Документы по организации и ведению контроля противодействия техническим средствам разведки

Материал из Национальной библиотеки им. Н. Э. Баумана
Последнее изменение этой страницы: 23:49, 22 марта 2015.

Информационная безопасность страны является составной частью ее национальной безопасности. Она призвана обеспечить «информационный» суверенитет государства и способствовать успешному проведению экономическое преобразований, укреплению политической стабильности общества. Это вязано с обеспечением защищенности системы формирования информационных ресурсов и созданием необходимого уровня защищенности применяемых технологий, использующих в том числе современные системы и средства информатизации. Решение этих задач возможно только на основе создания системы комплексной защиты информации и правильной организации ее функционирования. Именно такая система способна реализовать непрерывность процесса защиты информации, создать эффективные механизмы защиты и обеспечить надежную работу. Государственная система защиты информации должна обеспечивать решение ряда задач, основными из которых являются:

  1. Разработка общей технической политики и концепции обеспечения безопасности информации.
  2. Разработка законодательно-правового обеспечения безопасности информации.
  3. Разработка концепции деятельности органов государственного управления по отдельным вопросам защиты информации.
  4. Разработка нормативно-технических и организационно-распорядительных документов.
  5. Сертификация технических и программных средств по требованиям безопасности.
  6. Лицензирование деятельности по оказанию услуг в сфере безопасности формации.
  7. Контроль (надзор) за выполнением законодательства и требуемых мер в части безопасности информации.
  8. Подготовка квалифицированных кадров в сфере защиты информации.
  9. Проведение важнейших научно-исследовательских и опытно-конструкторских работ в области защиты информации.
  10. Информационное обеспечение по вопросам защиты информации.
  11. Защита прав собственников (владельцев, пользователей) информации.

Структурно такая система должна включать:

  • органы управления;
  • органы межотраслевой координации;
  • центры безопасности;
  • научно-исследовательские организации;
  • центры подготовки кадров;
  • органы сертификации, лицензирования, экспертизы и контроля;
  • сервисные организации и службы, действующие на основании лицензий;
  • службы безопасности информации у потребителей.

Система защиты информации должна удовлетворять следующим важней¬шим требованиям:

  • обеспечивать безопасность информации, средств информатизации, за¬щиту интересов участников информационных отношений;
  • быть, по возможности, прозрачной для участников информационного обмена, не создавать им излишних неудобств, связанных с дополнительными процедурами проверки, надзора, контроля за доступом и т.д.;
  • реализовывать различные методы управления: жесткие (административ¬но-директивные) и мягкие (рекомендательного характера).

Защита государственного информационного ресурса (обеспечение государственной тайны) осуществляется с применением административно-директивных методов, реализуемых в форме государственного заказа, системы стандартов качества, а также ответственности производителя перед государством. Директивные формы управления реализуются в виде, во-первых, обязательных для выполнения норм, требований и инструкций, во-вторых, независимой системы контроля (надзора) и, в-третьих, системы ответственности за допущенные нарушения. В государственном секторе ответственность за обеспечение установленных требований по защите информации возлагается на руководителей предприятий, организаций и учреждений, эксплуатирующих объекты защиты.

Цели защиты информации на объектах защиты могут быть достигнуты при проведении работ по следующим направлениям:

  • определение охраняемых сведений об объектах защиты;
  • выявление и устранение (ослаблению) демаскирующих признаков, раскрывающих охраняемые сведения;
  • оценка возможностей и степени опасности технических средств разведки;
  • выявлению возможных технических каналов утечки информации;
  • анализу возможностей и опасности несанкционированного доступа к информационным объектам;
  • анализу опасности уничтожения или искажения информации с помощью программно-технических воздействий на объекты защиты;
  • разработке и реализации организационных, технических, программных и других средств и методов защиты информации от всех возможных угроз;
  • созданию комплексной системы защиты;
  • организации и проведению контроля состояния и эффективности системы защиты информации;
  • обеспечению устойчивого управления процессом функционирования системы защиты информации.


С учетом состояния аналитической базы решения задачи оптимизации систем защиты может быть реализован следующий полуэвристический подход к построению оптимальной системы комплексной защиты информации:

  1. Проводится анализ структурного построения и принципов функционирования объекта защиты и выделяются на основе анализа уязвимые элементы, которые влияют на безопасность объекта.
  2. Определяются и анализируются возможные угрозы выделенным элементам и формируется перечень требований к системе защиты.
  3. На основе опыта создания систем защиты информации определяются наиболее подходящие варианты набора средств и мер защиты, использованием которых может быть реализована каждая из функций защиты, и для этих вариантов методами экспертных оценок определяются показатели эффектив¬ности составленных вариантов.
  4. На основе технико-экономических оценок средств и мер защиты определяются размеры ресурсов, необходимых для практического использования различных средств и мер.
  5. Решается задача синтеза оптимальной системы защиты информации методами статистического моделирования.


Необходимым условием разработки системы защиты информации является соблюдение следующих принципов:

  • учет требований защиты информации при построении объекта защиты и разработке технологии автоматизированной обработки информации;
  • комплексность использования средств и методов защиты;
  • обеспечение непрерывности процесса защиты;
  • обеспечение периодического контроля правильности функционирования всех подсистем защиты.


Следует иметь в виду, что разработка системы комплексной защиты информации может выполняться как без использования каких-либо ранее созданных средств защиты, так и с их использованием в качестве элементов системы.

Правовая защита информации как ресурса признана на международном, государственном уровне и определяется межгосударственными договорами, конвенциями и декларациями.

На государственном уровне правовая защита регулируется государственными и ведомственными актами.

В РФ такими актами являются Конституция, законы РФ, гражданское, административное, уголовное право, изложенные в соответствующих кодексах. Что касается ведомственных нормативных актов, то они определяются приказами, руководствами, положениями и инструкциями, издаваемыми ведомствами, организациями и предприятиями, действующими в рамках определенных структур.

Современные условия требуют и определяют необходимость комплексного подхода к формированию законодательства по защите информации, его состава и содержания, соотнесения его со всей системой законов и правовых актов Российской Федерации.

Tcoibl15 1 new.png
Tcoibl15 2 new.png

В настоящее время существует следующая структура правовых актов, ориентированных на защиту информации:

  1. конституционное законодательство,
  2. общие законы, кодексы, включающие нормы по вопросам информатизации и информационной безопасности,
  3. законы об организации управления, касающиеся отдельных структур и определяющие их статус,
  4. специальные законы, полностью относящиеся к конкретной сфере отношений,
  5. законодательство субъектов РФ, касающееся защиты информации,
  6. подзаконные нормативные акты по защите информации,
  7. правоохранительное законодательство РФ, содержащее нормы об ответственности за правонарушения в сфере информатизации.

Специальное законодательство в области безопасности информации может быть представлено совокупностью законов. В их составе особое место принадлежит базовому Закону «Об информации, информатизации и защите информации», который закладывает основы правового определения всех важнейших компонентов информационной деятельности:

  • информации и информационных систем;
  • субъектов — участников информационных процессов;
  • правоотношений производителей — потребителей информационной продукции;
  • владельцев (обладателей, источников) информации — обработчиков и потребителей на основе отношений собственности при обеспечении гарантий интересов граждан и государства.

Этот закон определяет основы защиты информации в системах обработки и при ее использовании с учетом категорий доступа к открытой информации и к информации с ограниченным доступом. Этот закон содержит, кроме того, общие нормы по организации и ведению информационных систем, включая банки данных государственного назначения, порядка государственной регистрации, лицензирования, сертификации, экспертизы, а также общие принципы защиты и гарантий прав участников информационного процесса.

В дополнение к базовому закону в мае 1992 г. были приняты Законы «О правовой охране программ для электронно-вычислительных машин и баз данных» и «О правовой охране топологии интегральных микросхем». Оба закона устанавливают охрану соответствующих объектов с помощью норм авторского права, включая в перечень объектов авторского права наряду с традиционными базами данных топологии интегральных микросхем и программы для ЭВМ.

Вопросы правового режима информации с ограниченным доступом реализуются в двух самостоятельных законах о государственной и коммерческой (проект) тайнах. Кроме того, этот аспект раскрывается и в Гражданском кодексе РФ статьей 139 «Служебная и коммерческая тайна».

Понятие и содержание конфиденциальной информации определяется в Указе Президента РФ от 6 марта 1997 года № 188.

Tcoibl15 3 new.png

Действия по защите информации от утечки по техническим каналам регламентируются следующими правовыми документами:

  • ГОСТ 29339-92 «Информационная технология. Защита информации от утечки за счет ПЭМИН при ее обработке СВТ». (ПЭМИН — побочные электромагнитные излучения и наводки.)
  • ГОСТ Р 50752 «Информационная технология. Защита информации от утечки за счет ПЭМИН при ее обработке средствами вычислительной техники. Методы испытаний».
  • Нормы эффективности и защиты АСУ и ЭВМ от утечки информации за счет ПЭМИН.
  • Специальные требования и рекомендации по защите объектов ЧЭВТ II и III категории от утечки информации за счет ПЭМИН.

Действия по защите информации от несанкционированного доступа (НСД) регламентируют Постановление Правительства РФ от 15.09.93 № 912-51 «Положение о государственной системе защиты информации от иностранной технической разведки и от утечки по техническим каналам», а также Указы Президента РФ:

  • «О создании государственной технической комиссии при Президенте РФ»(от 05.01.92 № 9);
  • «О защите информационно-телекоммуникационных систем и баз данных от утечки конфиденциальной информации по техническим каналам связи» (от 08.05.93 № 644);
  • «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации» (от 03.04.95 № 334);
  • «Положение о государственной системе защиты информации в Российской Федерации».

Правовыми документами являются и государственные стандарты на информационную деятельность с учетом обеспечения ее безопасности, в частности:

  • ГОСТ Р 50739-95 «СВТ. Защита от НСД к информации»;
  • ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования»;
  • ГОСТ Р.34.10-94 «Процедуры выработки и проверки электронной подписи на базе асимметрического криптографического алгоритма»;
  • ГОСТ Р.34.11-94 «Функция кэширования»;
  • ГОСТ Р.В.50170-92 «Противодействие ИТР. Термины и определения».

Правовые нормы обеспечения безопасности и защиты информации на конкретном предприятии (фирме, организации) отражаются в совокупности учредительных, организационных и функциональных документов.

Требования обеспечения безопасности и защиты информации отражаются в Уставе (учредительном договоре) в виде следующих положений:

  • предприятие имеет право определять состав, объем и порядок защиты сведений конфиденциального характера, требовать от своих сотрудников обеспечения их сохранности и защиты от внутренних и внешних угроз;
  • предприятие обязано обеспечить сохранность конфиденциальной информации.
Tcoibl15 4 new.png

Анализ существующего законодательства, регулирующего деятельность субъектов в сфере информационной безопасности, показывает наличие определенных недостатков. Существующие правовые нормы разбросаны по различным нормативным актам, издававшимся в разное время, в разных условиях и на разных уровнях. Действующее законодательство не систематизировано, что создает большие трудности в его использовании на практике.