательством неопытных
(невнимательных) пользователей.
В особой защите нуждаются такие привлекательные для злоумышленников элементы
сетей как серверы (host-машины) и сетевые устройства. Первые —как концентраторы
больших объёмов информации, вторые - как элементы, в которых осуществляется
преобразование (возможно через открытую, незашифрованную форму представления)
данных при согласовании протоколов обмена в различных участках сети.

Информзащита
У чебмын центр
37

Благоприятным для повышения безопасности серверов и мостов обстоятельством


является, как правило, наличие возможностей их надёжной зашиты физическими
средствами и организационными мерами в силу их выделенности, позволяющей
сократить до минимума число лиц из персонала, имеющих непосредственный доступ к
ним. Иными словами, непосредственные случайные воздействия персонала и
преднамеренные локальные воздействия злоумышленников на выделенные серверы и
мосты можно считать маловероятными. В то же время, все более распространёнными
становятся массированные атаки на серверы и мосты (а равно и на рабочие станции) с
использованием средств удалённого доступа. Здесь злоумышленники, прежде всего,
могут искать возможности повлиять на работу различных подсистем рабочих станций,
серверов и мостов, используя недостатки протоколов обмена и средств разграничения
удалённого доступа к ресурсам и системным таблицам. Использоваться могут все
возможности и средства, от стандартных (без модификации компонентов) до
подключения специальных аппаратных средств (каналы, как правило, слабо защищены от
подключения) и применения специальных программ для преодоления системы защиты.
Конечно, сказанное выше не означает, что не будет попыток внедрения аппаратных и
программных закладок в сами мосты и серверы, открывающих широкие дополнительные
возможности по несанкционированному удалённому доступу. Закладки могут быть
внедрены как с удалённых станций (посредством вирусов или иным способом), так и
непосредственно в аппаратуру и программы серверов при их ремонте, обслуживании,
модернизации, переходе на новые версии программного обеспечения, смене
оборудования.
Каналы и средства связи также нуждаются в защите. В силу большой пространственной
протяжённости линий связи (через неконтролируемую или слабо контролируемую
территорию) практически всегда существует возможность подключения к ним, либо
вмешательства в процесс передачи данных.
Угрозы безопасности информации, автоматизированных систем
и субъектов информационных отношений
Под угрозой (вообще) обычно понимают потенциально возможное событие, вызванное
некоторым действием, процессом или явлением, и которое может (воздействуя на что-
либо) привести к нанесению ущерба чьим-либо интересам.
Угрозой интересам субъектов информационных отношений будем называть
потенциально возможное событие, вызванное некоторым действием, процессом или
явлением, которое посредством воздействия на информацию, её носители и процессы
обработки может прямо или косвенно привести к нанесению ущерба интересам данных
субъектов.
Нарушением безопасности (просто нарушением или атакой) будем называть
реализацию угрозы безопасности (наступление соответствующего события).
В силу особенностей современных АС, перечисленных выше, существует значительное
число различных видов угроз безопасности субъектов информационных отношений.
В соответствии с ГОСТ Р 50922-96, предусматривается два принципиально разных типа
угроз безопасности.
Первый тип угроз связан с так называемым несанкционированным распространением
сведений -утечкой информации (разглашение, разведка, несанкционированный доступ
к информации).
Второй тип угроз связан с несанкционированным воздействием на информацию и её
носители - воздействие на информацию с нарушением установленных прав и/или
правил на изменение информации. Несанкционированное воздействие бывает как
целенаправленное (искажение, уничтожение, копирование, блокирование, утрата, сбой

Информзащита
V*— *•------ ц ентр
38

функционирования носителя информации), так и непреднамеренное (ошибки


пользователей и персонала, сбои и отказы техники, природные явления, другие
случайные воздействия).
Разглашение информации - действие, в результате которого информация становится
известной неконтролируемому количеству лиц.
Разведка —целенаправленная деятельность по добыванию сведений в интересах
информационного обеспечения военно-политического руководства другого государства
либо конкурирующей организации. Разведка может быть агентурной и технической.
Агентурная разведка ведётся оперативниками (лицо, состоящее в штате оперативного
подразделения государственного органа или негосударственной структуры) с
привлечением агентов (лицо, конфиденциально сотрудничающее с разведывательной
структурой) и специалистов (лицо, обладающее специальными знаниями, умениями и
навыками, привлекаемое в целях оказания содействия в собирании, исследован™, оценки
и использования фактической информации). Существуют следующие виды
оперативников: агентуристы; сотрудники, добывающие сведения лично; сотрудники
подразделений наружного наблюдения; сотрудники оперативно-технических
подразделений; оперативники-аналитики. Под технической разведкой понимается
целенаправленная деятельность по добыванию с помощью технических систем, средств и
аппаратуры сведений в интересах информационного обеспечения военно-политического
руководства другого государства или конкурирующей организации, подготовки и
ведения информационной борьбы.
Источником данной угрозы является деятельность иностранных разведывательных и
специальных служб (органов), иностранных общественных организаций (в том числе
коммерческих), а также деятельность отечественных преступных группировок и
отдельных лиц.
Специальными документами ФСТЭК России предусматривается многоуровневая
классификация технических разведок. Наиболее часто на практике применяются
2 основных классификационных признака: по физическим принципам построения
аппаратуры разведки и по местонахождению носителей разведывательной аппаратуры.
Главные отличия разведки от разглашения заключаются в том, что информацией,
добытой с помощью разведки, владеет ограниченный круг лиц. Разведка, как правило,
ведётся с враждебными целями, тогда как разглашение может таких целей и не
преследовать. Разведка всегда ведётся умышленно, а разглашение нередко бывает
следствием неосмотрительности лица-носителя информации.
Под несанкционированным доступом к информации понимают действие, в результате
которого нарушены правила разграничения доступа, и информацией завладело, лицо, не
имеющее соответствующего права. Результатом НСД не обязательно становится утечка
информации. НСД может совершаться с целью активного воздействия на информацию,
получения незаконных привилегий, удовлетворения амбиций и т.п. НСД может быть
следствием, как умышленных действий, так и неумышленных (ошибки в организации
зашиты информации, недостаточная квалификация персонала и т.д.). Очевидно, что
элементы НСД присутствуют и при ведении разведки, и при несанкционированном
воздействии на информацию. В тоже время, как разведка (например, путём сбора
открытых сведений), так и несанкционированное воздействие могут осуществляться без
НСД к информации и её носителю.
Все многообразие несанкционированного воздействия на информацию и её носитель
можно классифицировать следующим образом:
■ модификация информации. Осуществляется, как правило, без
предварительного ознакомления, иначе будет иметь место утечка. Возможна
модификация как следующий шаг после организации утечки. Существуют
следующие виды модификации информации:

Информзащита
У ч об и ьм центр
39

■ уничтожение (наблюдается при хакерском проникновении в


вычислительные системы, при стихийных бедствиях и т.д.);
■ искажение (если злоумышленник получил доступ к каналу передачи
информации, но не может ознакомиться с самой информацией, например,
вследствие ее зашифрованности, то он может попытаться внести в нее
ложные данные с целью нанесения ущерба владельцу. Искажение также
может возникать непреднамеренно как следствие помех в канале передачи);
■ подделка (широко наблюдается при фальсификации банковских операций,
осуществляемых в электронном виде);
■ блокирование доступа к информации (встречается в том случае, когда
злоумышленник не может сам воспользоваться информацией, но имеет
доступ к средствам ее обработки и своими (в том числе, несознательными)
действиями препятствует, в том числе временно, законному владельцу
обрабатывать эту информацию. Характерным примером является
спамминг - рассылка «почтовых бомб» по электронной почте. Почтовый
ящик владельца оказывается забит информационным мусором, из-за
которого тот не может принять полезные сообщения);
■ хищение носителя (даже, если это не привело к утечке информации,
например, вследствие ее зашифрованности, само по себе хищение способно
лишить законного владельца возможности обрабатывать информацию);
■ утрата носителя (отличается от хищения непредумышленным характером
действия; может вести или не вести к утечке информации).
Следует иметь в виду, что научно-технический прогресс может привести к появлению
принципиально новых видов угроз и что изощрённый ум злоумышленника способен
придумать новые пути и способы преодоления систем безопасности, НСД к данным и
дезорганизации работы АС.
Источники угроз безопасности
Основными источниками угроз безопасности АС и информации (угроз интересам
субъектов информационных отношений) являются:
■ стихийные бедствия (наводнение, ураган, землетрясение, пожар и т.п.);
■ аварии, сбои и отказы оборудования (технических средств) АС;
■ ошибки проектирования и разработки компонентов АС (аппаратных средств,
технологии обработки информации, программ, структур данных и т.п.);
■ ошибки эксплуатации (пользователей, операторов и другого персонала);
■ преднамеренные действия нарушителей и злоумышленников (обиженных
лиц из числа персонала, преступников, шпионов, диверсантов и т.п.).
Классификация угроз безопасности
Как показано на Рис. 1.3.1 всё множество потенциальных угроз по природе их
возникновения разделяется на два класса: естественные (объективные) и искусственные
(субъективные).

Информзащита
Рис. 1.3.1. Классификация угроз по источникам и мотивации

Естественные угрозы - это угрозы, вызванные воздействиями на АС и её элементы


объективных физических процессов или стихийных природных явлений, независящих от
человека.
Искусственные угрозы - это угрозы АС, вызванные деятельностью человека. Среди них,
исходя из мотивации действий, можно выделить:
■ непреднамеренные (неумышленные, случайные) угрозы, вызванные
ошибками в проектировании АС и ее элементов, ошибками в программном
обеспечении, ошибками в действиях персонала и т.п.;
■ преднамеренные (умышленные) угрозы, связанные с корыстными,
идейными или иными устремлениями людей (злоумышленников).
Источники угроз по отношению к АС могут быть внешними или внутренними
(компоненты самой АС - её аппаратура, программы, персонал, конечные пользователи).
Основные непреднамеренные искусственные угрозы
Основные непреднамеренные искусственные угрозы АС (действия, совершаемые людьми
случайно, по незнанию, невнимательности или халатности, из любопытства, но без злого
умысла):
■ частичный или полный отказ системы или разрушение аппаратных,
программных, информационных ресурсов системы (неумышленная порча
оборудования, удаление, искажение файлов с важной информацией или
программ, в том числе системных и т.п.);
■ неправомерное отключение оборудования или изменение режимов работы
устройств и программ;
■ неумышленная порча носителей информации;
■ запуск технологических программ, способных при некомпетентном
использовании вызывать потерю работоспособности системы (зависания или
зацикливания) или осуществляющих необратимые изменения в системе
(форматирование или реструктуризацию носителей информации, удаление
данных и т.п.);
■ нелегальное внедрение и использование неучтённых программ (игровых,
обучающих, технологических и др., не являющихся необходимыми для

Информзащита
У чебный центр
41

выполнения нарушителем своих служебных обязанностей) с последующим


необоснованным расходованием ресурсов (загрузка процессора, захват
оперативной памяти и памяти на внешних носителях);
■ заражение компьютера вирусами;
■ неосторожные действия, приводящие к разглашению конфиденциальной
информации, или делающие её общедоступной;
■ разглашение, передача или утрата атрибутов разграничения доступа
(паролей, ключей шифрования, идентификационных карточек, пропусков и
т.п.);
■ проектирование архитектуры системы, технологии обработки данных,
разработка прикладных программ, с возможностями, представляющими
опасность для работоспособности системы и информации;
■ игнорирование организационных ограничений (установленных правил) при
работе в системе;
■ вход в систему в обход средств защиты (загрузка посторонней операционной
системы со сменных магнитных носителей и т.п.);
■ некомпетентное использование, настройка или неправомерное отключение
средств защиты персоналом службы безопасности;
■ пересылка данных по ошибочному адресу абонента (устройства);
■ ввод ошибочных данных;
■ неумышленное повреждение каналов связи.
Основные преднамеренные искусственные угрозы
Основные возможные пути умышленной дезорганизации работы, вывода системы из
строя, проникновения в систему и несанкционированного доступа к информации:
■ физическое разрушение системы (путём взрыва, поджога и т.п.) или вывод
из строя всех или отдельных наиболее важных компонентов компьютерной
системы (устройств, носителей важной системной информации, лиц из числа
персонала и т.п.);
■ отключение или вывод из строя подсистем обеспечения функционирования
вычислительных систем (электропитания, охлаждения и вентиляции, линий
связи и т.п.);
■ дезорганизация функционирования системы (изменение режимов работы
устройств или программ, забастовка, саботаж персонала, постановка
мощных активных радиопомех на частотах работы устройств системы и
т.п.);
■ внедрение агентов в число персонала системы (в том числе, возможно, и в
административную группу, отвечающую за безопасность);
■ вербовка (путём подкупа, шантажа и т.п.) персонала или отдельных
пользователей, имеющих определённые полномочия;
■ применение подслушивающих устройств, дистанционная фото- и
видеосъёмка и т.п.;
■ перехват побочных электромагнитных, акустических и других излучений
устройств и линий связи, а также наводок активных излучений на
технические средства, непосредственно не участвующие в обработке
информации (телефонные линии, сети питания, системы пожарно-охранной

I -1
Г Информзащита
У ч е б н ш ц ентр
сигнализации, видеонаблюдения, радиотрансляции и т.п.) и инженерные
коммуникации (системы отопления, кондиционирования, заземления и т.п.);
■ перехват данных, передаваемых по каналам связи, и их анализ с целью
выяснения протоколов обмена, правил вхождения в связь и авторизации
пользователя и последующих попыток их имитации для проникновения в
систему;
■ хищение носителей информации (магнитных дисков, лент, микросхем
памяти, запоминающих устройств и целых ПЭВМ);
■ несанкционированное копирование носителей информации;
■ хищение производственных отходов (распечаток, записей, списанных
носителей информации и т.п.);
■ чтение остаточной информации из оперативной памяти и с внешних
запоминающих устройств;
■ чтение информации из областей оперативной памяти, используемых
операционной системой (в том числе подсистемой защиты) или другими
пользователями, в асинхронном режиме используя недостатки
мультизадачных операционных систем и систем программирования;
■ незаконное получение паролей и других реквизитов разграничения доступа
(агентурным путём, используя халатность пользователей, путём подбора,
путём имитации интерфейса системы и т.д.) с последующей маскировкой
под зарегистрированного пользователя («маскарад»);
■ несанкционированное использование терминалов пользователей, имеющих
уникальные физические характеристики, такие как номер рабочей станции в
сети, физический адрес, адрес в системе связи, аппаратный блок
кодирования и т.п.;
■ вскрытие шифров криптозащиты информации;
■ внедрение аппаратных «спецвложений», программных «закладок» и
«вирусов» («троянских коней» и «жучков»), то есть таких участков
программ, которые не нужны для осуществления заявленных функций, но
позволяющих преодолевать систему защиты, скрытно и незаконно
осуществлять доступ к системным ресурсам с целью регистрации и передачи
критической информации или дезорганизации функционирования системы;
■ незаконное подключение к линиям связи с целью работы «между строк», с
использованием пауз в действиях законного пользователя от его имени с
последующим вводом ложных сообщений или модификацией передаваемых
сообщений;
■ незаконное подключение к линиям связи с целью прямой подмены
законного пользователя путём его физического отключения после входа в
систему и успешной аутентификации с последующим вводом
дезинформации и навязыванием ложных сообщений.
Следует заметить, что чаще всего для достижения поставленной цели злоумышленник
использует не один, а некоторую совокупность из перечисленных выше путей.
Классификация каналов проникновения в автоматизированную
систему и утечки информации
Все каналы проникновения в систему и утечки информации разделяют на прямые и
косвенные. Под косвенными понимают такие каналы, использование которых не требует
проникновения в помещения, где расположены компоненты системы. Для использования

Информзащита
43

прямых каналов такое проникновение необходимо. Прямые каналы могут использоваться


без внесения изменений в компоненты системы или с изменениями компонентов.
По типу основного средства, используемого для реализации угрозы все возможные
каналы можно условно разделить на три группы, где таковыми средствами являются:
человек, программа или аппаратура.
Классификация видов нарушений работоспособности систем и несанкционированного
доступа к информации по объектам воздействия и способам нанесения ущерба
безопасности приведена в таблице 1.3.1.
По способу получения информации потенциальные каналы доступа можно разделить на:
■ физический;
■ электромагнитный (перехват излучений);
■ информационный (программно-математический).
При контактном НСД (физическом, программно-математическом) возможные угрозы
информации реализуются путём доступа к элементам АС, к носителям информации, к
самой вводимой и выводимой информации (и результатам), к программному
обеспечению (в том числе к операционным системам), а также путём подключения к
линиям связи.
При бесконтактном доступе (например, по электромагнитному каналу) возможные
угрозы информации реализуются перехватом излучений аппаратуры АС, в том числе
наводимых в токопроводящих коммуникациях и цепях питания, перехватом информации
в линиях связи, вводом в линии связи ложной информации, визуальным наблюдением
(фотографированием) устройств отображения информации, прослушиванием
переговоров персонала АС и пользователей.

Таблица 1.3.1

Способы нанесения Объекты воздействий


ущерба Оборудование Программы Данные Персонал
Раскрытие (утечка) Хищение носителей Несанкцио­ Хищение, Передача сведений о
информации информации, подключение нированное копирование, защите, разглашение,
к линии связи, копирование, перехват халатность
несанкционированное перехват
использование ресурсов
Потеря целостности Подключение, Внедрение Искажение, Вербовка персонала,
информации модификация, «троянских коней» модификация «маскарад»
«спецвложения», изменение и «жучков»
режимов работы,
несанкционированное
использование ресурсов
Нарушение Изменение режимов Искажение, Искажение, Уход, физическое
работоспособности функционирования, вывод удаление, подмена удаление, устранение
автоматизированной из строя, хищение, навязывание
системы разрушение ложных данных
Незаконное Изготовление аналогов без Использование Публикация без
тиражирование лицензий незаконных копий ведома авторов
информации

Информзащита
У ч еб н о м ц е н т р
Неформальная модель нарушителя
Нарушения и преступления, в том числе и компьютерные, совершаются людьми. Как
говорится, бывают «виртуальные преступления», но «виртуальных преступников» не
бывает. В этом смысле вопросы безопасности автоматизированных систем во многом по
своей сути являются вопросами человеческих отношений и человеческого поведения.
Исследования проблемы обеспечения безопасности компьютерных систем ведутся в
направлении раскрытия природы явлений, заключающихся в нарушении целостности и
конфиденциальности информации, дезорганизации работы компьютерных систем.
Серьёзно изучается статистика нарушений, вызывающие их причины, личности
нарушителей, суть применяемых нарушителями приёмов и средств, используемые при
этом недостатки систем и средств их защиты, обстоятельства, при которых было
выявлено нарушение, и другие вопросы, которые могут быть использованы при
построении моделей потенциальных нарушителей.
Неформальная модель нарушителя отражает его практические и теоретические
возможности, априорные знания, время и место действия и т.п. Для достижения своих
целей нарушитель должен приложить некоторые усилия, затратить определённые
ресурсы. Зная причины нарушений, можно либо повлиять на сами эти причины (конечно,
если это возможно), либо точнее определить требования к системе защиты от данного
вида нарушений или преступлений.
Нарушитель —это лицо, предпринявшее попытку выполнения запрещённых операций
(действий) по ошибке, незнанию или осознанно со злым умыслом (из корыстных
интересов) или без такового (ради игры или удовольствия, с целью самоутверждения и
т.п.) и использующее для этого различные возможности, методы и средства.
Следует заметить, что при отсутствии правил (запретов и ограничений) не существует и
нарушителей (если нет правил, значит, нечего и нарушать). Поэтому борьба с
нарушениями всегда должна начинаться с установления чётких правил (ограничений,
политики безопасности).
Злоумышленник —это нарушитель, намеренно (умышленно, со злым умыслом) идущий
на нарушение.
При построении модели нарушителя обычно формулируются предположения:
■ о категориях лиц, к которым может принадлежать нарушитель;
■ о мотивах действий нарушителя и преследуемых им целях;
■ о квалификации нарушителя и его технической оснащенности (об
используемых для совершения нарушения методах и средствах);
■ о характере возможных действий нарушителей.
По отношению к АС нарушители могут быть внутренними (из числа обслуживающего
персонала и пользователей системы) или внешними (посторонними лицами).
Внутренним нарушителем может быть лицо из следующих категорий сотрудников:
■ конечные пользователи (операторы) системы;
■ персонал, обслуживающий технические средства (инженеры, техники);
■ сотрудники отделов разработки и сопровождения ПО (прикладные и
системные программисты);
■ сотрудники службы безопасности АС;
■ руководители различных уровней.

Информзащита
У чвбм ьш ц е н т р
45

К посторонним лицам, которые могут быть нарушителями, можно отнести:


■ технический персонал сторонних организаций, обслуживающий здания и
СВТ (уборщики, электрики, сантехники, ремонтники и другие сотрудники,
имеющие доступ в здания и помещения, где расположены компоненты АС);
■ клиенты (представители сторонних организаций и отдельные граждане);
■ посетители (приглашенные по какому-либо поводу);
■ представители организаций, взаимодействующих по вопросам обеспечения
жизнедеятельности организации (энерго-, водо-, теплоснабжения и т.п.);
■ представители конкурирующих организаций или лица, действующие по их
заданию (в том числе иностранных спецслужб);
■ лица, случайно или умышлено нарушившие пропускной режим (без цели
нарушить безопасность АС);
■ любые лица за пределами контролируемой территории.
Можно выделить несколько основных мотивов совершения нарушений .
■ безответственность (некомпетентность, халатность);
■ самоутверждение;
■ вандализм;
■ принуждение;
■ месть;
■ корыстный интерес;
■ идейные соображения.
При нарушениях, вызванных безответственностью (халатностью), пользователь
производит какие-либо разрушающие действия, не связанные, тем не менее, со злым
умыслом. В большинстве случаев это следствие некомпетентности или небрежности.
Некоторые пользователи считают получение доступа к системным наборам данных
крупным успехом, затевая своего рода игру «пользователь - против системы» либо ради
утверждения в собственных глазах, либо в глазах коллег.
Нарушение безопасности АС может быть связано с принуждением (шантаж, угроза),
местью, идейными соображениями или корыстными интересами пользователя системы.
В этом случае он будет целенаправленно пытаться преодолеть систему защиты для
доступа к хранимой, передаваемой и обрабатываемой информации и другим ресурсам
АС.
По уровню знаний об АС нарушителей можно классифицировать следующим образом:
■ знает функциональные особенности АС, основные закономерности
формирования в ней массивов данных и потоков запросов к ним, умеет
пользоваться штатными средствами;
■ обладает высоким уровнем знаний и опытом работы с техническими
средствами системы и их обслуживания;
■ обладает высоким уровнем знаний в области программирования и
вычислительной техники, проектирования и эксплуатации
автоматизированных информационных систем;
■ знает структуру, функции и механизм действия средств защиты, их сильные
и слабые стороны.

Информзащита
Ф
46

По уровню возможностей (используемым методам и средствам):


■ применяющий только агентурные методы получения сведений;
■ применяющий пассивные средства (технические средства перехвата без
модификации компонентов системы);
■ использующий только штатные средства и недостатки систем защиты для ее
преодоления (несанкционированные действия с использованием
разрешенных средств), а также компактные магнитные носители
информации, которые могут быть скрытно пронесены через посты охраны;
■ применяющий методы и средства активного воздействия (модификация и
подключение дополнительных технических средств, подключение к каналам
передачи данных, внедрение программных закладок и использование
специальных инструментальных и технологических программ).
По времени действия:
■ в процессе функционирования АС (во время работы компонентов системы);
■ в период неактивности компонентов системы (в нерабочее время, во время
плановых перерывов в ее работе, перерывов для обслуживания и ремонта);
■ как в процессе функционирования АС, так и в период неактивности
компонентов системы.
По месту действия:
■ без доступа на контролируемую территорию организации;
■ с контролируемой территории, но без доступа в здания и сооружения;
■ внутри помещений, но без доступа к техническим средствам АС;
■ с рабочих мест конечных пользователей (операторов) АС;
■ с доступом в зону хранилищ данных (серверов баз данных, архивов и т.п.);
■ с доступом в зону управления средствами обеспечения безопасности АС.
Могут учитываться также следующие дополнительные ограничения и предположения о
характере действий возможных нарушителей:
■ работа по подбору кадров и специальные мероприятия затрудняют
возможность создания коалиций нарушителей, т.е. объединения (сговора)
двух и/или более нарушителей;
■ нарушитель скрывает свои несанкционированные действия от других
сотрудников.
Определение конкретных значений характеристик возможных нарушителей в
значительной степени субъективно. Модель нарушителя, построенная с учётом
особенностей конкретной предметной области и технологии обработки информации,
может быть представлена перечислением нескольких вариантов нарушителей. Каждая
категория нарушителей должна быть охарактеризована значениями характеристик,
приведённых выше. Для каждой из них можно привести оценку количества сотрудников
организации, попадающих в данную категорию нарушителей.
Почему свои сотрудники являются самой массовой категорией нарушителей безопасности
Пользователи системы и её персонал, с одной стороны, являются составной частью,
необходимым элементом АС. С другой стороны, они же являются основным источником
угроз и движущей силой нарушений и преступлений.

Информзащита
У ч еб н ы й ц е н т р
47

На следующей диаграмме приведены результаты анализа нарушений и проблем с ИТ,


проведённого Институтом компьютерной безопасности (Computer Security Institute).

10%
9%

2% 4%

О Ошибки персонала (55%)


■ Нечестные сотрудники (10%)
□ Обиженные сотрудники (9%)
□ Отказы и сбои в работе ТС, включая проблемы электропитания (20%)
О Вирусы (4%)
О Внешние нападения (2%)

Как видно, более половины (55%) проблем возникает из-за ошибок пользователей и
обслуживающего персонала системы. К этому надо добавить нарушения со стороны
обиженных (9%) и нечестных (10% нарушений) сотрудников организаций.
Согласно одному из последних обзоров аналитического подразделения журнала
The Economist, информационная безопасность является одной из самых приоритетных
проблем для 78% из 254 опрошенных по всему миру первых лиц компаний. Респонденты
признавали, что большую часть проблем создают сами сотрудники корпораций. По
статистике опроса, источник 83% проблем с безопасностью находится внутри компании.
Сотрудники Компании являются самой массовой категорией нарушителей в силу их
многочисленности, наличия у них санкционированного доступа на территорию, в
помещения и к ресурсам системы, разнообразия мотивов совершения разного рода
небезопасных действий. Причём подавляющее большинство нарушений со стороны
сотрудников носит неумышленный характер. Однако, ущерб, который они при этом
наносят Компании, весьма значителен. Именно поэтому борьба с ошибками
пользователей и обслуживающего персонала АС является одним из основных
направлений работ по обеспечению безопасности.
Итак, цель защиты ИТ - это минимизация рисков для субъектов. Защита (обеспечение
безопасности) ИТ - это непрерывный процесс управления рисками, связанный с
выявлением информационных активов (ценностей), подлежащих защите, определением
стоимости этих активов, размеров ущерба и риска, разработкой плана действий по защите
и выбором технологий, реализующих этот план.
На практике это означает сведение всех значимых для субъектов угроз к допустимому
(приемлемому) уровню остаточного риска, и защиту наиболее важных (критичных)
информационных ресурсов исходя из существующих возможностей и предоставленных
финансовых средств.
Выводы
Уязвимыми являются буквально все основные структурно-функциональные элементы
современных АС. Защищать компоненты АС необходимо от всех видов воздействий:

Информзащита
стихийных бедствий и аварий, сбоев и отказов технических средств, ошибок персонала и
пользователей, ошибок в программах и от преднамеренных действий злоумышленников.
Имеется широчайший спектр вариантов (путей) преднамеренного или случайного
несанкционированного доступа к данным и вмешательства в процессы обработки и
обмена информацией (в том числе, управляющей согласованным функционированием
различных компонентов сети).
Правильно построенная (адекватная реальности) модель нарушителя, в которой
отражаются его практические и теоретические возможности, априорные знания, время и
место действия и т.п. характеристики - важная составляющая успешного проведения
анализа риска и определения требований к составу и характеристикам системы защиты.
Обеспечение безопасности ИТ - это многоплановая деятельность, связанная с
выявлением информационных активов (ценностей), подлежащих защите, определением
стоимости этих активов, размеров ущерба и риска, разработкой плана действий по их
защите и выбором технологий, реализующих этот план.

Информзащита
Учебным ц ентр
49

Раздел I - Тема 4:
Виды мер и основные принципы обеспечения
безопасности информационных технологий

Целью рассмотрения данной темы является обзор видов известных мер противодействия
угрозам безопасности АС (контрмер), а также основных принципов построения систем
защиты информации.
Виды мер противодействия угрозам безопасности
По способам осуществления все меры защиты информации, её носителей и систем её
обработки подразделяются на:
■ правовые (законодательные);
■ морально-этические;
■ организационные (административные и процедурные);
■ технологические;
■ физические;
■ технические (аппаратурные и программные).
Правовые (законодательные)
К правовым мерам защиты относятся действующие в стране законы, указы и другие
нормативные правовые акты, регламентирующие правила обращения с информацией,
закрепляющие права и обязанности участников информационных отношений в процессе
её получения, обработки и использования, а также устанавливающие ответственность за
нарушения этих правил, препятствуя тем самым неправомерному использованию
информации и являющиеся сдерживающим фактором для потенциальных нарушителей.
Правовые меры защиты носят в основном упреждающий, профилактический характер и
требуют постоянной разъяснительной работы с пользователями и обслуживающим
персоналом АС.
М о р а л ьн о -эти ч е ск и е

К морально-этическим мерам защиты относятся нормы поведения, которые традиционно


сложились или складываются по мере распространения информационных технологий в
обществе. Эти нормы большей частью не являются обязательными, как требования
нормативных актов, однако, их несоблюдение ведёт обычно к падению авторитета или
престижа человека, группы лиц или организации. Морально-этические нормы бывают как
неписаные (например, общепризнанные нормы честности, патриотизма и т.п.), так и
писаные, то есть оформленные в некоторый свод (устав, кодекс чести и т.п.) правил или
предписаний. Морально-этические меры защиты являются профилактическими и
требуют постоянной работы по созданию здорового морального климата в коллективах
пользователей и обслуживающего персонала АС.
Организационные
Организационные меры защиты - это меры административного и процедурного
характера, регламентирующие процессы функционирования системы обработки данных,
использование её ресурсов, деятельность обслуживающего персонала, а также порядок
взаимодействия пользователей и обслуживающего персонала с системой таким образом,
чтобы в наибольшей степени затруднить или исключить возможность реализации угроз
безопасности или снизить размер потерь в случае их реализации.

Информзащита
Технологические
К данному виду мер защиты относятся разного рода технологические решения и приёмы,
основанные обычно на использовании некоторых видов избыточности (структурной,
функциональной, информационной, временной и т.п.) и направленные на уменьшение
возможности совершения сотрудниками ошибок и нарушений в рамках предоставленных
им прав и полномочий. Примером таких мер является использование процедур двойного
ввода ответственной информации, инициализации ответственных операций только при
наличии разрешений от нескольких должностных лиц, процедур проверки соответствия
реквизитов исходящих и входящих сообщений в системах коммутации сообщений,
периодическое подведение общего баланса всех банковских счетов и т.п.
Меры физической защиты
Физические меры защиты основаны на применении разного рода механических, электро-
или электронно-механических устройств и сооружений, специально предназначенных
для создания физических препятствий на возможных путях проникновения и доступа
потенциальных нарушителей к компонентам системы и защищаемой информации, а
также средств визуального наблюдения, связи и охранной сигнализации. К данному типу
относятся также меры и средства контроля физической целостности компонентов АС
(пломбы, наклейки и т.п.).
Технические
Технические меры защиты основаны на использовании различных электронных
устройств и специальных программ, входящих в состав АС и выполняющих
(самостоятельно или в комплексе с другими средствами) функции защиты.
Взаимосвязь рассмотренных выше мер обеспечения безопасности приведена на Рис. 1.4.1.

Рис. 1.4.1. Взаимосвязь мер обеспечения информационной безопасности

1 - нормативные и организационно-распорядительные документы составляются с учётом


и на основе существующих норм морали и этики.
2 - организационные меры обеспечивают исполнение существующих нормативных актов
и строятся с учётом существующих правил поведения, принятых в стране и/или
организации.
3 —воплощение организационных мер требует разработки соответствующих
нормативных и организационно-распорядительных документов, не противоречащих
нормам правовых мер.

Информзащита
У чебн ы м ц е н т р
51

4 - для эффективного применения организационные меры должны быть поддержаны


физическими и техническими средствами.
5 - применение и использование технических средств защиты требует соответствующей
организационной поддержки.
Достоинства и недостатки различных видов мер защиты
Законодательные и морально-этические меры
Эти меры определяют правила обращения с информацией и ответственность субъектов
информационных отношений за их соблюдение.
Законодательные и морально-этические меры противодействия, являются
универсальными в том смысле, что принципиально применимы для всех каналов
проникновения и несанкционированного доступа к АС и информации. В некоторых
случаях они являются единственно применимыми, как например, при защите открытой
информации от незаконного тиражирования или при защите от злоупотреблений
служебным положением при работе с информацией.
Организационные меры
Очевидно, что в организационных структурах с низким уровнем правопорядка,
дисциплины и этики ставить вопрос о защите информации просто бессмысленно. Прежде
всего, надо решить правовые и организационные вопросы.
Организационные меры играют значительную роль в обеспечении безопасности
компьютерных систем. Организационные меры - это единственное, что остаётся, когда
другие методы и средства защиты отсутствуют или не могут обеспечить требуемый
уровень безопасности. Однако, это вовсе не означает, что систему защиты необходимо
строить исключительно на их основе, как это часто пытаются сделать чиновники, далёкие
от технического прогресса.
Этим мерам присуши серьёзные недостатки, такие как:
■ низкая надежность без соответствующей поддержки физическими,
техническими и программными средствами (люди склонны к нарушению
любых установленных дополнительных ограничений и правил, если только
их можно нарушить);
■ дополнительные неудобства, связанные с большим объемом рутинной и
формальной деятельности.
Организационные меры необходимы для обеспечения эффективного применения других
мер и средств защиты в части, касающейся регламентации действий людей. В то же время
организационные меры необходимо поддерживать более надёжными физическими и
техническими средствами.
Физические и технические средства защиты
Физические и технические средства защиты призваны устранить недостатки
организационных мер, поставить прочные барьеры на пути злоумышленников и в
максимальной степени исключить возможность неумышленных (по ошибке или
халатности) нарушений регламента со стороны персонала и пользователей АС.
Рассмотрим известное утверждение о том, что создание абсолютной (то есть идеально
надёжной) системы защиты принципиально невозможно.
Даже при допущении возможности создания абсолютно надёжных физических и
технических средств защиты, перекрывающих все каналы, которые необходимо
перекрыть, всегда остаётся возможность воздействия на персонал системы,
осуществляющий необходимые действия по обеспечению корректного
функционирования этих средств (администратора АС, администратора безопасности

Информзащита
У ч еЁ м ьи ц е н т р
и т.п.). Вместе с самими средствами защиты эти люди образуют так называемое «ядро
безопасности». В этом случае, стойкость системы безопасности будет определяться
стойкостью персонала из ядра безопасности системы, и повышать её можно только за
счёт организационных (кадровых) мероприятий, законодательных и морально-этических
мер.
Но, даже имея совершенные законы и проводя оптимальную кадровую политику, все
равно проблему защиты до конца решить не удастся.
Во-первых, потому, что вряд ли удастся найти персонал, в котором можно было быть
абсолютно уверенным, и в отношении которого невозможно было бы предпринять
действий, вынуждающих его нарушить запреты.
Во-вторых, даже абсолютно надёжный человек может допустить случайное,
неумышленное нарушение.
Основные принципы построения системы обеспечения
безопасности информации в автоматизированной системе
Построение системы обеспечения безопасности информации в АС и её
функционирование должны осуществляться в соответствии со следующими основными
принципами:
■ законность
■ системность
■ комплексность
■ непрерывность
■ своевременность
■ преемственность и непрерывность совершенствования
■ разумная достаточность
■ персональная ответственность
■ разделение функций
■ минимизация полномочий
■ взаимодействие и сотрудничество
■ гибкость системы защиты
■ открытость алгоритмов и механизмов защиты
■ простота применения средств защиты
■ научная обоснованность и техническая реализуемость
■ специализация и профессионализм
■ взаимодействие и координация
■ обязательность контроля
Законность
Предполагает осуществление защитных мероприятий и разработку системы безопасности
информации в АС в соответствии с действующим законодательством в области
информации, информационных технологий и защиты информации, других нормативных
правовых актов, руководящих и нормативно-методических документов по безопасности
информации, утверждённых органами государственной власти в пределах их

Информзащита
53

компетенции, с применением всех дозволенных методов обнаружения и пресечения


правонарушений при работе с информацией.
Системность
Системный подход к защите информации в АС предполагает учёт всех взаимосвязанных,
взаимодействующих и изменяющихся во времени элементов, условий и факторов,
существенно значимых для понимания и решения проблемы обеспечения безопасности
информации в АС.
При создании системы защиты должны учитываться все слабые и наиболее уязвимые
места системы обработки информации, а также характер, возможные объекты и
направления атак на систему со стороны нарушителей, пути проникновения в
распределённые системы и НСД к информации. Система защиты должна строиться с
учётом не только всех известных каналов проникновения и НСД к информации, но и с
учётом возможности появления принципиально новых путей реализации угроз
безопасности.
Комплексность
Комплексное использование методов и средств защиты компьютерных систем
предполагает согласованное применение разнородных средств при построении целостной
системы защиты, перекрывающей все существенные (значимые) каналы реализации
угроз и не содержащей слабых мест на стыках отдельных её компонентов. Зашита должна
строиться эшелонировано. Внешняя защита должна обеспечиваться физическими
средствами, организационными, технологическими и правовыми мерами.
Одним из наиболее укреплённых рубежей призваны быть средства защиты,
реализованные на уровне операционных систем (ОС) СВТ в силу того, что ОС - это та
часть компьютерной системы, которая управляет использованием всех её ресурсов.
Прикладной уровень защиты, учитывающий особенности предметной области,
представляет внутренний рубеж защиты.
Своевременность
Предполагает упреждающий характер мер обеспечения безопасности информации, то
есть постановку задач по комплексной защите АС и реализацию мер обеспечения
безопасности информации на ранних стадиях разработки АС в целом и её системы
защиты информации, в частности.
Разработка системы зашиты должна вестись параллельно с разработкой и развитием
самой защищаемой системы. Это позволит учесть требования безопасности при
проектировании архитектуры и, в конечном счёте, создать более эффективные (как по
затратам ресурсов, так и по стойкости) защищённые системы.
Непрерывность защиты
Защита информации - не разовое мероприятие и не простая совокупность проведённых
мероприятий и установленных средств защиты, а непрерывный целенаправленный
процесс, предполагающий принятие соответствующих мер на всех этапах жизненного
цикла АС, начиная с самых ранних стадий проектирования, а не только на этапе её
эксплуатации.
Большинству физических и технических средств защиты для эффективного выполнения
своих функций необходима постоянная организационная (административная) поддержка
(своевременная смена и обеспечение правильного хранения и применения имён, паролей,
ключей шифрования, переопределение полномочий и т.п.). Перерывы в работе средств
защиты могут быть использованы злоумышленниками для анализа применяемых методов
и средств защиты, для внедрения специальных программных и аппаратных «закладок» и
других средств преодоления системы защиты после восстановления её
функционирования.

Информзащита
У ч е б т м ц ентр
Преемственность и совершенствование
Предполагают постоянное совершенствование мер и средств защиты информации на
основе преемственности организационных и технических решений, кадрового состава,
анализа функционирования АС и её системы защиты с учётом изменений в методах и
средствах перехвата информации и воздействия на компоненты АС, нормативных
требований по защите, достигнутого отечественного и зарубежного опыта в этой области.
Разделение функций
Принцип Разделения функций, требует, чтобы ни один сотрудник организации не имел
полномочий, позволяющих ему единолично осуществлять выполнение критичных
операций. Все такие операции должны быть разделены на части, и их выполнение должно
быть поручено различным сотрудникам. Кроме того, необходимо предпринимать
специальные меры по недопущению сговора и разграничению ответственности между
этими сотрудниками.
Разумная достаточность
(экономическая целесообразность, сопоставимость возможного ущерба и затрат)
Предполагает соответствие уровня затрат на обеспечение безопасности информации
(ценности информационных ресурсов) величине возможного ущерба от их разглашения,
утраты, утечки, уничтожения и искажения. Используемые меры и средства обеспечения
безопасности информационных ресурсов не должны заметно ухудшать эргономические
показатели работы АС, в которой эта информация циркулирует. Излишние меры
безопасности, помимо экономической неэффективности, приводят к утомлению и
раздражению персонала.
Создать абсолютно непреодолимую систему защиты принципиально невозможно. Пока
информация находится в обращении, принимаемые меры могут только снизить
вероятность негативных воздействий или ущерб от них, но не исключить их полностью.
При достаточном количестве времени и средств возможно преодолеть любую защиту.
Поэтому имеет смысл рассматривать некоторый приемлемый уровень обеспечения
безопасности. Высокоэффективная система защиты стоит дорого, использует при работе
существенную часть ресурсов компьютерной системы и может создавать ощутимые
дополнительные неудобства пользователям. Важно правильно выбрать тот достаточный
уровень защиты, при котором затраты, риск и размер возможного ущерба были бы
приемлемыми (задача анализа риска).
П ерсональная о тветствен н о сть

Предполагает возложение ответственности за обеспечение безопасности информации и


системы её обработки на каждого сотрудника в пределах его полномочий. В соответствии
с этим принципом распределение прав и обязанностей сотрудников строится таким
образом, чтобы в случае любого нарушения круг виновников был чётко известен или
сведён к минимуму.
Минимизация полномочий
Означает предоставление пользователям минимальных прав доступа в соответствии с
производственной необходимостью. Доступ к информации должен предоставляться
только в том случае и объёме, в каком это необходимо сотруднику для выполнения его
должностных обязанностей.
Взаимодействие и сотрудничество
Предполагает создание благоприятной атмосферы в коллективах подразделений. В такой
обстановке сотрудники должны осознанно соблюдать установленные правила и
оказывать содействие в деятельности подразделений обеспечения безопасности
информации.

Информзащита
У ч еб ны й ц ентр
55

Гибкость системы защиты

Принятые меры и установленные средства защиты, особенно в начальный период их


эксплуатации, могут обеспечивать как чрезмерный, так и недостаточный уровень защиты.
Для обеспечения возможности варьирования уровнем защищённости, средства защиты
должны обладать определённой гибкостью. Особенно важным это свойство является в
тех случаях, когда установку средств защиты необходимо осуществлять на уже
работающую систему, не нарушая процесса её нормального функционирования. Кроме
того, внешние условия и требования с течением времени меняются. В таких ситуациях
свойство гибкости системы защиты избавляет владельцев АС от необходимости принятия
кардинальных мер по полной замене средств защиты на новые.
Открытость алгоритмов и механизмов защиты
Суть принципа открытости алгоритмов и механизмов защиты состоит в том, что защита
не должна обеспечиваться только за счёт секретности структурной организации и
алгоритмов функционирования её подсистем. Знание алгоритмов работы системы защиты
не должно давать возможности её преодоления (даже авторам). Это, однако, не означает,
что информация о конкретной системе защиты должна быть общедоступна.
Простота применения средств защиты
Механизмы защиты должны быть интуитивно понятны и просты в использовании.
Применение средств защиты не должно быть связано со знанием специальных языков
или с выполнением действий, требующих значительных дополнительных трудозатрат
при обычной работе зарегистрированных установленным порядком пользователей, а
также не должно требовать от пользователя выполнения рутинных малопонятных ему
операций (ввод нескольких паролей и имён и т.д.).
Научная обоснованность и техническая реализуемость
Информационные технологии, технические и программные средства, средства и меры
защиты информации должны быть реализованы на современном уровне развития науки и
техники, научно обоснованы с точки зрения достижения заданного уровня безопасности
информации и должны соответствовать установленным нормам и требованиям по
безопасности информации.
Специализация и профессионализм
Предполагает привлечение к разработке средств и реализации мер защиты информации
специализированных организаций, наиболее подготовленных к конкретному виду
деятельности по обеспечению безопасности информационных ресурсов, имеющих опыт
практической работы и государственные лицензии на право оказания услуг в этой
области. Реализация административных мер и эксплуатация средств защиты должна
осуществляться профессионально подготовленными сотрудниками (специалистами
подразделений обеспечения безопасности информации).
Взаимодействие и координация
Предполагают осуществление мер обеспечения безопасности информации при
разработке и функционировании АС и её системы защиты информации, на основе
взаимодействия всех внутренних структурных подразделений организации, а также
сторонних предприятий и организаций, имеющих авторизованный доступ к АС,
специализированных предприятий и организаций в области защиты информации,
привлекаемых для разработки системы защиты информации в АС, координации их
усилий для достижения поставленных целей безопасности.
Обязательность контроля
Предполагает обязательность и своевременность выявления и пресечения попыток
нарушения установленных правил обеспечения безопасности информации на основе

Информзащита
56

используемых систем и средств защиты информации при совершенствовании критериев


и методов оценки эффективности этих систем и средств.
Контроль за деятельностью любого пользователя, каждого средства защиты и в
отношении любого объекта защиты должен осуществляться на основе применения
средств оперативного контроля и регистрации и должен охватывать как
несанкционированные, так и санкционированные действия пользователей.
Выводы
В арсенале специалистов по информационной безопасности имеется широкий спектр
защитных мер: законодательных, морально-этических, административных
(организационных), физических и технических (аппаратурных и программных) средств.
Все они обладают своими достоинствами и недостатками, которые необходимо знать и
правильно учитывать при создании систем защиты.
Все известные каналы проникновения и утечки информации должны быть перекрыты с
учётом анализа риска, вероятностей реализации угроз безопасности в конкретной
прикладной системе и обоснованного рационального уровня затрат на защиту.
Наилучшие результаты достигаются при системном подходе к вопросам безопасности
компьютерных систем и комплексном использовании определённых совокупностей
различных мер защиты на всех этапах жизненного цикла системы, начиная с самых
ранних стадий её проектирования.

Информзащита
У чвбм ы и ц е я т р
57

Раздел I - Тема 5:
Правовые основы обеспечения безопасности
информационных технологий

Введение
Современный этап развития системы обеспечения информационной безопасности
государства и общества характеризуется переходом от тотального сокрытия большого
объёма сведений к гарантированной защищённости принципиально важных данных,
обеспечивающей:
■ конституционные права и свободы граждан, предприятий и организаций в
сфере информатизации;
■ необходимый уровень безопасности информации, подлежащей защите;
■ защищенность систем формирования и использования информационных
ресурсов (технологий, систем обработки и передачи данных).
Ключевым моментом политики государства в данной области является осознание
необходимости защиты любых информационных ресурсов и информационных
технологий, неправомерное обращение с которыми может нанести ущерб их обладателю
(собственнику, владельцу, пользователю) или иному лицу.
В Стратегии развития информационного общества в Российской Федерации
(утверждена Президентом Российской Федерации 07.02.2009 № Пр-212) одной из
ключевых задач, требующих решен™ для достижения целей формирования и развития
информационного общества в России значится противодействие использованию
потенциала информационных и телекоммуникационных технологий в целях угрозы
национальным интересам России:
■ обеспечение безопасности функционирования информационно­
телекоммуникационной инфраструктуры;
■ обеспечение безопасности функционирования информационных и
телекоммуникационных систем ключевых объектов инфраструктуры
Российской Федерации, в том числе критических объектов и объектов
повышенной опасности;
■ повышение уровня защищённости корпоративных и индивидуальных
информационных систем;
■ создание единой системы информационно-телекоммуникационного
обеспечения нужд государственного управления, обороны страны,
национальной безопасности и правопорядка;
■ совершенствование правоприменительной практики в области
противодействия угрозам использования информационных и
телекоммуникационных технологий во враждебных целях;
■ обеспечение неприкосновенности частной жизни, личной и семейной тайны,
соблюдение требований по обеспечению безопасности информации
ограниченного доступа;
■ противодействие распространению идеологии терроризма и экстремизма,
пропаганде насилия.

Информзащита
—^1
58

Развитое информационного общества в Российской Федерации базируется на принципах


минимизация рисков и угроз национальной безопасности России, связанных с
враждебным и преступным использованием возможностей информационно­
коммуникационных технологий, укрепление доверия и безопасности при их
использовании.
В Стратегии национальной безопасности Российской Федерации до 2020 года
(утверждена Указом Президента Российской Федерации от 12.05.2009 № 537) сказано,
что государственная политика Российской Федерации в области национальной
безопасности обеспечивается согласованными действиями всех элементов системы
обеспечения национальной безопасности при координирующей роли Совета
Безопасности Российской Федерации за счёт реализации комплекса мер
организационного, нормативно-правового и информационного характера.
Угрозы информационной безопасности в ходе реализации настоящей Стратегии
предотвращаются за счёт совершенствования безопасности функционирования
информационных и телекоммуникационных систем критически важных объектов
инфраструктуры и объектов повышенной опасности в Российской Федерации,
повышения уровня защищённости корпоративных и индивидуальных информационных
систем, создания единой системы информационно-телекоммуникационной поддержки
нужд системы обеспечения национальной безопасности.
Меры нормативной правовой поддержки регулирования вопросов информатизации и
защиты информации в Российской Федерации определяются на основании:
■ Конституции Российской Федерации и федеральных конституционных
законов;
■ Международных договоров и соглашений;
■ Законов Российской Федерации (кодексеальных и общего действия);
■ Указов и распоряжений Президента Российской Федерации;
■ Постановлений и распоряжений Правительства Российской Федерации;
■ Технических регламентов;
■ Национальных стандартов (государственных) и стандартов организаций;
■ Нормативных правовых актов (положения, порядки, руководства, концепции
и другие нормативные и методические документы) уполномоченных
федеральных органов исполнительной власти.
Защищаемая информация
Согласно Доктрины информационной безопасности Российской Федерации
(утверждена Президентом Российской Федерации 09.09.2000 № Пр-1895) под
информационной безопасностью Российской Федерации понимается состояние
защищенности ее национальных интересов в информационной сфере, определяющихся
совокупностью сбалансированных интересов личности, общества и государства.
В Конституции Российской Федерации, а также Декларации прав и свобод человека и
гражданина Российской Федерации определено, что каждый имеет право свободно
искать, получать, передавать, производить и распространять информацию любым
законным способом. Ограничения этого права могут устанавливаться законом
только в целях охраны личной, семейной, профессиональной, коммерческой и
государственной тайны, а также нравственности.
Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных
технологиях и о защите информации» предусматривает разделение информации на
категории свободного и ограниченного доступа (право на тайну). В свою очередь

Информзащита
59

информация ограниченного доступа подразделяется на информацию, отнесённую к


государственной тайне и конфиденциальную (см. Рис. 1.5.1).

Рис. 1.5.1. Классификация информации

Отнесение информации к государственной тайне осуществляется в соответствии с


Законом Российской Федерации от 21.07.1993 № 5485-1 «О государственной
тайне».Условия отнесения информации к сведениям, составляющим коммерческую
тайну, служебную тайну и иную тайну, обязательность соблюдения конфиденциальности
такой информации, а также ответственность за её разглашение устанавливаются
федеральными законами.
Порядок доступа к персональным данным граждан (физических лиц) устанавливается
федеральным законом о персональных данных.
В Федеральном законе от 27.07.2006 № 149-ФЗ «Об информации, информационных
технологиях и о защите информации» даны следующие определения:
1) информация —сведения (сообщения, данные) независимо от формы их представления;
2) информационные технологии - процессы, методы поиска, сбора, хранения,
обработки, предоставления, распространения информации и способы осуществления
таких процессов и методов;
3) информационная система - совокупность содержащейся в базах данных информации
и обеспечивающих её обработку информационных технологий и технических средств;
4) информационно-телекоммуникационная сеть - технологическая система,
предназначенная для передачи по линиям связи информации, доступ к которой
осуществляется с использованием средств вычислительной техники;
5) обладатель информации - лицо, самостоятельно создавшее информацию либо
получившее на основании закона или договора право разрешать или ограничивать доступ
к информации, определяемой по каким-либо признакам;
6) доступ к информации - возможность получения информации и её использования;
7) конфиденциальность информации —обязательное для выполнения лицом,
получившим доступ к определённой информации, требование не передавать такую
информацию третьим лицам без согласия её обладателя;

Информзащита
Учвбмьм центр
8) предоставление информации - действия, направленные на получение информации
определённым кругом лиц или передачу информации определённому кругу лиц;
9) распространение информации - действия, направленные на получение информации
неопределённым кругом лиц или передачу информации неопределённому кругу лиц;
10) электронное сообщение - информация, переданная или полученная пользователем
информационно-телекоммуникационной сети;
11) документированная информация - зафиксированная на материальном носителе
путём документирования информация с реквизитами, позволяющими определить такую
информацию или в установленных законодательством Российской Федерации случаях её
материальный носитель;
12) оператор информационной системы - гражданин или юридическое лицо,
осуществляющие деятельность по эксплуатации информационной системы, в том числе
по обработке информации, содержащейся в её базах данных.
Согласно ст. 6 данного Федерального закона обладатель информации имеет право:
■ разрешать или ограничивать доступ к информации, определять порядок и
условия такого доступа;
■ использовать информацию, в том числе распространять ее, по своему
усмотрению;
■ передавать информацию другим лицам по договору или на ином
установленном законом основании;
■ защищать установленными законом способами свои права в случае
незаконного получения информации или ее незаконного использования
иными лицами;
■ осуществлять иные действия с информацией или разрешать осуществление
таких действий.
При этом обладатель информации обязан:
■ соблюдать права и законные интересы иных лиц;
■ принимать меры по защите информации;
■ ограничивать доступ к информации, если такая обязанность установлена
федеральными законами.
Кроме того, обладатель информации, оператор информационной системы, в случаях,
установленных законодательством Российской Федерации, обязаны обеспечить.
■ предотвращение несанкционированного доступа к информации и (или)
передачи ее лицам, не имеющим права на доступ к информации;
■ своевременное обнаружение фактов несанкционированного доступа к
информации;
я предупреждение возможности неблагоприятных последствий нарушения
порядка доступа к информации;
■ недопущение воздействия на технические средства обработки информации,
в результате которого нарушается их функционирование;
■ возможность незамедлительного восстановления информации,
модифицированной или уничтоженной вследствие несанкционированного
доступа к ней;
■ постоянный контроль за обеспечением уровня защищенности информации.

Информзащита
61

Защита информации представляет собой принятие правовых, организационных и


технических мер, направленных на:
■ обеспечение защиты информации от неправомерного доступа, уничтожения,
модифицирования, блокирования, копирования, предоставления,
распространения, а также от иных неправомерных действий в отношении
такой информации;
■ соблюдение конфиденциальности информации ограниченного доступа;
■ реализацию права на доступ к информации.
Требования о защите информации, содержащейся в государственных информационных
системах, устанавливаются федеральным органом исполнительной власти в области
обеспечения безопасности (ФСБ России) и федеральным органом исполнительной
власти, уполномоченным в области противодействия техническим разведкам и
технической защиты информации (ФСТЭК России), в пределах их полномочий. При
создании и эксплуатации государственных информационных систем, используемые в
целях защиты информации методы и способы её защиты должны соответствовать
указанным требованиям.
Следует также отметить, что согласно ст. 8 не может быть ограничен доступ к:
■ нормативным правовым актам, затрагивающим права, свободы и
обязанности человека и гражданина, а также устанавливающим правовое
положение организаций и полномочия государственных органов, органов
местного самоуправления;
■ информации о состоянии окружающей среды;
■ информации о деятельности государственных органов и органов местного
самоуправления, а также об использовании бюджетных средств (за
исключением сведений, составляющих государственную или служебную
тайну);
■ информации, накапливаемой в открытых фондах библиотек, музеев и
архивов, а также в государственных, муниципальных и иных
информационных системах, созданных или предназначенных для
обеспечения граждан (физических лиц) и организаций такой информацией;
■ иной информации, недопустимость ограничения доступа к которой
установлена федеральными законами.
Например, ст. 5 Федерального закона от 29.07.2004 № 98-ФЗ «О коммерческой тайне»
гласит, что «режим коммерческой тайны не может быть установлен лицами,
осуществляющими предпринимательскую деятельность, в отношении следующих
сведений:
■ содержащихся в учредительных документах юридического лица,
документах, подтверждающих факт внесения записей о юридических лицах
и об индивидуальных предпринимателях в соответствующие
государственные реестры;
■ содержащихся в документах, дающих право на осуществление
предпринимательской деятельности;
■ о составе имущества государственного или муниципального унитарного
предприятия, государственного учреждения и об использовании ими средств
соответствующих бюджетов;
■ о загрязнении окружающей среды, состоянии противопожарной
безопасности, санитарно-эпидемиологической и радиационной обстановке,
безопасности пищевых продуктов и других факторах, оказывающих

Информзащита
62

негативное воздействие на обеспечение безопасного функционирования


производственных объектов, безопасности каждого гражданина и
безопасности населения в целом;
■ о численности, о составе работников, о системе оплаты труда, об условиях
труда, в том числе об охране труда, о показателях производственного
травматизма и профессиональной заболеваемости, и о наличии свободных
рабочих мест;
■ о задолженности работодателей по выплате заработной платы и по иным
социальным выплатам;
■ о нарушениях законодательства Российской Федерации и фактах
привлечения к ответственности за совершение этих нарушений;
■ об условиях конкурсов или аукционов по приватизации объектов
государственной или муниципальной собственности;
■ о размерах и структуре доходов некоммерческих организаций, о размерах и
составе их имущества, об их расходах, о численности и об оплате труда их
работников, об использовании безвозмездного труда граждан в деятельности
некоммерческой организации;
■ о перечне лиц, имеющих право действовать без доверенности от имени
юридического лица;
■ обязательность раскрытия которых или недопустимость ограничения
доступа к которым установлена иными федеральными законами.
Кроме того, постановлением Правительства РСФСР от 05.12.1991 № 35 установлено, что
коммерческую тайну предприятия и предпринимателя не могут составлять:
учредительные документы и Устав;
регистрационные удостоверения, лицензии, патенты;
сведения по установленным формам отчетности о финансово-хозяйственной
деятельности ...;
документы о платежеспособности;
сведения о численности, составе работающих, их заработной плате и
условиях труда, а также о наличии свободных рабочих мест;
документы об уплате налогов и обязательных платежах;
сведения о загрязнении окружающей среды, нарушении антимонопольного
законодательства, несоблюдении безопасных условий труда ...;
сведения об участии должностных лиц предприятия в кооперативах, малых
предприятиях, товариществах, акционерных обществах, объединениях и
других организациях, занимающихся предпринимательской
деятельностью...
Также, постановлением Правительства Российской Федерации от 03.11.1994 № 1233
установлено, что не могут быть отнесены к служебной информации ограниченного
распространения:
■ акты законодательства, устанавливающие правовой статус государственных
органов, организаций, общественных объединений, а также права, свободы и
обязанности граждан, порядок их реализации;
■ сведения о чрезвычайных ситуациях, опасных природных явлениях и
процессах, экологическая, гидрометеорологическая, гидрогеологическая,
демографическая, санитарно-эпидемиологическая и другая информация,

Информзащита
У чвби ьш ц е н т р
63

необходимая для обеспечения безопасного существования населенных


пунктов, граждан и населения в целом, а также производственных объектов;
■ описание структуры органа исполнительной власти, его функций,
направлений и форм деятельности, а также его адрес;
■ порядок рассмотрения и разрешения заявлений, а также обращений граждан
и юридических лиц;
■ решение по заявлениям и обращениям граждан и юридических лиц,
рассмотренным в установленном порядке;
■ сведения об исполнении бюджета и использовании других государственных
ресурсов, о состоянии экономики и потребностей населения;
■ документы, накапливаемые в открытых фондах библиотек и архивов,
информационных системах организаций, необходимые для реализации прав,
свобод и обязанностей граждан.
Перечень сведений конфиденциального характера определён в Указе Президента
Российской Федерации от 06.03.1997 № 188 с изменениями от 23.09.2005 № 1111:
■ сведения о фактах, событиях и обстоятельствах частной жизни гражданина,
позволяющие идентифицировать его личность (персональные данные), за
исключением сведений, подлежащих распространению в средствах массовой
информации в установленных федеральными законами случаях;
■ сведения, составляющие тайну следствия и судопроизводства, а также
сведения о защищаемых лицах и мерах государственной защиты,
осуществляемой в соответствии с Федеральным законом от 20 августа
2004 г. № 119-ФЗ «О государственной защите потерпевших, свидетелей и
иных участников уголовного судопроизводства» и другими нормативными
правовыми актами Российской Федерации;
■ служебные сведения, доступ к которым ограничен органами
государственной власти в соответствии с Гражданским кодексом Российской
Федерации и федеральными законами (служебная тайна)',
■ сведения, связанные с профессиональной деятельностью, доступ к
которым ограничен в соответствии с Конституцией Российской Федерации и
федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна
переписки, телефонных переговоров, почтовых отправлений, телеграфных
или иных сообщений и так далее);
■ сведения, связанные с коммерческой деятельностью, доступ к которым
ограничен в соответствии с Гражданским кодексом Российской Федерации и
федеральными законами (коммерческая тайна);
■ сведения о сущности изобретения, полезной модели или промышленного
образца до официальной публикации информации о них.
Персональные данные
В Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных» даны
следующие определения:
1) персональные данные - любая информация, относящаяся к прямо или косвенно
определенному или определяемому физическому лицу (субъекту персональных данных);
2) оператор - государственный орган, муниципальный орган, юридическое или
физическое лицо, самостоятельно или совместно с другими лицами организующие и
(или) осуществляющие обработку персональных данных, а также определяющие цели

Ш Информзащита
У чебные ц ентр
обработки персональных данных, состав персональных данных, подлежащих обработке,
действия (операции), совершаемые с персональными данными;
3) обработка персональных данных - любое действие (операция) или совокупность
действий (операций), совершаемых с использованием средств автоматизации или без
использования таких средств с персональными данными, включая сбор, запись,
систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение,
использование, передачу (распространение, предоставление, доступ), обезличивание,
блокирование, удаление, уничтожение персональных данных;
4) автоматизированная обработка персональных данных - обработка персональных
данных с помощью средств вычислительной техники;
5) распространение персональных данных - действия, направленные на раскрытие
персональных данных неопределенному кругу лиц;
6) предоставление персональных данных - действия, направленные на раскрытие
персональных данных определенному лицу или определенному кругу лиц;
7) блокирование персональных данных - временное прекращение обработки
персональных данных (за исключением случаев, если обработка необходима для
уточнения персональных данных);
8) уничтожение персональных данных - действия, в результате которых становится
невозможным восстановить содержание персональных данных в информационной
системе персональных данных и (или) в результате которых уничтожаются материальные
носители персональных данных;
9) обезличивание персональных данных - действия, в результате которых становится
невозможным без использования дополнительной информации определить
принадлежность персональных данных конкретному субъекту персональных данных;
10) информационная система персональных данных - совокупность содержащихся в
базах данных персональных данных и обеспечивающих их обработку информационных
технологий и технических средств;
11) трансграничная передача персональных данных - передача персональных данных на
территорию иностранного государства органу власти иностранного государства,
иностранному физическому лицу или иностранному юридическому лицу.
Меры по обеспечению безопасности персональных данных при их обработке:
1. Оператор при обработке персональных данных обязан принимать необходимые
организационные и технические меры, в том числе использовать шифровальные
(криптографические) средства, для защиты персональных данных от неправомерного или
случайного доступа к ним, уничтожения, изменения, блокирования, копирования,
распространения персональных данных, а также от иных неправомерных действий.
2. Правительство Российской Федерации устанавливает требования к обеспечению
безопасности персональных данных при их обработке в информационных системах
персональных данных, требования к материальным носителям биометрических
персональных данных и технологиям хранения таких данных вне информационных
систем персональных данных.
3. Контроль и надзор за выполнением требований, установленных Правительством
Российской Федерации в соответствии с частью 2 настоящей статьи, осуществляются
федеральным органом исполнительной власти, уполномоченным в области обеспечения
безопасности, и федеральным органом исполнительной власти, уполномоченным в
области противодействия техническим разведкам и технической защиты информации, в
пределах их полномочий и без права ознакомления с персональными данными,
обрабатываемыми в информационных системах персональных данных.

Информзащита
Учебны й цемтр
65

4. Использование и хранение биометрических персональных данных вне


информационных систем персональных данных могут осуществляться только на таких
материальных носителях информации и с применением такой технологии её хранения,
которые обеспечивают защиту этих данных от неправомерного или случайного доступа к
ним, уничтожения, изменения, блокирования, копирования, распространения.
Кроме всего прочего оператор до начала обработки персональных данных обязан
уведомить уполномоченный орган по защите прав субъектов персональных данных о
своём намерении осуществлять обработку персональных данных, за исключением
случаев обработки персональных данных:
1) обрабатываемых в соответствии с трудовым законодательством;
2) полученных оператором в связи с заключением договора, стороной которого является
субъект персональных данных, если персональные данные не распространяются, а также
не предоставляются третьим лицам без согласия субъекта персональных данных и
используются оператором исключительно для исполнения указанного договора и
заключения договоров с субъектом персональных данных;
3) относящихся к членам (участникам) общественного объединения или религиозной
организации и обрабатываемых соответствующими общественным объединением или
религиозной организацией, действующими в соответствии с законодательством
Российской Федерации, для достижения законных целей, предусмотренных их
учредительными документами, при условии, что персональные данные не будут
распространяться или раскрываться третьим лицам без согласия в письменной форме
субъектов персональных данных;
4) сделанных субъектом персональных данных общедоступными;
5) включающих в себя только фамилии, имена и отчества субъектов персональных
данных;
6) необходимых в целях однократного пропуска субъекта персональных данных на
территорию, на которой находится оператор, или в иных аналогичных цепях;
7) включенных в информационные системы персональных данных, имеющие в
соответствии с федеральными законами статус государственных автоматизированных
информационных систем, а также в государственные информационные системы
персональных данных, созданные в целях защиты безопасности государства и
общественного порядка;
8) обрабатываемых без использования средств автоматизации в соответствии с
федеральными законами или иными нормативными правовыми актами Российской
Федерации, устанавливающими требования к обеспечению безопасности персональных
данных при их обработке и к соблюдению прав субъектов персональных данных;
9) обрабатываемых в случаях, предусмотренных законодательством Российской
Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного
функционирования транспортного комплекса, защиты интересов личности, общества и
государства в сфере транспортного комплекса от актов незаконного вмешательства.

Обязанности оператора по устранению нарушений законодательства, допущенных при


обработке персональных данных, а также по уточнению, блокированию и уничтожению
персональных данных:
1. В случае выявления недостоверных персональных данных или неправомерных
действий с ними оператора при обращении или по запросу субъекта персональных
данных или его законного представителя либо уполномоченного органа по защите прав
субъектов персональных данных оператор обязан осуществить блокирование

Информзащита
персональных данных, относящихся к соответствующему субъекту персональных
данных, с момента такого обращения или получения такого запроса на период проверки;
2. В случае подтверждения факта недостоверности персональных данных оператор на
основании документов, представленных субъектом персональных данных или его
законным представителем либо уполномоченным органом по защите прав субъектов
персональных данных, или иных необходимых документов обязан уточнить
персональные данные и снять их блокирование.
3. В случае выявления неправомерных действий с персональными данными оператор в
срок, не превышающий трёх рабочих дней с даты такого выявления, обязан устранить
допущенные нарушения. В случае невозможности устранения допущенных нарушений
оператор в срок, не превышающий трёх рабочих дней с даты выявления неправомерности
действий с персональными данными, обязан уничтожить персональные данные. Об
устранении допущенных нарушений или об уничтожен™ персональных данных
оператор обязан уведомить субъекта персональных данных или его законного
представителя, а в случае, если обращение или запрос были направлены
уполномоченным органом по защите прав субъектов персональных данных, также
указанный орган.
4. В случае достижения цепи обработки персональных данных оператор обязан
незамедлительно прекратить обработку персональных данных и уничтожить
соответствующие персональные данные в срок, не превышающий трёх рабочих дней с
даты достижения цели обработки персональных данных, если иное не предусмотрено
федеральными законами, и уведомить об этом субъекта персональных данных или его
законного представителя, а в случае, если обращение или запрос были направлены
уполномоченным органом по защите прав субъектов персональных данных, также
указанный орган.
5. В случае отзыва субъектом персональных данных согласия на обработку своих
персональных данных оператор обязан прекратить обработку персональных данных и
уничтожить персональные данные в срок, не превышающий трёх рабочих дней с даты
поступления указанного отзыва, если иное не предусмотрено соглашением между
оператором и субъектом персональных данных. Об уничтожен™ персональных данных
оператор обязан уведомить субъекта персональных данных.
Следует также отметить, что Российская Федерация ратифицировала Конвенцию Совета
Европы о защите физических лиц при автоматизированной обработке персональных
данных Федеральным законом от 19.12.2005 № 160 ФЗ «О ратификации Конвенции
Совета Европы о защите физических лиц при автоматизированной обработке
персональных данных», в котором установлено следующее:
1) Российская Федерация заявляет, что ... не будет применять Конвенцию к
персональным данным:
а) обрабатываемым физическими лицами исключительно для личных и семейных нужд;
б) отнесённым к государственной тайне в порядке, установленном законодательством
Российской Федерации о государственной тайне;
2) Российская Федерация заявляет, что ... будет применять Конвенцию к персональным
данным, которые не подвергаются автоматизированной обработке, если применение
Конвенции соответствует характеру действий, совершаемых с персональными данными
без использования средств автоматизации;
3) Российская Федерация заявляет, что ... оставляет за собой право устанавливать
ограничения права субъекта персональных данных на доступ к персональным данным о
себе в цепях защиты безопасности государства и общественного порядка.

Информзащита
67

Согласно «Положению об особенностях обработки персональных данных,


осуществляемой без использования средств автоматизации» (утверждено постановлением
Правительства Российской Федерации от 15.09.2008 № 687) обработка персональных
данных, содержащихся в информационной системе персональных данных либо
извлечённых из такой системы (далее - персональные данные), считается осуществлённой
без использования средств автоматизации (неавтоматизированной), если такие действия с
персональными данными, как использование, уточнение, распространение, уничтожение
персональных данных в отношении каждого из субъектов персональных данных,
осуществляются при непосредственном участии человека. Обработка персональных
данных не может быть признана осуществляемой с использованием средств
автоматизации только на том основании, что персональные данные содержатся в
информационной системе персональных данных либо были извлечены из неё.
Также следует отметить, что согласно Указу Президента Российской Федерации от
30.05.2005 № 609 «Об утверждении Положения о персональных данных
государственного гражданского служащего Российской Федерации и ведении его
личного дела» руководителям государственных органов предписано:
обеспечить защиту персональных данных государственных гражданских
служащих Российской Федерации, содержащихся в их личных делах, от неправомерного
их использования или утраты за счет средств государственных органов в порядке,
установленном федеральными законами;
определить лиц, уполномоченных на получение, обработку, хранение, передачу и
любое другое использование персональных данных государственных гражданских
служащих Российской Федерации в государственном органе и несущих ответственность
в соответствии с законодательством Российской Федерации за нарушение режима
защиты этих персональных данных.
Требования к обеспечению безопасности персональных данных при их обработке в
информационных системах персональных данных, представляющих собой совокупность
персональных данных, содержащихся в базах данных, а также информационных
технологий и технических средств, позволяющих осуществлять обработку таких
персональных данных с использованием средств автоматизации (далее -
информационные системы) установлены «Положением об обеспечении безопасности
персональных данных при их обработке в информационных системах персональных
данных», утверждённым постановлением Правительства Российской Федерации от
17.11.2007 № 781.
Безопасность персональных данных при их обработке в информационных системах
обеспечивается с помощью системы защиты персональных данных, включающей
организационные меры и средства защиты информации (в том числе шифровальные
(криптографические) средства, средства предотвращения несанкционированного доступа,
утечки информации по техническим каналам, программно-технических воздействий на
технические средства обработки персональных данных), а также используемые в
информационной системе информационные технологии. Технические и программные
средства должны удовлетворять устанавливаемым в соответствии с законодательством
Российской Федерации требованиям, обеспечивающим защиту информации.
Для обеспечения безопасности персональных данных при их обработке в
информационных системах осуществляется защита речевой информации и информации,
обрабатываемой техническими средствами, а также информации, представленной в виде
информативных электрических сигналов, физических полей, носителей на бумажной,
магнитной, магнитно-оптической и иной основе.
Методы и способы защиты информации в информационных системах устанавливаются
Федеральной службой по техническому и экспортному контролю и Федеральной
службой безопасности Российской Федерации в пределах их полномочий.

Информзащита
Достаточность принятых мер по обеспечению безопасности персональных данных при их
обработке в информационных системах оценивается при проведении государственного
контроля и надзора.
Работы по обеспечению безопасности персональных данных при их обработке в
информационных системах являются неотъемлемой частью работ по созданию
информационных систем.
Средства зашиты информации, применяемые в информационных системах, в
установленном порядке проходят процедуру оценки соответствия.
Обмен персональными данными при их обработке в информационных системах
осуществляется по каналам связи, защита которых обеспечивается путём реализации
соответствующих организационных мер и (или) путём применения технических средств.
Размещение информационных систем, специальное оборудование и охрана помещений, в
которых ведётся работа с персональными данными, организация режима обеспечения
безопасности в этих помещениях должны обеспечивать сохранность носителей
персональных данных и средств защиты информации, а также исключать возможность
неконтролируемого проникновения или пребывания в этих помещениях посторонних
лиц.
Возможные каналы утечки информации при обработке персональных данных в
информационных системах определяются Федеральной службой по техническому и
экспортному контролю и Федеральной службой безопасности Российской Федерации в
пределах их полномочий.
Безопасность персональных данных при их обработке в информационной системе
обеспечивает оператор или лицо, которому на основании договора оператор поручает
обработку персональных данных (далее - уполномоченное лицо). Существенным
условием договора является обязанность уполномоченного лица обеспечить
конфиденциальность персональных данных и безопасность персональных данных при их
обработке в информационной системе.
Мероприятия по обеспечению безопасности персональных данных при их обработке в
информационных системах включают в себя:
а) определение угроз безопасности персональных данных при их обработке,
формирование на их основе модели угроз;
б) разработку на основе модели угроз системы зашиты персональных данных,
обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и
способов защиты персональных данных, предусмотренных для соответствующего класса
информационных систем;
в) проверку готовности средств защиты информации к использованию с составлением
заключений о возможности их эксплуатации;
г) установку и ввод в эксплуатацию средств защиты информации в соответствии с
эксплуатационной и технической документацией;
д) обучение лиц, использующих средства защиты информации, применяемые в
информационных системах, правилам работы с ними;
е) учёт применяемых средств защиты информации, эксплуатационной и технической
документации к ним, носителей персональных данных;
ж) учёт лиц, допущенных к работе с персональными данными в информационной
системе;
з) контроль за соблюдением условий использования средств защиты информации,
предусмотренных эксплуатационной и технической документацией;

Информзащита
У чебн ы м ц е н т р
69

и) разбирательство и составление заключений по фактам несоблюдения условий


хранения носителей персональных данных, использования средств защиты информации,
которые могут привести к нарушению конфиденциальности персональных данных или
другим нарушениям, приводящим к снижению уровня защищённости персональных
данных, разработку и принятие мер по предотвращению возможных опасных
последствий подобных нарушений;
к) описание системы защиты персональных данных.
Запросы пользователей информационной системы на получение персональных данных,
включая лиц, указанных в пункте 14 настоящего Положения, а также факты
предоставления персональных данных по этим запросам регистрируются
автоматизированными средствами информационной системы в электронном журнале
обращений. Содержание электронного журнала обращений периодически проверяется
соответствующими должностными лицами (работниками) оператора или
уполномоченного лица.
При обнаружении нарушений порядка предоставления персональных данных оператор
или уполномоченное лицо незамедлительно приостанавливают предоставление
персональных данных пользователям информационной системы до выявления причин
нарушений и устранения этих причин.
Требования к материальным носителям биометрических персональных данных и
технологиям хранения таких данных вне информационных систем персональных данных
установлены постановлением Правительства Российской Федерации от 06.07.2008 № 512.
Под материальным носителем понимается машиночитаемый носитель информации (в
том числе магнитный и электронный), на котором осуществляются запись и хранение
сведений, характеризующих физиологические особенности человека и на основе которых
можно установить его личность.
Настоящие требования не распространяются на отношения, возникающие при
использовании:
а) оператором информационной системы персональных данных (далее - оператор)
материальных носителей для организации функционирования информационной системы
персональных данных, оператором которой он является;
б) бумажных носителей для записи и хранения биометрических персональных данных.
Оператор утверждает порядок передачи материальных носителей уполномоченным
лицам, а также обязан:
а) осуществлять учёт количества экземпляров материальных носителей;
б) осуществлять присвоение материальному носителю уникального идентификационного
номера, позволяющего точно определить оператора, осуществившего запись
биометрических персональных данных на материальный носитель.
Федеральным органом исполнительной власти, осуществляющим функции по контролю
и надзору за соответствием обработки персональных данных требованиям
законодательства Российской Федерации в области персональных данных, согласно
постановлению Правительства Российской от 16.03.2009 № 228, является Федеральная
служба по надзору в сфере связи, информационных технологий и массовых
коммуникаций (Роскомнадзор).
Требования к материальным носителям биометрических персональных данных и
технологиям хранения таких данных вне информационных систем персональных данных
утверждены постановлением Правительства Российской Федерации от 06.06.2008 № 512.
Настоящие требования применяются при использовании материальных носителей, на
которые осуществляется запись биометрических персональных данных, а также при

Информзащита
хранении биометрических персональных данных вне информационных систем
персональных данных.
Под материальным носителем понимается машиночитаемый носитель информации (в
том числе магнитный и электронный), на котором осуществляются запись и хранение
сведений, характеризующих физиологические особенности человека и на основе которых
можно установить его личность (далее - материальный носитель).
Настоящие требования не распространяются на отношения, возникающие при
использовании:
а) оператором информационной системы персональных данных (далее - оператор)
материальных носителей для организации функционирования информационной системы
персональных данных, оператором которой он является;
б) бумажных носителей для записи и хранения биометрических персональных данных.
Порядок передачи материальных носителей уполномоченным лицам утверждает
оператор. Оператор вправе установить не противоречащие требованиям законодательства
Российской Федерации дополнительные требования к технологиям хранения
биометрических персональных данных вне информационных систем персональных
данных в зависимости от методов и способов защиты биометрических персональных
данных в информационных системах персональных данных этого оператора. Оператор
обязан:
а) осуществлять учёт количества экземпляров материальных носителей;
б) осуществлять присвоение материальному носителю уникального идентификационного
номера, позволяющего точно определить оператора, осуществившего запись
биометрических персональных данных на материальный носитель.

Во исполнение Федерального Закона «О персональных данных» Правительство


Российской Федерации 21 марта 2012г. Приняло Постановление №211 «Об утверждении
перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных
Федеральным Законом «О персональных данных» и принятыми в соответствии с ним
нормативными правовыми актами, операторами, являющимися государственными или
муниципальными органами».
Указанное постановление определяет перечень мер, предусмотренный ст. 18.1 ФЗ-152, но
только для государственных и муниципальных органов. Наиболее важными моментами
являются:
• Определена необходимость назначения главного за обработку ПДн.
• Определен перечень документов, который должен быть разработан госорганом или
муниципальным органом, среди них есть требование наличия документа,
описывающего правила работы с обезличенными данными.
• Декларируется, что обработка ПДн без средств автоматизации регламентируется ПП-
687.
• Описано требование обезличивания ПДн в ИСПДн согласно требованиям и методам,
установленным уполномоченным органом по защите прав субъектов персональных
данных. Пока этих требований и методов нет.

Порядок проведения классификации информационных систем персональных


данных утверждён совместным приказом ФСТЭК России, ФСБ России и
Мининформсвязи России от 13.02.2008 № 55/86/20. Также следует отметить
методические документы ФСТЭК России и ФСБ России:

Информзащита
У чебны м ц е н т р
71

■ Методика определения актуальных угроз безопасности персональных


данных при их обработке в информационных системах персональных
данных (утверждена Заместителем директора ФСТЭК России 14.02.2008);
■ Базовая модель угроз безопасности персональных данных при их обработке
в информационных системах персональных данных (утверждена
Заместителем директора ФСТЭК России 15.02.2008);
■ Положение о методах и способах защиты информации в информационных
системах персональных данных (утверждено Приказом ФСТЭК России
от 05.02.2010 № 58, зарегистрировано в Минюсте России 19.02.2010
№ 16456);
■ Методические рекомендации по обеспечению с помощью криптосредств
безопасности персональных данных при их обработке в информационных
системах персональных данных с использованием средств автоматизации
(утверждены руководством 8 Центра ФСБ России 21.02.2008 № 149/54-144);
■ Типовые требования по организации и обеспечению функционирования
шифровальных (криптографических) средств, предназначенных для защиты
информации, не содержащей сведений, составляющих государственную
тайну в случае их использования для обеспечения безопасности
персональных данных при их обработке в информационных системах
персональных данных (утверждены руководством 8 Центра ФСБ России
21.02.2008 № 149/6/6-622).
Коммерческая тайна
В Федеральном законе от 29.07.2004 № 98-ФЗ «О коммерческой тайне» даны
следующие определения:
1) коммерческая тайна - режим конфиденциальности информации, позволяющий её
обладателю при существующих или возможных обстоятельствах увеличить доходы,
избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг
или получить иную коммерческую выгоду;
2) информация, составляющая коммерческую тайну (секрет производства), -
сведения любого характера (производственные, технические, экономические,
организационные и другие), в том числе о результатах интеллектуальной деятельности в
научно-технической сфере, а также сведения о способах осуществления
профессиональной деятельности, которые имеют действительную или потенциальную
коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих
лиц нет свободного доступа на законном основании и в отношении которых обладателем
таких сведений введён режим коммерческой тайны;
4) обладатель информации, составляющей коммерческую тайну, - лицо, которое
владеет информацией, составляющей коммерческую тайну, на законном основании,
ограничило доступ к этой информации и установило в отношении её режим
коммерческой тайны;
9) разглашение информации, составляющей коммерческую тайну, - действие или
бездействие, в результате которых информация, составляющая коммерческую тайну, в
любой возможной форме (устной, письменной, иной форме, в том числе с
использованием технических средств) становится известной третьим лицам без согласия
обладателя такой информации либо вопреки трудовому или гражданско-правовому
договору.
Режим коммерческой тайны считается установленным после принятия обладателем
информации, составляющей коммерческую тайну, мер по охране конфиденциальности
этой информации, включающих в себя:

Информзащита
■ определение перечня информации, составляющей коммерческую тайну;
■ ограничение доступа к информации, составляющей коммерческую тайну,
путем установления порядка обращения с этой информацией и контроля за
соблюдением такого порядка;
■ учет лиц, получивших доступ к информации, составляющей коммерческую
тайну, и/или лиц, которым такая информация была предоставлена или
передана;
■ регулирование отношений по использованию информации, составляющей
коммерческую тайну, работниками на основании трудовых договоров и
контрагентами на основании гражданско-правовых договоров;
■ нанесение на материальные носители (документы), содержащие
информацию, составляющую коммерческую тайну, грифа «Коммерческая
тайна» с указанием обладателя этой информации (для юридических лиц -
полное наименование и место нахождения, для индивидуальных
предпринимателей —фамилия, имя, отчество гражданина, являющегося
индивидуальным предпринимателем, и место жительства).
Меры по охране конфиденциальности информации признаются разумно достаточными,
если:
■ исключается доступ к информации, составляющей коммерческую тайну,
любых лиц без согласия ее обладателя;
■ обеспечивается возможность использования информации, составляющей
коммерческую тайну, работниками и передачи ее контрагентам без
нарушения режима коммерческой тайны.
Режим коммерческой тайны не может быть использован в целях, противоречащих
требованиям защиты основ конституционного строя, нравственности, здоровья, прав и
законных интересов других лиц, обеспечения обороны страны и безопасности
государства.
К сожалению, вступивший в действие Федеральный закон от 29.07.2004 № 98-ФЗ
«О коммерческой тайне» не в полной мере обеспечивает неприкосновенность
соответствующей информации. В соответствии со статьёй 6 этого Закона, «Обладатель
информации, составляющей коммерческую тайну, по мотивированному требованию
органа государственной власти, иного государственного органа, органа местного
самоуправления предоставляет им на безвозмездной основе информацию, составляющую
коммерческую тайну» При отказе собственника информационных ресурсов добровольно
вьщать информацию, составляющую коммерческую тайну, она может быть получена в
судебном порядке. При этом какого-либо возмещения издержек собственника на
предоставление информации не предусматривается. Кроме того, данный Закон не
предусматривает отмены ранее принятых нормативных документов по вопросам защиты
коммерческой тайны, в том числе и в части, противоречащей Закону. Данное
обстоятельство, к сожалению, не способствует устранению существовавших до принятия
Федерального закона от 29.07.2004 № 98-ФЗ «О коммерческой тайне» правовых
коллизий.
Также, следует отметить наличие методических документов по технической защиты
информации, составляющей коммерческую тайну, выпущенных ФСТЭК России:
■ Методические рекомендации по технической защите информации,
составляющей коммерческую тайну (утверждены Заместителем директора
ФСТЭК России 25.12.2006);

Информзащита
У чеби*** ц е и т р
73

■ Пособие по организации технической защиты информации, составляющей


коммерческую тайну (утверждено Заместителем директора ФСТЭК России
25.12.2006).
Служебная тайна
Общий порядок обращения с документами и другими материальными носителями
информации (фото-, кино-, видео-, и аудиопленки, машинные носители информации и
др.), содержащими служебную информацию ограниченного распространения, в
федеральных органах исполнительной власти, а также на подведомственных им
предприятиях, в учреждениях и организациях определён в «Положении о порядке
обращения со служебной информацией ограниченного распространения в федеральных
органах исполнительной власти», утверждённом постановлением Правительства
Российской Федерации от 03.11.1994 № 1233.
К служебной информации отграниченного распространения относится несекретная
информация, касающаяся деятельности организаций, ограничения на распространение
которой диктуется служебной необходимостью.
На документах (в необходимых случаях и на их проектах), содержащих служебную
информацию ограниченного распространения, проставляется пометка «Для служебного
пользования».
Только лишь руководителям федерального органа исполнительной власти разрешено
определять в пределах своей компетенции:
■ категории должностных лиц, уполномоченных относить служебную
информацию к разряду ограниченного распространения;
■ порядок передачи служебной информации ограниченного распространения
другим органам и организациям;
■ порядок снятия пометки «Для служебного пользования» с носителей
информации ограниченного распространения;
■ организацию защиты служебной информации ограниченного
распространения.
Должностные лица, принявшие решение об отнесении служебной информации к разряду
ограниченного распространения, несут персональную ответственность за обоснованность
принятого решения и за соблюдение ограничений, предусмотренных настоящим
Положением.
Служебная информация ограниченного распространения без санкции соответствующего
должностного лица не подлежащих разглашению (распространению).
За разглашение служебной информации ограниченного распространения, а также
нарушение порядка обращения с документами, содержащими такую информацию,
государственный служащий (работник организации) может быть привлечён к
дисциплинарной или иной предусмотренной законодательством ответственности.
Следует также отметить, что согласно п. 1 Указа Президента Российской Федерации
от 17 марта 2008 г. № 351 «О мерах по обеспечению информационной безопасности
Российской Федерации в сфере международного информационного обмена»
подключение информационных систем, информационно-телекоммуникационных сетей и
средств вычислительной техники, применяемых для хранения, обработки или передачи
информации, содержащей сведения, составляющие государственную тайну, либо
информации, обладателями которой являются государственные органы и которая
содержит сведения, составляющие служебную тайну, к информационно­
телекоммуникационным сетям, позволяющим осуществлять передачу информации через
государственную границу Российской Федерации, в том числе к международной
компьютерной сети «Интернет», не допускается.

Информзащита
При необходимости подключения информационных систем, информационно­
телекоммуникационных сетей и средств вычислительной техники, указанных выше, к
информационно-телекоммуникационным сетям международного информационного
обмена такое подключение производится только с использованием специально
предназначенных для этого средств защиты информации, в том числе шифровальных
(криптографических) средств, прошедших в установленном законодательством
Российской Федерации порядке сертификацию в Федеральной службе безопасности
Российской Федерации и (или) получивших подтверждение соответствия в Федеральной
службе по техническому и экспортному контролю. Выполнение данного требования
является обязательным для операторов информационных систем, владельцев
информационно-телекоммуникационных сетей и (или) средств вычислительной техники.
Государственные органы в целях защиты общедоступной информации, размещаемой в
информационно-телекоммуникационных сетях международного информационного
обмена, используют только средства защиты информации, прошедшие в установленном
законодательством Российской Федерации порядке сертификацию в Федеральной службе
безопасности Российской Федерации и (или) получившие подтверждение соответствия в
Федеральной службе по техническому и экспортному контролю.
Размещение технических средств, подключаемых к информационно­
телекоммуникационным сетям международного информационного обмена, в
помещениях, предназначенных для ведения переговоров, в ходе которых обсуждаются
вопросы, содержащие сведения, составляющие государственную тайну, осуществляется
только при наличии сертификата, разрешающего эксплуатацию таких технических
средств в указанных помещениях. Финансирование расходов, связанных с размещением
технических средств в указанных помещениях федеральных органов государственной
власти, осуществляется в пределах бюджетных ассигнований, предусмотренных в
федеральном бюджете на содержание этих органов.
Банковская тайна
В ст.26 Федерального закона от 02.12.1990 № 395-1 «О банках и банковской
деятельности» сказано, что «Кредитная организация, Банк России гарантируют тайну об
операциях, о счетах и вкладах своих клиентов и корреспондентов. Все служащие
кредитной организации обязаны хранить тайну об операциях, счетах и вкладах её
клиентов и корреспондентов, а также об иных сведениях, устанавливаемых кредитной
организацией, если это не противоречит федеральному закону».
Кроме всего прочего, согласно ст.857 части второй Гражданского кодекса Российской
Федерации (Федеральный закон от 25.01.1996 № 14-ФЗ) «Банк гарантирует тайну счёта и
банковского вклада, операций по счёту и сведений о клиенте».
Следовательно к основным объектам банковской тайны, согласно действующему
законодательству, относятся:
■ Тайна банковского счета - сведения о счетах клиентов и корреспондентов
и действиях с ними в кредитной организации (о расчетном, текущем,
бюджетном, депозитном, валютном, корреспондентском и т.п. счете, об
открытии, закрытии, переводе, переоформлении счета и т.п.);
■ Тайна операций по банковскому счету —сведения о принятии и зачислении
поступающих на счет клиента денежных средств, о выполнении его
распоряжений по перечислению и выдаче соответствующих сумм со счета, а
также проведении других операций и сделок по банковскому счету,
предусмотренных договором банковского счета или законом,
установленными в соответствии с ним банковскими правилами, обычаями
делового оборота;

Информзащита
У чебны » цеитр
75

■ Тайна банковского вклада - сведения о всех видах вкладов клиента в


кредитной организации (срочные, до востребования, в пользу третьих лиц,
либо на иных условиях, предусмотренных публичным договором
банковского вклада).
■ Тайна частной жизни клиента или корреспондента - сведения о клиенте
или корреспонденте, составляющие его личную, семейную тайну и
сохраняемые законом как персональные данные этого клиента или
корреспондента.
Информация в ключевых системах информационной инфраструктуры
Надёжное обеспечение информационной безопасности критически важных объектов
является одним из важнейших условий для успешного экономического и социально­
политического развития российского общества, укрепления обороноспособности страны
и безопасности государства. Решение этой проблемы во многом определяется
защищённостью информационных ресурсов, телекоммуникационных систем и сетей
критически важных объектов, создаваемых и используемых как государственными, так и
негосударственными организациями, от угроз преступного или террористического
характера в сфере компьютерной информации, деструктивного информационного
воздействия со стороны других государств.
В настоящее время федеральными органами исполнительной власти, наделёнными
полномочиями нормативно-правового регулирования вопросов обеспечения
безопасности информации в ключевых системах информационной инфраструктуры
Российской Федерации являются ФСТЭК России и ФСБ России.
22 сентября 2006 г. в Государственную Думу был внесён Законопроект (№ п/п: 1
Код: 340741-4) «Об особенностях обеспечения информационной безопасности
критически важных объектов информационной и телекоммуникационной
инфраструктуры», который был снят с рассмотрения 11.03.2008 в связи с отзывом
субъектом права законодательной инициативы.
Тем не менее, ФСТЭК России были разработаны следующие нормативно-методические
документы по обеспечению безопасности информации в ключевых системах
информационной инфраструктуры:
■ Общие требования по обеспечению безопасности информации в ключевых
системах информационной инфраструктуры (утверждены Заместителем
директора ФСТЭК России 18.05.2007);
■ Базовая модель угроз безопасности информации в ключевых системах
информационной инфраструктуры (утверждены Заместителем директора
ФСТЭК России 18.05.2007);
■ Методика определения актуальных угроз безопасности информации в
ключевых системах информационной инфраструктуры (утверждены
Заместителем директора ФСТЭК России 18.05.2007);
■ Рекомендации по обеспечению безопасности информации в ключевых
системах информационной инфраструктуры (утверждены Заместителем
директора ФСТЭК России 19.11.2007).
Исходя из вышеизложенного, можно ввести простую и понятную классификацию тайн:
■ по собственнику (государственная, негосударственная и т.п.);
■ по владельцу (в своих или чужих руках - государственная, коммерческая,
банковская, профессиональная, служебная, персональные данные как
особый институт охраны неприкосновенности частного лица и т.п.);

Информзащита
Учебным центр
■ по области применения, в которой извлекается выгода от монопольного
владения (экономическая —коммерческая, политическая, военная и т.п.);
■ по степени важности (гриф).
Другие Федеральные законы и нормативные правовые акты Российской Федерации
предусматривают:
■ лицензирование деятельности предприятий, учреждений и организаций в
области защиты информации;
■ сертификацию средств защиты информации и средств контроля
эффективности защиты, используемых в АС;
■ аттестацию (аттестование) автоматизированных информационных
систем, обрабатывающих информацию с ограниченным доступом на
соответствие требованиям по безопасности информации при проведении
работ со сведениями соответствующей степени конфиденциальности
(секретности);
■ возложение решения вопросов организации лицензирования, аттестации и
сертификации на органы государственного управления в пределах их
компетенции, определенной законодательством Российской Федерации;
■ создание автоматизированных информационных систем в защищенном
исполнении и специальных подразделений, обеспечивающих защиту
информации с ограниченным доступом, являющейся собственностью
государства, а также осуществление контроля защищенности информации и
предоставление прав запрещать или приостанавливать обработку
информации в случае невыполнения требований по обеспечению ее защиты;
■ определение прав и обязанностей субъектов в области защиты информации.
Лицензирование
Лицензирование —деятельность лицензирующих органов по предоставлению,
переоформлению лицензий, продлению срока действия лицензий в случае, если
ограничение срока действия лицензий предусмотрено федеральными законами,
осуществлению лицензионного контроля, приостановлению, возобновлению,
прекращению действия и аннулированию лицензий, формированию и ведению реестра
лицензий, формированию государственного информационного ресурса, а также по
предоставлению в установленном порядке информации по вопросам лицензирования.
Лицензия - специальное разрешение на право осуществления юридическим лицом или
индивидуальным предпринимателем конкретного вида деятельности (выполнения работ,
оказания услуг, составляющих лицензируемый вид деятельности), которое
подтверждается документом, выданным лицензирующим органом на бумажном носителе
или в форме электронного документа, подписанного электронной подписью, в случае,
если в заявлении о предоставлении лицензии указывалось на необходимость выдачи
такого документа в форме электронного документа.
Законодательство Российской Федерации предусматривает установление Правительством
Российской Федерации порядка ведения лицензионной деятельности, перечня видов
деятельности, на осуществление которых требуется лицензия, и органов,
уполномоченных на ведение лицензионной деятельности.
В соответствии со статьёй 12 Федерального закона от 04.05.2011 № 99-ФЗ
«О лицензировании отдельных видов деятельности» обязательному лицензированию
подлежат следующие виды деятельности (в области защиты информации):
■ разработка, производство, распространение шифровальных
(криптографических) средств, информационных систем и

Информзащита
У чебн ы м ц е н т р
77

телекоммуникационных систем, защищённых с использованием


шифровальных (криптографических) средств, выполнение работ, оказание
услуг в области шифрования информации, техническое обслуживание
шифровальных (криптографических) средств, информационных систем и
телекоммуникационных систем, защищённых с использованием
шифровальных (крипто графических) средств (за исключением случая, если
техническое обслуживание шифровальных (криптографических) средств,
информационных систем и телекоммуникационных систем, защищённых с
использованием шифровальных (криптографических) средств,
осуществляется для обеспечения собственных нужд юридического лица или
индивидуального предпринимателя);
■ разработка, производство, реализация и приобретение в целях продажи
специальных технических средств, предназначенных для негласного
получения информации;
■ деятельность по выявлению электронных устройств, предназначенных для
негласного получения информации (за исключением случая, если указанная
деятельность осуществляется для обеспечения собственных нужд
юридического лица или индивидуального предпринимателя);
■ разработка и производство средств защиты конфиденциальной информации;
■ деятельность по технической защите конфиденциальной информации.
В рамках рассматриваемых видов деятельности были выпущены отдельные
постановления Правительства Российской Федерации, разъясняющие порядок
лицензирования. Среди них:
■ Постановление Правительства РФ от 3.02.2012 № 79 «О лицензировании
деятельности по технической защите конфиденциальной информации»;
■ Постановление Правительства Российской Федерации от 31.08.2006 № 532
«О лицензировании деятельности по разработке и (или) производству
средств защиты конфиденциальной информации»;
■ Постановление Правительства Российской Федерации от 16.04.2012 № 313
«Об утверждении положения о лицензировании деятельности по
разработке, производству, распространению шифровальных
(криптографических) средств, информационных систем и
телекоммуникационных систем, защищенных с использованием
шифровальных (криптографических) средств, выполнению работ, оказанию
услуг в области шифрования информации, техническому обслуживанию
шифровальных (криптографических) средств, информационных систем и
телекоммуникационных систем, защищенных с использованием
шифровальных (криптографических) средств (за исключением случая, если
техническое обслуживание шифровальных (криптографических) средств,
информационных систем и телекоммуникационных систем, защищенных с
использованием шифровальных (криптографических) средств,
осуществляется для обеспечения собственных нужд юридического лица или
индивидуального предпринимателя)».
Под технической защитой конфиденциальной информации, согласно Постановлению
Правительства РФ от 3.02.2012 № 79, понимается выполнение работ и (или) оказание
услуг по ее защите от несанкционированного доступа, от утечки по техническим каналам,
а также от специальных воздействий на такую информацию в целях ее уничтожения,
искажения или блокирования доступа к ней.
Лицензирование деятельности по технической защите конфиденциальной информации
осуществляет Федеральная служба по техническому и экспортному контролю.

Информзащита
Лицензионными требованиями, предъявляемыми к соискателю лицензии на
осуществление деятельности по технической защите конфиденциальной информации
(далее - лицензия), являются:
а) наличие у соискателя лицензии:
• юридического лица - специалистов, находящихся в штате соискателя лицензии,
имеющих высшее профессиональное образование в области технической защиты
информации либо высшее техническое или среднее профессиональное (техническое)
образование и прошедших переподготовку или повышение квалификации по вопросам
технической защиты информации;
• индивидуального предпринимателя - высшего профессионального образования в
области технической защиты информации либо высшего технического или среднего
профессионального (технического) образования при условии прохождения им
переподготовки или повышения квалификации по вопросам технической защиты
информации;
б) наличие помещений для осуществления лицензируемого вида деятельности,
соответствующих установленным законодательством Российской Федерации
техническим нормам и требованиям по технической зашите информации и
принадлежащих соискателю лицензии на праве собственности или на ином законном
основании;
в) наличие на праве собственности или на ином законном основании контрольно­
измерительного оборудования (прошедшего в соответствии с законодательством
Российской Федерации метрологическую поверку (калибровку) и маркирование),
производственного и испытательного оборудования, соответствующего требованиям по
техническим характеристикам и параметрам, устанавливаемым Федеральной службой по
техническому и экспортному контролю (при выполнении работ и (или) оказании услуг,
предусмотренных подпунктами "а", "в", "г" и "е" пункта 4 Положения);
г) наличие на праве собственности или на ином законном основании средств контроля
защищенности информации от несанкционированного доступа, сертифицированных по
требованиям безопасности информации, в соответствии с перечнем, утверждаемым
Федеральной службой по техническому и экспортному контролю (при выполнении работ
и (или) оказании услуг, предусмотренных подпунктами "б", "в" и "г" пункта 4
Положения);
д) наличие автоматизированных систем, предназначенных для обработки
конфиденциальной информации, а также средств защиты такой информации, прошедших
процедуру оценки соответствия (аттестованных и (или) сертифицированных по
требованиям безопасности информации) в соответствии с законодательством Российской
Федерации;
е) наличие предназначенных для осуществления лицензируемого вида деятельности
программ для электронно-вычислительных машин и баз данных, принадлежащих
соискателю лицензии на праве собственности или на ином законном основании;
ж) наличие технической документации, национальных стандартов и методических
документов, необходимых для выполнения работ и (или) оказания услуг,
предусмотренных пунктом 4 настоящего Положения, в соответствии с утверждаемым
Федеральной службой по техническому и экспортному контролю перечнем и
принадлежащих соискателю лицензии на праве собственности или на ином законном
основании;
з) наличие системы производственного контроля в соответствии с установленными
стандартами (при выполнении работ, указанных в подпункте "в" пункта 4 Положения).

Информзащита
79

Лицензионными требованиями, предъявляемыми к лицензиату при осуществлении


лицензируемого вида деятельности, являются:
а) выполнение работ и (или) оказание услуг лицензиатом:
• юридическим лицом - с привлечением специалистов, находящихся в штате
лицензиата, имеющих высшее профессиональное образование в области технической
защиты информации либо высшее техническое или среднее профессиональное
(техническое) образование и прошедших переподготовку или повышение квалификации
по вопросам технической защиты информации;
• индивидуальным предпринимателем - при наличии у него высшего
профессионального образования в области технической защиты информации либо
высшего технического или среднего профессионального (технического) образования и
при условии прохождения переподготовки или повышения квалификации по вопросам
технической защиты информации;
б) наличие помещений для осуществления лицензируемого вида деятельности,
соответствующих установленным законодательством Российской Федерации
техническим нормам и требованиям по технической защите информации и
принадлежащих лицензиату на праве собственности или на ином законном основании;
в) использование на праве собственности или на ином законном основании контрольно­
измерительного оборудования (прошедшего в соответствии с законодательством
Российской Федерации метрологическую поверку (калибровку) и маркирование),
производственного и испытательного оборудования, соответствующего требованиям по
техническим характеристикам и параметрам, устанавливаемым Федеральной службой по
техническому и экспортному контролю (при выполнении работ и (или) оказании услуг,
предусмотренных подпунктами "а", "в", "г" и "е" пункта 4 Положения);
г) использование на праве собственности или на ином законном основании средств
контроля защищенности информации от несанкционированного доступа,
сертифицированных по требованиям безопасности информации, в соответствии с
перечнем, утверждаемым Федеральной службой по техническому и экспортному
контролю (при выполнении работ и (или) оказании услуг, предусмотренных подпунктами
"б", "в" и "г" пункта 4 Положения);
д) использование для обработки конфиденциальной информации автоматизированных
систем и средств защиты такой информации, прошедших процедуру оценки соответствия
(аттестованных и (или) сертифицированных по требованиям безопасности информации) в
соответствии с законодательством Российской Федерации;
е) использование предназначенных для осуществления лицензируемого вида
деятельности программ для электронно-вычислительных машин и баз данных,
принадлежащих лицензиату на праве собственности или на ином законном основании;
ж) наличие технической документации, национальных стандартов и методических
документов, необходимых для выполнения работ и (или) оказания услуг,
предусмотренных пунктом 4 настоящего Положения, в соответствии с утверждаемым
Федеральной службой по техническому и экспортному контролю перечнем и
принадлежащих лицензиату на праве собственности или на ином законном основании;
з) наличие системы производственного контроля в соответствии с установленными
стандартами (при выполнении работ, указанных в подпункте "в" пункта 4 Положения).
7. Под грубым нарушением лицензионных требований понимается невыполнение
лицензиатом требований, предусмотренных подпунктами "а", "в" - "е" и "з" пункта 6
настоящего Положения, повлекшее за собой последствия, предусмотренные частью 11
статьи 19 Федерального закона "О лицензировании отдельных видов деятельности".

Информзащита
Учебный центр
Таким образом, вся деятельность по обеспечению технической защиты
конфиденциальной информации подпадает под обязательное лицензирование, т.е.
владелец АС, в рамках которой обрабатывается, хранится или передаётся
конфиденциальная информация, должен обладать лицензией на проведение работ по
технической защите информации, либо привлекать для проведения подобных работ
компании, обладающие такой лицензией.
Другим важным документом, требующим особого внимания, является постановление
Правительства Российской Федерации от 16.04.2012 № 313 «Об утверждении положения
о лицензировании деятельности по разработке, производству, распространению
шифровальных (криптографических) средств, информационных систем и
телекоммуникационных систем, защищенных с использованием шифровальных
(криптографических) средств, выполнению работ, оказанию услуг в области шифрования
информации, техническому обслуживанию шифровальных (криптографических) средств,
информационных систем и телекоммуникационных систем, защищенных с
использованием шифровальных (криптографических) средств (за исключением случая,
если техническое обслуживание шифровальных (криптографических) средств,
информационных систем и телекоммуникационных систем, защищенных с
использованием шифровальных (криптографических) средств, осуществляется для
обеспечения собственных нужд юридического лица или индивидуального
предпринимателя)».
К шифровальным (криптографическим) средствам (средствам криптографической
защиты информации), включая документацию на эти средства, относятся:
а) средства шифрования - аппаратные, программные и программно-аппаратные
шифровальные (криптографические) средства, реализующие алгоритмы
криптографического преобразования информации для ограничения доступа к ней, в том
числе при ее хранении, обработке и передаче;
б) средства имитозащиты - аппаратные, программные и программно-аппаратные
шифровальные (криптографические) средства (за исключением средств шифрования),
реализующие алгоритмы криптографического преобразования информации для ее
защиты от навязывания ложной информации, в том числе защиты от модифицирования,
для обеспечения ее достоверности и некорректируемости, а также обеспечения
возможности выявления изменений, имитации, фальсификации или модифицирования
информации;
в) средства электронной подписи;
г) средства кодирования - средства шифрования, в которых часть криптографических
преобразований информации осуществляется с использованием ручных операций или с
использованием автоматизированных средств, предназначенных для выполнения таких
операций;
д) средства изготовления ключевых документов - аппаратные, программные,
программно-аппаратные шифровальные (криптографические) средства, обеспечивающие
возможность изготовления ключевых документов для шифровальных
(криптографических) средств, не входящие в состав этих шифровальных
(криптографических) средств;
е) ключевые документы - электронные документы на любых носителях информации, а
также документы на бумажных носителях, содержащие ключевую информацию
ограниченного доступа для криптографического преобразования информации с
использованием алгоритмов криптографического преобразования информации
(криптографический ключ) в шифровальных (криптографических) средствах;
ж) аппаратные шифровальные (криптографические) средства - устройства и их
компоненты, в том числе содержащие ключевую информацию, обеспечивающие

Информзащита
У ч е б н ы * и ви тр
81

возможность преобразования информации в соответствии с алгоритмами


криптографического преобразования информации без использования программ для
электронных вычислительных машин;
з) программные шифровальные (криптографические) средства - программы для
электронных вычислительных машин и их части, в том числе содержащие ключевую
информацию, обеспечивающие возможность преобразования информации в соответствии
с алгоритмами криптографического преобразования информации в программно­
аппаратных шифровальных (криптографических) средствах, информационных системах
и телекоммуникационных системах, защищенных с использованием шифровальных
(криптографических) средств;
и) программно-аппаратные шифровальные (криптографические) средства - устройства и
их компоненты (за исключением информационных систем и телекоммуникационных
систем), в том числе содержащие ключевую информацию, обеспечивающие возможность
преобразования информации в соответствии с алгоритмами криптографического
преобразования информации с использованием программ дня электронных
вычислительных машин, предназначенных для осуществления этих преобразований
информации или их части.
Лицензирование деятельности по указанным видам деятельности осуществляется
Федеральной службой безопасности Российской Федерации.
Настоящее Положение не распространяется на деятельность с использованием:
а) шифровальных (криптографических) средств, предназначенных для защиты
информации, содержащей сведения, составляющие государственную тайну;
б) шифровальных (криптографических) средств, а также товаров, содержащих
шифровальные (криптографические) средства, реализующих либо симметричный
криптографический алгоритм, использующий криптографический ключ длиной, не
превышающей 56 бит, либо ассиметричный криптографический алгоритм, основанный
либо на методе разложения на множители целых чисел, размер которых не превышает
512 бит, либо на методе вычисления дискретных логарифмов в мультипликативной
группе конечного поля размера, не превышающего 512 бит, либо на методе вычисления
дискретных логарифмов в иной группе размера, не превышающего 112 бит;
в) товаров, содержащих шифровальные (криптографические) средства, имеющих либо
функцию аутентификации, включающей в себя все аспекты контроля доступа, где нет
шифрования файлов или текстов, за исключением шифрования, которое непосредственно
связано с защитой паролей, персональных идентификационных номеров или подобных
данных для защиты от несанкционированного доступа, либо имеющих электронную
подпись;
г) шифровальных (криптографических) средств, являющихся компонентами
программных операционных систем, криптографические возможности которых не могут
бьггь изменены пользователями, которые разработаны для установки пользователем
самостоятельно без дальнейшей существенной поддержки поставщиком и техническая
документация (описание алгоритмов криптографических преобразований, протоколы
взаимодействия, описание интерфейсов и т.д.) на которые является доступной;
д) персональных смарт-карт (интеллектуальных карт), криптографические возможности
которых ограничены использованием в оборудовании или системах, указанных в
подпунктах "е" - "и" настоящего пункта, или персональных смарт-карт
(интеллектуальных карт) для широкого общедоступного применения, криптографические
возможности которых недоступны пользователю и которые в результате специальной
разработки имеют ограниченные возможности защиты хранящейся на них персональной
информации;

Информзащита
е) приемной аппаратуры для радиовещания, коммерческого телевидения или аналогичной
коммерческой аппаратуры для вещания на ограниченную аудиторию без шифрования
цифрового сигнала, кроме случаев использования шифрования исключительно для
управления видео- или аудиоканалами и отправки счетов или возврата информации,
связанной с программой, провайдерам вещания;
ж) оборудования, криптографические возможности которого недоступны пользователю,
специально разработанного и ограниченного для осуществления следующих функций:
• исполнение программного обеспечения в защищенном от копирования виде;
• обеспечение доступа к защищенному от копирования содержимому,
хранящемуся только на доступном для чтения носителе информации, либо
доступа к информации, хранящейся в зашифрованной форме на носителях, когда
эти носители информации предлагаются на продажу населению в идентичных
наборах;
• контроль копирования аудио- и видеоинформации, защищенной авторскими
правами;
з) шифровального (криптографического) оборудования, специально разработанного и
ограниченного применением для банковских или финансовых операций в составе
терминалов единичной продажи (банкоматов), POS-терминалов и терминалов оплаты
различного вида услуг, криптографические возможности которых не могут быть
изменены пользователями;
и) портативных или мобильных радиоэлектронных средств гражданского назначения
(например, для использования в коммерческих гражданских системах сотовой
радиосвязи), которые не способны к сквозному шифрованию (то есть от абонента к
абоненту);
к) беспроводного оборудования, осуществляющего шифрование информации только в
радиоканале с максимальной дальностью беспроводного действия без усиления и
ретрансляции менее 400 м в соответствии с техническими условиями производителя (за
исключением оборудования, используемого на критически важных объектах);
л) шифровальных (криптографических) средств, используемых для защиты
технологических каналов информационно-телекоммуникационных систем и сетей связи,
не относящихся к критически важным объектам;
м) товаров, у которых криптографическая функция гарантированно заблокирована
производителем.
Лицензионными требованиями при осуществлении лицензируемой деятельности
являются:
а) наличие у соискателя лицензии (лицензиата) права собственности или иного законного
основания на владение и использование помещений, сооружений, технологического,
испытательного, контрольно-измерительного оборудования и иных объектов,
необходимых для осуществления лицензируемой деятельности;
б) выполнение соискателем лицензии (лицензиатом) при осуществлении лицензируемой
деятельности требований по обеспечению информационной безопасности,
устанавливаемых в соответствии со статьями 11.2 и 13 Федерального закона "О
федеральной службе безопасности";
в) наличие у соискателя лицензии (лицензиата) условий для соблюдения
конфиденциальности информации, необходимых для выполнения работ и оказания услуг,
составляющих лицензируемую деятельность, в соответствии с требованиями о
соблюдении конфиденциальности информации, установленными Федеральным законом
"Об информации, информационных технологиях и о защите информации";

Информзащита
Учебным центр
83

г) наличие у соискателя лицензии (лицензиата) допуска к выполнению работ и оказанию


услуг, связанных с использованием сведений, составляющих государственную тайну (при
выполнении работ и оказании услуг, указанных в пунктах 1 ,4 -6 , 16 и 19 перечня);
д) наличие в штате у соискателя лицензии (лицензиата) следующего квалифицированного
персонала:
• руководитель и (или) лицо, уполномоченное руководить работами в рамках
лицензируемой деятельности, имеющие высшее профессиональное образование
по направлению подготовки "Информационная безопасность" в соответствии с
Общероссийским классификатором специальностей и (или) прошедшие
переподготовку по одной из специальностей этого направления (нормативный
срок - свыше 1000 аудиторных часов), а также имеющие стаж в области
выполняемых работ в рамках лицензируемой деятельности не менее 5 лет (только
для работ и услуг, указанных в пунктах 1,4 - 6, 16 и 19 перечня);
• руководитель и (или) лицо, уполномоченное руководить работами в рамках
лицензируемой деятельности, имеющие высшее профессиональное образование
по направлению подготовки "Информационная безопасность" в соответствии с
Общероссийским классификатором специальностей и (или) прошедшие
переподготовку по одной из специальностей этого направления (нормативный
срок - свыше 500 аудиторных часов), а также имеющие стаж в области
выполняемых работ в рамках лицензируемой деятельности не менее 3 лет (только
для работ и услуг, указанных в пунктах 2,3, 1 - 15,17, 18,20,25 - 28 перечня);
• руководитель и (или) лицо, уполномоченное руководить работами в рамках
лицензируемой деятельности, имеющие высшее или среднее профессиональное
образование по направлению подготовки "Информационная безопасность" в
соответствии с Общероссийским классификатором специальностей и (или)
прошедшие переподготовку по одной из специальностей этого направления
(нормативный срок - свыше 100 аудиторных часов) (только для работ и услуг,
указанных в пунктах 21-24 перечня);
• инженерно-технические работники (минимум 2 человека), имеющие высшее
профессиональное образование по направлению подготовки "Информационная
безопасность" в соответствии с Общероссийским классификатором
специальностей и (или) прошедшие переподготовку по одной из специальностей
этого направления (нормативный срок - свыше 1000 аудиторных часов), а также
имеющие стаж в области выполняемых работ в рамках лицензируемой
деятельности не менее 5 лет (только для работ и услуг, указанных в пунктах 1 ,4 ­
6, 16 и 19 перечня);
• инженерно-технический работник (минимум 1 человек), имеющий высшее
профессиональное образование по направлению подготовки "Информационная
безопасность" в соответствии с Общероссийским классификатором
специальностей и (или) прошедший переподготовку по одной из специальностей
этого направления (нормативный срок - свыше 500 аудиторных часов), а также
имеющий стаж в области выполняемых работ в рамках лицензируемой
деятельности не менее 3 лет (только для работ и услуг, указанных в пунктах 2, 3,
7 - 15,17,18,20,25 -28 перечня);
• инженерно-технический работник, имеющий высшее или среднее
профессиональное образование по направлению подготовки "Информационная
безопасность" в соответствии с Общероссийским классификатором
специальностей (только для работ и услуг, указанных в пунктах 2 1-24 перечня);
• е) наличие у соискателя лицензии приборов и оборудования, прошедших поверку
и калибровку в соответствии с Федеральным законом "Об обеспечении единства

Информзащита
измерений", принадлежащих ему на праве собственности или ином законном
основании и необходимых для выполнения работ и оказания услуг, указанных в
пунктах 1 -11,16 -19 перечня;
ж) представление соискателем лицензии (лицензиатом) в лицензирующий орган перечня
шифровальных (криптографических) средств, в том числе иностранного производства, не
имеющих сертификата Федеральной службы безопасности Российской Федерации,
технической документации, определяющей состав, характеристики и условия
эксплуатации этих средств, и (или) образцов шифровальных (криптографических)
средств;
з) использование соискателем лицензии (лицензиатом) предназначенных для
осуществления лицензируемой деятельности программ для электронных
вычислительных машин и баз данных, принадлежащих соискателю лицензии
(лицензиату) на праве собственности или ином законном основании.

Сертификация средств защиты и аттестация объектов


информатизации
Согласно Закону Российской Федерации «О государственной тайне» средства защиты
информации должны иметь сертификат, удостоверяющий их соответствие требованиям
по защите сведений соответствующей степени секретности.
Кроме того, в соответствии с «Положением о государственной системе защиты
информации в Российской Федерации от иностранных технических разведок и от её
утечки по техническим каналам» (постановление Совета Министров - Правительства
Российской Федерации от 15.09.1993 № 912-51) информация, содержащая сведения,
отнесённые к государственной или служебной тайне, должна обрабатываться с
использованием защищённых систем и средств информатизации и связи или с
использованием технических и программных средств защиты, сертифицированных в
установленном порядке. Для оценки готовности систем и средств информатизации и
связи к обработке (передаче) информации, содержащей сведения, отнесённые к
государственной или служебной тайне, проводится аттестование указанных систем и
средств в реальных условиях эксплуатации на предмет соответствия принимаемых
методов, мер и средств защиты требуемому уровню безопасности информации.
Также следует отметить, что согласно требованиям «Положения о лицензировании
деятельности по технической защите конфиденциальной информации» (постановление
Правительства Российской Федерации от 3.02.2012 № 79) допускается использование
автоматизированных систем, обрабатывающих конфиденциальную информацию, а также
средств защиты такой информации, прошедших процедуру оценки соответствия
(аттестованных и(или) сертифицированных по требованиям безопасности информации) в
соответствии с законодательством Российской Федерации. Не невыполнение данных
требований является грубым нарушением лицензионных требований и условий.
В «Положении об обеспечении безопасности персональных данных при их обработке в
информационных системах персональных данных» (постановление Правительства
Российской Федерации от 17.11.2007 № 781) сказано, что средства защиты информации,
применяемые в информационных системах, в установленном порядке проходят
процедуру оценки соответствия.

Информзащита
У чебн ы м ц е н т р
85

В Указе Президента Российской Федерации от 17.03.2008 № 351 сказано, что:


■ при необходимости подключения информационных систем, информационно­
телекоммуникационных сетей и средств вычислительной техники, применяемых
для хранения, обработки или передачи информации, содержащей сведения,
составляющие государственную тайну, либо информации, обладателями которой
являются государственные органы и которая содержит сведения, составляющие
служебную тайну, к информационно-телекоммуникационным сетям
международного информационного обмена такое подключение производится
только с использованием специально предназначенных для этого средств защиты
информации, в том числе шифровальных (криптографических) средств,
прошедших в установленном законодательством Российской Федерации порядке
сертификацию в Федеральной службе безопасности Российской Федерации и
(или) получивших подтверждение соответствия в Федеральной службе по
техническому и экспортному контролю;
■ государственные органы в целях защиты общедоступной информации,
размещаемой в информационно-телекоммуникационных сетях международного
информационного обмена, используют только средства защиты информации,
прошедшие в установленном законодательством Российской Федерации порядке
сертификацию в Федеральной службе безопасности Российской Федерации и
(или) получившие подтверждение соответствия в Федеральной службе по
техническому и экспортному контролю;
■ размещение технических средств, подключаемых к информационно­
телекоммуникационным сетям международного информационного обмена, в
помещениях, предназначенных для ведения переговоров, в ходе которых
обсуждаются вопросы, содержащие сведения, составляющие государственную
тайну, осуществляется только при наличии сертификата, разрешающего
эксплуатацию таких технических средств в указанных помещениях.
В постановлении Правительства Российской Федерации от 18.05.2009 № 424 сказано, что:
■ операторы федеральных государственных информационных систем, созданных
или используемых в целях реализации полномочий федеральных органов
исполнительной власти и содержащих сведения, указанные в перечне сведений о
деятельности Правительства Российской Федерации и федеральных органов
исполнительной власти, обязательных для размещения в информационно­
телекоммуникационной сети Интернет, утверждённом постановлением
Правительства Российской Федерации от 12 февраля 2003 г. № 98
«Об обеспечении доступа к информации о деятельности Правительства
Российской Федерации и федеральных органов исполнительной власти» (далее —
информационные системы общего пользования), при подключении
информационных систем общего пользования к информационно­
телекоммуникационным сетям, доступ к которым не ограничен определённым
кругом лиц, обязаны обеспечить: использование при подключении
информационных систем общего пользования к информационно­
телекоммуникационным сетям средств защиты информации, прошедших оценку
соответствия (в том числе в установленных случаях сертификацию), в
порядке, установленном законодательством Российской Федерации.
В постановлении Правительства Российской Федерации от 15.05.2010 № 330 сказано, что
аккредитация органа по сертификации и испытательной лаборатории (центра),
выполняющих работы по подтверждению соответствия продукции (работ, услуг),
указанной в пункте 2 настоящего постановления, осуществляется органом по
аккредитации в установленном законодательством Российской Федерации порядке при
условии наличия у органа по сертификации и испытательной лаборатории (центра):
автоматизированных систем, обрабатывающих информацию ограниченного доступа, а

Информзащита
также средств её защиты, прошедших процедуру оценки соответствия
(аттестованных и (или) сертифицированных по требованиям безопасности
информации) в соответствии с законодательством Российской Федерации.
В остальных случаях сертификация и аттестация носят добровольный характер
(добровольная сертификация и аттестация) и может осуществляться по инициативе
заказчика или владельца объекта информатизации.
В Федеральном законе от 27.12.2002 № 184-ФЗ «О техническом регулировании» даны
следующие определения:
■ оценка соответствия - прямое или косвенное определение соблюдения
требований, предъявляемых к объекту;
■ подтверждение соответствия - документальное удостоверение соответствия
продукции или иных объектов, процессов проектирования (включая изыскания),
производства, строительства, монтажа, наладки, эксплуатации, хранения,
перевозки, реализации и утилизации, выполнения работ или оказания услуг
требованиям технических регламентов, положениям стандартов, сводов правил
или условиям договоров;
■ сертификация - форма осуществляемого органом по сертификации
подтверждения соответствия объектов требованиям технических регламентов,
положениям стандартов, сводов правил или условиям договоров;
■ декларирование соответствия - форма подтверждения соответствия
продукции требованиям технических регламентов;
■ технический регламент - документ, который принят международным
договором Российской Федерации, ратифицированным в порядке, установленном
законодательством Российской Федерации, или межправительственным
соглашением, заключённым в порядке, установленном законодательством
Российской Федерации, или федеральным законом, или указом Президента
Российской Федерации, или постановлением Правительства Российской
Федерации, или нормативным правовым актом федерального органа
исполнительной власти по техническому регулированию и устанавливает
обязательные для применения и исполнения требования к объектам технического
регулирования (продукции, в том числе зданиям, строениям и сооружениям или к
связанным с требованиями к продукции процессам проектирования (включая
изыскания), производства, строительства, монтажа, наладки, эксплуатации,
хранения, перевозки, реализации и утилизации);
■ форма подтверждения соответствия —определённый порядок
документального удостоверения соответствия продукции или иных объектов,
процессов проектирования (включая изыскания), производства, строительства,
монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации,
выполнения работ или оказания услуг требованиям технических регламентов,
положениям стандартов или условиям договоров;
■ схема подтверждения соответствия - перечень действий участников
подтверждения соответствия, результаты которых рассматриваются ими в
качестве доказательств соответствия продукции и иных объектов установленным
требованиям.
Подтверждение соответствия осуществляется в целях:
■ удостоверения соответствия продукции, процессов проектирования (включая
изыскания), производства, строительства, монтажа, наладки, эксплуатации,
хранения, перевозки, реализации и утилизации, работ, услуг или иных объектов
техническим регламентам, стандартам, сводам правил, условиям договоров;

Информзащита
У чебн ы м ц е н т р
87

■ содействия приобретателям в компетентном выборе продукции, работ, услуг;


■ повышения конкурентоспособности продукции, работ, услуг на российском и
международном рынках;
■ создания условий для обеспечения свободного перемещения товаров по
территории Российской Федерации, а также для осуществления международного
экономического, научно-технического сотрудничества и международной
торговли.
Подтверждение соответствия осуществляется на основе принципов:
■ доступности информации о порядке осуществления подтверждения соответствия
заинтересованным лицам;
■ недопустимости применения обязательного подтверждения соответствия к
объектам, в отношении которых не установлены требования технических
регламентов;
■ установления перечня форм и схем обязательного подтверждения соответствия в
отношении определённых видов продукции в соответствующем техническом
регламенте;
■ уменьшения сроков осуществления обязательного подтверждения соответствия и
затрат заявителя;
■ недопустимости принуждения к осуществлению добровольного подтверждения
соответствия, в том числе в определённой системе добровольной сертификации;
■ защиты имущественных интересов заявителей, соблюдения коммерческой тайны
в отношении сведений, полученных при осуществлении подтверждения
соответствия;
■ недопустимости подмены обязательного подтверждения соответствия
добровольной сертификацией.
Подтверждение соответствия разрабатывается и применяется равным образом и в равной
мере независимо от страны и (или) места происхождения продукции, осуществления
процессов проектирования (включая изыскания), производства, строительства, монтажа,
наладки, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ
и оказания услуг, видов или особенностей сделок и (или) лиц, которые являются
изготовителями, исполнителями, продавцами, приобретателями.
Подтверждение соответствия на территории Российской Федерации может носить
добровольный или обязательный характер. Добровольное подтверждение соответствия
осуществляется в форме добровольной сертификации. Обязательное подтверждение
соответствия осуществляется в формах:
■ принятия декларации о соответствии (далее - декларирование соответствия);
■ обязательной сертификации.
Порядок применения форм обязательного подтверждения соответствия устанавливается
Федеральным законом «О техническом регулировании».
В отношении продукции (работ, услуг), используемой в целях защиты сведений,
составляющих государственную тайну или относимых к охраняемой в соответствии с
законодательством Российской Федерации иной информации ограниченного доступа;
продукции (работ, услуг), сведения о которой составляют государственную тайну;
продукции (работ, услуг) и объектов, для которых устанавливаются требования,
связанные с обеспечением ядерной и радиационной безопасности в области
использования атомной энергии; процессов проектирования (включая изыскания),
производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки,

I Информзащита
« ' Уче&ньм центр
реализации, утилизации, захоронения соответственно указанной продукции и указанных
объектов обязательными требованиями наряду с требованиями технических регламентов
являются требования, установленные государственными заказчиками, федеральными
органами исполнительной власти, уполномоченными в области обеспечения
безопасности, обороны, внешней разведки, противодействия техническим разведкам и
технической защиты информации, государственного управления использованием
атомной энергии, государственного регулирования безопасности при использовании
атомной энергии, и (или) государственными контрактами (договорами). Особенности
оценки соответствия указанной продукции (работ, услуг) и объектов, а также
соответственно процессов их проектирования (включая изыскания), производства,
строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации,
утилизации, захоронения устанавливаются Правительством Российской Федерации.
Технический регламент должен содержать перечень и (или) описание объектов
технического регулирования, требования к этим объектам и правила их идентификации в
целях применения технического регламента. Технический регламент должен содержать
правила и формы оценки соответствия (в том числе в техническом регламенте могут
содержаться схемы подтверждения соответствия, порядок продления срока действия
выданного сертификата соответствия), определяемые с учетом степени риска, предельные
сроки оценки соответствия в отношении каждого объекта технического регулирования и
(или) требования к терминологии, упаковке, маркировке или этикеткам и правилам их
нанесения. Технический регламент должен содержать требования энергетической
эффективности.
Оценка соответствия проводится в формах:
■ государственного контроля (надзора);
■ аккредитации;
■ испытания;
■ регистрации;
■ подтверждения соответствия;
■ приёмки и ввода в эксплуатацию объекта, строительство которого закончено;
■ и в иной форме.
Не включённые в технические регламенты требования к продукции или к связанным с
ними процессам проектирования (включая изыскания), производства, строительства,
монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации,
правилам и формам оценки соответствия, правила идентификации, требования к
терминологии, упаковке, маркировке или этикеткам и правилам их нанесения не могут
носить обязательный характер.
Обязательное подтверждение соответствия проводится только в случаях, установленных
соответствующим техническим регламентом, и исключительно на соответствие
требованиям технического регламента. Объектом обязательного подтверждения
соответствия может быть только продукция, выпускаемая в обращение на территории
Российской Федерации.
Форма и схемы обязательного подтверждения соответствия могут устанавливаться
только техническим регламентом с учётом степени риска недостижения целей
технических регламентов.
Декларация о соответствии и сертификат соответствия имеют равную юридическую силу
и действуют на всей территории Российской Федерации в отношении каждой единицы
продукции, выпускаемой в обращение на территории Российской Федерации во время
действия декларации о соответствии или сертификата соответствия, в течение срока

Информзащита
У чеб н ы м ц е н т р
89

годности или срока службы продукции, установленных в соответствии с


законодательством Российской Федерации.
Работы по обязательному подтверждению соответствия подлежат оплате на основании
договора с заявителем. Стоимость работ по обязательному подтверждению соответствия
продукции определяется независимо от страны и (или) места её происхождения, а также
лиц, которые являются заявителями.
Декларирование соответствия осуществляется по одной из следующих схем:
■ принятие декларации о соответствии на основании собственных доказательств;
■ принятие декларации о соответствии на основании собственных доказательств,
доказательств, полученных с участием органа по сертификации и (или)
аккредитованной испытательной лаборатории (центра) (далее - третья сторона).
При декларировании соответствия заявителем может быть зарегистрированные в
соответствии с законодательством Российской Федерации на её территории юридическое
лицо или физическое лицо в качестве индивидуального предпринимателя, либо
являющиеся изготовителем или продавцом, либо выполняющие функции иностранного
изготовителя на основании договора с ним в части обеспечения соответствия
поставляемой продукции требованиям технических регламентов и в части
ответственности за несоответствие поставляемой продукции требованиям технических
регламентов (лицо, выполняющее функции иностранного изготовителя). Круг заявителей
устанавливается соответствующим техническим регламентом. Схема декларирования
соответствия с участием третьей стороны устанавливается в техническом регламенте в
случае, если отсутствие третьей стороны приводит к недостижению целей подтверждения
соответствия.
При декларировании соответствия на основании собственных доказательств заявитель
самостоятельно формирует доказательственные материалы в целях подтверждения
соответствия продукции требованиям технических регламентов. В качестве
доказательственных материалов используются техническая документация, результаты
собственных исследований (испытаний) и измерений и (или) другие документы,
послужившие мотивированным основанием для подтверждения соответствия продукции
требованиям технических регламентов. Состав доказательственных материалов
определяется соответствующим техническим регламентом.
При декларировании соответствия на основании собственных доказательств и
полученных с участием третьей стороны доказательств заявитель по своему выбору в
дополнение к собственным доказательствам:
■ включает в доказательственные материалы протоколы исследований (испытаний)
и измерений, проведённых в аккредитованной испытательной лаборатории
(центре);
■ предоставляет сертификат системы качества, в отношении которого
предусматривается контроль (надзор) органа по сертификации, выдавшего
данный сертификат, за объектом сертификации.
Сертификат системы качества может использоваться в составе доказательств при
принятии декларации о соответствии любой продукции, за исключением случая, если для
такой продукции техническими регламентами предусмотрена иная форма подтверждения
соответствия.
Декларация о соответствии оформляется на русском языке и должна содержать:
■ наименование и местонахождение заявителя;
■ наименование и местонахождение изготовителя;

Информзащита
■ информацию об объекте подтверждения соответствия, позволяющую
идентифицировать этот объект;
■ наименование технического регламента, на соответствие требованиям которого
подтверждается продукция;
■ указание на схему декларирования соответствия;
■ заявление заявителя о безопасности продукции при её использовании в
соответствии с целевым назначением и принятии заявителем мер по обеспечению
соответствия продукции требованиям технических регламентов;
■ сведения о проведённых исследованиях (испытаниях) и измерениях, сертификате
системы качества, а также документах, послуживших основанием для
подтверждения соответствия продукции требованиям технических регламентов;
■ срок действия декларации о соответствии;
■ иные предусмотренные соответствующими техническими регламентами
сведения.
Срок действия декларации о соответствии определяется техническим регламентом.
Форма декларации о соответствии утверждается федеральным органом исполнительной
власти по техническому регулированию.
Оформленная заявителем декларация о соответствии подлежит регистрации в едином
реестре деклараций о соответствии в течение трёх дней. Порядок формирования и
ведения единого реестра деклараций о соответствии, порядок регистрации деклараций о
соответствии, предоставления содержащихся в указанном реестре сведений определяются
уполномоченным Правительством Российской Федерации федеральным органом
исполнительной власти.
Обязательная сертификация осуществляется органом по сертификации на основании
договора с заявителем. Схемы сертификации, применяемые для сертификации
определённых видов продукции, устанавливаются соответствующим техническим
регламентом.
Соответствие продукции требованиям технических регламентов подтверждается
сертификатом соответствия, выдаваемым заявителю органом по сертификации.
Сертификат соответствия включает в себя:
■ наименование и местонахождение заявителя;
■ наименование и местонахождение изготовителя продукции, прошедшей
сертификацию;
■ наименование и местонахождение органа по сертификации, выдавшего
сертификат соответствия;
■ информацию об объекте сертификации, позволяющую идентифицировать этот
объект;
■ наименование технического регламента, на соответствие требованиям которого
проводилась сертификация;
■ информацию о проведённых исследованиях (испытаниях) и измерениях;
■ информацию о документах, представленных заявителем в орган по сертификации
в качестве доказательств соответствия продукции требованиям технических
регламентов;
■ срок действия сертификата соответствия.

Информзащита
Учвбмми центр
91

Срок действия сертификата соответствия определяется соответствующим техническим


регламентом. Форма сертификата соответствия утверждается федеральным органом
исполнительной власти по техническому регулированию.
Обязательная сертификация осуществляется органом по сертификации, аккредитованным
в порядке, установленном Правительством Российской Федерации.
В соответствии с действующим законодательством обязательная сертификация
проводится в рамках систем сертификации средств защиты информации, созданных
федеральными органами исполнительной власти, уполномоченными проводить работы
по сертификации средств защиты информации в пределах компетенции, определённой
для них законодательными и иными нормативными правовыми актами Российской
Федерации. В качестве таких нормативных правовых актов следует отметить:
■ Постановление Правительства Российской Федерации от 26.06.1995 № 608
«О сертификации средств защиты информации»;
■ Постановление Правительства Российской Федерации от 21.04.2010 № 266
«Об особенностях оценки соответствия продукции (работ, услуг), используемой в
целях защиты сведений, составляющих государственную тайну или относимых к
охраняемой в соответствии с законодательством Российской Федерации иной
информации ограниченного доступа, и продукции (работ, услуг), сведения о
которой составляют государственную тайну, предназначенной для эксплуатации
в загранучреждениях Российской Федерации, а также процессов её
проектирования (включая изыскания), производства, строительства, монтажа,
наладки, эксплуатации, хранения, перевозки, реализации, утилизации и
захоронения, об особенностях аккредитации органов по сертификации и
испытательных лабораторий (центров), выполняющих работы по подтверждению
соответствия указанной продукции (работ, услуг), и о внесении изменения в
Положение о сертификации средств защиты информации»;
■ Постановление Правительства Российской Федерации от 15.05.2010 № 330
«Об особенностях оценки соответствия продукции (работ, услуг), используемой в
целях защиты сведений, относимых к охраняемой в соответствии с
законодательством Российской Федерации информации ограниченного доступа,
не содержащей сведения, составляющие государственную тайну, а также
процессов её проектирования (включая изыскании), производства, строительства,
монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и
захоронения, об особенностях аккредитации органов по сертификации и
испытательных лабораторий (центров), выполняющих работы по подтверждению
соответствия указанной продукции (работ, услуг)».
Согласно требованиям Постановления Правительства Российской Федерации
от 26.06.1995 № 608 «О сертификации средств защиты информации» были созданы
системы обязательной сертификации пяти федеральных органов исполнительной власти:

ФАПСИ - Система сертификации средств криптографической защиты
информации (утверждена генеральным директором ФАПСИ 28 октября
1993 г., зарегистрирована Госстандартом России в Государственном реестре
15 ноября 1993 г. /Свидетельство № РОСС RU.0001.030001/)-
в соответствии с Указом Президента Российской Федерации от 11.03.2003
№ 308 в связи с расформированием ФАПСИ соответствующие функции
переданы Федеральной службе безопасности Российской Федерации;
ФСТЭК России - Положение о сертификации средств защиты информации
по требованиям безопасности информации (введено в действие приказом
Председателя Гостехкомиссии России от 27.10.1995 № 199,
зарегистрировано Госстандартом России в Государственном реестре
20 марта 1995 г. /Свидетельство № РОСС RU.OOO 1.01 БИ00/);

Информзащита
У че&ньм центр
92

ФСБ России - Положение о система сертификации средств защиты


информации по требованиям безопасности для сведений, составляющих
государственную тайну (утверждено приказом ФСБ России от 13 ноября
1999 г. № 564, зарегистрировано в Минюсте России 27 декабря 1999 г. № 2028);
Минобороны России - Система сертификации средств защиты информации
по требованиям безопасности информации (введено в действие приказом
Министра обороны Российской федерации 1996 г. № 058, зарегистрировано
Госстандартом России в Государственном реестре в 1996 г. /Свидетельство
№ РОСС RU.OOOl.OiriUOO/);
■ СВР России - Положение о системе сертификации средств защиты
информации по требованиям безопасности информации (утверждено
директором СВР России 05.08.1998, зарегистрировано Госстандартом
России в Государственном реестре 15 марта 1999 г. /Свидетельство
№ РОСС RU.0001.04C300/).
Конкретные средства и меры защиты информации должны разрабатываться и
применяться в зависимости от уровня конфиденциальности и ценности информации, а
также от уровня возможного ущерба в случае её утечки, уничтожения, модификации или
блокирования.
Необходимой составляющей государственной системы обеспечения информационной
безопасности являются национальные (государственные стандарты) и другие
руководящие, нормативно-технические и методические документы по безопасности
информации, утверждённые федеральными органами исполнительной власти в
соответствии с их компетенцией, и определяющие нормы защищённости информации и
требования в различных направлениях защиты информации.
К основным стандартам и руководящим документам по вопросам обеспечения
безопасности информации, в соответствии с требованиями которых осуществляется
сертификация продукции и аттестация объектов информатизации по требованиям
безопасности информации, сертификация средств криптографической защиты
информации, относятся:
■ в области защиты информации от несанкционированного доступа:
• ГОСТ Р 50922-96. Защита информации. Основные термины и
определения;
• ГОСТ Р 50739-95. Средства вычислительной техники. Защита от
несанкционированного доступа к информации. Общие технические
требования;
• ГОСТ Р 51275-99. Защита информации. Объект информатизации.
Факторы, воздействующие на информацию. Общие положения;
• Руководящие документы Гостехкомиссии России (ФСТЭК России):
■ Защита от несанкционированного доступа к информации. Термины и
определения;
■ Концепция защиты средств вычислительной техники и автоматизированных
систем от несанкционированного доступа к информации;
■ Автоматизированные системы. Защита от несанкционированного доступа к
информации. Классификация автоматизированных систем и требования по
защите информации;
■ Средства вычислительной техники. Защита от несанкционированного
доступа к информации. Показатели защищённости от несанкционированного
доступа к информации;

Информзащита
У ч еб н ы й ц е н т р
93

Временное положение по организации разработки, изготовления и


эксплуатации программных и технических средств защиты информации от
несанкционированного доступа в автоматизированных системах и средствах
вычислительной техники;
Средства вычислительной техники. Межсетевые экраны. Защита от
несанкционированного доступа к информации. Показатели защищённости от
несанкционированного доступа к информации;
Защита информации. Специальные защитные знаки. Классификация и общие
требования;
Средства защиты информации. Защита информации в контрольно-кассовых
машинах и автоматизированных кассовых системах. Классификация
контрольно-кассовых машин автоматизированных кассовых систем и
требования по защите информации;
Защита от несанкционированного доступа к информации. Часть 1.
Программное обеспечение средств защиты информации. Классификация по
уровню контроля отсутствия недекларированных возможностей;
Безопасность информационных технологий. Критерии оценки безопасности
информационных технологий» (Часть 1, Часть 2, Часть 3);
• и другие;
в области защиты информации от утечки по техническим каналам:
• ГОСТ Р В50170-2005. Противодействие иностранной технической
разведке. Термины и определения;
• ГОСТ Р 50752-95. Информационная технология. Защита информации от
утечки за счёт побочных электромагнитных излучений при её обработке
средствами вычислительной техники. Методы испытаний;
• ГОСТ 29339-92. Информационная технология. Защита информации от
утечки за счёт побочных электромагнитных излучений при её обработке
средствами вычислительной техники. Общие технические требования»;
• ГОСТ 30373-95/ГОСТ 50414-92. Совместимость технических средств
электромагнитная. Оборудование для испытаний. Камеры
экранированные. Классы, основные параметры, технические требования
и методы испытаний;
• нормативно-методические документы ФСТЭК России:
Специальные требования и рекомендации по технической защите
конфиденциальной информации (СТР-К);
Методические рекомендации по технической защите информации,
составляющей коммерческую тайну;
Временная методика оценки защищённости помещений от утечки речевой
конфиденциальной информации по акустическому и виброакустическому
каналам;
Временная методика оценки защищённости ОТСС, предназначенных для
обработки, хранения и (или) передачи по линиям связи конфиденциальной
информации;
Временная методика оценки защищённости конфиденциальной информации,
обрабатываемой ОТСС, от утечки за счёт наводок на вспомогательные
технические средства и системы и их коммуникации;

Информзащита
■ Временная методика оценки защищённости помещений от утечки речевой
конфиденциальной информации по каналам электроакустических
преобразований
• и другие;
■ в области криптографического преобразования информации при ее хранении
и передаче по каналам связи:
• ГОСТ 28147-89. Системы обработки информации. Защита
криптографическая. Алгоритм криптографического преобразования;
• ГОСТ Р 34.10-2001. Информационная технология. Криптографическая
защита информации. Процессы формирования и проверки электронной
цифровой подписи;
• ГОСТ Р 34.11-94. Функция хеширования;
• документы ФСБ России:
■ Положение о разработке, изготовлении и обеспечении эксплуатации
шифровальной техники, систем связи и комплексов вооружения,
использующих шифровальную технику (ПШ-93);
■ Положение о разработке, производстве, реализации и эксплуатации
шифровальных (криптографических) средств защиты информации
(Положение ПКЗ-2005);
■ Инструкция об организации и обеспечении безопасности хранения,
обработки и передачи по каналам связи с использованием средств
криптографической защиты информации с ограниченным доступом, не
содержащей сведений, составляющих государственную тайну;
• и другие.
Остановимся более детально на вопросах сертификации средств защиты. Следует
отметить, что после передачи лицензирующих подразделений ФАПСИ в ведение
ФСБ России основные принципы системы лицензирования и сертификации не
изменились. Все ранее выданные ФАПСИ лицензии и сертификаты оставались
действительными на обозначенный в них срок.
Сертификация
Под сертификацией средств защиты информации по требованиям безопасности
информации понимается деятельность по подтверждению их соответствия требованиям
государственных стандартов или иных нормативных документов по защите информации,
утверждённых уполномоченными федеральными органами исполнительной власти в
пределах ргх компетенции.
Сертификат соответствия —документ, выданный по правилам системы сертификации
для подтверждения соответствия сертифицированной продукции установленным
требованиям.
Знак соответствия - зарегистрированный в установленном порядке знак, которым по
правилам, установленным в данной системе сертификации, подтверждается соответствие
маркированной им продукции установленным требованиям.
Средства защиты информации (СЗИ) - технические, криптографические, программные
и другие средства, предназначенные для защиты сведений конфиденциального характера,
а также средства контроля эффективности защиты информации.
Руководящий документ ФСТЭК России «Средства вычислительной техники. Зашита от
несанкционированного доступа к информации. Показатели защищённости средств

Информзащита
Учебным ц ентр
95

вычислительной техники» устанавливает классификацию средств вычислительной


техники по уровню защищённости от несанкционированного доступа к информации на
базе перечня показателей защищённости и совокупности описывающих их требований.
В соответствии с этим руководящим документом возможные показатели защищённости
исчерпываются 7-ю классами. По классу защищённости можно судить о номенклатуре
используемых механизмов защиты - наиболее защищённым является 1 класс. Выбор
класса защищённости зависит от секретности обрабатываемой информации, условий
эксплуатации и расположения объектов системы (см. Рис. 1.5.2). В частности, для защиты
конфиденциальной информации (персональных данных, служебной тайны и др.) можно
применять средства защиты 5 и 6 класса.

Рис. 1.5.2. Показатели защищённости СВТ

Другим важным руководящим документом ФСТЭК России является «Защита от


несанкционированного доступа к информации. Часть 1. Программное обеспечение
средств защиты информации. Классификация по уровню контроля отсутствия
недекларированных возможностей», который устанавливает классификацию
программного обеспечения (отечественного и импортного производства) средств защиты
информации по уровню контроля отсутствия в нем недекларированных возможностей
(см. Рис. 1.5.3).
Недекларироеанные возможности (НДВ) —функциональные возможности
программного обеспечения (ПО), не описанные или не соответствующие описанным в
документации, при использовании которых возможно нарушение конфиденциальности,
доступности и целостности обрабатываемой информации.

Рис. 5.3. Классификация по уровню контроля отсутствия недекларированных


возможностей

Информзащита
^
*— Уче&ньм ц ентр

^Г1
Также следует отметить руководящий документ ФСТЭК Росс™ «Средства
вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа
к информации. Показатели защищённости от несанкционированного доступа к
информации», который устанавливает классификацию межсетевых экранов (МЭ) по
уровню защищённости от несанкционированного доступа к информации на базе перечня
показателей защищённости и совокупности описывающих их требований (см. Рис. 1.5.4).
Межсетевой экран —локальное (однокомпонентное) или функционально-
распределённое средство (комплекс), реализующее контроль за информацией,
поступающей в АС и/или выходящей из АС, и обеспечивает защиту АС посредством
фильтрации информации, т.е. её анализа по совокупности критериев и принятия решения
о её распространении в (из) АС.

Рис. 1.5.4. Классификация МЭ по уровню защищённости от НСД

За последние годы достигнут существенный прогресс в развитии методов решения задачи


дискретного логарифмирования, что послужило причиной разработки в 2000 - 2001 годах
нового государственного стандарта ЭЦП. Новый стандарт основан на математическом
аппарате эллиптических кривых, а его стойкость основывается на сложности вычисления
дискретного логарифма в группе точек эллиптической кривой. Внедрение схемы ЭЦП на
базе данного стандарта повышает, по сравнению с действующей схемой, уровень
защищённости передаваемых сообщений от подделок и искажений. Кроме того, новый
стандарт терминологически и концептуально увязан с международными стандартами
ИСО 2382-2, ИСО/МЭК 9796 и др.
Стандарт ГОСТ Р 34.10-2001 «Информационная технология. Криптографическая защита
информации. Процессы формирования и проверки электронной цифровой подписи»
утверждён приказом Госстандарта от 12.09.2001 № 380, введён в действие с 01.07.2002.
Старый стандарт ЭЦП сразу не отменялся. Он действовал ещё несколько лет, но согласно
письму ФАПСИ лицензиатам - разработчикам СКЗИ использование открытого ключа
ЭЦП длиной 512 бит допускалось только до 31 декабря 2001 г. С 1 января 2002 г. д лина
открытого ключа ЭЦП должна быть 1024 бита.
Отметим в заключение, что применение сертифицированных средств защиты
информации является обязательным условием при рассмотрении в судебном порядке
спорных вопросов, связанных с удостоверением подлинности электронных документов и
идентификацией личности пользователей системы.
Аттестация
При проведении работ со сведениями соответствующей степени конфиденциальности
(секретности) системы информатизации должны (могут) быть аттестованы на
соответствие требованиям по безопасности информации.

Информзащита
У ч е б н ы * и ви тр
97

Государственная система аттестации объектов информатизации устанавливает основные


принципы, организационную структуру, порядок проведения аттестации, а также порядок
контроля и надзора за эксплуатацией аттестованных объектов информатизации.
Под объектами информатизации, аттестуемыми по требованиям безопасности
информации, понимаются автоматизированные системы различного уровня и назначения,
системы связи, отображения и размножения вместе с помещениями, в которых они
установлены, предназначенные для обработки и передачи информации, подлежащей
защите, а также сами помещения, предназначенные для ведения конфиденциальных
переговоров.
Система аттестации объектов информатизации по требованиям безопасности
информации является составной частью единой государственной системы сертификации
средств защиты информации и аттестации объектов информатизации по требованиям
безопасности информации. Деятельность системы аттестации организуют
уполномоченные федеральные органы по сертификации продукции и аттестации
объектов информатизации по требованиям безопасности информации.
Под аттестацией объектов информатизации понимается комплекс организационно­
технических мероприятий, в результате которых посредством специального документа —
«Аттестата соответствия» подтверждается, что объект соответствует требованиям
стандартов или иных нормативно-технических документов по безопасности информации,
утверждённых уполномоченными федеральными органами исполнительной власти.
Наличие на объекте информатизации действующего «Аттестата соответствия» даёт право
обработки информации с определённым уровнем конфиденциальности и в указанный в
«Аттестате соответствия» период времени.
При аттестации объекта информатизации подтверждается его соответствие требованиям
по защите информации от несанкционированного доступа, в том числе от компьютерных
вирусов, от утечки за счёт побочных электромагнитных излучений и наводок при
специальных воздействиях на объект (высокочастотное навязывание и облучение,
электромагнитное и радиационное воздействие), от утечки или воздействия на неё за счёт
специальных устройств, встроенных в объекты информатизации.
Аттестация проводится уполномоченными органами по аттестации объектов
информатизации, аккредитованными федеральными органами исполнительной власти.
Правила аккредитации определяются действующими в соответствующих системах
сертификации положениями. В системе сертификации ФСТЭК России разработано и
утверждено 25 ноября 1994 г. «Положением об аккредитации органов по аттестации
объектов информатизации по требованиям безопасности информации». Каждый такой
орган имеет лицензию на право выполнения работ в области защиты информации и
Аттестат аккредитации. Виды работ, которые он может выполнять, указываются в
области аккредитации, являющейся приложением к Аттестату аккредитации. В своей
деятельности органы по аттестации руководствуются нормативно-методическими
документами ФСТЭК России.
Аттестат соответствия утверждается руководителем органа по аттестации объектов
информатизации, который и несёт юридическую и финансовую ответственность за
качество проведённых работ. Кроме того, органы по аттестации несут ответственность за
обеспечение сохранности государственных и коммерческих секретов, а также за
соблюдение авторских прав разработчиков аттестуемых объектов информатизации и их
компонент.
Аттестация информационных систем может производиться в соответствии с
Руководящим документом ФСТЭК России «Автоматизированные системы. Защита от
несанкционированного доступа к информации. Классификация автоматизированных
систем и требования по защите информации», который вводит в рассмотрение 9 классов
защищённости АС, объединённых в три группы (см. Рис. 1.5.5).

I Информзащита
У чебнм ! центр

"^Г1
0i $

J. с
"\
1Д 1Г IB 1Б ] A ” 1 группа

9 классов
^ защищенности
2Б | 2A 1 2 гРУппа от НСД

ЗБ v ЗА 3 'py” na
J Рис.
1.5.5. Классы защищённости АС

Основные признаки группировки в различные классы связаны с:


■ наличием в АС информации различного уровня конфиденциальности;
■ уровнем полномочий субъектов доступа АС на доступ к конфиденциальной
информации (одинаковый или разный);
■ режимом обработки данных в АС (коллективный или индивидуальный).

Для каждого класса сформулирован определённый набор требований для подсистем:


■ управления доступом;
■ регистрации и учета;
■ криптографической;
■ обеспечения целостности.
Группа 1 классифицирует многопользовательские АС, в которых одновременно
обрабатывается и (или) хранится информация разных уровней конфиденциальности и не
все пользователи имеют право доступа ко всей информации АС. Группа содержит пять
классов: 1Д, 1Г, 1В, 1Б и 1А.
Группа 2 классифицирует АС, в которых пользователи имеют одинаковые права доступа
(полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях
различного уровня конфиденциальности. Группа содержит два класса: 2Б и 2А.
Группа 3 классифицирует АС, в которых работает один пользователь, допущенный ко
всей информации АС, размещённой на носителях одного уровня конфиденциальности.
Группа содержит два класса: ЗБ и ЗА.
Соответствие классов защищённости различным уровням конфиденциальности
приведено на Рис. 1.5.6.

Информзащита
У чебным ц ентр
99

Служебная тайна, КСЗ должен обладать


персональные данные, механизмом, гарантирующим
банковская тайна, иная перехват диспетчером доступа
конфиденциальная всех обращений субъектов к
информация объектам

J 1 1 1

1Д 1Г 1В 1Б 1А АС

3 СВТ

ВДВ

4 1 МЭ

rue. i .j . u. гишссы защищенности л и и категории информации ограниченного


доступа

Новое поколение нормативно-технических документов


(ГОСТ Р ИСО/МЭК 15408-2008)
До 2002 г. единственными нормативными документами по критериям оценки
защищённости средств вычислительной техники и автоматизированных систем являлись
рассмотренные выше руководящие документы ФСТЭК России.
Качественно новым этапом в развитии нормативной базы оценки безопасности ИТ
послужило начало разработки и апробация (во исполнение решений Совета безопасности
Российской Федерации от 26.03.2002 № 1.2 и Коллегии Гостехкомиссии России
от 30.05.2002 № 9.2) нового поколения нормативных документов в системе сертификации
ФСТЭК России на основе методологии ГОСТ Р ИСО/МЭК 15408-2002
«Информационная технология. Методы и средства обеспечения безопасности. Критерии
оценки безопасности информационных технологий», который содержал полный
аутентичный текст Международного стандарта ISO/IEC 15408:1999 «Information
Technology. Security techniques. Evaluation criteria for П security», так называемые «Общие
критерии».
Ещё начиная с 70-х годов службами безопасности США делались исследования в области
формальных методов оценки безопасности, связанной с использованием ИТ. Позднее, в
90-х, эта деятельность привела к разработке набора критериев TCSEC (Trusted Computer
System Evaluation Criteria), более известного как «Оранжевая книга», а также
«Федеральных критериев безопасности информационных технологий». Аналогичные
критерии были разработаны и в других странах: «Гармонизированные критерии
европейских стран» (Information Technology Security Evaluation Criteria), «Канадские
критерии оценки безопасности компьютерных продуктов» и т. д.
Понимая, что национальные критерии будут препятствовать широкому распространению
продуктов в области ИТ-безопасности, в 1990 году под эгидой ISO были начаты работы

Информзащита
Ф
100
по унификации национальных стандартов. В 1993 году организации США, Канады,
Великобритании, Франции, Германии и Нидерландов [Национальный институт
стандартов и технологии, Агентство национальной безопасности (США), Учреждение
безопасности коммуникаций (Канада), Агентство информационной безопасности
(Германия), Агентство национальной безопасности коммуникаций (Нидерланды), Органы
исполнения Программы безопасности и сертификации ИТ (Великобритания), Центр
обеспечения безопасности систем (Франция)], объединили свои усилия в рамках проекта,
получившего название «Общие критерии оценки безопасности информационных
технологий» (Common Criteria for Information Technology Security Evaluation).
Разработка версии 1.0 «Общих критериев...» была завершена в январе 1996 года и
одобрена международной организацией по стандартизации (ISO) уже в апреле 1996 года.
Появление международного стандарта явилось новым этапом в развитии нормативной
базы оценки информационной безопасности. Новые критерии обеспечили взаимное
признание результатов стандартизованной оценки безопасности на мировом рынке ИТ.
«Общие критерии...» обобщили содержание и опыт использования «Оранжевой книги»,
развили оценочные уровни доверия «Европейских критериев...», воплотили в реальные
структуры концепцию типовых профилей защиты «Федеральных критериев...». В
«Общих критериях...» проведена классификация широкого набора функциональных
требований и требований доверия к безопасности, определены способы их группирования
и принципы использования.
В мае 1998 года была опубликована версия 2.0 «Общих критериев...» и на её основе в
июне 1999 года был принят международный стандарт ISO/IEC 15408:1999 (Information
technology — Security techniques — Evaluation criteria for IT security).
Практически одновременно с «Общими критериями...» разрабатывались версии «Общей
методологии оценки безопасности информационных технологий». В августе 1999 года
опубликована версия 1.0 «Общей методологии оценки..» (часть 2) для оценочных уровней
доверия (ОУД) \А . В январе 2004 году опубликованы версии 2.2, а в августе 2005 г.
версии 2.3 «Общих критериев.. .» и «Общей методологии оценки..». Именно они легли в
основу стандартов ISO/IEC 15408:2005 и ISO/IEC 180:2005 (Information technology —
Security techniques — Methodology for П security evaluation) соответственно.
В июле 2005 года опубликованы новые версии 3.0 «Общих критериев...» и «Общей
методологии оценки..», в которых предыдущие версии подверглись существенной
ревизии. Однако, как показало обсуждение этих версий в международном сообществе,
далеко не все предложенные авторами изменения были целесообразны и корректны. В
результате, в сентябре 2006 года появились версии 3.1 «Общих критериев...» и «Общей
методологии оценки..», которые и были признаны официальными версиями. Именно эти
версии, с определёнными доработками, легли в основу уже третьей и на данный момент
последней, версии стандарта ISO/IEC 15408, части которого вышли в 2008 и 2009 годах.
Надо сказать, что Россия достаточно сильно отставала от этого движения. Только в 2002
году постановлением Госстандарта России году был принят
ГОСТ Р ИСО/МЭК 15408-2002, содержащий полный аутентичный текст международного
стандарта ISO/IEC 15408:1999 (введён в действие с 1 января 2004 года). Вскоре была
принята вторая редакция стандарта - ГОСТ Р ИСО/МЭК 15408-2008, содержащая
полный текст международного стандарта ISO/IEC 15408:2005. Однако, как уже было
сказано, с 2005 по 2008 годы международный стандарт подвергся серьёзным
переработкам, которые не нашли своего отражения в действующей в России версии
документа.
Главная тенденция, которая прослеживается на протяжении целого ряда стандартов в
области информационной безопасности — отказ от жёсткой универсальной шкалы
классов безопасности и обеспечение гибкости в подходе к оценке безопасности
различных типов ИТ-продуктов. Именно это стремление объясняет столь сложную на
первый взгляд логическую структуру стандарта ISO/IEC 15408.

Информзащита
УчвСмьм центр
101

Если говорить кратко, то принципиальные черты стандарта следующие:


1. Чёткое разделение требований безопасности на функциональные требования и
требования доверия к безопасности. Функциональные требования относятся к функциям
безопасности (идентификация, аутентификация, управление доступом, аудит и т. д.), а
требования доверия — к технологии разработки, тестированию, анализу уязвимостей,
поставке, сопровождению, эксплуатационной документации, то есть ко всем этапам
жизненного цикла изделий информационных технологий.
2. Систематизация и классификация требований к безопасности в рамках иерархии
«класс» — «семейство» — «компонент» — «элемент».
3. Ранжирование компонентов требований в семействах и классах по степени полноты и
жёсткости, а также их группирование в пакеты функциональных требований и Уровни
Оценки Доверия.
4. Гибкость и динамизм в подходе к заданию требований безопасности для различных
типов изделий информационных технологий и условий их применения, обеспечиваемые
путём целенаправленного формирования необходимых наборов требований в виде
определённых структур (Профилей Защиты и Целевых Уровней Безопасности).
Понимание методологии является залогом эффективного использования того огромного
фактического материала по требованиям безопасности ИТ, порядку их задания и оценке,
который содержится в данном стандарте.
Общие критерии разработаны таким образом, чтобы удовлетворить потребности трёх
групп специалистов: разработчиков, оценшиков и пользователей объекта оценки. Под
объектом оценки (ОО) понимается аппаратно-программный продукт или
информационная система. К таким объектам относятся, например, операционные
системы, вычислительные сети, распределённые системы, прикладные программы.
К рассматриваемым в ОК аспектам безопасности относятся: защита от
несанкционированного доступа, модификации или потери доступа к информации при
воздействии угроз, являющихся результатом случайных или преднамеренных действий.
Защищённость от этих трёх типов угроз обычно называют конфиденциальностью,
целостностью и доступностью.
Однако, некоторые аспекты безопасности ИТ находятся вне рамок Общих критериев:
■ стандарт не содержит критериев оценки безопасности, касающихся
административных мер, непосредственно не относящихся к мерам
безопасности ИТ. Административные меры безопасности в среде
эксплуатации ОО рассматриваются в качестве предположений о безопасном
использовании;
■ оценка физических аспектов безопасности ИТ, таких, как контроль
электромагнитного изучения, специально не рассматривается, хотя многие
концепции ОК применимы и в этой области;
■ в ОК не рассматривается ни методология оценки, ни нормативная и правовая
база, на основе которой критерии могут применяться органами оценки;
■ процедуры использования результатов оценки при аттестации продуктов и
систем ИТ находятся вне области действия ОК. Аттестация продукта или
системы ИТ является административным актом, посредством которого
компетентный орган допускает их использование в конкретных условиях
эксплуатации;
■ критерии для оценки специфических качеств криптографических алгоритмов
в ОК не входят.

Информзащита
Общие критерии предполагается использовать как при задании требований к продуктам и
системам ИТ, так и при оценке их безопасности на всех этапах жизненного цикла.
Стандарт ГОСТ Р ИСО/МЭК 15408-2008 не меняет сложившейся в России методологии
защиты, однако по уровню систематизации, полноте и степени детализации требований,
универсальности и гибкости значительно превосходит действующие в настоящее время
руководящие документы.
В качестве основы для разработки нормативных документов по оценке безопасности
информационных технологий был принят руководящий документ (РД) «Безопасность
информационных технологий. Критерии оценки безопасности информационных
технологий» (введён в действие с 1 августа 2002 г. приказом председателя
Гостехкомиссии России от 19.06.2002 № 187), который и применяется при проведении
сертификации средств защиты информации. Самым главным недостатком РД является
то, что он был на разработан на основе старой редакции ОК и не учитывает всех тех
изменений, которые были внесены в ISO/TEC 15408.
Основной целью РД является повышение доверия к безопасности продуктов и систем
информационных технологий. Положения руководящего документа направлены на
создание продуктов и систем информационных технологий с уровнем безопасности,
адекватным имеющимся по отношению к ним угрозам и проводимой политике
безопасности с учётом условий применения, что должно обеспечить оптимизацию
продуктов и систем ИГ по критерию «эффективность - стоимость».
Под безопасностью информационной технологии понимается состояние ИТ,
определяющее защищённость информации и ресурсов ИТ от действия объективных и
субъективных, внешних и внутренних, случайных и преднамеренных угроз, а также
способность ИТ выполнять предписанные функции без нанесения неприемлемого ущерба
субъектам информационных отношений.
Доверие к безопасности ИТ обеспечивается, как реализацией в них необходимых
функциональных возможностей, так и осуществлением комплекса мер по обеспечению
безопасности при разработке продуктов и систем ИТ, проведением независимых оценок
их безопасности и контролем её уровня при эксплуатации.
Требования к безопасности конкретных продуктов и систем ИТ устанавливаются исходя
из имеющихся и прогнозируемых угроз безопасности, проводимой политики
безопасности, а также с учётом условий их применения. При формировании требований
должны в максимальной степени использоваться компоненты требований,
представленные в настоящем руководящем документе. Допускается также использование
и других требований безопасности, при этом уровень детализации и способ выражения
требований, представленных в настоящем руководящем документе, должны
использоваться в качестве образца. Требования безопасности могут задаваться
Заказчиком в техническом задании на разработку продуктов и систем ИТ или
формироваться Разработчиком при создании им продуктов ИТ самостоятельно.
Требования безопасности, являющиеся общими для некоторого типа продуктов или
систем ИТ, могут оформляться в виде представленной в настоящем руководящем
документе структуры, именуемой «Профиль защиты». Профили защиты, прошедшие
оценку в установленном порядке, регистрируются и помещаются в каталог оценённых
профилей защиты.
Оценка и сертификация безопасности ИТ проводится на соответствие требованиям,
представляемым Разработчиком продукта или системы ИТ в Задании по безопасности.
Требования заданий по безопасности продуктов и систем ИТ, предназначенных для
использования в областях применения, регулируемых государством, должны
соответствовать требованиям установленных профилей защиты.
Руководящий документ состоит из трёх частей.

Информзащита
У чебн ы м ц е н т р
103

Часть 1 РД определяет виды требований безопасности (функциональные и требования


доверия), основные конструкции представления требований безопасности (профиль
защиты, задание по безопасности) и содержит основные методические положения по
оценке безопасности ИТ.
Часть 2 РД содержит универсальный систематизированный каталог функциональных
требований безопасности и предусматривает возможность их детализации и расширения
по определённым правилам.
Часть 3 РД содержит систематизированный каталог требований доверия к безопасности и
оценочные уровни доверия, определяющие меры, которые должны быть приняты на всех
этапах жизненного цикла продуктов или систем ИТ для обеспечения уверенности в том,
что они удовлетворяют предъявленным к ним функциональным требованиям.
Требования безопасности, содержащиеся в настоящем руководящем документе, могут
уточняться и дополняться по мере совершенствования правовой и нормативной базы,
развития информационных технологий и совершенствования методов обеспечения
безопасности.
В соответствии с концепцией ОК, требования к безопасности объекта оценки
разделяются на две категории:
■ функциональные требования;
■ требования гарантированности.
В функциональных требованиях описаны те функции объекта оценки, которые
обеспечивают безопасность ИТ. Имеются в виду требования идентификации,
установления подлинности (аутентификации) пользователей, протоколирования и др.
Требования гарантированности отражают качества объекта оценки, дающие основание
для уверенности в том, что необходимые меры безопасности объекта эффективны и
корректно реализованы. Оценка гарантированности получается на основе изучения
назначения, структуры и функционирования объекта оценки. Требования
гарантированности включают требования к организации процесса разработки, а также
требования поиска, анализа и воздействия на потенциально уязвимые с точки зрения
безопасности места.
В РД функциональные требования и требования гарантированности представлены в
едином стиле.
Термин «класс» используется для наиболее общей группировки требований
безопасности.
Члены класса названы семействами. В семейства группируются наборы требований,
которые обеспечивают выполнение определённой части целей безопасности и могут
отличаться по степени жёсткости.
Члены семейства называются компонентами. Компонент описывает минимальный набор
требований безопасности для включения в структуры, определённые в РД.
Компоненты построены из элементов. Элемент —самый нижний, неделимый уровень
требований безопасности.
Организация требований безопасности в РД по иерархии класс - семейство - компонент -
элемент помогает определить нужные компоненты после идентификации угроз
безопасности объекта оценки.
Между компонентами могут существовать зависимости. Они возникают, когда
компонент недостаточен для выполнения цели безопасности и необходимо наличие
другого компонента. Зависимости могут существовать как между функциональными
компонентами, так и компонентами гарантированности.

Информзащита
У ч еб ной ц ентр
104

Назначение позволяет заполнить спецификацию идентифицированного параметра при


использовании компонента. Параметр может быть признаком или правилом, которое
конкретизирует требование к определённой величине или диапазону величин. Например,
элемент функционального компонента может требовать, чтобы данное действие
выполнялось неоднократно. В этом случае назначение обеспечивает число или диапазон
чисел, которые должны использоваться в параметре.
Выбор - это выбор одного или большего количества пунктов из списка с целью
конкретизации возможностей элемента.
Обработка позволяет включить дополнительные детали в элемент и предполагает
интерпретацию требования, правила, константы или условия, основанную на цепях
безопасности. Обработка должна только ограничить набор возможных приемлемых
функций или механизмов, чтобы осуществить требования, но не увеличивать их.
Обработка не позволяет создавать новые требования или удалять существующие и не
влияет на список зависимостей, связанных с компонентом.
РД определяют также набор структур, которые объединяют компоненты требований
безопасности.
Промежуточная комбинация компонентов названа пакетом. Пакет включает набор
требований, которые обеспечивают выполнение многократно используемого поднабора
целей безопасности.
Уровни гарантированности оценки - это предопределённые пакеты требований
гарантированности.
Одной из основных структур РД является «Профиль защиты» (ПЗ), определённый как
набор требований, который состоит только из компонентов или пакетов функциональных
требований и одного из уровней гарантированности. ПЗ специфицирует совокупность
требований, которые являются необходимыми и достаточными для достижения
поставленных целей безопасности.
Требования Профиля защиты могут быть конкретизированы и дополнены в другой
структуре РД - «Задании по безопасности» (ЗБ). ЗБ содержит набор требований, которые
могут быть представлены одним из ПЗ или сформулированы в явном виде. ЗБ определяет
набор требований для конкретного объекта оценки. Оно включает также спецификацию
объекта оценки в виде функций безопасности (ФБ), которые должны обеспечить
выполнение требований безопасности и мер гарантированности оценки.
Результатом оценки безопасности должен бьггь общий вывод, в котором описана степень
соответствия объекта оценки функциональным требованиям и требованиям
гарантированности.
Специальные требования и рекомендации по технической
защите конфиденциальной информации
«Специальные требования и рекомендации по технической защите конфиденциальной
информации (СТР-К)», утверждены приказом Гостехкомиссии России от 30.08.2002
№ 282.
СТР-К является нормативно-методическим документом и устанавливает порядок
организации работ, требования и рекомендации по обеспечению технической защиты
информации с ограниченным доступом, не содержащей сведений, составляющих
государственную тайну на территории Российской Федерации.
Требования и рекомендации этого документа распространяются на защиту
государственных информационных ресурсов некриптографическими методами
(служебная тайна), направленными на предотвращение утечки защищаемой информации

Информзащита
105

по техническим каналам, от несанкционированного доступа к ней и специальных


воздействий на информацию в целях её уничтожения, искажения и блокирования.
При проведении работ по защите негосударственных информационных ресурсов,
составляющих коммерческую тайну, банковскую тайну и т.д., требования
настоящего документа носят рекомендательный характер.
Документ определяет следующие вопросы защиты конфиденциальной информации:
■ организацию работ по защите информации, в том числе при разработке и
модернизации объектов информатизации и их систем защиты информации;
■ состав и основное содержание организационно-распорядительной,
проектной, эксплуатационной и иной документации по защите информации;
■ требования и рекомендации по защите речевой информации при ведении
переговоров, в том числе с использованием технических средств;
■ требования и рекомендации по защите информации при ее
автоматизированной обработке и передаче с использованием технических
средств;
■ порядок обеспечения защиты информации при эксплуатации объектов
информатизации;
■ особенности защиты информации при разработке и эксплуатации АС,
использующих различные типы СВТ и информационные технологии;
■ порядок обеспечения защиты информации при взаимодействии абонентов с
Сетями.
Защита информации, обрабатываемой с использованием технических средств, является
составной частью работ по созданию и эксплуатации объектов информатизации
различного назначения и должна осуществляться в виде системы (подсистемы) защиты
информации во взаимосвязи с другими мерами по защите информации. Защите подлежит
речевая информация и информация, обрабатываемая техническими средствами, а также
представленная в виде информативных электрических сигналов, физических полей,
носителей на бумажной, магнитной, магнито-оптической и иной основе.
Объектами защиты при этом являются:
■ средства и системы информатизации (СВТ, АС различного уровня и
назначения на базе СВТ, в том числе информационно-вычислительные
комплексы, сети и системы, средства и системы связи и передачи данных,
технические средства приема, передачи и обработки информации
(телефонии, звукозаписи, звукоусиления, звуковоспроизведения,
переговорные и телевизионные устройства, средства изготовления,
тиражирования документов и другие технические средства обработки
речевой, графической, видео- и буквенно-цифровой информации),
программные средства (операционные системы, системы управления базами
данных, другое общесистемное и прикладное программное обеспечение),
средства защиты информации, используемые для обработки
конфиденциальной информации;
■ технические средства и системы, не обрабатывающие непосредственно
конфиденциальную информацию, но размещенные в помещениях, где она
обрабатывается (циркулирует);
■ защищаемые помещения.
Защита информации на объекте информатизации достигается выполнением комплекса
организационных мероприятий и применением средств защиты информации от утечки по
техническим каналам, несанкционированного доступа, программно-технических

Информзащита
Учеймьм ц«мтр
воздействий с целью нарушения целостности (модификации, уничтожения) и
доступности информации в процессе её обработки, передачи и хранения, а также
работоспособности технических средств.
При защите информации в локальных вычислительных сетях (ЛВС) конфиденциальная
информация может обрабатываться только в ЛВС, расположенных в пределах
контролируемой зоны.
Средства зашиты информации от НСД должны использоваться во всех узлах ЛВС
независимо от наличия (отсутствия) конфиденциальной информации в данном узле ЛВС
и требуют постоянного квалифицированного контроля настроек СЗИ администратором
безопасности информации. Класс защищённости ЛВС определяется в соответствии с
требованиями действующих руководящих документов ФСТЭК России.
Для управления, контроля защищённости ЛВС и распределения системных ресурсов в
ЛВС, включая управление средствами защиты информации, обрабатываемой (хранимой,
передаваемой) в ЛВС, должны использоваться соответствующие сертифицированные по
требованиям безопасности информации средства защиты.
Юридическая значимость электронных документов с
электронной подписью
Вопросы юридической значимости электронных документов представлены в
приведённых ниже нормативных документах.
Гражданский кодекс Российской Федерации. Часть 1. Глава 9. Статья 160. Письменная
форма сделки:
2. Использование при совершении сделок факсимильного воспроизведения подписи с
помощью средств механического или иного копирования, электронно-цифровой подписи
либо иного аналога собственноручной подписи допускается в случаях и в порядке,
предусмотренных законом, иными правовыми актами или соглашением сторон.
Гражданский кодекс Российской Федерации. Часть 1. Глава 28. Статья 434. Форма
договора:
2. Договор в письменной форме может быть заключён путём составления одного
документа, подписанного сторонами, а также путём обмена документами посредством
почтовой, телеграфной, телетайпной, телефонной, электронной или иной связи,
позволяющей достоверно установить, что документ исходит от стороны по договору.
Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных
технологиях и о защите информации»:
Статья 11. Документирование информации
4. В целях заключения гражданско-правовых договоров или оформления иных
правоотношений, в которых участвуют лица, обменивающиеся электронными
сообщениями, обмен электронными сообщениями, каждое из которых подписано
электронной подписью или иным аналогом собственноручной подписи отправителя
такого сообщения, в порядке, установленном федеральными законами, иными
нормативными правовыми актами или соглашением сторон, рассматривается как обмен
документами.
5. Право собственности и иные вещные права на материальные носители, содержащие
документированную информацию, устанавливаются гражданским законодательством.
Федеральный закон от 06.04.2011 № 63-Ф3 «Об электронной подписи» определяет
основные понятия, связанные с ЭП следующим образом:
■ электронная подпись - информация в электронной форме, которая
присоединена к другой информации в электронной форме (подписываемой

Информзащита
107

информации) или иным образом связана с такой информацией и которая


используется для определения лица, подписывающего информацию;
■ сертификат ключа проверки электронной подписи - электронный
документ или документ на бумажном носителе, выданные удостоверяющим
центром либо доверенным лицом удостоверяющего центра и
подтверждающие принадлежность ключа проверки электронной подписи
владельцу сертификата ключа проверки электронной подписи;
■ квалифицированный сертификат ключа проверки электронной подписи
(далее - квалифицированный сертификат) - сертификат ключа проверки
электронной подписи, выданный аккредитованным удостоверяющим
центром или доверенным лицом аккредитованного удостоверяющего центра
либо федеральным органом исполнительной власти, уполномоченным в
сфере использования электронной подписи (далее - уполномоченный
федеральный орган);
■ владелец сертификата ключа проверки электронной подписи - лицо,
которому в установленном настоящим Федеральным законом порядке выдан
сертификат ключа проверки электронной подписи;
■ ключ электронной подписи —уникальная последовательность символов,
предназначенная для создания электронной подписи;
■ ключ проверки электронной подписи - уникальная последовательность
символов, однозначно связанная с ключом электронной подписи и
предназначенная для проверки подлинности электронной подписи (далее -
проверка электронной подписи);
■ удостоверяющий центр - юридическое лицо или индивидуальный
предприниматель, осуществляющие функции по созданию и выдаче
сертификатов ключей проверки электронных подписей, а также иные
функции, предусмотренные настоящим Федеральным законом;
■ аккредитация удостоверяющего центра - признание уполномоченным
федеральным органом соответствия удостоверяющего центра требованиям
настоящего Федерального закона;
■ средства электронной подписи - шифровальные (криптографические)
средства, используемые для реализации хотя бы одной из следующих
функций - создание электронной подписи, проверка электронной подписи,
создание ключа электронной подписи и ключа проверки электронной
подписи;
■ средства удостоверяющего центра - программные и (или) аппаратные
средства, используемые для реализации функций удостоверяющего центра;
■ участники электронного взаимодействия - осуществляющие обмен
информацией в электронной форме государственные органы, органы
местного самоуправления, организации, а также граждане;
■ корпоративная информационная система - информационная система,
участники электронного взаимодействия в которой составляют
определённый круг лиц;
■ информационная система общего пользования - информационная
система, участники электронного взаимодействия в которой составляют
неопределённый круг лиц и в использовании которой этим лицам не может
быть отказано.
Статья 1. Сфера действия настоящего Федерального закона

Информзащита
Настоящий Федеральный закон регулирует отношения в области использования
электронных подписей при совершении гражданско-правовых сделок, оказании
государственных и муниципальных услуг, исполнении государственных и
муниципальных функций, при совершении иных юридически значимых
действий.
Статья 3. Правовое регулирование отношений в области использования
электронных подписей
1. Отношения в области использования электронных подписей регулируются
настоящим Федеральным законом, другими федеральными законами,
принимаемыми в соответствии с ними нормативными правовыми актами, а
также соглашениями между участниками электронного взаимодействия. Если
иное не установлено федеральными законами, принимаемыми в соответствии с
ними нормативными правовыми актами или решением о создании
корпоративной информационной системы, порядок использования электронной
подписи в корпоративной информационной системе может устанавливаться
оператором этой системы или соглашением между участниками электронного
взаимодействия в ней.
2. Виды электронных подписей, используемых органами исполнительной власти
и органами местного самоуправления, порядок их использования, а также
требования об обеспечении совместимости средств электронных подписей при
организации электронного взаимодействия указанных органов между собой
устанавливает Правительство Российской Федерации.
Статья 5. Виды электронных подписей
1. Видами электронных подписей, отношения в области использования которых
регулируются настоящим Федеральным законом, являются простая электронная
подпись и усиленная электронная подпись. Различаются усиленная
неквалифицированная электронная подпись (далее - неквалифицированная
электронная подпись) и усиленная квалифицированная электронная подпись
(далее - квалифицированная электронная подпись).
2. Простой электронной подписью является электронная подпись, которая
посредством использования кодов, паролей или иных средств подтверждает
факт формирования электронной подписи определённым лицом.
3. Неквалифицированной электронной подписью является электронная подпись,
которая:
1) получена в результате криптографического преобразования информации с
использованием ключа электронной подписи;
2) позволяет определить лицо, подписавшее электронный документ;
3) позволяет обнаружить факт внесения изменений в электронный документ
после момента его подписания;
4) создаётся с использованием средств электронной подписи.
4. Квалифицированной электронной подписью является электронная подпись,
которая соответствует всем признакам неквалифицированной электронной
подписи и следующим дополнительным признакам:
1) ключ проверки электронной подписи указан в квалифицированном
сертификате;
2) для создания и проверки электронной подписи используются средства
электронной подписи, получившие подтверждение соответствия требованиям,
установленным в соответствии с настоящим Федеральным законом.

Информзащита
У ч еб м ьм ц е н т р
109

5. При использовании неквалифицированной электронной подписи сертификат


ключа проверки электронной подписи может не создаваться, если соответствие
электронной подписи признакам неквалифицированной электронной подписи,
установленным настоящим Федеральным законом, может быть обеспечено без
использования сертификата ключа проверки электронной подписи.
Статья 6. Условия признания электронных документов, подписанных
электронной подписью, равнозначными документам на бумажном носителе,
подписанным собственноручной подписью
1. Информация в электронной форме, подписанная квалифицированной
электронной подписью, признается электронным документом, равнозначным
документу на бумажном носителе, подписанному собственноручной подписью,
кроме случая, если федеральными законами или принимаемыми в соответствии
с ними нормативными правовыми актами установлено требование о
необходимости составления документа исключительно на бумажном носителе.
2. Информация в электронной форме, подписанная простой электронной
подписью или неквалифицированной электронной подписью, признается
электронным документом, равнозначным документу на бумажном носителе,
подписанному собственноручной подписью, в случаях, установленных
федеральными законами, принимаемыми в соответствии с ними нормативными
правовыми актами или соглашением между участниками электронного
взаимодействия. Нормативные правовые акты и соглашения между участниками
электронного взаимодействия, устанавливающие случаи признания электронных
документов, подписанных неквалифицированной электронной подписью,
равнозначными документам на бумажных носителях, подписанным
собственноручной подписью, должны предусматривать порядок проверки
электронной подписи. Нормативные правовые акты и соглашения между
участниками электронного взаимодействия, устанавливающие случаи признания
электронных документов, подписанных простой электронной подписью,
равнозначными документам на бумажных носителях, подписанным
собственноручной подписью, должны соответствовать требованиям статьи 9
настоящего Федерального закона.
3. Если в соответствии с федеральными законами, принимаемыми в
соответствии с ними нормативными правовыми актами или обычаем делового
оборота документ должен быть заверен печатью, электронный документ,
подписанный усиленной электронной подписью и признаваемый равнозначным
документу на бумажном носителе, подписанному собственноручной подписью,
признается равнозначным документу на бумажном носителе, подписанному
собственноручной подписью и заверенному печатью. Федеральными законами,
принимаемыми в соответствии с ними нормативными правовыми актами или
соглашением между участниками электронного взаимодействия могут быть
предусмотрены дополнительные требования к электронному документу в целях
признания его равнозначным документу на бумажном носителе, заверенному
печатью.
4. Одной электронной подписью могут быть подписаны несколько связанных
между собой электронных документов (пакет электронных документов). При
подписании электронной подписью пакета электронных документов каждый из
электронных документов, входящих в этот пакет, считается подписанным
электронной подписью того вида, которой подписан пакет электронных
документов.
Статья 7. Признание электронных подписей, созданных в соответствии с
нормами иностранного права и международными стандартами

Информзащита
1. Электронные подписи, созданные в соответствии с нормами права
иностранного государства и международными стандартами, в Российской
Федерации признаются электронными подписями того вида, признакам которого
они соответствуют на основании настоящего Федерального закона.
2. Электронная подпись и подписанный ею электронный документ не могут
считаться не имеющими юридической силы только на том основании, что
сертификат ключа проверки электронной подписи выдан в соответствии с
нормами иностранного права.
Статья 9. Использование простой электронной подписи
1. Электронный документ считается подписанным простой электронной
подписью при выполнении в том числе одного из следующих условий:
1) простая электронная подпись содержится в самом электронном документе;
2) ключ простой электронной подписи применяется в соответствии с правилами,
установленными оператором информационной системы, с использованием
которой осуществляются создание и (или) отправка электронного документа, и в
созданном и (или) отправленном электронном документе содержится
информация, указывающая на лицо, от имени которого был создан и (или)
отправлен электронный документ.
2. Нормативные правовые акты и (или) соглашения между участниками
электронного взаимодействия, устанавливающие случаи признания электронных
документов, подписанных простой электронной подписью, равнозначными
документам на бумажных носителях, подписанным собственноручной
подписью, должны предусматривать, в частности:
1) правила определения лица, подписывающего электронный документ, по его
простой электронной подписи;
2) обязанность лица, создающего и (или) использующего ключ простой
электронной подписи, соблюдать его конфиденциальность.
3. К отношениям, связанным с использованием простой электронной подписи, в
том числе с созданием и использованием ключа простой электронной подписи,
не применяются правила, установленные статьями 1 0 - 1 8 настоящего
Федерального закона.
4. Использование простой электронной подписи для подписания электронных
документов, содержащих сведения, составляющие государственную тайну, или в
информационной системе, содержащей сведения, составляющие
государственную тайну, не допускается.
Статья 10. Обязанности участников электронного взаимодействия при
использовании усиленных электронных подписей
При использовании усиленных электронных подписей участники электронного
взаимодействия обязаны:
1) обеспечивать конфиденциальность ключей электронных подписей, в
частности не допускать использование принадлежащих им ключей электронных
подписей без их согласия;
2) уведомлять удостоверяющий центр, выдавший сертификат ключа проверки
электронной подписи, и иных участников электронного взаимодействия о
нарушении конфиденциальности ключа электронной подписи в течение не более
чем одного рабочего дня со дня получения информации о таком нарушении;
3) не использовать ключ электронной подписи при наличии оснований полагать,
что конфиденциальность данного ключа нарушена;

Информзащита
У ч«бмьш ц е н т р
I ll

4) использовать для создания и проверки квалифицированных электронных


подписей, создания ключей квалифицированных электронных подписей и
ключей их проверки средства электронной подписи, получившие подтверждение
соответствия требованиям, установленным в соответствии с настоящим
Федеральным законом.
Статья 11. Признание квалифицированной электронной подписи
Квалифицированная электронная подпись признается действительной до тех
пор, пока решением суда не установлено иное, при одновременном соблюдении
следующих условий:
1) квалифицированный сертификат создан и выдан аккредитованным
удостоверяющим центром, аккредитация которого действительна на день
выдачи указанного сертификата;
2) квалифицированный сертификат действителен на момент подписания
электронного документа (при наличии достоверной информации о моменте
подписания электронного документа) или на день проверки действительности
указанного сертификата, если момент подписания электронного документа не
определён;
3) имеется положительный результат проверки принадлежности владельцу
квалифицированного сертификата квалифицированной электронной подписи, с
помощью которой подписан электронный документ, и подтверждено отсутствие
изменений, внесённых в этот документ после его подписания. При этом
проверка осуществляется с использованием средств электронной подписи,
получивших подтверждение соответствия требованиям, установленным в
соответствии с настоящим Федеральным законом, и с использованием
квалифицированного сертификата лица, подписавшего электронный документ;
4) квалифицированная электронная подпись используется с учётом ограничений,
содержащихся в квалифицированном сертификате лица, подписывающего
электронный документ (если такие ограничения установлены).
Ответственность за нарушения в сфере защиты информации
Выдержки из статей Уголовного кодекса Российской Федерации:
Статья 183. Незаконное получение и разглашение сведений,
с о с та в л я ю щ и х к о м м е р ч е ск ую или бан ков скую тайну

1. Собирание сведений, составляющих коммерческую или банковскую тайну, путём


похищения документов, подкупа или угроз, а равно иным незаконным способом —
наказывается штрафом в размере до восьмидесяти тысяч рублей или в размере
заработной платы или иного дохода осужденного за период от одного до шести месяцев,
либо исправительными работами на срок до одного года, либо лишением свободы на срок
до двух лет.
2. Незаконные разглашение или использование сведений, составляющих коммерческую,
налоговую или банковскую тайну, без согласия их владельца лицом, которому она была
доверена или стала известна по службе или работе, -
наказываются штрафом в размере до ста двадцати тысяч рублей или в размере заработной
платы или иного дохода осужденного за период до одного года с лишением права
занимать определённые должности или заниматься определённой деятельностью на срок
до трёх лет, либо исправительными работами на срок до двух лет, либо лишением
свободы на срок до трёх лет.
3. Те же деяния, причинившие крупный ущерб или совершенные из корыстной
заинтересованности, -
наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной

J Информзащита
t -- ^ У ч еб ны * ц ентр
платы или иного дохода осуждённого за период до восемнадцати месяцев с лишением
права занимать определённые должности или заниматься определённой деятельностью на
срок до трёх лет либо лишением свободы на срок до пяти лет.
4. Деяния, предусмотренные частями второй или третьей настоящей статьи, повлёкшие
тяжкие последствия, -
наказываются лишением свободы на срок до десяти лет.
В настоящее время состав компьютерных преступлений приведён в главе 28 Уголовного
кодекса Российской Федерации «Преступления в сфере компьютерной информации» и
содержит три статьи.
Статья 272. Неправомерный доступ к компьютерной информации
1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть
информации на машинном носителе, в ЭВМ, системе ЭВМ или их сети, если это деяние
повлекло уничтожение, блокирование, модификацию либо копирование информации,
нарушение работы ЭВМ, системы ЭВМ или их сети, -
наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной
платы или иного дохода осуждённого за период до восемнадцати месяцев, либо
исправительными работами на срок до одного года, либо лишением свободы на срок до
двух лет.
2. То же деяние, совершенное группой лиц по предварительному сговору или
организованной группой либо лицом с использованием своего служебного положения, а
равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, -
наказывается штрафом в размере от ста тысяч до трёхсот тысяч рублей или в размере
заработной платы или иного дохода осуждённого за период от одного года до двух лет,
либо исправительными работами на срок от одного года до двух лет, либо арестом на
срок от трёх до шести месяцев, либо лишением свободы на срок до пяти лет.
Статья 273. Создание, использование и распространение
вредоносных программ для ЭВМ
1. Создание программ для ЭВМ или внесение изменений в существующие программы,
заведомо приводящих к несанкционированному уничтожению, блокированию,
модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ
или их сети, а равно использование либо распространение таких программ или машинных
носителей с такими программами -
наказываются лишением свободы на срок до трёх лет со штрафом в размере до двухсот
тысяч рублей или в размере заработной платы или иного дохода осужденного за период
до восемнадцати месяцев.
2. Те же деяния, повлёкшие по неосторожности тяжкие последствия, -
наказываются лишением свободы на срок до семи лет.
Статья 274. Нарушение правил эксплуатации ЭВМ,
системы ЭВМ или их сети
1. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим
доступ к ЭВМ, системе ЭВМ или их сети, повлёкшее уничтожение, блокирование или
модификацию охраняемой законом информации ЭВМ, если это деяние причинило
существенный вред, -
наказывается лишением права занимать определённые должности или заниматься
определённой деятельностью на срок до пяти лет, либо обязательными работами на срок
от ста восьмидесяти до двухсот сорока часов, либо ограничением свободы на срок до
двух лет.
2. То же деяние, повлёкшее по неосторожности тяжкие последствия, -
наказывается лишением свободы на срок до четырёх лет.

Информзащита
113

Большое значение для лиц, занимающихся защитой информации, явилось появление в


2002 году новой редакции «Кодекса РФ об административных правонарушениях», в
котором предусмотрена административная ответственность за конкретные нарушения в
сфере защиты информации. Ниже приведены выдержки из наиболее «актуальных» статей
этого документа.

Выдержки из статей Кодекса об административных правонарушениях


Российской Федерации:
Статья 13.11. Нарушение установленного законом порядка сбора,
хранения, использования или распространения информации
о гражданах (персональных данных)
Нарушение установленного законом порядка сбора, хранения, использования или
распространения информации о гражданах (персональных данных) -
влечёт предупреждение или наложение административного штрафа на граждан в размере
от трёхсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей;
на юридических лиц - от пяти тысяч до десяти тысяч рублей.
Статья 13.12. Нарушение правил защиты информации
1. Нарушение условий, предусмотренных лицензией на осуществление деятельности в
области защиты информации (за исключением информации, составляющей
государственную тайну), -
влечёт наложение административного штрафа на граждан в размере от трёхсот до пятисот
рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц -
от пяти тысяч до десяти тысяч рублей.
2. Использование несертифицированных информационных систем, баз и банков данных,
а также несертифицированных средств защиты информации, если они подлежат
обязательной сертификации (за исключением средств защиты информации,
составляющей государственную тайну), -
влечёт наложение административного штрафа на граждан в размере от пятисот до одной
тысячи рублей с конфискацией несертифицированных средств защиты информации или
без таковой; на должностных лиц - от одной тысячи до двух тысяч рублей; на
юридических лиц - от десяти тысяч до двадцати тысяч рублей с конфискацией
несертифицированных средств защиты информации или без таковой.
3. Нарушение условий, предусмотренных лицензией на проведение работ, связанных с
использованием и защитой информации, составляющей государственную тайну,
созданием средств, предназначенных для защиты информации, составляющей
государственную тайну, осуществлением мероприятий и (или) оказанием услуг по защите
информации, составляющей государственную тайну, -
влечёт наложение административного штрафа на должностных лиц в размере от двух
тысяч до трёх тысяч рублей; на юридических лиц - от пятнадцати тысяч до двадцати
тысяч рублей.
4. Использование несертифицированных средств, предназначенных для защиты
информации, составляющей государственную тайну, -
влечёт наложение административного штрафа на должностных лиц в размере от трёх
тысяч до четырёх тысяч рублей; на юридических лиц - от двадцати тысяч до тридцати
тысяч рублей с конфискацией несертифицированных средств, предназначенных для
защиты информации, составляющей государственную тайну, или без таковой.
5. Грубое нарушение условий, предусмотренных лицензией на осуществление
деятельности в области защиты информации (за исключением информации,
составляющей государственную тайну), -
влечёт наложение административного штрафа на лиц, осуществляющих
предпринимательскую деятельность без образования юридического лица, в размере от

Информзащита
114

одной тысячи до одной тысячи пятисот рублей или административное приостановление


деятельности на срок до девяноста суток; на должностных лиц - от одной тысячи до
одной тысячи пятисот рублей; на юридических лиц - от десяти тысяч до пятнадцати
тысяч рублей или административное приостановление деятельности на срок до девяноста
суток.
Статья 13.13. Незаконная деятельность в области защиты информации
1. Занятие видами деятельности в области защиты информации (за исключением
информации, составляющей государственную тайну) без получения в установленном
порядке специального разрешения (лицензии), если такое разрешение (такая лицензия) в
соответствии с федеральным законом обязательно (обязательна), -
влечёт наложение административного штрафа на граждан в размере от пятисот до одной
тысячи рублей с конфискацией средств защиты информации или без таковой; на
должностных лиц - от двух тысяч до трёх тысяч рублей с конфискацией средств защиты
информации или без таковой; на юридических лиц - от десяти тысяч до двадцати тысяч
рублей с конфискацией средств защиты информации или без таковой.
2. Занятие видами деятельности, связанной с использованием и защитой информации,
составляющей государственную тайну, созданием средств, предназначенных для защиты
информации, составляющей государственную тайну, осуществлением мероприятий и
(или) оказанием услуг по защите информации, составляющей государственную тайну, без
лицензии, -
влечёт наложение административного штрафа на должностных лиц в размере от четырёх
тысяч до пяти тысяч рублей; на юридических лиц - от тридцати тысяч до сорока тысяч
рублей с конфискацией созданных без лицензии средств защиты информации,
составляющей государственную тайну, или без таковой.
Статья 13.14. Разглашение информации с ограниченным доступом
Разглашение информации, доступ к которой ограничен федеральным законом (за
исключением случаев, если разглашение такой информации влечёт уголовную
ответственность), лицом, получившим доступ к такой информации в связи с исполнением
служебных или профессиональных обязанностей, за исключением случаев,
предусмотренных частью 1 статьи 14.33 настоящего Кодекса, —
влечёт наложение административного штрафа на граждан в размере от пятисот до одной
тысячи рублей; на должностных лиц - от четырёх тысяч до пяти тысяч рублей.
Выдержки из Гражданского Кодекса Российской Федерации
о т 18 д е к а б р я 2006 г. № 2 Э 0-Ф З ( ч а с т ь ч е т в е р т а я ):

Статья 1253. Ответственность юридических лиц и индивидуальных


предпринимателей за нарушения исключительных прав
Если юридическое лицо неоднократно или грубо нарушает исключительные права на
результаты интеллектуальной деятельности и на средства индивидуализации, суд может в
соответствии с пунктом 2 статьи 61 настоящего Кодекса принять решение о ликвидации
такого юридического лица по требованию прокурора.
Если такие нарушения совершает гражданин, его деятельность в качестве
индивидуального предпринимателя может быть прекращена по решению или приговору
суда в установленном законом порядке.
Статья 1290. Ответственность по договорам, заключаемым
автором произведения
]. Ответственность автора по договору об отчуждении исключительного права на
произведение и по лицензионному договору ограничена суммой реального ущерба,
причинённого другой стороне, если договором не предусмотрен меньший размер
ответственности автора.

Информзащита
2. В случае неисполнения или ненадлежащего исполнения договора авторского заказа, за
которое автор несёт ответственность, автор обязан возвратить заказчику аванс, а также
уплатить ему неустойку, если она предусмотрена договором. При этом общий размер
указанных выплат ограничен суммой реального ущерба, причинённого заказчику.
Статья 1301. Ответственность за нарушение исключительного
права на произведение
В случаях нарушения исключительного права на произведение автор или иной
правообладатель наряду с использованием других применимых способов защиты и мер
ответственности, установленных настоящим Кодексом (статьи 1250, 1252 и 1253), вправе
в соответствии с пунктом 3 статьи 1252 настоящего Кодекса требовать по своему выбору
от нарушителя вместо возмещения убытков выплаты компенсации:
в размере от десяти тысяч рублей до пяти миллионов рублей, определяемом по
усмотрению суда;
в двукратном размере стоимости экземпляров произведения или в двукратном размере
стоимости права использования произведения, определяемой исходя из цены, которая
при сравнимых обстоятельствах обычно взимается за правомерное использование
произведения.
Статья 1311. Ответственность за нарушение исключительного
права на объект смежных прав
В случаях нарушения исключительного права на объект смежных прав обладатель
исключительного права наряду с использованием других применимых способов защиты
и мер ответственности, установленных настоящим Кодексом (статьи 1250,1252 и 1253),
вправе в соответствии с пунктом 3 статьи 1252 настоящего Кодекса требовать по своему
выбору от нарушителя вместо возмещения убытков выплаты компенсации:
в размере от десяти тысяч рублей до пяти миллионов рублей, определяемом по
усмотрению суда;
в двукратном размере стоимости экземпляров фонограммы или в двукратном размере
стоимости права использования объекта смежных прав, определяемой исходя из цены,
которая при сравнимых обстоятельствах обычно взимается за правомерное
использование такого объекта.
Статья 1472. Ответственность за нарушение исключительного
п р а в а на с е к р е т п р о и з в о д с т в а

1. Нарушитель исключительного права на секрет производства, в том числе лицо, которое


неправомерно получило сведения, составляющие секрет производства, и разгласило или
использовало эти сведения, а также лицо, обязанное сохранять конфиденциальность
секрета производства в соответствии с пунктом 2 статьи 1468, пунктом 3 статьи 1469 или
пунктом 2 статьи 1470 настоящего Кодекса, обязано возместить убытки, причинённые
нарушением исключительного права на секрет производства, если иная ответственность
не предусмотрена законом или договором с этим лицом.
2. Лицо, которое использовало секрет производства и не знало и не должно было знать о
том, что его использование незаконно, в том числе в связи с тем, что оно получило доступ
к секрету производства случайно или по ошибке, не несёт ответственность в соответствии
с пунктом 1 настоящей статьи.
Выдержки из Федерального закона «О коммерческой тайне»:
Федеральный закон Российской Федерации от 29 июля 2004 г. № 98-ФЗ «О коммерческой
тайне» принят Государственной Думой 9 июля 2004 г., одобрен Советом Федерации
15 июля 2004 г., подписан Президентом Российской Федерации 29 июля 2004 г.,
опубликован 5 августа 2004 г.

Информзащита
Статья 11. Охрана конфиденциальности информации
в рамках трудовых отношений
1. В целях охраны конфиденциальности информации работодатель обязан :
1) ознакомить под расписку работника, доступ которого к информации, составляющей
коммерческую тайну, необходим для выполнения им своих трудовых обязанностей, с
перечнем информации, составляющей коммерческую тайну, обладателями которой
является работодатель и его контрагенты;
2) ознакомить под расписку работника с установленным работодателем режимом
коммерческой тайны и с мерами ответственности за его нарушение;
3) создать работнику необходимые условия для соблюдения им установленного
работодателем режима коммерческой тайны.
2. Доступ работника к информации, составляющей коммерческую тайну, осуществляется
с его согласия, если это не предусмотрено его трудовыми обязанностями.
3. В целях охраны конфиденциальности информации работник обязан
1) выполнять установленный работодателем режим коммерческой тайны;
2) не разглашать информацию, составляющую коммерческую тайну, обладателями
которой являются работодатель и его контрагенты, и без их согласия не использовать эту
информацию в личных целях;
5) передать работодателю при прекращении или расторжении трудового договора
имеющиеся в пользовании работника материальные носители информации, содержащие
информацию, составляющую коммерческую тайну.
6. Трудовым договором с руководителем организации должны предусматриваться его
обязательства по обеспечению охраны конфиденциальности информации, обладателем
которой являются организация и её контрагенты, и ответственность за обеспечение
охраны её конфиденциальности.
8. Работник имеет право обжаловать в судебном порядке незаконное установление
режима коммерческой тайны в отношении информации, к которой он получил доступ в
связи с исполнением им трудовых обязанностей.
Статья 14. Ответственность за нарушение
Федерального закона «О коммерческой тайне»
1. Нарушение настоящего Федерального закона влечёт за собой дисциплинарную,
гражданско-правовую, административную или уголовную ответственность в
соответствии с законодательством Российской Федерации.
2. Работник, который в связи с исполнением трудовых обязанностей получил доступ к
информации, составляющей коммерческую тайну, обладателями которой являются
работодатель и его контрагенты, в случае умышленного или неосторожного разглашения
этой информации при отсутствии в действиях такого работника состава преступления
несёт дисциплинарную ответственность в соответствии с законодательством Российской
Федерации.
3. Органы государственной власти, иные государственные органы, органы местного
самоуправления, получившие доступ к информации, составляющей коммерческую тайну,
несут перед обладателем информации, составляющей коммерческую тайну, гражданско-
правовую ответственность за разглашение или незаконное использование этой
информации их должностными лицами, государственными или муниципальными
служащими указанных органов, которым она стала известна в связи с выполнением ими
должностных (служебных) обязанностей.

Информзащита
У ч еб и ь ж ц е н т р
117

4. Лицо, которое использовало информацию, составляющую коммерческую тайну, и не


имело достаточных оснований считать использование данной информации незаконным, в
том числе получило доступ к ней в результате случайности или ошибки, не может в
соответствии с настоящим Федеральным законом быть привлечено к ответственности.
5. По требованию обладателя информации, составляющей коммерческую тайну, лицо,
указанное в части 4 настоящей статьи, обязано принять меры по охране
конфиденциальности информации. При отказе такого лица принять указанные меры
обладатель информации, составляющей коммерческую тайну, вправе требовать в
судебном порядке защиты своих прав.
Статья 15. Ответственность за непредоставление
органам государственной власти, иным государственным органам,
органам местного самоуправления информации,
составляющей коммерческую тайну
Невыполнение обладателем информации, составляющей коммерческую тайну, законных
требований органов государственной власти, иных государственных органов, органов
местного самоуправления о предоставлении им информации, составляющей
коммерческую тайну, а равно воспрепятствование получению должностными лицами
этих органов указанной информации влечет за собой ответственность в соответствии с
законодательством Российской Федерации.

Информзащита
Раздел I - Тема б :
Государственная система защиты
информации

Введение
Структура государственной системы защиты информации в Российской Федерации, её
задачи и функции, основы организации защиты сведений, отнесённых в установленном
порядке к государственной или служебной тайне, определены в «Положении о
государственной системе защиты информации в Российской Федерации от иностранных
технических разведок и от её утечки по техническим каналам», утверждённом
постановлением Совета Министров - Правительства Российской Федерации
от 15.09.1993 №912-51.
Настоящее Положение является документом, обязательным для выполнения при
проведении работ по защите информации, содержащей сведения, составляющие
государственную или служебную тайну, в органах (аппаратах, администрациях)
представительной, исполнительной и судебной властей Российской Федерации,
республик в составе Российской Федерации, автономной области, автономных округов,
краёв, областей, городов Москвы и Санкт-Петербурга и в органах местного
самоуправления (далее именуются - органы государственной власти), на предприятиях и
в их объединениях, учреждениях и организациях независимо от их организационно­
правовой формы и формы собственности (далее именуются - предприятия).
Работы по защите информации в органах государственной власти и на предприятиях
проводятся на основе актов законодательства Российской Федерации.
Защита информации осуществляется путём выполнения комплекса мероприятий по
предотвращению утечки информации по техническим каналам, несанкционированного
доступа к ней, предупреждению преднамеренных программно-технических воздействий с
целью разрушения (уничтожения) или искажения информации в процессе обработки,
передачи и хранения, по противодействию иностранным техническим разведкам, а также
путём проведения специальных работ, порядок организации и выполнения которых
определяется Правительством Российской Федерации.
Мероприятия по защите информации являются составной частью управленческой,
научной и производственной деятельности и осуществляются во взаимосвязи с другими
мерами по обеспечению установленного режима секретности проводимых работ.
Главными направлениями работ по защите информации являются:
■ обеспечение эффективного управления системой защиты информации;
■ определение сведений, охраняемых от технических средств разведки, и
демаскирующих признаков, раскрывающих эти сведения;
■ анализ и оценка реальной опасности перехвата информации техническими
средствами разведки, несанкционированного доступа, разрушения
(уничтожения) или искажения информации путем преднамеренных
программно-технических воздействий в процессе ее обработки, передачи и
хранения в технических средствах, выявление возможных технических
каналов утечки сведений, подлежащих защите;
■ разработка организационно-технических мероприятий по защите
информации и их реализация;
■ организация и проведение контроля состояния защиты информации.

Информзащита
0
Учаб и м » Щ И р
119

Основными организационно-техническими мероприятиями по защите информации


являются:
■ лицензирование деятельности предприятий в области защиты информации;
■ аттестование объектов по выполнению требований обеспечения защиты
информации при проведении работ со сведениями соответствующей степени
секретности;
■ сертификация средств защиты информации и контроля за ее
эффективностью, систем и средств информатизации и связи в части
защищенности информации от утечки по техническим каналам;
■ введение территориальных, частотных, энергетических, пространственных и
временных ограничений в режимах использования технических средств,
подлежащих защите;
■ создание и применение информационных и автоматизированных систем
управления в защищенном исполнении;
■ разработка и внедрение технических решений и элементов защиты
информации при проектировании, строительстве (реконструкции) и
эксплуатации объектов, систем и средств информатизации и связи;
■ разработка средств защиты информации и контроля за ее эффективностью
(специального и общего применения) и их использование;
■ применение специальных методов, технических мер и средств защиты,
исключающих перехват информации, передаваемой по каналам связи.
Конкретные методы, приёмы и меры защиты информации разрабатываются в
зависимости от степени возможного ущерба в случае её утечки, разрушения
(уничтожения).
Проведение любых мероприятий и работ с использованием сведений, отнесённых к
государственной или служебной тайне, без принятия необходимых мер по защите
информации не допускается.
Государственная система защиты информации
Основные задачи государственной системы защиты информации:
■ проведение единой технической политики, организация и координация работ
по защите информации в оборонной, экономической, политической, научно­
технической и других сферах деятельности;
■ исключение или существенное затруднение добывания информации
техническими средствами разведки, а также предотвращение ее утечки по
техническим каналам, несанкционированного доступа к ней,
предупреждение преднамеренных программно-технических воздействий с
целью разрушения (уничтожения) или искажения информации в процессе ее
обработки, передачи и хранения;
■ принятие в пределах компетенции правовых актов, регулирующих
отношения в области защиты информации;
■ анализ состояния и прогнозирование возможностей технических средств
разведки и способов их применения, формирование системы
информационного обмена сведениями по осведомленности иностранных
разведок;
■ организация сил, создание средств защиты информации и контроля за ее
эффективностью;

I Информзащита
в-— У ч е б м ь * центр

^ Г1
■ контроль состояния защиты информации в органах государственной власти
и на предприятиях.
Государственную систему защиты информации образуют (см. Рис. 1.6.1):
■ Федеральная служба по техническому и экспортному контролю и ее
центральный аппарат;
■ Федеральная служба безопасности Российской Федерации, Министерство
внутренних дел Российской Федерации, Министерство обороны Российской
Федерации, Федеральная служба охраны Российской Федерации, Служба
внешней разведки Российской Федерации, их структурные подразделения по
защите информации;
■ структурные и межотраслевые подразделения по защите информации
органов государственной власти;
■ управления Федеральной службы по техническому и экспортному контролю
по федеральным округам;
■ головная научно-исследовательская организация в Российской Федерации по
защите информации (ФГУП «Научно-исследовательский испытательный
институт проблем технической защиты информации» Федеральной службы
по техническому и экспортному контролю);
■ головные и ведущие научно-исследовательские, научно-технические,
проектные и конструкторские организации по защите информации органов
государственной власти;
■ предприятия, проводящие работы по оборонной тематике и другие работы с
использованием сведений, отнесенных к государственной или служебной
тайне, их подразделения по защите информации;
■ предприятия, специализирующиеся на проведении работ в области защиты
информации;
■ высшие учебные заведения и институты повышения квалификации по
подготовке и переподготовке кадров в области защиты информации.
ФСТЭК России является межведомственным коллегиальным органом и возглавляет
государственную систему защиты информации.
Права и функции ФСТЭК России и её центрального аппарата определяются
«Положением о Федеральной службе по техническому и экспортному контролю»,
утверждённым Указом Президента Российской Федерации от 16.08.2004 № 1085 и
«Положением о государственной системе защиты информации в Российской Федерации
от иностранных технических разведок и от её утечки по техническим каналам»,
утверждённом постановлением Совета Министров - Правительства Российской
Федерации от 15.09.1993 № 912-51.
Права и функции в области защиты информации Федеральной службы безопасности
Российской Федерации, Министерства обороны Российской Федерации, Министерства
внутренних дел Российской Федерации, Федеральной службы охраны Российской
Федерации и Службы внешней разведки Российской Федерации определяются
положениями об этих органах.

Информзащита
У чебн ы м ц е н т р
121

Головная научно­
Управления Ф СТЭ К России ФСТЭК
исследовательская
по федеральным округам России организация по ЗИ

ФСБ России МВД России


Минобороны России

ФСО России СВР России

Головные и ведущие научно­


исследовательские, научно-технические,
проектные и конструкторские организации по Структурные и межотраслевые
ЗИ в органах государственной власти подразделения по ЗИ органов
государственной власти

Предприятия, специализирующиеся на
выполнении работ в области ЗИ
Предприятия, проводящие работы с
использованием сведений, отнесенных к
Высшие учебные заведения и институты
государственной или служебной тайне,
повышения квалификации по подготовке и
их подразделения по ЗИ
переподготовке кадров в области ЗИ

Рис. 1.6.1. Структура государственной системы защиты информации в Российской


Федерации

Структурные и межотраслевые подразделения по защите информации органов


государственной власти (в пределах их компетенции):
■ проводят единую техническую политику, осуществляют координацию и
методическое руководство работами по защите информации на
подведомственных органу государственной власти предприятиях;
■ выполняют функции заказчика по проведению научно-исследовательских и
опытно-конструкторских работ по проблемам защиты информации, а также
заказчика поисковых научно-исследовательских работ по этим проблемам;
■ разрабатывают предложения для федеральных программ по защите
информации;
■ организуют аттестование подведомственных органу государственной власти
объектов по выполнению требований обеспечения защиты информации при
проведении работ со сведениями соответствующей степени секретности,
сертификацию средств защиты информации и контроля за ее
эффективностью, систем и средств информатизации и связи в части
защищенности информации от утечки по техническим каналам, проведение
специальных проверок и специальных исследований технических средств;
■ готовят рекомендации и указания по лицензированию деятельности
предприятий в области защиты информации.
Непосредственное руководство работами по защите информации осуществляют
руководители органов государственной власти или их заместители.
Указанные функции осуществляются подразделениями (штатными специалистами) по
защите информации.
Подразделения по защите информации являются самостоятельными структурными
подразделениями или входят в состав одного из главных, технических, научно­
технических или специальных управлений органа государственной власти. Назначение на

I Информзащита
Учебный ц ентр
должности и освобождение от должности руководителей этих подразделений
производятся по согласованию с ФСТЭК России.
Допускается создание при органе государственной власти в соответствии с актами
законодательства Российской Федерации самостоятельных предприятий различных
организационно-правовых форм и форм собственности, на которые могут быть
возложены функции структурных, а также межотраслевых подразделений по защите
информации.
В целях обеспечения принципа коллегиальности при рассмотрении важнейших вопросов
защиты информации в органах государственной власти могут создаваться технические
комиссии, межотраслевые или отраслевые советы.
Управления ФСТЭК России по федеральным округам, в пределах своих зон
ответственности:
■ проверяют и оценивают состояние защиты информации и оказывают
методическую помощь на местах в организации и проведении мероприятий
по защите информации;
■ участвуют в аттестовании объектов по выполнению требований обеспечения
защиты информации при проведении работ со сведениями соответствующей
степени секретности.
Границы зон ответственности специальных центров определяет директор
ФСТЭК России.
Головная научно-исследовательская организация в Российской Федерации по защите
информации, головные и ведущие научно-исследовательские, научно-технические,
проектные и конструкторские организации по защите информации органов
государственной власти в пределах своей специализации разрабатывают научные основы
и концепции, проекты федеральных программ, нормативно-технических и методических
документов по защите информации, обобщают и анализируют информацию о силах и
средствах технической разведки, прогнозируют её возможности, осуществляют
разработку (корректировку) модели иностранной технической разведки и методик оценки
её возможностей, проводят научные исследования и работы по созданию технических
средств защиты информации и контроля за её эффективностью.
Организация работ по защите информации на предприятиях осуществляется их
руководителями.
В зависимости от объёма работ по защите информации руководителем предприятия
создаётся структурное подразделение по защите информации либо назначаются штатные
специалисты по этим вопросам.
Подразделения по защите информации (штатные специалисты) на предприятиях