Большая энциклопедия промышленного шпионажа - Каторин Юрий Федорович - Страница 143

Организационные — правила, меры и мероприятия, регламентирующие вопросы доступа, хранения, применения и передачи информации, вводимые в действие административным путем. Подробно этот материал изложен в подразделе 2.2.2. Скажем только, что установка любых, самых дорогих, технических средств защиты обернется пустой тратой денег для организации, в которой не решены на должном уровне организационные вопросы. И это справедливо для любых каналов утечки. Конечно, введение разного рода ограничений — работа не из самых приятных, но это может дать весьма ощутимый эффект и значительно сэкономить средства. Особенно, если проведенный анализ (что защищать и от кого защищать) показал полное отсутствие угрозы от серьезной организации, способной использовать сложные технические средства или нанять «крутую» фирму.

Технические средства — комплексы специального технического и программного обеспечения, предназначенные для предотвращения утечки обрабатываемой или хранящейся у вас информации путем исключения несанкционированного доступа к ней с помощью технических устройств съема. Эти средства подробно описаны во второй части книги. В этом разделе остановимся только на вопросах сертификации аппаратуры такого рода, которые не менее актуальны, чем лицензирование. С принятием комплекса законодательных и иных нормативных актов правового регулирования в области сертификации средств защиты информации проблема обеспечения качества используемых для этих целей средств встала на прочную правовую основу.

«Положением о сертификации средств защиты информации», утвержденным постановлением Правительства РФ № 608 от 26.07.95 г., определено 5 систем сертификации. В Государственном реестре Госстандарта зарегистрированы соответственно:

>• ФАПСИ с системой сертификации средств криптографической защиты информации;

>• Гостехкомиссия с системой сертификации средств защиты по требованиям безопасности информации;

>• Минобороны с системой сертификации средств защиты, относящимся к его компетенции.

Работы по созданию других систем сертификации на момент написания книги пока не завершены. Системы предусматривают обязательную сертификацию технических, программно-технических и программных средств, предназначенных для обработки, передачи и хранения информации

Рис. 2.2.2. Внешний вид аттестата аккредитации испытательной лаборатории, выданный Гостехкомиссией России

с ограниченным доступом, а также средств защиты и контроля эффективности защиты информации. Системы сертификации призваны обеспечить потребителю средств защиты информации безопасную обработку любой информации ограниченного доступа. На конец 1998 года в системах аккредитовано 6 органов по сертификации (5 — при Гостехкомиссии и 1 — при ФАПСИ) и 46 испытательных лабораторий. Внешний вид аттестата аккредитации приведен на рис. 2.2.4.

Порядок сертификации предусматривает целый ряд действий, ограничивающих возможность распространения некачественной продукции. Итогом сертификационных испытаний является сертификат (рис. 2.2.3), срок которого ограничен интервалом времени до 5 лет.

Недостатком этой четкой системы является слабый инспекционный контроль за выпуском сертифицированной продукции. Но в целом, приобретая продукцию, прошедшую через такое сито, клиент имеет неплохие гарантии ее качества.

Сертификация является достаточно длительным и относительно дорогостоящим процессом. При отсутствии сертифицированных средств защиты (объектов информатики в защищенном исполнении) можно заменить систему сертификации системой аттестации. Под аттестацией объекта понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа — «Аттестата соответствия», выданным уполномоченным на то органом (рис. 2.2.4), подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных федеральным органом по сертификации и аттестации в пределах его компетенции. В соответствии с «Положением по аттестации объектов информатики по требованиям безопасности информации» (Утверждено Председателем Гостехкомиссии 25.11.94 г.) обязательной аттестации подлежат объекты информатики, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров. В остальных случаях аттестация носит добровольный характер.

Реальная система защиты включает в себя все перечисленные виды средств и, как правило, создается путем их интеграции. Главной трудностью в ее создании является то, что одновременно она должна удовлетворять двум группам прямо противоположных требований. С одной стороны, обеспечивать надежную защиту информации. С другой — не создавать заметных неудобств сотрудникам и особенно потребителям. Обычно совместить эти требования удается только достаточно квалифицированному профессионалу. Кроме того, система защиты должна быть адекватна возможным угрозам, с обязательной оценкой как вероятности их появления, так и величины реального ущерба от потери или разглашения информации, циркулирующей в определенном носителе.

Рис. 2.2.4. Внешний вид аттестата аккредитация органа по аттестация информатизации, выданный Гостехкомиссией России

190000, РОССИЯ, САНКТ-ПЕТЕРБУРГ, ПЕР. ГРИВЦОВА, 1/64;

ТЕЛ. +7 (812) 219-1137, 314-2259;

ФАКС: +7 (812) 315-8375 E-MAIL: [email protected] URL: http://www.pps.ru

Информация о фирме

Основным видом деятельности Лаборатории ППШ является проведение комплекса организационных и технических мероприятий по защите важной информации от несанкционированного доступа. Под этим понимается полное комплексное обследование помещений с целью выявления всех возможных технических каналов утечки информации, разработка рекомендаций по закрытию выявленных каналов и проведению необходимых организационных и технических мероприятий, подготовка перечня рекомендуемого оборудования и его поставка.

Другими видами деятельности Лаборатории ППШ являются:

=> проведение сертификационных испытаний и исследований в рамках

системы сертификации средств защиты информации по требованиям

безопасности информации;

=> проведение комплекса мероприятий по защите информации в АС;

=> аттестация средств и систем информатизации на соответствие

требованиям по защите информации;

=> проведение специсследований средств ЭВТ в соответствии с требованиями и по методикам Гостехкомиссии РФ;

=> проведение исследований и разработок в области технических средств

защиты информации;

=> производство, поставка и реализация специального оборудования;

=> консультации и обучение по различным вопросам безопасности и

защиты информации.

Все перечисленные виды деятельности Лаборатория ППШ осуществляет на основании следующих документов:

• «Лицензия на деятельность в области защиты информации» № 54 от 26 мая 1995 г. по пунктам 2-6 (в полном объеме), выданная Государственной технической комиссией при Президенте Российской Федерации (продлена до 2001 года);

• «Аттестат аккредитации испытательной лаборатории» в системе сертификации средств защиты информации по требованиям безопасности информации

№ СЗИ RU.054.B01.002 от 6 марта 1996 г.

• Лицензия УФСБ России № 241 от 14 июля 1997 г.

• «Аттестат аккредитации органа по аттестации» в системе сертификации средств защиты информации по требованиям безопасности информации Ms СЗИ RU.054.B019.034 от 8 декабря 1998 г.

После выбора системы защиты остается сделать последний шаг: составить соответствующий перечень (набор) средств конкретной их реализации, которые наиболее полно ликвидируют потенциальную угрозу. Напомним, что угроза считается ликвидированной, если затраты на преодоление защиты превысят стоимость защищаемой информации.